Se connecter / S'enregistrer
Votre question
Résolu

Mon pc et infiltré.

Tags :
  • Sécurité
  • Adware
Dernière réponse : dans Sécurité et virus
30 Mai 2014 14:11:16

Bonjour,depuis quelque temps un petit rigolo entre dans mon pc,coupe le son,ouvre des fenetres dans l'explorateur windows...
Malgré les scannes de plusieurs antimalwares je n'arrive pas à le déloger.
Je tourne sous windows 7,j'ai avast en anti virus,Commodo en pare feu et ultimate systemcare en anti malware.
Pouvez vous-m'aider?
Merci

Autres pages sur : infiltre

a c 547 8 Sécurité
30 Mai 2014 16:32:04

Bonjour,

Pour voir :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    31 Mai 2014 10:18:04

    Re,

    Multiplier les solution de sécurité ne sert à rien, sauf à encombrer le système et/ou provoquer plantages et conflits ...

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Advanced SystemCare Ultimate 7 (peu ou pas utile, comme tout logiciel d'optimisation)
    - Comodo Dragon (sauf réelle utilité)
    - COMODO Firewall (inutile, le parefeu Windows 7 suffit)
    - IObit Malware Fighter (inutile)
    - IObit Uninstaller (pour supprimer tous les outils lié à cet éditeur)
    - Protected Folder (inutile, lié à l'éditeur précédent)
    - Smart Defrag 3 (idem)
    - SpywareBlaster 5.0 (inutile)
    - Surfing Protection (idem, et lié à l'éditeur précédent)

    - Driver Booster (inutile, commercial)
    - GeekBuddy (logiciel de prise de contrôle à distance)
    - IObit Apps Toolbar v9.2 (barre d'outil sponsorisée par un adware)
    - Slick Savings (adware : logiciel publicitaire)


    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      (IObit) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ASCService.exe
      (IOBit) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ASCAvSvc.exe
      (IObit) C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFsrv.exe
      (IObit) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ASCTray.exe
      (IObit) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\Monitor.exe
      (Comodo Security Solutions, Inc.) C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe
      (Comodo Security Solutions, Inc.) C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe
      (Comodo Security Solutions, Inc.) C:\Program Files\COMODO\GeekBuddy\unit_manager.exe
      (Comodo Security Solutions, Inc.) C:\Program Files\COMODO\GeekBuddy\unit.exe
      (IObit) C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe
      HKLM-x32\...\Run: [tvncontrol] => C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2327248 2014-05-05] (Comodo Security Solutions, Inc.)
      HKLM-x32\...\Run: [IObit Malware Fighter] => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe [1596224 2014-04-17] (IObit)
      HKU\S-1-5-21-1877851909-949232836-4101895797-1000\...\Run: [Advanced SystemCare Ultimate] => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ASCTray.exe [2529088 2014-04-09] (IObit)
      HKU\S-1-5-21-1877851909-949232836-4101895797-1000\...\Run: [Slick Savings] => C:\Users\syl\AppData\Roaming\Slick Savings\CouponsHelper.exe [832320 2014-02-13] (Spigot, Inc.)
      IFEO\ActionCenterDownloader.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\certsentry_setup.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\DatamngrCoordinator.exe: [Debugger] tasklist.exe
      IFEO\dragon.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\dragon_updater.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\restart_helper.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\SDInit.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\SmartDefrag.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      IFEO\virtual_mode_helper.exe: [Debugger] C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\AutoReactivator.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start GeekBuddy.lnk
      ShortcutTarget: Start GeekBuddy.lnk -> C:\Program Files\COMODO\GeekBuddy\launcher.exe (Comodo Security Solutions, Inc.)
      URLSearchHook: HKCU - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE64.dll (Spigot, Inc.)
      URLSearchHook: HKCU - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE.dll (Spigot, Inc.)
      BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll (IObit)
      BHO-x32: IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE.dll (Spigot, Inc.)
      BHO-x32: Ads Removal - {9D974C8C-6D92-44FB-BEAF-B45A1C0CF17F} - C:\Program Files (x86)\IObit\IObit Malware Fighter\adsremoval\IE\Adblock.dll (Adblock)
      BHO-x32: Advanced SystemCare Browser Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\Program Files (x86)\IObit\Surfing Protection\BrowerProtect\ASCPlugin_Protection.dll (IObit)
      Toolbar: HKLM - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE64.dll (Spigot, Inc.)
      Toolbar: HKLM-x32 - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE.dll (Spigot, Inc.)
      FF Extension: Ads Removal - C:\Users\syl\AppData\Roaming\Mozilla\Firefox\Profiles\fl63np4g.default\Extensions\adsremoval@adsremoval.net [2014-05-28]
      FF Extension: Advanced SystemCare Surfing Protection - C:\Users\syl\AppData\Roaming\Mozilla\Firefox\Profiles\fl63np4g.default\Extensions\ascsurfingprotection@iobit.com [2014-05-28]
      CHR Extension: (Ads Removal) - C:\Users\syl\AppData\Local\Google\Chrome\User Data\Default\Extensions\fopdddcinljmpmioaklghcalngfhbaen [2014-05-27]
      CHR HKLM-x32\...\Chrome\Extension: [cikkkfooompgefbcjlgdjejfdknkheaj] - C:\Program Files (x86)\Common Files\Spigot\GC\DomainErrorHelper_1.0_0.crx [2014-05-27]
      CHR HKLM-x32\...\Chrome\Extension: [cmaiofennmphjldldcpphcechfnnohja] - C:\Program Files (x86)\AdTrustMedia\PrivDog\PrivDog_chrome.crx [2014-05-18]
