[Résolu] Doute concernant une infection virale

[Florent66]

Bonsoir,

 

Je vous contacte car lors du démarrage de mon PC hier, j'ai pu constater que mon antivirus m'avertissait d'une alerte concernant un autorun.inf à la racine du disque C:, sachant que je n'ai qu'un disque dur et que je n'ai pas branché de périphériques externes depuis un bon bout de temps.

J'ai donc fait une analyse avec Antivir et également fait une analyse avec MBAM, toutes les deux complètes, et j'ai bien mis à jour MBAM. Malheureusement tous les deux ne m'ont rien trouvé, voici l'avertissement de mon antivirus et sachant que je n'ai pas vu d'autorun.inf à la racine de C:

 

Capture - HostingPics.net - Hébergement d'images gratuit

 

Merci de votre aide.

Modifié le 7 mars 2012 par Florent66

[tomtom95]

Bonsoir Florent66

 

Sur ta capture on peut voir aussi le résultat (16/02/18h24 logiciel malveillant détecté)?

 

Pour une analyse de ton ordinateur >> Applique cette procédure stp.

 

Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau

• Lance l'outil : double-clique sur ZHPDiag pour XP
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
   
  Clique sur le Tournevis a droit en haut
  
   
  
• Pour Cocher toutes les cases >> Clique sur TOUS .
   
  
• Puis Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  
• L'analyse peut durer une dizaine de minutes.
  
• Le rapport généré par l'outil se nomme ZHPDiag.txt
  
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  
• Dans ta prochaine réponse post ce rapport.
   
  
• IMPORTANT héberger le fichier contenant ce rapport sur http://cjoint.com/
  Voici la démarche compléte
  
• Pour Héberger le fichier cjoint.com/
  
• Sur la page du site Clique sur parcourir va jusqu'au rapport ZHPDiag sur ton bureau
  
• Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
  
• Ensuite en bas Clique sur Créer le lien Cjoint
  Une nouvelle fenêtre apparait avec un lien en bleu
  
• Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser

 

A+

[Florent66]

Yep mais c'est juste un faux positif ce soft dans ^mon antivirus ^^, je te tiens au courant pour mon analyse

 

C:\Users\Florent\Downloads\AutoClickerTyperSetup.exe boarf ^^ Merci de me venir en aide en tout cas car c'est très intriguant finalement mais je fais l'analyse ^^

Modifié le 18 février 2012 par Florent66

[Florent66]

Impossible à télécharger j'ai essayé par n'importe quel moyen, à chaque fois la page charge puis j'ai le délai d'attente est dépassé.

[tomtom95]

Bonjour Florent66

 

Je suppose que tu parle de ZHPDiag ?

Aucun problème avec mon lien ,refait l'essai stp

Ou directement sur le site

http://telechargement.zebulon.fr/zhpdiag.html

 

A+

[Florent66]

Bonjour Florent66

 

Je suppose que tu parle de ZHPDiag ?

Aucun problème avec mon lien ,refait l'essai stp

Ou directement sur le site

http://telechargement.zebulon.fr/zhpdiag.html

 

A+

 

Coucou c'est bon j'ai compris c'était le hotspot sfr qui me faisait galérer, j'ai dû me connecter ailleurs.

 

voici le rapport Lien CJoint.com BBsr06byJyG

[tomtom95]

RE

 

• Télécharge Sur cette page AdwCleaner de Xplode
  clique sur Télécharger et enregistre le fichier sur ton Bureau
   
  
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7
  il faut lancer le fichier par clique-droit -> Exécuter en tant qu'administrateur
   
  
• Sur le menu principal
  clique sur SUPPRESSION et patiente le temps de l'analyse
   
  
  
• A la fin du scan
  un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

[Florent66]

Voici le rapport

 

# AdwCleaner v1.409 - Rapport créé le 18/02/2012 à 18:37:15

# Mis à jour le 12/02/2012 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Florent - FLORENT-PC (Administrateur)

# Exécuté depuis : C:\Users\Florent\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Program Files (x86)\Ask.com

Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Dossier Supprimé : C:\Users\Florent\AppData\Roaming\Mozilla\Firefox\Profiles\muxwrqqw.default\extensions\[email protected]

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\Ask.com

Clé Supprimée : HKCU\Software\AppDataLow\AskToolbarInfo

Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

 

***** [Registre (x64)] *****

 

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : muxwrqqw.default

Fichier : C:\Users\Florent\AppData\Roaming\Mozilla\Firefox\Profiles\muxwrqqw.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v17.0.963.56

 

Fichier : C:\Users\Florent\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [3741 octets] - [18/02/2012 18:37:15]

 

*************************

 

Dossier Temporaire : 11 dossier(s) et 23 fichier(s) supprimés

 

########## EOF - C:\AdwCleaner[s1].txt - [3963 octets] ##########

[tomtom95]

OK trés bien le P2P est sources d'infections multiples

Je te conseil de le supprimer de ton ordinateur (BitTorrent, Inc. - µTorrent)

 

Fait la mise à jour

Sun java Runtime Version 6 Update 31

http://www.java.com/fr/download/windows_ie.jsp?locale=fr&host=www.java.com:80

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
   
  Télécharge sur cette page :
  RogueKiller (par tigzy). sur le bureau
  
• IMPORTANT:Quitte tous tes programmes en cours
  
• Lance RogueKiller.exe.Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  
• Attendre que le Prescan ait fini ...
  
• Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu
  dans la réponse

 

A+

[Florent66]

J'utilise µTorrent que pour télécharger des softs open-source que je peux trouver sur des sites sûrs, par exemple Ubuntu que j'ai téléchargé sur le site en question, mais merci une petite piqûre de rappel ne fait jamais de mal

 

Tigzy une connaissance du forum je rédige régulièrement des actualités sur le site. Voici le rapport :

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Florent [Droits d'admin]

Mode: Recherche -- Date: 18/02/2012 19:02:28

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000BPVT-22HXZT3 +++++

--- User ---

[MBR] 17092979ab41380b8ca7f4b03db7844c

[bSP] b8a8f25178f68740066af2a79a9a9ad8 : Linux MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18432 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 37750784 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 37955584 | Size: 353219 Mo

3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 761350142 | Size: 105186 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt