[Résolu] ordi infecté

ordi infecté [Résolu] - Virus/Spywares - Windows & Software

Marsh Posté le 10-01-2010 à 22:36:52    

bonjour
mon antivirus est avira antivir et mon antispy est spybot, mises a jour régulièrement
et pourtant mon ordinateur est infecté
j'ai des messages bizarre (type C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe) lorsque je nettoye avec CCleaner
ou lorsque j'actionne antivir ou spybot
il s'agit apparemment de mywebsearch et de Keygen
ce sont les deux noms qui reviennent
 
j'ai vu sur un autre poste qu'en copiant ici le rapport hijackthis, on pouvait voir l'infection  
 
je le copie donc ici
http://www.cijoint.fr/cjlink.php?f [...] 84N66U.txt
 
et vous remercie par avance de votre aide
Cédric


Message édité par dricokit le 11-01-2010 à 23:57:34
Reply

Marsh Posté le 10-01-2010 à 22:36:52   

Reply

Marsh Posté le 10-01-2010 à 23:05:15    

Salut,
 
Il y a une règle simple sur la charte de ce forum, on ne doit pas poster de rapport directement dans les réponses, mais faire hébergér les rapports.
 
J'espère que les modos vont te donner une petite chance de nous permettre de désinfecter ton pc, ce qui n'est pas toujours le cas malheureusement.  :(  
 
Un conseil, édite ton message et supprimes ton rapport hijackThis. Ne t'inquiète pas, j'ai eu le temps de le récupérer et de l'analyser.
 
Tu as effectivement une toolbar infectée du nom de mywebsearch, je vais t'aider à t'en débarrasser :
 

  • Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://forum-aide-contre-virus.be/ [...] mover.html
  • Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
  • Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
  • Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
  • Au menu principal choisi l'option "L" et tape sur [entrée]  
  • Laisse travailler l'outil et ne touche à rien ...


  • Ne poste pas le rapport qui va apparaître à la fin, héberge le sur le site de ci-joint et envoies moi le lien pour pouvoir le lire dans ta prochaine réponse.


 
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )
 
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
 
    Note :
 
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Reply

Marsh Posté le 10-01-2010 à 23:14:38    

merci malwarebleach
j'ai fait ce que tu m'as dit
mais adremover ne peut pas fonctionner
il me dit que Teatimer.exe et Spybot sont actifs
comment je fais pour les desactiver?

Reply

Marsh Posté le 10-01-2010 à 23:31:44    

Citation :

mais adremover ne peut pas fonctionner
il me dit que Teatimer.exe et Spybot sont actifs
comment je fais pour les desactiver?


 
Ouahh, j'ai oublié de te dire de désactiver le tea timer de spybot, excuses moi de cette boulette  :whistle: :
 

  • Lances spybot
  • Menu mode : cliques sur "avancé"
  • puis sur "outils"  
  • cliques sur l'icône "résident" ensuite à droite décoches Teatimer


Ce n'est pas la peine de relancer tea timer ensuite, il est totalement inutile et utilise des ressources système pour rien  :pfff:  
 
tu peux maintenant lancer Ad-Remover  :)

Reply

Marsh Posté le 10-01-2010 à 23:46:39    

Reply

Marsh Posté le 11-01-2010 à 00:01:19    

okay, c'est ce que j'attendais.
 
Peux tu faire ceci maintenant :
 

  • Télécharge Malwarebytes
  • Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
  • Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc-notes... envoies moi le lien de ce rapport dans ta prochaine réponse


    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
 

Reply

Marsh Posté le 11-01-2010 à 07:46:53    

bonjour malwarebleach
j'ai l'impression qu'on touche au but
voila le rapport :
http://www.cijoint.fr/cjlink.php?f [...] Ya4w9N.txt

Reply

Marsh Posté le 11-01-2010 à 10:08:35    

Salut,

 

J'en ai aussi l'impression. Comme tu peux le voir, les malwares trouvés ce trouvent dans la quarantaine de AD-Remover et dans ta restauration système. On purgera cette dernière en fin de désinfection.

 

J'ai besoin d'un diagnostic plus poussé pour m'assurer que tout va bien, tu vas utiliser un programme qui va générer 2 diagnostics plus complet, les rapports sont bien plus longs tu veras :

 
  • Télécharge Random's system information tool (RSIT)  et enregistre le sur ton bureau
  • Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)
  • Sous vista ,cliques droit sur le fichier et choisis "Exécuter en tant qu'administrateur".
  • Clique sur  "continue"  à l'écran Disclaimer.
  • Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  • Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre de tache.


 les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès => C:\RSIT\log.txt & C:\RSIT\info.txt
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

 


Ne postes pas les rapports sur le forum, la charte te l'interdit Continue des les héberger sur Ci-joint. ;)


Message édité par Profil supprimé le 11-01-2010 à 10:09:02
Reply

Marsh Posté le 11-01-2010 à 13:19:24    

Reply

Marsh Posté le 11-01-2010 à 15:27:09    

Salut,
 
Bon et bien on peut passer à la finalisation de la désinfection de ton ordinateur.
Il s'agit d'un nettoyage, de sécurisation et de prévention.
 
Pour finaliser j'ai besoin d'un rapport HijackThis, fais donc ceci pour le générer :
 

  • Télécharges  HijackThis  
  • Installes le programme
  • lances HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)
  • Cliques sur "Do a system scan and save a logfile"
  • le bloc-notes va s'ouvrir, envoies moi le lien du rapport via ci-joint.


