FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
#177716
Bonjour

Microsoft Safety Scanner a trouvé et effacé Trojan:Win32/Dynamer!ac sur mon système.

Mon antivirus habituel, Avira, refusait de lancer un scan (apparemment c'est parce que Avira ne supporte plus XP depuis avril), donc je l'ai remplacé par Avast mais il n'a rien trouvé.

Chose alarmante : à chaque lancement de Thunderbird j'ai désormais une fenêtre "Ajout d'une exception de sécurité" qui apparait. :o ( edit: En fait c'était juste Avast qui voulait surveiller les emails. https://www.avast.com/fr-fr/faq.php?art ... 1#idt_0201 )

Je ne sais pas si c'est lié ou une coincidence, mais hier j'ai eu un écran bleu. C'est étrange, déjà car je n'avais plus eu d'écran bleu depuis des années, et surtout car la cause semble être le driver de ma carte audio. Cette carte est dans cet ordinateur depuis 2009, elle n'a jamais posé ce problème, et ni ses drivers ni XP ne peuvent avoir été mis à jour récemment. Je soupçonne donc un virus d'avoir altéré le driver.
J'ai aussi remarqué que un des fichiers sur lesquels je travaillais à ce moment là s'est retrouvé rempli de "NULL". (Heureusement j'avais fait des sauvegardes un quart d'heure avant.)

J'ai lancé un scan complet de Microsoft Safety Scanner, mais vu la vitesse à laquelle il progresse il n'aura pas finit avant une vingtaine d'heures.
En attendant j'ai donc décidé de venir demander l'aide d'experts.

Merci d'avance pour votre aide. :bonjour:

( PS : Oui, je sais, XP n'a plus de mises-à-jour, ça le rend plus vulnérable aux virus qu'un Windows récent, tout ça tout ça, mais inutile de disserter là-dessus : s'il est toujours sur cette machine c'est que je ne peux pas faire autrement. )
Modifié en dernier par DiegoRD le sam. 4 juin 2016 00:57, modifié 3 fois.
#177733
Merci de l'astuce.

Aie aie aie, Microsoft Safety Scanner a terminé son scan complet et a trouvé 20 fichiers infectés. :\
Image

edit: Avast a fait un gros scan avant le démarrage de Windows, il a trouvé 71 infections... :cry:
Plusieurs JS:ScriptIP-inf[Trj] et HTML:Script-inf dans les trucs de firefox
MID:CVE-2012-0003 [Expl] dans des fichiers MIDI (je n'aurai jamais cru qu'il pouvait y avoir des virus dans des midi...)
LPI : NSIS:InstMonetizer-CA [PUP] dans un programme audio
JS:Redirector-BWW [Adw] dans une vieille page html enregistrée
JAVA:Malware-gen [Trj] et LPI : Android:SMSreg-CNF [PUP] dans un jeu Android
Plusieurs LPI : Win:Cmdow-A [PUP] , LPI : Win32:Trojan-gen et Menace : Win32:Trojan-gen dans un émulateur de vieille console
LPI : Java:Agent-CIK [PUP] et Menace : Win32:Evo-gen [Susp] dans un jeu flash
Plein de Win32:Teerac-CP [Trj] dans des vieux jeux de console GP32
Et ceux là, probablement de faux positifs :
Win32:Evo-gen [Susp] dans des programmes de triche
Win32:Adware-gen [Adw] et Win32:Yabector-B dans un freeware qui sert à déverrouiller les fichiers qui refusent de s'effacer
LPI : ELF:Lootor-AB [PUP] dans un programme pour rooter les tablettes

edit: Un message d'erreur très étrange quand j'ai voulu lancer Firefox :
Image

edit: J'ai envoyé deux e-mails. Au moment d'envoyer le premier un message a dit qu'il était impossible de l'enregistrer. Puis le second :
Image
et le mail est parti vide. D'après ce que je lis sur internet c'est juste un problème entre Avast et Thunderbird, pas lié à une infection, mais je note quand-même au cas où.
Avatar du membre
par g3n-h@ckm@n
#177786
re

Télécharger drWeb , et l’enregistrer sur le bureau , grace à ce lien :

https://www.freedrweb.com/download+cureit+free/?lng=fr

Branche tous tes periphériques USB (mp3 , mp4 , disques durs externes , clés usb , appareil photo….) , tout ce qui a pu etre connecté à l’ordinateur.

