Aller au contenu
MagicXarko

[Résolu] Aide concernant un spyware tenace

Messages recommandés

Bonjour

 

Mon antivirus a détecté un troyan bien tenace qui revient après la mise en quarantaine et la suppression des éléments incriminés. Je suis ordinairement prudente mais je soupçonne une mise à jour d'Adobe d'être la source du problème.

 

J'ai tenté de désinstaller le programme via le panneau de configuration mais cela m'a été impossible.

 

Le rapport de Kapersky m'incite à penser qu'il s'agit d'une infection assez dangereuse.

 

Pouvez vous m'aider SVP?

Modifié par MagicXarko

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir voisine, (je suis de la province)

 

Peux-tu poster le rapport de Kaspersky stp?

 

Il ne faut jamais télécharger de programmes qui viennent d'ailleurs que chez l'éditeur, jamais.

 

 

Ouvrir l'interface de Kaspersky et cliquer sur "plus de fonctions"

 

k1-5367f33.jpg

 

Puis sur "Restauration du système"

 

k2-5367f36.jpg

 

Lancer l'analyse et attendre; suivre les indications du logiciel.

 

k3-5367f38.jpg

 

---------------

Ensuite,

 

Pour établir un diagnostic:

 

Important à lire: http://forum.zebulon.fr/important-outils-de-desinfection-faux-positifs-t212365.html?p=1771885

 

http://forum.zebulon.fr/a-important-a-lire-avant-toute-demande-de-desinfection-t214105.html?p=1787464

 

ZHPDiag :

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

     

    http://www.nicolascoolman.fr/download/zhpdiag/

  • Double-clique sur ZHPDiag.exe pour lancer l'installation

    Important:

    Sous Vista et Windows 7/8[/10[ /b] : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  • L'outil a créé une icône ZHPDiag sur le Bureau.
  • Double-clique sur ZHPDiag pour lancer l'exécution

    Important:

    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    Clique sur Scanner.

  • capture-4be0b96.jpg
  • Tu patientes jusqu'à ce que le scan affiche 100%

    Clique sur Rapport

  • Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

    Ce rapport étant trop long pour le forum, héberge le :

  • soit sur cjoint: http://cjoint.com/ et copie-colle le lien fourni dans ta réponse.
  • soit sur http://dl.free.fr/

     

    copier-raccourci-cjoint-52aa897.jpg

     

    @++

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Apollo

 

Voici le dernier rapport Kapersky

 

Après analyse complète, le système a été déclaré sain,sans aucune restauration nécessaire. Il en était de même voici deux heures et il a suffi que j'aille sur la page d'accueil pour que des menaces soient détectées. aie.gif
Je joins le rapport ZHP dans le message suivant
Merci de ton aide.
Modifié par MagicXarko

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

je pense qu'il ne s'agit de rien de grave.

 

On va attaquer cela avec 3 outils consécutivement:

 

A)

Télécharger ZHPcleaner de Nicolas Coolman: https://www.nicolascoolman.com/fr/download/zhpcleaner/ sur le bureau. (à ne pas confondre avec ZhpDiag... )

 

https://www.nicolascoolman.com/fr/download/zhpcleaner/

 

Il ne nécessite aucune installation.

 

 

Le lancer par double-clic sous XP et par clic droit/exécuter en tant qu'administrateur sous Windows Vista/7/8/10

 

Cliquer sur Scanner puis sur Nettoyer.

 

Le rapport de réparation sera généré sur le bureau: poste-le dans ta réponse stp.

 

 

31-03-2015-22-40-15-4a9ae6e.jpg

 

***************

B)

 

Poursuis avec les deux outils suivants stp:

 

1) Télécharge Junkware Removal Tool et enregistre-le sur le bureau: http://downloads.malwarebytes.org/file/jrt

 

http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

 

02-12-2015-18-16-59-4da348c.jpg

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en tant qu'administrateur.

 

Prendre patience pendant que JRT tourne.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

copier-raccourci-cjoint-52aa897.jpg

 

 

-----------------------------

sfleche.1275-1bcbbf.gif*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.*** Onglet fichier/désinstaller

 

2) Télécharge AdwCleaner de MalwareBytes.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

https://www.malwarebytes.com/adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en tant qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera alors accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[C1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Voici le rapport de Junkware Removal tools

 

http://www.cjoint.com/c/GKklrzPtduP

 

J'ai ensuite scanné avec ADWCleaner. Il n'a trouvé aucune menace mais a redémarré l'ordinateur.

 

Je l'avais coupé de mes téléchargements pour le coller sur mon bureau avant de faire quoique ce soit mais je ne le trouve plus :( Il est vrai que je ne suis pas très douée.

 

Faut il faire autre chose SVP?


Poste en clair stp: je n'accède pas à cjoint.com; le rapport n'est pas trop lourd pour le forum icon_wink.gif

@++

 

Le voici

 

