Security-X

Forum Security-X => Désinfections => Discussion démarrée par: yasmine le mai 17, 2013, 00:45:02

Titre: PC infecté par un virus [Résolu]
Posté par: yasmine le mai 17, 2013, 00:45:02
Bonsoir,
Je pense que mon PC est infecté par un virus.
Il y a quelques jours,  j'ai reçu un mail d'une amie, avec un lien internet. J'ai ouvert ce lien et depuis mon pc rame énormément, et je n'arrive pas à ouvrir certaines pages web sous mozilla (pages blanches)
L'adresse mail de mon amie a été piratée, elle n'a jamais eu l'intention de m'envoyer ce lien... ma soeur vient d'avoir le même soucis aujourd'hui, son adresse mail yahoo a été hackée ( idem...un mail frauduleux a été envoyé depuis sa boite mail à tous ses contacts)

J'ai utilisé malwarebytes, ..il y a avait 2 infections que j'ai supprimé.. mais mon pc continue à ramer et le problème de pages blanches persiste

Merci pour votre aide
Titre: Re : PC infecté par un virus
Posté par: chantal11 le mai 17, 2013, 09:54:48
Bonjour yasmine,

Bienvenue sur Security-X   :D


Citer
J'ai utilisé malwarebytes, ..il y a avait 2 infections que j'ai supprimé..
Poste le rapport Malwarebytes  (Ouvre Malwarebytes -> onglet Rapports/Logs)

----------------------------------------------------------------------------------------------

Nous allons établir un 1er diagnostic avec cet outil, suis bien les instructions indiquées :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   OTL :

Code: [Sélectionner]
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
----------------------------------------------------------------------------------------------

Sont attendus les rapports :
@+
Titre: Re : PC infecté par un virus
Posté par: yasmine le mai 17, 2013, 20:24:06
Bonjour chantal11

Merci d'avoir répondu  à mon post... ci-dessous les rapports

http://up.security-x.fr/file.php?h=Rf914c0f1ef73216b68c96183774781e3

http://up.security-x.fr/file.php?h=R891aa1527cfc4f8c8db046900f8481c0

Par contre j'avais trouvé 2 infections avec Malwarebytes, je l'avais supprimé..mais ils n'apparaissent plus sur le rapport ? 

Quand je clique sur le rapport de malwarebytes, j'ai 0 infections

Merci pour ton aide
Titre: Re : PC infecté par un virus
Posté par: chantal11 le mai 17, 2013, 20:53:15
Bonjour,

Citer
Par contre j'avais trouvé 2 infections avec Malwarebytes, je l'avais supprimé..mais ils n'apparaissent plus sur le rapport ?

Quand je clique sur le rapport de malwarebytes, j'ai 0 infections

Tu as bien ouvert tous les rapports.
Il te faut trouver celui qui indique les 2 détections.

Tu avais tenté d'installer le SP1 et la mise à jour n'a pas abouti ?
Ton système n'est absolument pas à jour et est donc vulnérable aux failles de sécurité.
Nous nous en occuperons par la suite.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

Babylon toolbar on IE (barre d'outil sponsorisée)
McAfee Security Scan Plus (inutile, tu as F-Secure)

Si un programme ne veut pas se désinstaller, tu passes au suivant.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  AdwCleaner - Suppression :

Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  OTL :

Code: [Sélectionner]
:OTL
IE - HKU\S-1-5-21-3338560843-2789954628-2408303254-1000\..\SearchScopes\{55801CBF-58E5-4E54-963B-02E93F8473A3}: "URL" = http://rover.ebay.com/rover/1/709-42536-16445-8/4?sa{searchTerms}
CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&tt=010412_crm&babsrc=SP_crm
CHR - plugin: Software Update (Enabled) = C:\Program Files (x86)\Software\Update\1.2.195.0\npSoftwareOneClick8.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_112D608FD02CD87FDC7735.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_2104367FB70FF3B5EE2E0C.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_4123484A2DA35FC16997E0.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_55480019A3D9E4738033D4.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_78B349B89B1648B415BB87.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_7DF52CF276838B1F5490BD.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_7FCBC0B0B0DC6E6433401F.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_853F67D554F05449430E7E.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_93EDBD9DCCFD6F69DE10C6.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_A59CFF6D02F7407D036E36.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_A641FE5051B14467FBF276.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_AF6A3F376A05B7CA408B0C.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_F629BB280EF5C6DB94ABCF.exe
[2012/04/21 14:30:07 | 000,230,547 | R--- | M] () -- C:\Users\Nadia\AppData\Roaming\Microsoft\Installer\{7D41BC10-F03E-41EB-8E2D-B7006948332F}\_FF5F7EE46A7BDA9904539A.exe

:files
C:\Users\Nadia\AppData\Local\{*}
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Sont attendus les rapports :
@+


Titre: Re : PC infecté par un virus
Posté par: yasmine le mai 17, 2013, 21:51:36

voici les rapports :

http://up.security-x.fr/file.php?h=R58f0a1c03289eec09dfb6cadceae1992

http://up.security-x.fr/file.php?h=R026f2440789bbf2294745c6a2eb3d43a

A+
Titre: Re : PC infecté par un virus
Posté par: chantal11 le mai 17, 2013, 22:02:50
Re,

OK pour les rapports.