Lance DrWeb CureIt , Clique sur OK

Le programme va vérifier qu’il soit bien à jour.

Coche la case « j’accepte de participer blablabla…… , puis clique sur continuer
Sur la page d’accueil , clique sur « sélectionner des objets pour l’analyse »
Coche tout à gauche , puis selectionne « Cliquez ici pour selectionner des fichiers et dossiers » .

Coche « Mon ordinateur » , ce qui aura pour effet de cocher tous les stockages de mémoires préalablement branchés comme précité , puis clique sur « OK »
Clique sur "OK" puis sur « lancer l’analyse »

L’analyse complète s’ effectue ….

Une fois terminée , laisser toutes les infections trouvées sur « Désinfecter » , puis cliquer sur « neutraliser »
DrWeb va neutraliser les menaces et afficher le résultat
DrWeb va demander de redémarrer l’ordinateur pour parfaire le nettoyage , faites-le
Pour poster le rapport ensuite , se rendre dans :

C:(généralement)\<users , utilisateurs , ou Documents ans settings pour XP>\La session\DrWeb

Dans ce dossier se trouve « CureIt.log« .

Cliquer droit dessus puis sélectionner « envoyer vers » => dossiers compressés

Héberger l’archive ainsi créée sur http://cjoint.com et donner le lien sur le forum
#177882
( Merci de t'occuper de mon problème. )

Ohlala, quel cauchemard : il a trouvé 42 autres infections...
A la fin du scan j'ai cliqué pour ouvrir le rapport. Il est gigantesque...
J'ai fait six essais et chaque fois http://www.cjoint.com/ a fait crasher firefox au moment où j'ai sélectionné le fichier. Je l'ai mis sur mediafire du coup.

( Je suis soumis à des clauses de non-divulgation concernant des beta et alpha. Même s'il est évident qu'aucun de leurs concurrents ne passera ici par hasard et lira ce rapport par hasard et passera des semaines à fouiller pour trouver les dossiers en question et en tirer si peu d'infos, juste par principe je ne poste pas le lien ici mais je l'envoie en message privé. )
#178005
( C'est dingue, j'ai dû relire au moins trois fois et pourtant je suis passé à côté... Et le pire c'est que j'aurai dû y penser moi-même, même si ça n'avait pas été précisé. J'ai honte... :( )

En effet, c'est étonnant le nombre de jeux flash qui étaient infectés. :x

J'ai repassé un scan complet de Avast et il a trouvé une nouvelle infection : Win32:Evo-gen. :|
Il l'a trouvé dans un vieux fichier de 2003~2004, qui donc était déjà là lors du dernier scan et du scan de drweb.
Ca veut dire qu'un virus est toujours caché quelque-part et continue de se répandre, n'est-ce pas ?
#178088
J'ai refait un scan complet avec drWeb et il a trouvé 4 fichiers infectés...

Adware.Toolbar.665 et Adware.Toolbar.576 dans deux freewares que j'ai téléchargé ces derniers jours. Je crois que c'est juste parce que pendant l'installation ils proposent d'installer des fichues toolbars. Donc ça ce n'est rien.

Par contre les deux autres sont des troyens dans des vieux jeux qui étaient déjà là :
E:\jeux\flash\...\reel-gold.exe - infected with Trojan.KeyLogger.17152
E:\jeux\jeux PC\StarWars Racer\register.exe - infected with Trojan.DownLoader21.58670
#178118
Oui pourtant.
D'ailleurs j'ai ouvert le "gestionnaire de quarantaine" de drWeb et j'y vois les fichiers détectés aujourd'hui, et des fichiers de l'autre fois.

J'ai cherché le jeu flash infecté dans le rapport d'aujourd'hui et dans celui de l'autre jour, pour voir.