~ ZHPCleaner v2017.11.8.194 by Nicolas Coolman (2017/11/08)
~ Run by User_destop (Administrator) (10/11/2017 11:47:00)
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Nettoyer
~ Report : C:\Users\User_destop\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\User_destop\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Home Premium, 64-bit Service Pack 1 (Build 7601)
---\\ Service. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Navigateur internet. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)
---\\ Tâche planifiée. (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Explorateur ( Dossiers, Fichiers ). (20)
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_clean-master.fr.softonic.com_0.localstorage =>.SUP.Softonic
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_clean-master.fr.softonic.com_0.localstorage-journal =>.SUP.Softonic
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d16fk4ms6rqz1v.cloudfront.net_0.localstorage =>.SUP.CloudfrontNet
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d16fk4ms6rqz1v.cloudfront.net_0.localstorage-journal =>.SUP.CloudfrontNet
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_fr.igraal.com_0.localstorage =>Toolbar.Graal
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_fr.igraal.com_0.localstorage-journal =>Toolbar.Graal
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.olark.com_0.localstorage =>PUP.Optional.Generic
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_static.olark.com_0.localstorage-journal =>PUP.Optional.Generic
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_windows-7-dreamscene-activator.en.softonic.com_0.localstorage =>.SUP.Softonic
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_windows-7-dreamscene-activator.en.softonic.com_0.localstorage-journal =>.SUP.Softonic
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_azlyrics.biz_0.localstorage =>PUP.Optional.AddLyrics
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_azlyrics.biz_0.localstorage-journal =>PUP.Optional.AddLyrics
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_download.fromdoctopdf.com_0.localstorage =>.SUP.MindSpark
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_download.fromdoctopdf.com_0.localstorage-journal =>.SUP.MindSpark
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage =>.SUP.AudienceInsights
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage-journal =>.SUP.AudienceInsights
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.consommerdurable.com_0.localstorage =>PUP.Optional.Browser
DEPLACÉ fichier: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.consommerdurable.com_0.localstorage-journal =>PUP.Optional.Browser
DEPLACÉ dossier*: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnflpnhpbffehddplcdlohealbgbbamk =>.SUP.MindSpark
DEPLACÉ dossier*: C:\Users\User_destop\AppData\Local\Google\Chrome\User Data\Default\File System\008 =>PUP.Optional.DomaIQ
---\\ Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux ou superflu trouvé.
---\\ Récapitulatif des éléments trouvés sur votre station. (9)
---\\ Nettoyage Additionnel. (8)
~ Suppression des Clés de registre Tracing. (8)
~ Suppression des anciens rapports ZHPCleaner. (0)
---\\ Bilan de la réparation

Partager ce message


Lien à poster
Partager sur d’autres sites

Et le rapport de Junkware ici en clair

 

Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Home Premium x64
Ran by User_destop (Administrator) on ven. 10/11/2017 at 11:51:32,03
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File System: 16
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\331YTJNK (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\55E9UC2G (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BCXGMCOT (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BIP06V1L (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\User_destop\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\331YTJNK (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\55E9UC2G (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BCXGMCOT (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BIP06V1L (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder)
Registry: 1
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\0153741480454213mcinstcleanup (Registry Key)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on ven. 10/11/2017 at 11:55:40,46
End of JRT log

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui il vaut mieux vérifier à fond puis sécuriser la machine.

 

1)

  • Désactiver l'anti virus avant ! et lire ces instructions.
  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

     

    Autre lien pour SFT: https://1fichier.com/?4h9ckh00nx

    • Télécharger SFT.exe
    • Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.
    • Enregistrer le fichier sur le bureau.
    • Sous XP, double cliquer sur le fichier.
    • Sous les autres versions de Windows, faire un clic droit sur le fichier et choisir Exécuter en temps qu'administrateur.
    16110108203922119714597908.jpg
    • Pour lancer le nettoyage, il suffit de cliquer sur Go. Patienter...
    • A la fin, un message vous demandera si vous voulez vider la corbeille.
    16103103291622119714596748.jpg
    • A la fin du nettoyage, un rapport va s'ouvrir.
    • Ce rapport est enregistré sur le bureau (SFTGC.txt)
Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

Réactiver la protection antivirale.

 

--------------------------

 

2) Télécharger MBAM sur le bureau.

Faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur pour lancer l'installation.

 

Dernières captures d'écran MBAM 3.05 : https://1fichier.com/?bpkmx5a1xp

 

 

Décocher la case concernant l'essai gratuit. N'apparait plus dans les versions 3.x mais on peut la désactiver dans l'interface du logiciel si on ne veut garder que la version Free.

 

 

Après l'installation, lancer MBAM (clic droit sur l'icône et choisir Exécuter en tant qu'administrateur.)

 

Patienter le temps de la mise à jour des bases.

 

16100101353022119714528022.jpg

 

Examen "Menaces" + Recherche de Rootkits:

 

Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits.

 

16100101353422119714528024.jpg

 

Cliquez sur l'onglet Analyse, sélectionner si besoin Analyse des menaces puis cliquez sur Lancer l'analyse >>. Si une mise à jour est disponible, cliquez sur le bouton Mettre à jour maintenant.

Un Examen "Menaces" va démarrer.

 

16100101353222119714528023.jpg

 

Avec certaines infections, vous pouvez voir l'affichage de ce message:

 

'Malwarebytes n'a pas pu charger le pilote Anti-Rootkit DDA'

 

Cliquez sur 'Oui' sur ce message, pour permettre le chargement du pilote après un redémarrage.

Laissez l'ordinateur redémarrer. Continuez avec le reste de ces instructions.

 

Si MBAM a trouvé des malwares :

 

Quand l'examen est terminé, cliquer sur Supprimer la sélection ==>> A ne pas oublier !!

Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.

Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

 

Comment obtenir les rapports d'examen:

 

(Exporter le rapport et l'enregistrer en format txt)

•Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

•Cliquez sur l'onglet Historique > Journaux de l'application. (Scan log)

 

16100406580022119714534820.jpg

 

•Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.

•Cliquez sur Exporter.

•Cliquez sur Fichier texte (*.txt)

 

16100406580222119714534821.jpg

 

•Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.

•Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

 

16100406580422119714534822.jpg

 

•Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

 

16100406581922119714534824.jpg

•Cliquez sur OK

•Attachez ce fichier dans votre prochaine réponse.

 

@++

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×