      CHR HKLM-x32\...\Chrome\Extension: [gpiifgmgnfdiblgpaepbmfdkcheicgof] - C:\Program Files (x86)\Common Files\Spigot\GC\nta_1.0_0.crx [2014-05-18]
      CHR HKLM-x32\...\Chrome\Extension: [nfengeggddojhakldhlpjdlddgkkjkdd] - C:\Program Files (x86)\IObit\Surfing Protection\BrowerProtect\ASC_GhromePluginFor6.crx [2014-05-18]
      R2 AdvancedSystemCareService7; C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ASCService.exe [886592 2013-12-16] (IObit)
      R2 ASCAntivirusSrv; C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ascavsvc.exe [649024 2014-03-31] (IOBit)
      R2 GeekBuddyRSP; C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2327248 2014-05-05] (Comodo Security Solutions, Inc.)
      R2 IMFservice; C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFsrv.exe [342336 2014-01-24] (IObit)
      S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2175264 2014-05-29] (IObit)
      R3 FileMonitor; C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\FileMonitor.sys [23048 2013-03-23] (IObit)
      R2 PfFilter; C:\Program Files (x86)\IObit\Protected Folder\pffilter.sys [38392 2012-11-23] (IObit Information Technology)
      R3 RegFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [34848 2013-11-19] (IObit.com)
      R0 SmartDefragDriver; C:\Windows\System32\Drivers\SmartDefragDriver.sys [21184 2013-12-24] (IObit)
      R3 UrlFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\UrlFilter.sys [23016 2013-11-19] (IObit.com)
      2014-05-29 10:47 - 2014-05-29 10:47 - 00002882 _____ () C:\Windows\System32\Tasks\Uninstaller_SkipUac_Administrator
      2014-05-29 10:47 - 2014-05-29 10:47 - 00001252 _____ () C:\Users\syl\AppData\Roaming\Microsoft\Windows\Start Menu\Uninstall Programs.lnk
      2014-05-29 10:46 - 2014-05-29 10:47 - 12906784 _____ (IObit) C:\Users\syl\Downloads\iobituninstaller.exe
      2014-05-28 11:23 - 2014-05-28 11:27 - 64561352 _____ (IObit ) C:\Users\syl\Downloads\asc-ultimate-setup.exe
      2014-05-28 11:18 - 2014-05-28 11:18 - 00001204 _____ () C:\Users\Public\Desktop\Protected Folder.lnk
      2014-05-28 11:18 - 2014-05-28 11:18 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Protected Folder
      2014-05-28 11:17 - 2014-05-28 11:17 - 03566408 _____ (IObit ) C:\Users\syl\Downloads\protected-folder-setup.exe
      2014-05-28 10:33 - 2014-05-30 14:40 - 00000000 ____D () C:\Users\syl\AppData\Roaming\Slick Savings
      2014-05-28 10:33 - 2014-05-28 10:33 - 00000000 ____D () C:\Users\syl\AppData\Local\Slick Savings
      2014-05-28 10:32 - 2014-05-30 14:54 - 00000000 ____D () C:\Program Files (x86)\Application Updater
      2014-05-28 10:32 - 2014-05-28 10:32 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Malware Fighter
      2014-05-28 10:32 - 2014-05-28 10:32 - 00000000 ____D () C:\Program Files (x86)\IObit Apps Toolbar
      2014-05-28 10:29 - 2014-05-28 10:30 - 27264776 _____ (IObit ) C:\Users\syl\Downloads\iobit-malware-fighter-setup.exe
      2014-05-28 10:13 - 2014-05-28 11:54 - 00003174 _____ () C:\Windows\System32\Tasks\SmartDefrag3_Startup
      2014-05-28 10:13 - 2014-05-28 11:54 - 00003172 _____ () C:\Windows\System32\Tasks\SmartDefrag3_Update
      2014-05-28 09:34 - 2013-11-19 16:52 - 00034080 _____ (IObit) C:\Windows\system32\SmartDefragBootTime.exe
      2014-05-28 09:33 - 2014-05-28 10:13 - 00001098 _____ () C:\Users\Public\Desktop\Smart Defrag 3.lnk
      2014-05-28 09:33 - 2014-05-28 10:13 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Defrag 3
      2014-05-28 09:33 - 2014-03-10 18:17 - 00128288 _____ (IObit) C:\Windows\system32\IObitSmartDefragExtension.dll
      2014-05-28 09:33 - 2013-12-24 10:40 - 00021184 _____ (IObit) C:\Windows\system32\Drivers\SmartDefragDriver.sys
      2014-05-28 08:28 - 2014-05-28 08:29 - 16527392 _____ (IObit ) C:\Users\syl\Downloads\driver_booster_setup.exe
      2014-05-28 00:11 - 2014-05-28 08:31 - 00003210 _____ () C:\Windows\System32\Tasks\Driver Booster Scan
      2014-05-28 00:11 - 2014-05-28 08:31 - 00003154 _____ () C:\Windows\System32\Tasks\Driver Booster Update
