Bonjour tout le monde
 
Système : windows xp sp3 pro
Antivirus : Trend micro officeScan
 
Au tout début j'ai eu une alerte sur le fichier cafbine70mps.exe mais je me suis pas méfié.
Mais après j'ai eu un comportement bizarre de l'ordinateur. J'ai le focus de la fenêtre que j'utilise qui part (genre je fais défiler une page web avec la molette de la souris et tout à coup firefox n'a plus le focus donc je dois cliquer sur firefox pour continuer). J'ai des fenêtre IE qui s'ouvre toute seul.
J'ai aussi des processus suspect. J'avais ubejya.exe puis 0.42353042350425774.exe
Si je tente d'aller sur le online scan de bitdefender depuis firefox (www.bitdefender.fr/scanner/online/free.html), je ne tombe par sur la page mais je suis automatiquement redirigé sur une autre page avec java qui se charge et des alertes virus.
 
J'ai réussi à lancer le online scan depuis internet explorer. Il  m'a détecté 4 fichiers et effacé 3 (si vous voulez je peux mettre le rapport ici). Le dernier c'est un fichier .dat qui se trouve dans C:\Program Files\Trend Micro\OfficeScan Client donc je suppose que c'est un fichier en quarantaine de l'antivirus.
 
L'ennui c'est que je continue à avoir des fenêtre IE qui s'ouvre dans l'infection est toujours présente.
Qu'est-ce que je dois faire ?
 
J'ai toujours eu un comportement prudent mais là j'ai pas compris comment l'infection s'est propagée.
 
Si ça peut aider, officescan à vu les infections suivante : Threath Behavior ID: 778, JAVA_DLOADR.EQ, JAVA_LOADER.HLL, TROJ_JAVA.AQ
Bitdefender a trouvé : Gen:Variant.FakeAv.25, Trojan.Generic.KD.132691, Gen:Variant.Kazy.12057 (non supprimé), Trojan.Generic.KDV.133416

Salut.
 
Bienvenue ici.
 
Il est interdit de poster un rapport sur ce forum. Donc, d'abord, édite ton message et supprime le rapport.
 
Ensuite, Utilise ce logiciel de diagnostic :
 
   
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
++

Bonjour et merci de ton aide.
Euh je n'ai pas mis de rapport. Si c'est les 2 dernières lignes par rapport aux antivirus qui te gène, je peu les enlever. Je les ai tapée à la main.
 
Voici le rapport de ZHPdiag : http://www.cijoint.fr/cjlink.php?f [...] ye3bkM.txt
 
par soucis de confidentialité j'ai modifié mon nom d'utilisateur par xyz
 
Il y a ces lignes qui me paraisse louche alors j'ai fermé les processus associé depuis le gestionnaire des tâches.
[MD5.94174D769084A775ADECBF3586658643] - (.ComponentOne LLC - lrDrWeb For Windows  2011.) -- C:\WINDOWS\Ubejya.exe   [132608]
[MD5.CFD554E8A38DC2AFD05735B12A609454] - (.ComponentOne LLC - kDrWeb For Windows  2011.) -- C:\DOCUME~1\xyz\LOCALS~1\Temp\Uzm.exe   [128512]
[MD5.B1D9CDEA4BE8FD553475CFEA42D4C4AE] - (.ComponentOne LLC - DrWeb For Windows  2011.) -- C:\DOCUME~1\xyz\LOCALS~1\Temp\Uzl.exe   [140288]
 
Merci

J'ai régulièrement 1 de ces 3 process qui se lance tout seul. J'ai voulu alors désactiver le service Task scheduler (tâche planifiées). Mais je ne sais pas pourquoi je n'ai pas accès au gestionnaire des services.

Je n'avais pas ce soucis avant.

Je tombe encore parfois sur une page détournée quand je clic sur un lien dans google. Lors du détournement (redirect), je vois pendant 1-2 secondes que c'est blueseek.com qui le fait. Je me demande comment de tel site peuvent exister

edit : bon j'ai pu stopper le service task scheduler depuis le server, j'espère que ces process ne se lanceront plus.

