Security-X

Forum Security-X => Désinfections => Discussion démarrée par: Azatsu le octobre 01, 2013, 19:40:23

Titre: Je pense que mon PC est infecté :( [Résolu]
Posté par: Azatsu le octobre 01, 2013, 19:40:23
[Réglé] Je vous expose mon problème : Depuis un certain temps j'ai remarqué un ralentissement de mon Pc mais sans tout au temps m'alarmer, malheureusement dimanche soir sur les coup de 20h j'ai reçu un mail de la part d'un jeu en ligne au quelle je joue quelques fois me disant que "mon achat d'une valeur de 60 euros" avait bien été confirmé ... Evidemment cette achat sur mon compte de jeu et par CB ne provient pas de moi ! je décide donc de me connecter sur le compte en question et je le trouve vide de tout équipements, monnaie. J'ai donc pris des mesures en bloquant ma CB immédiatement et j'en ai conclue que j'ai choper un malware capable de récolter des informations sur mon Pc j'ai donc essayer beaucoup de logiciel anti-malware tel que Spybot search-destroy / Ad adware / Malwarebyte Antimalware et Roguekiller j'ai aussi instaler un Firewall (Comodo) et même un antirootkit. Malgré tout cela je reste perplexe en effet mon ordinateur reste quand même assez lent et toutes les manips que j'ai effectuer proviennent de conseils divers que j'ai pu trouver sur des forum (car je n'y connais pas vraiment grand chose). Enfin bref je recherche de l'aide pour être sur d'avoir éradiquer cette méchante chose, je suis disponible par vocal ou sur irc tout les soirs à partir de 18h10 environs.
Dans l'attente d'un réponse de votre part cordialement moi !
Titre: Re : Je pense que mon PC est infecté :(
Posté par: hyunkel30 le octobre 01, 2013, 22:40:34
Bonsoir aussi ;)

Citer
je suis disponible par vocal ou sur irc tout les soirs à partir de 18h10 environs

Notre aide se fait exclusivement par message public et écrit sur le forum, comme actuellement, nous ne sommes pas une Hotline, mais des bénévoles.

Citer
je décide donc de me connecter sur le compte en question et je le trouve vide de tout équipements, monnaie

Ton compte à tout simplement pu être piraté sans qu'il y ait d'infection sur ton pc, il suffit d'un mot de passe trop faible, d'avoir communiqué à certains les identifiants, etc ...

Citer
Pc j'ai donc essayer beaucoup de logiciel anti-malware tel que Spybot search-destroy / Ad adware / Malwarebyte Antimalware et Roguekiller j'ai aussi instaler un Firewall (Comodo) et même un antirootkit

Comme toujours, cela ne sert pas à grand chose, mieux vaut venir nous voir directement la prochaine fois ;)
Tu peux déjà désinstaller Spybot, inutile et obsolète, idem pour Ad-Aware, issue d'un éditeur nébuleux

Malwarebyte's, et rogueKiller ont-il détecté quelque chose ?
Si oui, fournis-moi les rapports


à faire aussi après désinstallation de spybot et ad-aware :

Télécharge Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec votre système : 32 ou  64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Poste les deux rapports générés.

Titre: Re : Je pense que mon PC est infecté :(
Posté par: Azatsu le octobre 02, 2013, 07:16:26
Bonjour, voilà donc comme demandé :

Addition : http://up.security-x.fr/file.php?h=Ra46df4856458313c5aa3ffc2b878bbc1
FRST : http://up.security-x.fr/file.php?h=R171ece5ff263612caf2d801ffe953e8b
RKreport (avant suppression) : http://up.security-x.fr/file.php?h=R83339cc9aeac413797d816d9c1d4e10e
RKreport (après suppression) : http://up.security-x.fr/file.php?h=Ra1e5985ccc5b16252220914135a72d5f
Malwarbyte (scan complet) : http://up.security-x.fr/file.php?h=R65e88ac94d978c976bfda0840229d94a

D'avance merci
Titre: Re : Je pense que mon PC est infecté :(
Posté par: hyunkel30 le octobre 02, 2013, 10:14:31
Re,

Ok alors :

- Roguekiller n'avait rien trouvé à la recherche, il était inutile de lancer la suppression, faite attention et ne lancez pas inutilement des outils potentiellement dangereux ... ;)

- Malwarebyte's ne détecte absolument rien, ce qui confirme que le piratage n'est pas lié au pc, mais probablement à un mot de passe trop faible sur le compte du jeu ;)


Elle est légitime cette version de Windows 7 intégrale ?

On nettoiera quelques traces d'adwares qui reste ensuite aussi. Mais rien qui n'est à voir avec une infection dangereuse qui puisse volé des données personnelles.