      2014-05-28 00:11 - 2014-05-28 08:31 - 00002850 _____ () C:\Windows\System32\Tasks\Driver Booster SkipUAC (syl)
      2014-05-28 00:11 - 2014-05-28 08:31 - 00001170 _____ () C:\Users\Public\Desktop\Driver Booster.lnk
      2014-05-28 00:11 - 2014-05-28 08:31 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster
      2014-05-27 23:40 - 2014-05-28 11:31 - 00003108 _____ () C:\Windows\System32\Tasks\ASC7_PerformanceMonitor
      2014-05-27 23:38 - 2014-05-29 10:47 - 00001228 _____ () C:\Users\Public\Desktop\IObit Uninstaller.lnk
      2014-05-27 23:38 - 2014-05-28 11:30 - 00002864 _____ () C:\Windows\System32\Tasks\ASC7U_SkipUac_syl
      2014-05-27 23:38 - 2014-05-27 23:38 - 00000000 ____D () C:\ProgramData\{E1ED556E-3EA0-4F44-8BE7-CC5FB0F4B424}
      2014-05-27 23:38 - 2014-05-27 23:38 - 00000000 ____D () C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
      2014-05-27 23:37 - 2014-05-28 20:36 - 00002286 _____ () C:\Users\Public\Desktop\Advanced SystemCare Ultimate 7.lnk
      2014-05-27 23:37 - 2014-05-28 11:30 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare Ultimate 7
      2014-05-27 23:34 - 2014-05-28 11:18 - 00000000 ____D () C:\ProgramData\IObit
      2014-05-27 23:33 - 2014-05-28 11:18 - 00000000 ____D () C:\Program Files (x86)\IObit
      2014-05-27 23:33 - 2014-05-28 09:33 - 00000000 ____D () C:\Users\syl\AppData\Roaming\IObit
      2014-05-27 23:26 - 2014-05-27 23:29 - 00000000 ____D () C:\Program Files (x86)\SpywareBlaster
      2014-05-27 23:26 - 2014-05-27 23:26 - 00001079 _____ () C:\Users\Public\Desktop\SpywareBlaster.lnk
      2014-05-27 23:26 - 2014-05-27 23:26 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpywareBlaster
      2014-05-27 23:15 - 2014-05-27 23:15 - 01327512 _____ (C_XX) C:\Users\syl\Downloads\AD-R_2.0.0.2,G.exe
      2014-05-27 23:15 - 2014-05-27 23:15 - 01068656 _____ (Crawler, LLC ) C:\Users\syl\Downloads\SpywareTerminatorSetup.exe
      2014-05-27 23:14 - 2014-05-27 23:15 - 26248320 _____ (IObit ) C:\Users\syl\Downloads\imf-setup.exe
      2014-05-27 23:12 - 2014-05-27 23:12 - 04095448 _____ (BrightFort LLC ) C:\Users\syl\Downloads\spywareblastersetup-5.0.exe
      2014-05-27 23:11 - 2014-05-27 23:11 - 00388608 _____ (Trend Micro Inc.) C:\Users\syl\Downloads\HijackThis.exe
      2014-05-22 17:16 - 2014-05-22 17:16 - 00002013 _____ () C:\Users\Public\Desktop\GeekBuddy.lnk
      C:\Program Files (x86)\Common Files\Spigot
      C:\Users\syl\AppData\Roaming\Slick Savings
      Task: {352DF04E-DBEE-4704-A421-E2E5226CA6B4} - System32\Tasks\SmartDefrag3_Startup => C:\Program Files (x86)\IObit\Smart Defrag 3\SmartDefrag.exe [2014-03-10] (IObit)
      Task: {378FCFAB-B5C1-437D-BBAD-8402C79D38C6} - System32\Tasks\ASC7_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\Monitor.exe [2014-02-24] (IObit)
      Task: {60998BBD-6F1A-4E5C-ABAA-6A9F7C6B1F86} - System32\Tasks\Driver Booster SkipUAC (syl) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe [2014-05-09] (IObit)
      Task: {88CE0BDE-46BB-4519-991B-EE1BE6AA23EF} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe [2014-03-07] (IObit)
      Task: {92486EF6-6D26-4737-A222-DF8C0CCCD699} - System32\Tasks\Uninstaller_SkipUac_Administrator => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [2014-05-29] (IObit)
      Task: {953B1A87-DE50-4933-8C9F-46B507BE92AB} - System32\Tasks\ASC7U_SkipUac_syl => C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate 7\ASC.exe [2014-04-01] (IObit)
      Task: {A8782926-6661-445A-9D9B-A9E2EE1DD37F} - System32\Tasks\SmartDefrag3_Update => C:\Program Files (x86)\IObit\Smart Defrag 3\AutoUpdate.exe [2014-03-10] (IObit)
      Task: {C35CD582-3E88-4BF9-A060-936C8FAF8B36} - System32\Tasks\FinishInstall igdhbblpcellaljokkpfhcjlagemhgjl => C:\Users\syl\AppData\Roaming\igdhbblpcellaljokkpfhcjlagemhgjl\minibarchrome.exe
      Task: {C41EF95D-2AA4-4C8E-911F-99B92FB7691F} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe [2014-05-09] (IObit)
      C:\Program Files\COMODO\GeekBuddy
      C:\Program Files (x86)\IObit
      AlternateDataStreams: C:\ProgramData\TEMP:5C321E34

      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ####################

    Question : qui t'a fait installer Comodo et notamment Comodo Geeksbudy ?
    m
    0
    l
    a c 547 8 Sécurité
    31 Mai 2014 22:24:49

    Re,

    Tu m'as fourni le rapport fixlist.txt, pas le rapport après nettoyage Fixlog.txt ;) 

    Poste-moi ce dernier.

    Citation :
    J'ai telechargé commodo apres des recherches sur le net,les problemes étant anterieurs à sont installation je croyais que ça les arrangeraient
    Quant à Geekbudy il faisait parti du package.


    Mhmhm, pourtant c'est ce dernier qui est le logiciel de prise de contrôle dont tu évoques les symptômes.

    On va voir après vérification du rapport attendu si les problèmes persistent ou pas alors.

    :jap: 
    m
    0
    l
    1 Juin 2014 10:46:41

    Bonjour.
    Après enlèvement des programmes,dès que je vais sur internet le rigolo surgit et prend le control .avant il n'y avait que quand je mettais en veille qu-il y parvenait.
    Je communique via un autre pc.
    J'ai lancé kav rescue disk à tout hasard,il à réussi à entrer alors que le system d'exploitation est linux,j'ai du déconnecter internet physiquement
    pour lancer le scan.
    Je posterais le bon rapport quand l'anti virus sera terminé.
    Merci pour ton aide.
    m
    0
    l
    a c 547 8 Sécurité
    1 Juin 2014 11:18:56

    Re,

    Pour le bon déroulement de la procédure, merci de ne pas faire d'autres manipulation que celles demandées ;) 
    En cas de souci, vient me le dire pour qu'on avance ensemble.

    Poste-moi le rapport demandé, et on avisera.

    Pour info, comment te connectes-tu ?
    Box ?
    Réseau partagé ? (type résidence, etc ...)
    m
    0
    l
    1 Juin 2014 11:40:07

    Désolé,comme je te l'ai dit je n'avait plus accès à internet d'ou le lancement de l'antivirus ;_)
    Pour la connexion, box orange par câble,wifi désactivé.
    Dois-je arreter kav ou terminer avant de poster le rapport?(il a trouvé le trojan heur dans java)
    m
    0
    l
    a c 547 8 Sécurité
    1 Juin 2014 15:55:40

    Re,

    Tu as le rapport de détection de Kaspersky, même non terminé ?

    Merci de refaire ceci aussi s'il te plait :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Scan.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    1 Juin 2014 16:28:30

    a98$FHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHkomhkom
    m
    0
    l
    1 Juin 2014 16:37:42

    Le message précédent et un exemple de ce qui s'écrit automatiquement lorsque je suis sur le pc infecté.
    Pour kav j'ai trouvé un rapport.rpt,mais je ne peu l'ouvrir.est-ce lui que tu veux?
    m
    0
    l
    a c 547 8 Sécurité
    1 Juin 2014 19:23:18

    Re,

    Cela s'écrit comment ? ouverture d'une fenêtre noire d'invite de commande ?
    Autre ?

    Les programmes PrivDog et TCPview, c'est toi qui les as installé après apparition des symptômes ?

    Ces symptômes sont apparu quand à peu près ? (date)
    Suite à un téléchargement, ou autre ?
    m
    0
    l
    1 Juin 2014 20:27:02

    Mes commande ne fonctionnent plus et le texte s'affiche.
    Ca le fait dans le navigateur, dans le menu recherche(demarrer) ou dans l'explorateur.
    m
    0
    l
    1 Juin 2014 20:31:58

    Pour les deux programmes c'est oui.
    Privdog fait parti de commodo il me semble et tcp viewer je l'ai installé pour voir les connexions et déceler un éventuel problème.
    m
    0
    l
    1 Juin 2014 20:45:23

    Les symptômes durent depuis plusieurs mois. dans un premier temps j'ai essayé de les contrer,,ils n'apparaissaient que quelques fois tout les 15 jours environs,ensuite j'ai réinstallé W7 tranquille 15 jours puis j'ai installé Commodo dès qu'une attaque apparaissait je bloquais les connections,divers anti malwares plus tard, j'ai installé iobit et la il m'a semblé que ça allait mieux sauf lorsque je mettais en veille le pc se rallumait seul et l'attaque reprenait.
    Voila en gros le parcours
    m
    0
    l
    a c 547 8 Sécurité
    1 Juin 2014 21:24:12

    Re,

    Ce que tu me racontes m'interpelle, surtout si tu me dis avoir formaté ton pc et que cela soit revenu.

    Tu me confirmes en plus qu'aucun autre pc connecté à ton réseau ne subit ce type de prise de contrôle n'est-ce pas ? (afin d'exclure une prise de contrôle depuis la box)

    Des personnes ont-elles un accès physique à cette machine ?
    Installes-tu des programmes téléchargé depuis des sources non sûres ? (p2p, cracks, etc ...)

    Citation :
    dès qu'une attaque apparaissait je bloquais les connections


    Tu as les rapports TCPview en question ? Une IP revenait ? Lié à un processus ?

    à faire aussi :

    Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    1 Juin 2014 22:34:57

    J'ai réinstallé sans formater depuis une mise à jour windows 7.
    Pour la prise de control via la box,j'y ai pensé et ça n'est pas exclu le hacker peu donner le change en n'intervenant pas.
    Pour les accès physique non je suis le seul à utiliser la bécane par contre le pc de mon fils est relié au réseau via cpl et il est loin de se soucier de la sécurité...
    m
    0
    l
    a c 547 8 Sécurité
    2 Juin 2014 15:48:07

    Re,

    Et ton fils ne subit pas de prise de contrôle lui ?

    Rien de particulier sur l'extrait de TCPview.

    à faire :

    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    a c 547 8 Sécurité
    2 Juin 2014 18:58:43

    Re,

    Tu lui a posé la question ?

    Parce que là, cela ressemble à une prise de contrôle locale, via réseau, donc possiblement un autre pc connecté sur le réseau local.

    En cas de détournement de Box (rare mais possible, quoi que j'ai des doutes), on peut tenter de réinitialiser la Box (bouton Reset)
    Il faudra alors ré-entrer les identifiant de connexion une fois la réinitialisation terminée.
    Change aussi le mot de passe d'administration par défaut (admin)

    Tu sais faire cela ?
    m
    0
    l
    2 Juin 2014 20:15:35

    Pour le reset de la box,je l'ai fait ce matin ainsi que désinstalation des pilotes de carte réseaux j'avais pris soin de les sauvegarder ;-)
    Mon fils ne c'est pas branché aujourd'hui et j'ai subit 2 attaques,une vers 10H30 puis une à 17H15(je postais la réponse précédante.)
    demain j'envisage un clear semos au cas ou voir un flash du bios.
    Ensuite ça sera formatage profond et réinstalation...
    A moins que tu n'ai d'autres pistes?
    m
    0
    l
    a c 547 8 Sécurité
    2 Juin 2014 21:21:42

    Re,

    Disons que l'on peut approfondir les recherches, mais cela risque d'être long comme toujours en entraide à distance.
    Si tu veux résoudre au plus vite le souci, c'est bien entendu la solution radicale.

    Mais je reste assez interloqué par ton souci, non pas que je ne te crois pas, au contraire, mais je ne vois pas l'intérêt de l'attaque dont tu fais l'objet :
    - Pas d'objectif financier, rien à voler, pas de pubs, pas de client bitcoin ou autre monétiseur, pas de processus d'utilisation des ressources (RAT/Zombie)
    - Pas de "prise en otage" de donnée, ou du système
    - Prise de contrôle pleinement visible

    A part une mauvaise blague, il n'y a aucun objectif réel à cette attaque.