Quelqu'un pourrait il prendre le relai svp ?
Bon depuis que j'ai désactivé le task scheduler (tache planifiée), je n'ai plus les 3 processus qui se lance ni des fenêtre internet explorer qui se lance, par contre j'ai toujours la redirection blueseek...
C'est bizarre, il n'y a aucune tâche planifiée, je savais pas qu'on pouvait en cacher.
Je vais quitter le boulot, vaut mieux que je laisse tourner l'ordi, car si j'étein et que je démarre la machine demain, tout va se relancer

Salut,
 
Patience, Ric025 va venir continuer la désinfection de ton pc. comme nous tous, il a aussi une vie en dehors du forum.

Salut
 
Bonjour Alain
 
@Chev_alier :

 
Désolé, erreur de copier-coller
 
Télécharge ensuite Malwarebytes Anti-Malware (MBAM): ---> Malwarebytes Anti-Malware <---
 
Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.
 
Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".
 
Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".
 
Poste le rapport généré.
 
++

Oui c'est vrai, tout le monde a une vie excusez moi, c'est le stress. J'aurais du penser à Malwarebyte, c'est un des meilleures pour ce genre d'infection.
 
voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] GKN5bL.txt
Il m'a demandé de redémarrer après la désinfection, ce que j'ai fais.
 
Apparemment il n'y a plus de comportement suspect, les click depuis google ne sont plus détourné et l'accès aux services de windows (services.msc) est à nouveau disponible sans erreur.
 
Y a t'il autre chose à faire ?
Moi je vais partir à la chasse sur le serveur pour voir s'il y a pas eu une copie qui a été faite (les profiles sont copiés).
 
En tout cas, chapeau à vous    . Avec toutes les infections qui circule et des malware de plus en plus fourbe, je pense notamment à windows antivirus Pro, ils se sont quand même donné la peine et les moyens de faire un faux antivirus avec l'interface qui va avec et tout. N'importe quel novice se ferai avoir.
Ca doit pas être toujours facile de faire le bon diagnostic et de proposer les outils de désinfections adéquat.

Salut
 
Pas de soucis, on sait ce que c'est
 
Apparemment, MBAM a une nouvelle fois bien bossé. Peux-tu relancer ZHPDiag et me donner le nouveau lien ci-joint stp ?  
 
++

Voilà le nouveau rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?f [...] whQXZ0.txt
 
Je dois supprimer le dossier : C:\Documents and Settings\xyz\Application Data\730D8072F74B7101BE4B5651ED341D93 (vide), c'est juste ?
 
Que faire pour éviter une nouvelle infection ? Faire toutes les mises à jour windows updates ? Au niveau Java ou Javascript il y a quelque chose à faire ? Peut-être aussi l'adobe flash player ?

Oui, supprime ce fichier.
 
Pour les mises à jour, juste Java : http://www.java.com/fr/download/
 
Sinon, tout est ok ?  
 
Dis-moi si tu as trouvé le fichier et réussi à la supprimer ?  
 
++

Le dossier 730Dxxx... a été supprimé. Sa date de modification était le 17.02 à 10:46, c'est sans doute la date et heure de l'infection.  
Bizarrement il y a un dossier C:\Documents and Settings\xyz\Application Data\Adobe\plugs (vide) qui porte exactement la même date de modification (et de création)
Donc c'est peut-être une vulnérabilités d'Adobe Shockwave flash qui a été utilisée.
 
Sinon pas d'autre comportement suspucieux pour le moment.

Si tout va bien :  
 
DelFix - Option Suppression
 
Télécharge DelFix (d'Xplode) sur ton bureau.  
 
Lance-le puis sélectionne l'option Suppression et valide en appuyant sur la touche [Entrée]
 
Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.  
 
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )  
 
= = = = = =  
 
Relance DelFix et choisis "Désinstallation".
 
===============================
 
!! Très Important !!
 
Supprimer les anciens points de restauration:
 

• Clique droit sur "Poste de travail".
• Clique sur "Propriétés".
• Clique sur l'onglet "Restauration du système".
• Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
• Redémarre le pc.

• Clique droit sur "Poste de travail".
• Clique sur "Propriétés".
• Clique sur l'onglet "Restauration du système".
• Redécoche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".

Les points sont supprimés.
 
Création d'un nouveau point:
 

• Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système".  
• Clique sur "Restauration du système".
• Dans la nouvelle fenêtre, coche la case "Créer un point de restauration".
• Clique sur "Suivant".
• Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection..." )
• Clique sur "Créer" et le point de restauration se créé automatiquement.

=============
 
Pour une navigation plus sûre et plus rapide:
 
Addon à ajouter à firefox pour le sécuriser:
 

• Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
• Explications/Demo ici : http://www.mywot.com/fr/demo

+ ceux-ci: http://www.malekal.com/securiser_Firefox.php
 
=============
 
[b]Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : http://www.malekal.com/fichiers/pr [...] alware.pdf[/B]
 
=============
 
Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! )
 
++

Merci je ferai tout ça lundi ! Bon weekend l'amoureux

 
Merci, bon week-end à toi.

ton lien pour delfix ne marche pas. Si ce programme sert uniquement à supprimer les outils de désinfection, je peu le faire manuellement avec ajout/suppression de programme non ?
 
Au niveau des points de restauration, je tiens à garder les plus ancien (qui sont sain). Donc j'ai supprimé les points de restauration qui sont dans la période d'infection ainsi que celui qui est juste après la désinfection avec CCleaner

Au niveau de firefox j'ai mis flashblock, noscript et WOT

Pas de soucis
 
Oui, pour Delfix, je m'en suis rendu compte sur un autre sujet, j'ai changé mon canned : http://www.teamxscript.org/too/Xplode/DelFix.exe
 
Ok pour les modules Firefox, si tu as un soucis avec WOT ou autre, dis-moi, mais bon, tu as vu que c'est assez simple et plutôt efficace
 
Si tu veux tester WOT, essaie de taper "eorezo" sur Google. C'est un site qui propose des logiciels piégés Donc néfaste. WOT te bloquera l'entrée.  
 
Tu peux aussi te créer un compte WOT et noter toi-même les sites que tu visites / connais. En bien ou en mal. C'est comme ça que fonctionne cet outil, par le biais du partage entre les internautes.  
 
++

salut, hier, j'ai installé une merde sur mon pc, mon antivirus a détecté putfu.exe qu'il a mis en quarantaine. J'ai analysé mon système avec le logiciel unhackme. Il m'a demandé de redémarrer chose que j'ai faite mais lors de ce redémarrage, plusieurs ligne de commandes sont apparues  
 
style (juste le style sur cette capture, pas ce qui est écrit)
 

 
Je suis sous win8.1 donc j'ai plus l'habitude d'en voir quand mon PC boote.. C'est normal ? Je crois que c'est en rapport avec unhackme ou bien c'est carrément windows car des MAJ ont été installé juste avant le reboot.
 
J'ai analysé mon système avec malware, il a viré la merde mais je ne suis pas rassuré. Existe-t-il un logiciel ultime capable de détecter la moindre présence anormale dans un système ?  
 
Ce putfu.exe semble récolter les infos bancaires et passwords, j'ai pas envie de risquer quoique ce soit à ce niveau là...

Bonjour smoove,
 
Tu aurais du préférer malwarebytes à unackme, le premier fait ses preuves tous les jours et détecte que très rarement de faux positifs.
 
Peux-tu me donner un rapport d'analyse de ton antivirus ou encore le chemin d'accès au fichier mis en quarantaine par ton antivirus ?
 
Peux tu faire un diagnostic de ton pc ?
 
==> ZHPDiag - programme de diagnostic
 

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.

• Laisse toi guider par le programme lors de l'installation.

• Sous windows vista, 7/8, lance ZHPDiag,  par un clique droit puis "Exécuter en tant qu'administrateur"  

• Clique sur Complet

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
   
 

• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt a été créé.

• Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Comment héberger un rapport sur ci-joint :
 

• Clique sur ce lien : http://www.cjoint.com/
• Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
• Clique sur Ouvrir.
• Clique sur "Créer le lien Cjoint" pour déposer le fichier.
• Un lien de cette forme, http://cjoint.com/?CFnaaobHAob, est ajouté dans la nouvelle page.
• Copie-colle ce lien dans ta réponse.

Aide en image => ICI
 
++

Salut. Merci de ton aide. J'ai nettoyé mon système avec ccleaner adwarecleaner et malwarebyte, je pense que tout est propre mais sait-on jamais.

http://cjoint.com/?DIdsUiwDTeO

Bonsoir smoove,
 
Ton antivirus McAfee semble ne pas fonctionner tu peux confirmer ???
 
La nouvelle mouture de firefox est sortie hier, mets à jour ton navigateur.
 
 
Tu as utiliser malwarebytes, lance à nouveau ce programme, rends toi à l'onglet historique et supprime tout ce qui se trouve dans la quarantaine.
 
------------------
 
==> Script ZHPFix
 
Tu vas exécuter ce script pour parfaire le nettoyage de ton ordinateur.
 
Attention, ce script a été écrit spécifiquement pour l'ordinateur de smoove, il n'est pas transposable sur un autre ordinateur.
 
Le temps de téléchargement du script a été volontairement limité à 4 jours
 

• Clique sur ce lien  http://cjoint.com/?3IduHZfzj0T
• Sur la page qui s'ouvre clic droit et [Tout sélectionner]
• Refais un clic droit et [Copier]
• Double clic sur le raccourci de ZHPFix qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et [Exécuter en tant qu'administrateur]

• Sur La fenêtre qui s'ouvre clique sur [IMPORTER]

• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
• Clique sur [Go]

• A la demande, confirme le nettoyage des données en cliquant sur [OUI]

• Patiente le temps du traitement.
• ZHPFix va te demander si tu souhaite vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt

• Ferme ZHPFix - Redémarre ton ordinateur

• Héberge le rapport sur ci-joint et copie/colle le lien créé dans ta nouvelle réponse.

=> Refais un scan avec ZHPDiag poste le lien ci-joint du rapport dans ta réponse
 
Note : Tu as donc 2 rapports à poster.

ZHPFixReport.txt
 
ZHPDiag
 
Mais j'ai oublié de nettoyer l'historique de malware avant de lancer ZHPFix, voici le fichier ZHPfix avant le nettoyage
 
Concernant McAfee, tout est normal  
 

 
J'ai juste qq fois mon pare feu qui se désactive.
 
Et sinon ma connexion internet ethernet est limitée depuis que j'ai redémarré mon pc, est-ce normal ?

Bonsoir smoove,
 

 
Ben non ! Peut-être que ton connexion fonctionne mieux aujourd'hui !?  
 
Tu vas finaliser ce nettoyage express :
 
==> SFTGC – Nettoyage des fichiers temporaires :
 

• Télécharge SFTGC sur ton bureau.
• Lance le programme
• Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis sur "Exécuter en tant qu'administrateur"
• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

 
 
 
==> DelFix
 
Cet outil va te permettre d'un part de supprimer tous les outils de désinfection utilisés lors du nettoyage de ton ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible. En cas de besoin, tu pourras l'utiliser sans problème.
 
• Télécharge DelFix de Xplode sur ton bureau.
• Lance DelFix :
• coche Supprimer les outils de désinfection
• coche Purger la restauration système
• Clique sur Exécuter
 

 
 
• Copie/colle le contenu du rapport de DelFix dans ta prochaine réponse.
 
 
Conseils de base  pour mieux sécuriser son ordinateur :
 
1- Comment maintenir à jour son ordinateur
 

• Je t'invite à lire ce tutoriel réalisé par neo***, sur les mises à jour de sécurité

2- Sécuriser ta navigation sur internet
 
2.1- Comment bloquer les publicités jugées dangereuses :
 
Si tu le souhaites, tu peux installer le bloqueur de publicités Adblock plus sur ton/tes navigateur(s), c'est un module complémentaire très pratique :
 

• Pour chrome => clique ICI  
• Pour Mozilla Firefox => clique ICI
• Pour Internet Explorer => clique ICI
• Pour Opéra => clique ICI

Tutoriel pour démarrer avec Adblock Plus
 
2.2 - Sécuriser tes recherches :
 
Il existe pour cela un module complémentaire Web Of Trust (WOT), valable pour tous les navigateurs.
 
Tutoriel pour démarrer avec WOT
 
3- Comment éviter d'infecter à nouveau ton pc :
 
Adopter les bonnes pratiques :
 

• Comment j'infecte mon ordinateur
• Les barres d'outils ce n'est pas obligatoire
• Sécuriser son ordinateur et connaître les menaces
• Attention aux Ransomwares
• Les dangers des réseaux de partage
• Le danger des cracks
• Principes de la sécurité informatique

Salut malwarebleach, un grand merci pour ton aide, je mets ce topic de côté, c'est la solution extra pour éliminer tous virus !
Désolé pour la réponse tardive, j'étais en déplacement.

Sinon non mon problème de connexion n'est pas résolu, je vais voir ça mais franchement c'est pas grave, je préfère avoir un pb de connexion internet plutôt qu'un pirate qui fouille mon pc et vole des infos persos comme mes coordonnées bancaires.

Concernant les lignes de commandes apparues lors du boot, c'était en fait le logiciel unhackme qui les avait insérées.

Hello malwarebeach, j'aurais besoin de ton aide, je fais du nettoyage sur le pc portable d'une amie, voici le lien de l'analyse ZHPDiag
 
http://cjoint.com/?DJopQKPAQWQ
 
(mon problème de connexion ethernet est réglé. )

Bonjour smoove et bienvenue sur Hardware.fr,  
 
 
Malwarebleach n'est pas disponible en ce moment. Je te propose de prendre en charge la désinfection du PC de ton amie.
 
Dans un premier temps, désinstalle Avast ou Avira, 2 antivirus qui tournent en même temps c'est trop.
 
 
 
   Attention : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.  
 
Comment créer et poster le lien d'un rapport :
 

• Se rendre sur le site http://www.cjoint.com/
• Sélectionner le fichier à héberger à l'aide du bouton Parcourir et cliquer sur Ouvrir.
• Puis, cliquer en bas de la page sur Créer le lien Cjoint
• Faire un clic droit avec la souris sur le lien créé qui apparait sous cette forme http://cjoint.com/?CFnaaobHAob, et copier l'adresse du lien.  
• Coller ce lien (clic droit) dans ta prochaine réponse.

 
 
D'après le rapport ZHPDiag, ton PC est infecté principalement par des programmes indésirables (PUP/LPI) qui parasitent le bon fonctionnement de ton ordinateur et de tes navigateurs internet. Ces programmes sont souvent rajoutés pendant l'installation de logiciels gratuits ou autres.
 
 
   Quelques recommandations lorsque l'on télécharge des programmes sur internet :
 

• Éviter de télécharger des programmes sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, CNET, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme ou chez des sites sûrs comme Comment Ça Marche ou Clubic.

• Lors de l'installation d'un programme, lire attentivement ce que l'on propose, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Chercher le vrai lien de téléchargement sur la page d'un site.

 
 
1°) Désinfection
 
 
==> AdwCleaner - Mode nettoyage
 

• Télécharger Adwcleaner (de Xplode) sur ton Bureau !
• Lancer AdwCleaner par un clique droit "Exécuter en tant qu'administrateur" (sauf sous XP)
• Cliquer sur Scanner, patienter le temps du scan
• Une fois le scan fini, cliquer sur Nettoyer

• Accepter l'avertissement, la lettre d'informations et le redémarrage en cliquant sur OK

• Le PC redémarre et un rapport va apparaître, enregistrer le sur le bureau (Fichier => enregistrer sous).

        note: il se trouve aussi dans C:\Adwcleaner\AdwCleaner[S0].txt
 

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
 
==> ZHPDiag - programme de diagnostic
 
 

• Télécharger et installer ZHPDiag (de Nicolas Coolman) sur ton bureau.

• Sous Windows Vista, 7/8, lancer ZHPDiag par un clique droit puis "Exécuter en tant qu'administrateur"  

• Cliquer sur Complet

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
   
 

• Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
** Note: tu as donc 2 rapports à me fournir, merci **