 :AAN
Titre: Re : Je pense que mon PC est infecté :(
Posté par: Azatsu le octobre 02, 2013, 12:08:04
Re  :) alors tout d'abord merci pour ta réponse ! quand à ta question concernant la légitimité de Windows oui je pense qu'elle l'est (je n'ai pas installer Windows moi même ayant acheter le pc d'occasion) mais je n'ai jamais eu aucun problèmes avec les MAJ de l'updater Windows et je n'ai pas remarquer de différences avec mon autre pc (sur le-quelle j'ai installer moi même Windows) d’ailleurs si il existe un moyen de vérifier je suis preneur. Si non pour les traces d'adwares restant je suivrais volontiers tes conseils  ;)
Titre: Re : Je pense que mon PC est infecté :(
Posté par: hyunkel30 le octobre 02, 2013, 14:40:50
Re,

Citer
quand à ta question concernant la légitimité de Windows oui je pense qu'elle l'est

Je préfère demander, car sur des versions non officielles, les désinfections peuvent provoquer des erreurs et autres phénomènes inattendus ...

à faire donc :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- AVG PC Tuneup (inutile)

[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

~~~~~~~~~~~~~~~~~~~~~~~~~~

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images (http://forum.security-x.fr/windows-7/%28tutoriel%29-creer-un-point-de-restauration-sous-windows-7/) /!\

start
HKU\Sylvain\...\Run: [SpybotSD TeaTimer] - C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL =
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
Toolbar: HKLM-x32 - No Name - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No File
CHR HKLM-x32\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\Sylvain\AppData\Local\Temp\crx488E.tmp
CHR HKLM-x32\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx
C:\ProgramData\Browser Manager
S3 CV2K1; system32\DRIVERS\cv2k1.sys [x]
Task: {6048CAF1-423D-4222-A8D1-65651AF3E711} - System32\Tasks\Spybot - Search & Destroy - Scheduled Task => C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
Task: {CC9DD898-2934-44EC-AE9B-CFFE45D51CFA} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~2\AD-AWA~1\AdAwareLauncher.exe
Task: {FD52F989-EC6E-439F-8586-BCBC7FB00F78} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
C:\Program Files (x86)\Lavasoft
Task: C:\Windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job => C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
AlternateDataStreams: C:\Windows:{DA6227CB-326B-4B4D-9A81-04B61F1538DD}
AlternateDataStreams: C:\ProgramData\TEMP:0B4227B4
2013-09-30 20:33 - 2013-09-30 22:48 - 00004458 _____ C:\Windows\System32\Tasks\Ad-Aware Antivirus Scheduled Scan
2013-09-30 20:32 - 2013-10-01 07:43 - 00000000 ____D C:\Users\Réda\AppData\Roaming\Ad-Aware Antivirus
2013-09-30 20:32 - 2013-09-30 22:44 - 00000000 ____D C:\ProgramData\Ad-Aware Antivirus
2013-09-30 20:31 - 2013-10-01 08:01 - 00000000 ____D C:\Program Files (x86)\Ad-Aware Antivirus
2013-09-30 20:29 - 2013-09-30 20:30 - 20034048 _____ C:\Users\Réda\Downloads\ad-aware-free_10-5-3-4405_fr_12797.msi
2013-10-01 23:19 - 2012-04-02 11:07 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2013-10-01 23:19 - 2012-04-02 11:07 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Titre: Re : Je pense que mon PC est infecté :(
Posté par: Azatsu le octobre 02, 2013, 15:12:28
Re !
J'ai bien suivi tes étapes, voilà le rapport Fixlog, merci d'avance ; http://up.security-x.fr/file.php?h=R0c41dbe352f386448919689145d9f85f
Titre: Re : Je pense que mon PC est infecté :(
Posté par: hyunkel30 le octobre 02, 2013, 16:16:16
Re,

Ok pour les rapports.

Comment se comporte le pc actuellement niveau ralentissements ou autres problèmes ?
Titre: Re : Je pense que mon PC est infecté :(
Posté par: Azatsu le octobre 02, 2013, 17:39:37
RAS tout fonctionne très bien, plus de ralentissements, beaucoup plus rapide au démarrage, sa me semble parfait :) bref je n’hésiterais pas à recommander se site et je te remercie tout particulièrement hyunkel30.
Titre: Re : Je pense que mon PC est infecté :(
Posté par: hyunkel30 le octobre 02, 2013, 21:38:44
Re,

Très bien, pour conclure alors :

Télécharge DelFix (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix) (de Xplode) sur ton bureau.

Titre: Re : Je pense que mon PC est infecté :( [Résolu]
Posté par: Azatsu le octobre 03, 2013, 17:45:10
Delfix : http://up.security-x.fr/file.php?h=Rd502f26855daefa9d579473e77115638
 Merci bonne continuation !