    Si tu as le temps, j'ai plusieurs autres piste pour rechercher l'origine du problème.

    :jap: 
    m
    0
    l
    3 Juin 2014 10:24:44

    Bonjour.
    je pense à un petit con qui s'amuse...What else?
    J’avoue que j'ai bien envie de continuer un peu pour le sport ;) 
    J'ai néanmoins fais un clear cmos suivi d'un dépoussiérage au compresseur et un redémarrage sportif:il semble que le lecteur de disquettes n'ai pas apprécié la manœuvre j'ai du le débrancher pour redémarrer...
    Alors si tu est partant on continu!
    m
    0
    l
    a c 547 8 Sécurité
    3 Juin 2014 14:13:19

    Re,

    Déjà pour les besoins du développeur de nos outils de désinfection, j'aimerais tenter de récupérer certaines choses s'il te plait :

    Télécharge MiniRegTool64.zip (de Farbar) sur ton bureau

    • Fais un clic-droit dessus -> extraire tout... puis le bouton "Extraire"
    • Lance l'outil MiniRegTool64.exe contenu dans le dossier extrait en double-cliquant dessus.
    • Valide l'avertissement.

    • Copie et colle le contenu ci-dessous dans la boite d'édition

      HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks


    • Coche le bouton Export Keys

    • Clique sur le bouton Go
    • Valide l'avertissement avec "Ok"
    • Poste le contenu dans ta prochaine réponse.


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    ~~~~~~~~~~~~~~

    Ensuite :

    Télécharge MiniToolBox.exe (de Farbar) sur ton bureau
    (si le téléchargement ne démarre pas automatiquement, cliquer sur "click here")

    • Double-clique sur MiniToolBox.exe pour le lancer
      (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Coche la case située devant la(les) ligne(s) suivante(s):

      Flush DNS
      Report IE Proxy Settings
      Report FF Proxy Settings
      List content of Hosts
      List IP configuration
      List last 10 Event Viewer Errors


    • Clique sur le bouton GO
    • Laisse l'outil travailler sans l'interrompre.
    • Un rapport va s'afficher, copie-colle son contenu dans ta prochaine réponse.


  • Info s'il ne s'affiche pas il est situé sur ton bureau :Result.txt

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    a c 547 8 Sécurité
    3 Juin 2014 15:26:24

    Re,

    Ok pour l'export, à faire ensuite s'il te plait :

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      Deletekey: HKCR\CLSID\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
      Deletekey: HKCR\Wow6432Node\CLSID\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~

    Une fois qu'on aura fini ces récupérations de données, on continuera notre enquête ;) 

    Juste pour orienter les recherches, est-ce que les prises de contrôle apparaissent aussi si tu es branché en câble réseau, mais sans ouvrir de navigateur web ?
    m
    0
    l
    a c 547 8 Sécurité
    3 Juin 2014 17:36:12

    Re,

    Un petit nettoyage déjà :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - IObit Apps Toolbar v9.2

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      IFEO\DatamngrCoordinator.exe: [Debugger] tasklist.exe
      URLSearchHook: HKCU - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE64.dll No File
      URLSearchHook: HKCU - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE.dll No File
      BHO-x32: IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE.dll No File
      Toolbar: HKLM - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE64.dll No File
      Toolbar: HKLM-x32 - IObit Apps Toolbar - {03EB0E9C-7A91-4381-A220-9B52B641CDB1} - C:\Program Files (x86)\IObit Apps Toolbar\IE\9.2\iobitappsToolbarIE.dll No File
      FF user.js: detected! => C:\Users\syl\AppData\Roaming\Mozilla\Firefox\Profiles\fl63np4g.default\user.js
      CHR HKLM-x32\...\Chrome\Extension: [cikkkfooompgefbcjlgdjejfdknkheaj] - C:\Program Files (x86)\Common Files\Spigot\GC\DomainErrorHelper_1.0_0.crx []
      CHR HKLM-x32\...\Chrome\Extension: [gpiifgmgnfdiblgpaepbmfdkcheicgof] - C:\Program Files (x86)\Common Files\Spigot\GC\nta_1.0_0.crx [2014-05-18]
      CHR HKLM-x32\...\Chrome\Extension: [nfengeggddojhakldhlpjdlddgkkjkdd] - C:\Program Files (x86)\IObit\Surfing Protection\BrowerProtect\ASC_GhromePluginFor6.crx [2014-05-18]
      S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
      S0 nmfmfx; No ImagePath
      S0 SmartDefragDriver; System32\Drivers\SmartDefragDriver.sys [X]
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~