A plus tard, dès que j'ai ton rapport, je prépare la phase finale et t'envoie le tout. ;)

Reply

Marsh Posté le 11-01-2010 à 15:27:09   

Reply

Marsh Posté le 11-01-2010 à 18:52:56    

Reply

Marsh Posté le 11-01-2010 à 21:46:32    

Salut,
 
Voici la phase finale de la désinfection de ton ordinateur. C'est une étape très importante, elle permet de faire du nettoyage, de la sécurisation en particulier. Il ne faut pas la négliger et la faire dans l'ordre dans laquelle je l'ai écrite.
 
1 - suppression des lignes inutiles ou obsolètes de HijackThis :
 

  • lances à nouveau HijackThis
  • cette fois-ci, cliques sur "Do a system scan only"
  • tu vas cocher sur la gauche les cases correspondants aux lignes que je te désigne ci-dessous :


O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect      
 O4 - HKLM\..\Run: [HP Software Update] H:\Program Files\HP\HP Software Update\HPWuSchd2.exe      
 O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe      
 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')      
 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')      
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')      
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')      
 O4 - Global Startup: McAfee Security Scan.lnk = ?  
 

  • Une fois toutes ces lignes cochées, cliques sur Fix checked


 
2- Mises à jour de sécurité :
 
Ta version d'internet explorer n'est pas du tout à jour, tu exposes ton ordinateur à des infections via cette faille de sécurité, on en est à la version 8.0. Même si tu ne l'utilises pas, il est important de le mettre à jour, ce programme est une interface pour d'autres logiciels. Mets le à jour en utilisant le site officiel de microsoft
 
3- Désinstallation de programmes :
 
Si ce n'est pas déjà fait, supprimes spybot de ton ordinateur, il n'est pas utile et malwarebytes est bien plus performant. Conserves ce dernier et penses à le mettre à jour avant de l'utiliser.
 
4- Suppression des outils :
 
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
 

  • Télécharge ToolsCleaner sur ton Bureau  
  • Double-clique sur ToolsCleaner2.exe et laisse le travailler
  • Clique sur Recherche et laisse le scan se terminer.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options facultatives.
  • Clique sur Quitter, pour que le rapport puisse se créer.
  • Le rapport (TCleaner.txt) se trouve à la racine de tondisque dur (C:\)...colle le dans ta prochaine réponse


5- Nettoyage des fichiers inutiles et du registre :
 

  • Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
  • Dans le menu nettoyeur , clique sur "Analyse.
  • Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
  • Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
  • Réponds a OUI a la question qui te sera posée.
  • Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
  • recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
  • un  tutoriel pour t'aider[/list]


6- Purge de la restauration du système et création d'un point de restauration :
 
Cette étape est indispensable pour finaliser la désinfection, elle permet de supprimer les points de restauration et du même coup les éventuels malwares qui s'y seraient logés.
 
/!\ Très Important / !\
 
- Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider
- Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui là
 
 
7- Prévention :
 
Information :
 
Depuis 2006 le nombre de malwares et les technologies ont évolué de manière sensible toujours pour servir l'économie souterraine lucrative qui sert les auteurs de malwares.
A ce jour, il n'existe pas de technologies capables de protéger efficacement votre ordinateur si l'internaute n'est pas instruit sur les risques encourus sur la toile. Ce transfert de connaissances est indispensable pour construire l'Internet.
 
C'est pour cela que je t'invite à lire ce fichier PDF qui traite de la sécurité informatique. Ce fichier est issu du forum de malekal_morte, qui a mis en place un Projet Antimalware pour sensibiliser l'opinion publique et les politiques sur les dangers des malwares. J'adhère à 100% sur ce projet. N'hésites pas à le diffuser autour de toi pour que le maximum de personnes soient prévenues.
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 
 
Ton ordinateur est maintenant sain et débarrassé de toute trace d'infection.  ;)  
 
Merci pour ta confiance et ta patience, fais attention à ce que tu peux trouver sur le net, à ce que tu installes sur ton ordinateur.  
 
Cette fois si il s'agissait d'un toolbar infectée (mywebsearch) que tu as installé en même temps qu'un autre programme. Il faut faire attention quand tu installes un programme de bien cocher ou décocher les cases pour ne pas installer ce genre de toolbar et avant de cliquer sur suivant.  
 
Il existe des infections bien plus virulentes sur la toile. sois prudent. :)  
 
Bonne semaine ! :hello:  
 
 
 
 

Reply

Marsh Posté le 11-01-2010 à 22:38:56    


super merci!!
 
voila le rapport (TCleaner.txt)
http://www.cijoint.fr/cjlink.php?f [...] QGbPkT.txt
 
c'est vrai que n'utilisant jamais ie
je n'ai jamais pensé le mettre a jour
 
de plus, je fais toujours attention a ne pas télécharger ces toolbars, mais apparemment celle-ci m'a échappée
 
mon ordi est mon outil de travail, donc j'y prends soin, et j'ai quand même réussi a être infecté  :(  
en tout cas, un grand merci a toi
c'est très agréable d'être guidé et conseillé par un pro qui prend de son temps pour aider
 
un grand merci
Cédric

Reply

Marsh Posté le 11-01-2010 à 23:09:47    

Citation :

c'est très agréable d'être guidé et conseillé par un pro qui prend de son temps pour aider


 
Je ne suis pas un pro loin de là, merci aussi d'être passé me remercier, cela fait toujours plaisir.
 
Tu peux passer ton sujet sur résolu en éditant ton premier message et en insérant [Résolu] dans le titre de ton sujet.
 
Pour finir en beauté, supprimes l'icône de toolscleaner et vide ta corbeille, je t'ai aidé avec plaisir sache le !
 
Bonne semaine ! ;)  :hello:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed