Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Dudeman le novembre 14, 2014, 20:41:15
-
Bonjour depuis quelques temps je me fais surement hacké..
-Mon PC mouline énormément au démarrage
-Une ligne horizontale est apparue sur mon bureau.
-Je ne peux plus supprimé un fichier que j'ai désinstallé dans le panneau de config.. (Windows me dit qu'il est ouvert dans système)
-Je ne peux plus ouvrir un raccourci.
J'ai deja passé un coup de scan Avira, CCcleaner, adwcleaner, MalwayreBites qui n'ont rien trouvés
Hier jai passé Roguekiller qui ma trouvé 2 HJ.Name que j'ai delete.
Depuis Avira m'a trouvé deux saletés que j'ai supprimé ce qui a enlevé la ligne qui était apparue sur mon bureau.
Voici le scan Roguekiller : http://cjoint.com/?0KouRu9x04C
Voici un scan ZHPDIAG que je viens d’opérer : http://cjoint.com/?0KotTKLv7Jn
Suis-je toujours infecté? :)
-
Bonjour Dudeman,
Bienvenue sur Security-X,
Je ne vois rien en apparence d'inquiétant sur ce rapport
Je vois que vous avez installer Avira System Speedup un complément optimisation
Je vous invite pour l'instant à le désinstaller du pc je pense une partie de votre problème peut venir de ce programme
PUP.SystemSpeedup
Attention de ne pas utiliser des outils de désinfection sans savoir les interpréter,
il y a des risque de faux positif et la suppression de certain fichier déclenche un dysfonctionnement de votre ordinateur
Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :
P2P.µTorrent source d'infection multiple
Lire Les risques du peer-to-peer (http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html)
Fermez toutes les applications en cours (notamment votre navigateur)
Désactivez vos protections (Antivirus et par-feu)
- Cliquez sur l'icône ZHPFix,présent sur votre Bureau
pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
- Surlignez tout le texte ci-dessous puis cliquez droit Copier
Script ZHPFix
C:\ProgramData\AVG
C:\ProgramData\Lavasoft
O3 - Toolbar: (no name) - [HKLM]{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} Clé orpheline
O23 - Service: (Update service) . (.Company - Updater.) - C:\Program Files (x86)\Popcorn Time\Updater.exe
O42 - Logiciel: Popcorn Time - (.Popcorn Time.) [HKLM][64Bits] -- Popcorn Time_is1
O42 - Logiciel: TAP-Windows 9.9.2 - (...) [HKLM][64Bits] -- TAP-Windows
O43 - CFD: 11/09/2014 - 13:03:49 - [] ----D C:\Program Files (x86)\Popcorn Time
O43 - CFD: 01/12/2012 - 01:40:59 - [] ----D C:\ProgramData\McAfee
O43 - CFD: 17/04/2014 - 16:04:43 - [] -SH-D C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
O43 - CFD: 02/11/2014 - 23:11:03 - [] ----D C:\Users\Ernest\AppData\Roaming\Achiwa
O43 - CFD: 01/05/2014 - 15:54:54 - [] ----D C:\Users\Ernest\AppData\Roaming\AVAST Software
O43 - CFD: 17/04/2014 - 16:05:48 - [] ----D C:\Users\Ernest\AppData\Roaming\AVG
O43 - CFD: 27/04/2014 - 23:38:27 - [] ----D C:\Users\Ernest\AppData\Roaming\LavasoftStatistics
O43 - CFD: 05/05/2014 - 00:40:40 - [] ----D C:\Users\Ernest\AppData\Roaming\Popcorn Time
O43 - CFD: 17/04/2014 - 16:05:48 - [] ----D C:\Users\Ernest\AppData\Local\AVG
O43 - CFD: 28/04/2014 - 02:42:59 - [] ----D C:\Users\Ernest\AppData\Local\Popcorn-Time
O61 - LFC: 13/11/2014 - 19:30:53 ---A- . (...) -- C:\Users\Ernest\AppData\Local\Google\Chrome\User Data\EVWhitelist\2\_platform_specific\all\ev_hashes_whitelist.bin [938368]
O61 - LFC: 14/11/2014 - 19:30:58 ---A- . (...) -- C:\Users\Ernest\Downloads\7hh40ykx.exe [380416]