Comment se comporte le système maintenant ?

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Désinstalle Java(TM) 6 Update 18 (64-bit) et Java(TM) 6 Update 18 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 21
http://www.java.com/fr/download/

Pense à décocher la barre Ask qui est proposée
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR33767bb6c06f1bd22f3defb4b29dacd2&hash=878630be86c34cdefe796be05c5721e284368ba7)

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  SX Check&Update :

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport_SX.txt

@+
Titre: Re : PC infecté par un virus
Posté par: yasmine le mai 17, 2013, 23:07:37


 http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/

Moins de lenteur!!!c'est très appréciable

Par contre, j'ai toujours quelques pages web sous mozilla

Merci encore pour ta précieuse aide
Titre: Re : PC infecté par un virus
Posté par: yasmine le mai 17, 2013, 23:24:21
http://up.security-x.fr/file.php?h=R50634bc58c01acd7c0d4b30178a57afe
Titre: Re : PC infecté par un virus
Posté par: chantal11 le mai 18, 2013, 09:05:23
Bonjour,

Citer
Moins de lenteur!!!c'est très appréciable

Par contre, j'ai toujours quelques pages web sous mozilla

Tu peux m'indiquer le type de" pages web" qui s'affichent, un exemple ?

Nous allons refaire une analyse OTL, je te remets la procédure ci-dessous :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)   OTL :

Code: [Sélectionner]
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
@+
Titre: Re : PC infecté par un virus
Posté par: yasmine le mai 20, 2013, 10:49:46
Bonjour Chantal

Désolée de répondre tardivement... c'est bon ça refonctionne,il y avait un petit réglage avec mon antivirus
Tout semble bien fonctionner.

Merci encore pour ton aide
 
Titre: Re : PC infecté par un virus
Posté par: chantal11 le mai 20, 2013, 11:16:56
Bonjour yasmine  :AAC

Donc plus de pages publicitaires qui s'affichent ?

A faire sous Google Chrome :

---------------------------------------------------------------------------------------------

Supprime toute trace de Babylon dans la gestion des moteurs de recherche de Google Chrome :

Citer
Pour supprimer manuellement des moteurs de recherche dans le navigateur, suivez la procédure ci-dessous.

   1. Cliquez sur le menu Google Chrome (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fstorage.googleapis.com%2Fsupport-kms-prod%2FSNP_2696434_en_v1&hash=fc66700ec2e3428b4396e4069d8aab95e9980a23) dans la barre d'outils du navigateur.
   2. Sélectionnez Paramètres, puis accédez à la section "Recherche".
   3. Cliquez sur Gérer les moteurs de recherche.
   4. Sélectionnez le moteur de recherche à supprimer, puis cliquez sur la croix (x) qui se trouve à la fin de la ligne.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR4bfc3c1fb5a498d8f291c6f940865ffd&hash=0c82464070a82250971f536d41f0c03303b036f9)
Support Google Chrome (http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95653)

---------------------------------------------------------------------------------------------

Nous allons pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Purge points de restauration :

Code: [Sélectionner]
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Mets à jour ton système via Windows Update

Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP1 et IE10

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  Quelques précisions et conseils :

Pourquoi et comment je me fais infecter ? (http://forum.malekal.com/pourquoi-et-comment-je-me-fais-infecter-t3259.html)

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

/!\ Bien lire les accords de licence (http://forum.security-x.fr/securite-generale/tuto4pc-et-accord-de-licence/msg53123/#msg53123) avant toute installlation, des études ont montré que La France est championne du monde de malwares ! (http://www.zebulon.fr/actualites/8054-france-championne-monde-malwares.html)

/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)

/!\ Sauvegarder régulièrement les données personnelles sur un support externe

/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fwww.malekal.com%2Ffichiers%2Fprojetantimalwares%2Freagir_miniban.gif&hash=60f66ff5bf6c64aea37f0755aa21312762d3420f) (http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf)
Titre: Re : PC infecté par un virus
Posté par: yasmine le mai 20, 2013, 21:55:51
Merci beaucoup !!!

J'ai realisé les dernières manipulations ;-)

Bonne soirée :) ;) ;)
Titre: Re : PC infecté par un virus
Posté par: chantal11 le mai 20, 2013, 22:33:35
Bonne continuation   :AAC