Aujourd'hui il y a :
E:\jeux\flash\...\reel-gold.exe - infected with Trojan.KeyLogger.17152
E:\jeux\flash\...\reel-gold.exe - infected


L'autre jour il y avait :
>E:\jeux\flash\...\reel-gold.exe is ZLIB container
>>E:\jeux\flash\...\reel-gold.exe\data001 is BINARYRES container
>>>E:\jeux\flash\...\reel-gold.exe\data001\data001 is ZLIB container
>>>>E:\jeux\flash\...\reel-gold.exe\data001\data001\data001 is SWF container
>>>E:\jeux\flash\...\reel-gold.exe\data001\data002 is SWF container
>>E:\jeux\flash\...\reel-gold.exe\data002 - packed by ASPACK
E:\jeux\flash\...\reel-gold.exe - container


Pour le vieux jeu pc, aujourd'hui il y a
E:\jeux\jeux PC\StarWars Racer\register.exe - infected with Trojan.DownLoader21.58670
E:\jeux\jeux PC\StarWars Racer\register.exe - infected

l'autre jour il y avait
E:\jeux\jeux PC\StarWars Racer\register.exe - Ok
Avatar du membre
par g3n-h@ckm@n
#178208
coucou et oui drweb se mettant à jour tout le temps , il se peut qu il ait recu tes fichiers et les ai décortiqués pour trouver du code malveillant et l'ajouter à sa base de données :)
Avatar du membre
par g3n-h@ckm@n
#178271
bonjour on va quand même faire un diag pour être sur qu il ne reste rien et qui n'aurait pas été détecté :
  • désactive ton antivirus le temps du téléchargement et du scan
  • Télécharge quickDiag sur ton bureau
  • lance-le ( pour vista/7/8/8.1/10 = clic droit "Executer en tant qu'administrateur" )

    Image
  • clique sur "Quick" puis une fois terminé :
  • héberge le rapport sur http://cjoint.com
  • Donne le lien obtenu dans ta prochaine réponse
note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible à la racine de ton disque ( logiquement C: )
Avatar du membre
par g3n-h@ckm@n
#178318
bonjour sur quel fichier bloque-t-il , qui est écrit dans son interface au moment du message d'erreur ?

et il est demandé de mettre les outils sur le bureau et non dans un dossier farfelu
Avatar du membre
par g3n-h@ckm@n
#178345
bonjour
  • Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

    Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
  • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
  • Télécharge Pre_Scan sur ton bureau !
  • Si le lien n'est pas fonctionnel :
    • #ICI (renommé winlogon)
    Image
  • Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
  • Le scan ne dure généralement pas plus de 10 mn
  • A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
  • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien
Note : une copie est également disponible sur le bureau
Avatar du membre
par g3n-h@ckm@n
#178371
ok bonjour

je crois que tu t'es mis dans une sacrée panade avec tes cracks.....

Télécharger drWeb , et l’enregistrer sur le bureau , grace à ce lien :

https://www.freedrweb.com/download+cureit+free/?lng=fr

Branche tous tes periphériques USB (mp3 , mp4 , disques durs externes , clés usb , appareil photo….) , tout ce qui a pu etre connecté à l’ordinateur.

Lance DrWeb CureIt , Clique sur OK
Le programme va vérifier qu’il soit bien à jour.

Coche la case « j’accepte de participer blablabla…… , puis clique sur continuer
Sur la page d’accueil , clique sur « sélectionner des objets pour l’analyse »
Coche tout à gauche , puis selectionne « Cliquez ici pour selectionner des fichiers et dossiers » .

Coche « Mon ordinateur » , ce qui aura pour effet de cocher tous les stockages de mémoires préalablement branchés comme précité , puis clique sur « OK »

Clique sur "OK" puis sur « lancer l’analyse »
L’analyse complète s’ effectue ….
Une fois terminée , laisser toutes les infections trouvées sur « Désinfecter » , puis cliquer sur « neutraliser »
DrWeb va neutraliser les menaces et afficher le résultat
DrWeb va demander de redémarrer l’ordinateur pour parfaire le nettoyage , faites-le
Pour poster le rapport ensuite , se rendre dans :

C: (généralement)\<users , utilisateurs , ou Documents ans settings pour XP>\La session\DrWeb
Dans ce dossier se trouve « CureIt.log« .

Cliquer droit dessus puis sélectionner « envoyer vers » => dossiers compressés

Héberger l’archive ainsi créée sur http://cjoint.com et donner le lien
#178417
Non, je n'ai que très peu de trucs crackés et ils datent de la préhistoire. L'infection vient surement des tones de freewares douteux et des jeux flash, et c'est là-dedans que presque tous les fichiers infectés étaient. D'ailleurs j'avais refait un scan de drWeb il y a quatre ou cinq jours et il avait encore trouvé une infection dans le freeware vidéo "freemake".

drWeb n'a rien trouvé cette fois.
http://www.cjoint.com/c/FGboPXFpozx
(Tiens http://cjoint.com ne fait plus crasher mon firefox comme l'autre jour.)

A l'ouverture du rapport j'ai remarqué qu'il n'avait pas d'entête cette fois, ça commence directement avec des fichiers. Je refais un autre scan du coup ?
#178426
Non, winupdate83.exe ne semble pas exister.

En mode sans échec sans réseau, même erreur.

Par contre, j'ai à nouveau filmé l'écran et cette fois une autre ligne apparait, très brievement, entre winupdate83.exe et l'erreur, mais ce n'est pas un fichier :
HKU\S-1-5-21-746137067-1409082233-682003330-1003|Desktop|-|Wal , le reste est coupé par la taille de la fenêtre.
J'ai jeté un oeuil dans la base de registre, HKEY_USERS\S-1-5-21-746137067-1409082233-682003330-1003 existe mais il n'y a pas "Desktop" dedans.
Modifié en dernier par DiegoRD le sam. 2 juil. 2016 03:16, modifié 1 fois.
Avatar du membre
par g3n-h@ckm@n
#178450
hello on va essayer un autre diag
  • Copie le script ci dessous :
    Code : Tout sélectionner
    HKCU\Software
    HKCU\Software\AppDataLow /s
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /s
    HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
    %Homedrive%\*
    %Homedrive%\*.
    %Homedrive%\Recycler\*.exe /s
    %Homedrive%\Recycler\*.scr /s
    %Homedrive%\Recycler\*.pif /s
    %Homedrive%\Recycler\*.vb* /s
    %Homedrive%\$Recycle.bin\*.exe /s
    %Homedrive%\$Recycle.bin\*.scr /s
    %Homedrive%\$Recycle.bin\*.pif /s
    %Homedrive%\$Recycle.bin\*.vb* /s
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %Userprofile%\Local Settings\*
    %Userprofile%\Local Settings\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
    %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
    %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
    %programFiles%\*
    %programFiles%\*.
    %programfiles%\Google\Desktop\*.
    %ProgramFiles%\Common Files\*
    %ProgramFiles%\Common Files\*.
    %ProgramFiles(X86)%\Common Files\*
    %ProgramFiles(X86)%\Common Files\*.
    %Systemroot%\Installer\*
    %Systemroot%\Installer\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\PSS\* /s
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\syswow64\Tasks\*
    %systemroot%\syswow64\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT
  • Télécharge OTL (by OldTimer) sur ton bureau.
  • Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Coche/Sélectionne les cases comme l'image ci dessous
  • Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
  • Clique sur Analyse

    Image
  • Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
  • Héberge les rapports OTL.txt et Extras.txt sur url=http://cjoint.com , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    En cas de problème avec SOSUpload, utiliser Cjoint
Avatar du membre
par g3n-h@ckm@n
#178456
hello tu peux désinstaller ça , ça sert à rien :

SUPERAntiSpyware

supprime ca :

C:\Documents and Settings\All Users\Application Data\69B6DBD2-8E05-476F-B662-CF8D235FD499

===

t'as pas pris tout le texte pour le scan OTL
#178494
Comportement suspect, je ne sais pas si ça a un rapport avec une infection, mais c'est arrivé une fois hier et deux fois aujourd'hui : la barre des tâches ne répond plus, ctrl+alt+sup ne fait plus apparaitre le gestionnaire des tâches, je ferme tout avec alt+f4 mais à la fin il ne propose pas de redémarrer ou arrêter l'ordi comme il devrait, je ne peux alors rien faire d'autre qu'un reset...
edit : Ca vient encore de le faire...

