Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Suspicion d'infection


 Share

Messages recommandés

Bonsoir,

 

Je fais appel à votre aide car mon ordi me fait quelques peurs bleues en ce moment: il a notamment beaucoup de mal à démarrer (il reste bloqué pendant parfois des heures sur un écran noir avec juste une flèche blanche, après le message "Bienvenue" de Windows), et il est globalement plutot lent et fait des blocages. Pour info, il est sous Vista, je l'ai depuis 3 ans et demi, et j'aimerais pouvoir le garder encore un peu...

 

Du coup, je suspecte une possible infection, et j'aimerais en avoir le coeur net. Si quelqu'un pouvait m'aider et me conseiller sur les outils à utiliser pour tirer ça au clair, ça serait super :)

 

Merci d'avance !

 

PS: peut-être quelque chose qui n'a rien à voir, mais je viens de faire un tour dans la quarantaine d'Avast, et il y a un programme en quarantaine qui s'appelle Acer VCM, qui est visiblement infecté par le virus Win32:Injector-AUU [Trj]. Est-ce que le fait qu'il soit en quarantaine l'empèche d'être nocif? Est-ce que je peux demander à Acer de supprimer ce fichier infecté sans risque?

Modifié par LolaJones
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Un objet en quarantaine est neutralisé, mais ne le supprime pas de suite car il y a parfois de faux-positifs, ce qui arrive à tous les antivirus.

 

1) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

Télécharger RogueKiller (Site Officiel)

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

----

 

2) Clique sur Suppression et poste le rapport.

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Merci de la réponse !

 

Le rapport AVANT suppression:

 

RogueKiller V8.4.4 [Feb 1 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Pauline [Droits d'admin]

Mode : Recherche -- Date : 01/02/2013 20:33:21

| ARK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++

--- User ---

[MBR] 228b957948f6ca9ffe1c293cd99e1148

[bSP] 957a78be4a8cda06663ba8c0c1fa34a1 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 295243 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_01022013_203321.txt >>

RKreport[1]_S_01022013_203321.txt

 

 

 

 

Et le rapport APRES suppression:

 

 

RogueKiller V8.4.4 [Feb 1 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Pauline [Droits d'admin]

Mode : Recherche -- Date : 01/02/2013 20:34:46

| ARK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++

--- User ---

[MBR] 228b957948f6ca9ffe1c293cd99e1148

[bSP] 957a78be4a8cda06663ba8c0c1fa34a1 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 295243 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3]_S_01022013_203446.txt >>

RKreport[1]_S_01022013_203321.txt ; RKreport[2]_D_01022013_203425.txt ; RKreport[3]_S_01022013_203446.txt

 

 

 

 

Du coup j'ai plusieurs questions:

 

- J'ai un dossier RK Quarantine sur le bureau: c'est peut-être bête mais je n'ai pas osé l'ouvrir, j'en fais quoi? Je le laisse là, je peux faire Clic-droit supprimer et l'envoyer dans la Corbeille?

 

- Qu'est-ce qu'un fichier HOSTS, comme celui qui apparait dans le rapport?

 

- Est-ce qu'il faut également utiliser d'autres outils pour une vérification complémentaire?

Modifié par LolaJones
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Les outils spéciaux et leurs rapports seront supprimés tous en même temps à la fin des procédures, grâce à un outil ad-hoc.

 

hosts - Wikipédia

 

Relance RogueKiller et clique sur HostRaz: poste le rapport.

 

Oui, il faut faire d'autres analyses.

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis tournevis.jpg et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Merci de ta réponse !

 

Voilà déjà le rapport après avoir cliqué sur "HostsRAZ":

 

RogueKiller V8.4.4 [Feb 1 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Pauline [Droits d'admin]

Mode : HOSTS RAZ -- Date : 03/02/2013 16:18:38

| ARK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[1]_H_03022013_161838.txt >>

RKreport[1]_H_03022013_161838.txt

 

 

 

 

Je m'occupe d'installer ZHPDiag tout de suite, et je te poste le rapport demandé dès que possible.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour LolaJones,

 

1) ZHPFix :

 

  • Ferme toutes les applications ouvertes
     
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
     
  • Copie les lignes ci-dessous dans la fenêtre

 

[MD5.00000000000000000000000000000000] [APT] [spyHunter3] (...) -- C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter3.exe (.not file.)    
O42 - Logiciel: Orion - (.Convesoft.) [HKLM] -- {5B63A470-9334-44D1-AF61-6CE2DB565AE9}     
O43 - CFD: 09/06/2009 - 19:50:47 - [15,047] ----D C:\Program Files\Convesoft    
[HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5B63A470-9334-44D1-AF61-6CE2DB565AE9}]    
C:\Program Files\Convesoft    
[HKCU\Software\AppDataLow\Software\Conduit]    
[HKLM\Software\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}]     
[HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}]    
[HKLM\Software\Classes\Toolbar.CT2613520]    
C:\Users\Pauline\AppData\LocalLow\Conduit    
firewallraz
emptytemp
emptyflash   

 

  • Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier) Capture-13.jpg
     
    Clique sur le bouton GO pour lancer le nettoyage

 

  • Valide par Oui la désinstallation des programmes si demandé
     
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
     
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

---------------------------

2) Si tu as déjà AdwCleaner, lance-le et clique sur désinstaller ==> télécharge la dernière version.

 

Télécharge AdwCleaner par Xplode: ©©chargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

@++ ;)

Lien vers le commentaire
Partager sur d’autres sites

Voici déjà le rapport ZHPFix:

 

Rapport de ZHPFix 1.3.13 par Nicolas Coolman, Update du 26/01/2013

Fichier d'export Registre :

Run by Pauline at 03/02/2013 23:26:03

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

 

 

 

========== Tache planifiée ==========

SUPPRIME Task: SpyHunter3

 

 

========== Récapitulatif ==========

1 : Tache planifiée

 

 

End of clean in 00mn 13s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 29/01/2013 20:28:10 [1452]

C:\ZHP\ZHPFix[R2].txt - 29/01/2013 19:55:02 [673]

C:\ZHP\ZHPFix[R3].txt - 03/02/2013 23:26:10 [527]

Lien vers le commentaire
Partager sur d’autres sites

Concernant le script ZHPFix, j'ai recommencé la procédure plusieurs fois, mais je ne comprends pas ce qui bloque: le texte est bien copié intégralement et correctement, et lorsque j'appuie sur "Go", la procédure est très rapide, et le rapport suivant s'affiche:

 

Rapport de ZHPFix 1.3.13 par Nicolas Coolman, Update du 26/01/2013

Fichier d'export Registre :

Run by Pauline at 03/02/2013 23:55:05

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

 

 

 

========== Tache planifiée ==========

ABSENT Task: SpyHunter3

 

 

========== Récapitulatif ==========

1 : Tache planifiée

 

 

End of clean in 00mn 03s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 29/01/2013 20:28:10 [1452]

C:\ZHP\ZHPFix[R2].txt - 29/01/2013 19:55:02 [673]

C:\ZHP\ZHPFix[R3].txt - 03/02/2013 23:26:10 [578]

C:\ZHP\ZHPFix[R4].txt - 03/02/2013 23:54:45 [627]

C:\ZHP\ZHPFix[R5].txt - 03/02/2013 23:55:05 [627]

 

 

 

Du coup, qu'est-ce que je peux faire? Je pense vraiment suivre la procédure correctement et je ne comprends pas pourquoi il ne s'intéresse qu'à SpyHunter et ne "lit" pas le reste des instructions...

 

 

Voilà également le rapport AdwCleaner:

 

# AdwCleaner v2.110 - Rapport créé le 03/02/2013 à 23:36:54

# Mis à jour le 03/02/2013 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : Pauline - PC-DE-PAULINE

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Pauline\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\Pauline\AppData\LocalLow\Conduit

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16457

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v9.0.1 (fr)

 

Fichier : C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\kppnmvd2.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [1479 octets] - [03/02/2013 23:36:54]

 

########## EOF - C:\AdwCleaner[s1].txt - [1539 octets] ##########

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...