[MD5.8FEC09718E8734BB701A233E67A962F5] - (.Company - Updater.) -- C:\Program Files (x86)\Popcorn Time\Updater.exe [179200] [PID.2404]
[MD5.00000000000000000000000000000000] [APT] [avast! Emergency Update] (...) -- C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Run RoboForm TaskBar Icon] (...) -- C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{1D837339-4694-4514-9F83-55785F485090}] (...) -- C:\Program Files (x86)\ZHPDiag\ZHPFix\ZHPhep.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{52E8E464-584C-4F51-8BD7-A36443C65163}] (...) -- C:\Program Files (x86)\Achiwa\achiwant.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B2019A23-DCA4-4E63-9165-3025068466F1}] (...) -- C:\Program Files (x86)\Achiwa\achiwant.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{BAECE84E-1907-4790-95BE-6A55C2D08B2D}] (...) -- C:\Program Files (x86)\Achiwa\achiwant.exe (.not file.)
[HKCU\Software\AVG]
[HKCU\Software\Avast Software]
[HKCU\Software\EpmNewsInfo]
[HKCU\Software\MCAFEE]
[HKCU\Software\Popcorn Time]
[HKCU\Software\g3n-h@ckm@n]
[HKLM\Software\AVG]
[HKLM\Software\Wow6432Node\AVG]
[HKLM\Software\Wow6432Node\McAfee.com]
[HKLM\Software\Wow6432Node\Shortcut_Module]
[HKLM\Software\Wow6432Node\Symantec]
[HKLM\Software\Wow6432Node\g3n-h@ckm@n]
SR - | Auto 10/09/2014 179200 | (Update service) . (.Company.) - C:\Program Files (x86)\Popcorn Time\Updater.exe
ShortcutFix
PROXYFix
EmptyPrefetch
EmptyCLSID
FirewallRaz
EmptyTemp
EmptyFlash
Sysrestore
- Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi76.servimg.com%2Fu%2Ff76%2F11%2F05%2F93%2F83%2Fzhpfix10.png&hash=82eae81fca857359bcb494d6274fdd887e2da1cc)
Attention :vérifiez que que toutes les lignes se sont collées
- Puis Cliquez sur "GO"
- Confirmez les nettoyages des données en cliquant sur "Oui"
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi.imgur.com%2F9j6eC9Y.png&hash=4a578ee322c9545c4373d8c74a654bab54a5063a)
Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
- Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
- Hébergez le rapport ZHPFixReport
Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Télécharger Junkware Removal Tool (http://www.bleepingcomputer.com/download/junkware-removal-tool/) par Thisisu sur le bureau
Sur la page clique sur Download Author site!
Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
- Pour Vista/7/8, clique droit sur l'icône JRT exécuter en tant qu'administrateur.
Une fenêtre va s'ouvrir, appuie sur une touche pour continuer...
Le scanne va ce lancer.
Note : Le bureau disparaitra un instant, c'est normal.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimg585.imageshack.us%2Fimg585%2F4629%2Fw5od.png&hash=ec5da0556613bf1a6ea7176afed06e99b858f049)
Au message The scan completed successfully
Attendre l'affichage du rapport il sera enregistré sur le bureau
- Héberge le rapport sur le site
importante Ne pas relancer l'outil une seconde fois sinon le rapport sera écrasé par un nouveau
Télécharges Adwcleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) (de Xplode) sur ton Bureau
Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
- Cliquez sur oui pour Accepter la licence
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fnsa33.casimages.com%2Fimg%2F2014%2F05%2F26%2F140526054000482849.png&hash=2b2d57a0c6507886ae88af1b437a1255b65074cf) (http://www.casimages.com/img.php?i=140526054000482849.png)
- Choisir l'option Scanner
- Hébergez le contenu du rapport qui apparaît au redémarrage du PC sur le site
-
Bonjour et merci pour la prise en charge tomtom95.
Voici le rapport ZHPFIX:
http://up.security-x.fr/file.php?h=Raa3a8d0313e490d6065fc8533fb4d207
-
Re, Voici le rapport JRT.
http://up.security-x.fr/file.php?h=Rc59ed31b4fcbfacfc54aaeb5b6966143
Est-ce normal qu'il soit si court ?
-
Re, Voici le rapport Adwcleaner :
http://up.security-x.fr/file.php?h=R19ce4163ec90b201225df0798f441cf3
Qu'en conclus tu?
-
Bonsoir Dudeman,
Oui, c'est normal il n'y que la suppression de quelques restes de fichiers néfaste.
Comme je vous les dis rien de très important.
Vous allez faire les mises à jour Flash player] (http://get.adobe.com/fr/flashplayer/)
Pensez a décocher la case de l'Offre facultative avant de le télécharger
Télécharge DelFix (http://general-changelog-team.fr/en/downloads/viewdownload/20-outils-de-xplode/9-delfix)(de Xplode) sur ton Bureau
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fnsa34.casimages.com%2Fimg%2F2013%2F11%2F29%2F131129112932572911.png&hash=c58fdc2b9050fd1c91feec2781f65c310f2d1189)
supprimer les outils de désinfection
Purger la restauration système
- Valide sur Exécuter
- Laisse travailler l'outil
Un rapport s'ouvre Copie/colle le rapport obtenu
Delfix ce supprime automatiquement
Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
- Héberge le rapport Defix.txt sur le site.
-
Voila le rapport DELFIX :
http://up.security-x.fr/file.php?h=R59dd0d845a5bc4f2f94b2bb03242c568
Est-ce normal que CCleaner n'est pas été désinstallé ?
Quels sont les risques auxquels je m'expose en utilisant Avira SpeedUp?
-
Re,
Ccleaner n'est pas un outil de désinfection, il permet de nettoyer les fichiers temporaires, cache internet, Historique, Cookies, etc.
L'outil Delfix ne supprime pas ce type de programme.
Avira SpeedUp un optimiseur Muti outil comme la plus par des optimiseurs il font plus de dégât que de bien.
Souvent, c'est ce qui provoque des dysfonctionnements du système.
Le plus grand risque avec ce programme, c'est qu'il nettoie dans la base de registre,
ils prêtent Optimise le temps de démarrage du PC en réduisant le nombre de processus,
il va trouver et supprime les fichiers obsolètes (qui ne sont peut-être pas)
Pour Finir si tout va bien quelques conseil :
Je conseille pour l'avenir de changer de mode de téléchargement éviter les programmes P2P
Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
Bien lire les accords de licence avant toute installation
Prend quelques instants pour lire
Lisez d'abord cliquez après !!! (http://www.vista-xp.fr/forum/topic5482.html)
Les installateurs et l'opt out (http://www.libellules.ch/opt_out.php)
Stop la pub ! (http://www.stoppublicites.fr/)
D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des pop-ups de publicités.
Lire Les PUPs/LPIs (http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/)
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, ce n'est pas super niveau protection de la vie privée.
Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
Vérifier aussi d'avoir toujours la dernière version de Java et Flash Ployer.
Sauvegarder régulièrement les données personnelles sur un support externe.
De maintenir son antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes.
Au niveau de chrome, vous pouvez sécuriser votre navigation
Chrome (http://www.malekal.com/2013/01/14/securiser-google-chrome/)
Vous pouvez indiquer votre sujet " Résolu " en cliquant sur le bouton "Modifier" (en haut à droite) dans votre tout premier message.
Ajoute ensuite "Résolu" à coté de votre titre et valide.
A bientôt sur Security-X :AAC