edit : Et de temps en temps j'ai encore ce message très suspect qui apparait :
firefox.exe - repositionnement de DLL système non autorisé
La DLL système kernel32.dll a été repositionnée en mémoire. L'application ne s'exécutera pas correctement. Le repositionnement a été fait car la DLL Dynamic Allocated Memory occupait une zone d'adresse réservée pour les DLL système de Windows NT. Le vendeur ayant fourni la DLL doit être contacté pour en objtenir une nouvelle.
#178724
Ca serait bizarre, ça fait des années que je l'utilise et ça n'était jamais arrivé. Ca ne serait pas plutot un des virus qui aurait altéré des fichiers de Windows ?
Je pense que je vais réinstaller Windows prochainement, mais je voulais être sûr d'être débarrassé des virus avant.
Tout a l'air bon d'après les derniers rapports ?
Avatar du membre
par g3n-h@ckm@n
#178727
oui :)

toutes facons , rares sont les infections qui survivent à un formatage lol ^^

du moment que tu formates la partition avant comme ca t'es sur lol

tiens au courant tout de même
#178735
Je ne formate que le C quand je réinstalle Windows, pas le D et le E ni les données importantes qu'elles contiennent même si j'en ai évidement une copie sur disque externe par précaution, donc j'avais peur qu'un virus y reste caché et détériore aussitôt mon Windows "tout neuf".
Bah c'est cool si je m'en suis enfin sorti. Merci bien. :cheers:
Ok, je surveillerai et je reviendrai si je note quelque-chose.

( Je ne trouve comment marquer ce sujet en résolu. )
Avatar du membre
par g3n-h@ckm@n
#178737
bonjour

personnellement je trouve un peu bête de couper le disque en plusieurs morceaux, et de toutes facons certaines infectent les executables de toutes les partitions ( html , exe, dll, scr, etc.... ) , donc mieux vaut souvent sauvegarder sur un externe qui reste déconnecté et n utiliser le disque , uniquement pour le système ( qui soit-dit-en-passant ,e s'en portrera que mieux ayant beaucoup de place pour travailler :) )
#178884
:( J'ai réinstallé, et j'ai encore des infections...

( Au passage j'ai mis Windows 7 pour essayer plutot que XP, et j'ai remplacé Sunbelt Firewall, incompatible avec 7, par ZoneAlarm. )

Malwarebytes Anti-Malware a trouvé :
3 fois PUP.Optional.Conduit et 1 fois PUM.Optional.DisableShowMyComputer dans la base de registre.

drWeb a trouvé :
Trojan.PWS.Panda.5661 dans zatray.exe.2196 dans la ram (ZoneAlarm?)
Trojan.PWS.Nitro dans nvvscv.exe.1308 dans la ram (pilote NVidia?)
Adware.Toolbar.493 dans unlocker_1-9-2_fr_20237.exe

J'uploade les rapports ou ce sont juste de faux positifs ?
#178887
Le trial de Windows 7 sur le site de microsoft.
Zone Alarm sur https://www.zonealarm.com/software/free-firewall/
Le pilote nvidia sur nvidia.fr
drWeb sur le lien que tu m'as donné.
MalwareBytes je ne sais plus, j'ai repris un vieux fichier d'install que j'avais déjà, mais il vient probablement du site officiel aussi. Ca fait des années que je fuis les sites de téléchargement alternatifs, j'en ai connu trop qui ajoutaient sournoisement des trucs dans l'install, qui modifiaient le moteur de recherche par défaut sans prévenir etc.
Pour Unlocker je ne me souviens plus du tout non-plus. C'est un petit truc qui sert juste à dévérouiller les fichiers qui restent vérouillés par un processus et qu'on n'arrive pas à effacer, donc ce n'est pas étonnant qu'il soit parfois pris pour un virus, mais là apparemment c'est juste la toolbar proposée pendant l'install qui a été détectée.
désinstaller sophos

:bonjour: tu remets frst et addition je t'ai de[…]

Hello!

Nice to meet you, guys! Opportunities like schola[…]

Bug PC

Bonjour, Essaye de voir si une application du Mic[…]

Channel effortless cool with the Lana Del Rey Fer[…]