    Pour préparer la suite, fait ceci :

    Télécharge Process Explorer (de Windows Sysinternals ) sur ton bureau.

  • Décompresse le fichier sur le bureau. (Clic-droit -> "extraitre tout")

  • Ferme toutes tes fenêtres, puis double clique sur Procexp.exe pour le lancer.

  • Ouvre ton navigateur, attends la prise de contrôle.
    Dès que c'est le cas, va sur la fenêtre de process explorer et clique sur "File" -> save as ...
    Enregistre le fichier texte sur ton bureau, et coupe la connexion internet au besoin si tu n'y arrives pas.

  • Poste-moi le fichier .txt dans ta prochaine réponse s'il te plait.

    :jap: 
    m
    0
    l
    a c 547 8 Sécurité
    3 Juin 2014 19:30:53

    Ok, on attends la prise de contrôle pour voir si on peut récupérer un truc ou pas de cette manière.

    :jap: 
    m
    0
    l
    5 Juin 2014 09:40:46

    Bonjour.
    Grosse attaque hier soir,voici les symptômes les plus courant:
    passage en mode muet ,le son se coupe puis se remets,
    la molette de la souris change de fonction:au lieu de faire défiler le texte dans FF elle agrandi/réduit la taille du texte
    les fenêtres de la barre d'adresse et de recherche se bloques,et affiche des caractères que je ne peu pas effacer ,
    La fenêtre de téléchargement,celle des modules complémentaire,ou celle d'adblock s’ouvre toute seules,et d'autres joyeusetés du même genre.
    le fichier:http://up.security-x.fr/file.php?h=R80a7283b5ed7216b207...
    m
    0
    l
    a c 547 8 Sécurité
    5 Juin 2014 14:26:07

    Re,

    C'est un pc portable ou un pc fixe ?
    Tu utilises une souris sans fil (Bluetooth), ou filaire ?
    Idem, si portable ou fixe, utilises-tu un clavier sans fil ou pas ?

    Parce que plus tu me décris les symptômes, plus j'ai l'impression que c'est plus un soucis avec ces périphériques qu'une prise de contrôle ...
    m
    0
    l
    5 Juin 2014 15:08:36

    c'est un pc fixe,clavier et souris filaire.
    Le gestionnaire de périphérique ne signale aucun conflit ni dysfonctionnement.
    C'a n’explique pas les KOMkom qui s'affiche lorsque je tape un texte ni les sortis de veille.
    m
    0
    l

    Meilleure solution

    a c 547 8 Sécurité
    5 Juin 2014 17:26:11

    Re,

    Juste pour vérifier, et écarter cette piste, peux-tu relancer ton navigateur, puis débrancher clavier et souris et voir si les symptômes apparaissent ou pas ?
    partage
    9 Juin 2014 16:14:42

    [Bonjour.j'ai formaté et réinitialisé la box, au moment de taper un non pour le pc un kom est apparu.:pt1cable: 
    J'ai changé le clavier et tout est redevenu normal.
    Un grand merci pour le travail et le temps passé.:wahoo: 

    m
    0
    l
    a c 547 8 Sécurité
    9 Juin 2014 17:11:25

    Re,

    Formaté, formaté le système ?
    Pourquoi ?

    Oui, je pensais bien après avoir écarté certaines pistes, que c'était plus un souci matériel ...
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS