Comment vérifier présence d'un virus ?

Comment vérifier présence d'un virus ? - Virus/Spywares - Windows & Software

Marsh Posté le 29-03-2011 à 09:20:59    

Voila, en général c’est pas bien compliqué.
 
mais la, le PC est a 2000km de moi(au Maroc), que j'ai un acces qu'avec Logmein (free) et que la personne derrière l'ordi connait rien a l'informatique ?
 
Sur le PC, j'ai Microsoft security Essential qui ne trouve plus rien et MalwareBytes a retirer quelque truc.
Mais ils ont été lancé sous la session de l'utilisateur, avec tout les programmes en fonctionnement donc c'est pas franchement fiable.
 
 
Le truc que je trouve suspect, c'est la lenteur d'internet alors qu'il y a qqe mois, c’était parfait


---------------
#mais-chut
Reply

Marsh Posté le 29-03-2011 à 09:20:59   

Reply

Marsh Posté le 29-03-2011 à 10:19:31    

Salut.
 
Alors on dit plus bonjour ! :D  
 
Je ne connais pas bien Logmein ? As-tu un accès permanent et fluide au pc ?  
 
Si oui, tu peux faire ceci :  
 
Utilise ce logiciel de diagnostic :
 
   
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
++

Reply

Marsh Posté le 29-03-2011 à 10:22:50    

Oups, toutes mes confuses, bonjours en effet

 

mon acces et up quand la machine est UP, et c’est plus ou moins fluide
pour cet outils ZHPDiag, il ne faut pas mieux le lancer en mode sans échec ?

 

edit : arff et évidement, il est pas up en ce moment, ... bon ba la suite ce soir


Message édité par Z_cool le 29-03-2011 à 10:24:01

---------------
#mais-chut
Reply

Marsh Posté le 29-03-2011 à 10:27:29    

Pas de soucis, dès que tu peux, tu envoies ;)
 
Pour ZHPDiag, au contraire, il est préférable de le faire en mode normal ;) C'est un outil de diagnostic et le mode sans échec, comme on le sait, ne charge pas la plupart des infections actives :) Pour un diagnostic efficace, donc, mode normal.
 
Ben à ce soir :)

Reply

Marsh Posté le 30-03-2011 à 09:00:35    

bon, j'ai essayé,... déjà 20 minutes pour le télécharger (entre le remote qui avance pas et tout et tout)
a la fin de l'install, une erreur comme quoi le fichier pouvait pas être trouver.
 
malheureusement, j'ai pas trop eu le temps de m'attarder dessus.
 
 
la suite ce soir avec de la chance


---------------
#mais-chut
Reply

Marsh Posté le 30-03-2011 à 12:52:47    

Hello.
 
Si tu peux déjà me faire parvenir le rapport de MBAM pour déjà voir ce qu'il a supprimé ? Tu peux le retrouver en lançant MBAM >> Onglet "Rapports/Logs".  
 
++

Reply

Marsh Posté le 30-03-2011 à 14:05:32    

arff je l'ai désinstallé depuis ^^
 
peut être les logs sont ils encore la


---------------
#mais-chut
Reply

Marsh Posté le 30-03-2011 à 19:03:29    

Bon, voila le fichier
 
http://www.cijoint.fr/cjlink.php?f [...] SGe8f8.txt
 
Je suis conscient qu'il y a des choses qui vont faire ticker les modo.
 
Mais bon, c est pas mon PC.  Je peux demander a la personne de les désinstaller, mais je suis persuadé qu'elle les remettra aussitôt le problème (si il y a problème) résolu et je pense pas que ce soit ces appli qui soient la cause (elles ne tournent pas quand l'acces est lent)
 
et sinon, j'ai regardé un peut, et je n'ai rien vus d'alarmant, me trompe je ?


---------------
#mais-chut
Reply

Marsh Posté le 30-03-2011 à 21:46:54    

Si tu ne dis rien, je ne pense pas que les modos passent leur temps à vérifier les rapports hébergés ^^
 
Perso, qu'il y ait des choses qui fassent "tiquer" ou non, moi je n'en fous un peu ! :)
 
Bon, quelques infections tout de même !  
 
 Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
 
    Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
 
(Tu n'as pas possibilité de demander de brancher ce qu'il faut ? Sinon tant pis lance le scan comme ça)
 
    Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    Clique sur "Recherche"
    Laisse travailler l'outil
    A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
 
   Aide en images : Tutoriel "Recherche"
 
++

Reply

Marsh Posté le 31-03-2011 à 09:54:26    


Tu serais m'en dir plus en attendant de lancer USBFix ?
quel ligne te semble suspecte ?

 

a priori, je pense pas que la personne ai de support de stockage en USB, mais je verrais ce soir


Message édité par Z_cool le 31-03-2011 à 09:57:13

---------------
#mais-chut
Reply

Marsh Posté le 31-03-2011 à 09:54:26   

Reply

Marsh Posté le 31-03-2011 à 13:03:20    

Hello :)
 
Bien sûr, on peut même décortiqué ensemble le rapport si tu veux :)
 
Première chose remarquée, ton système de restauration est désactivé ... Ce n'est pas très sûr ! En cas de soucis, impossible de restaurer à une date précédente. On le voit ici : System Restore: Désactivé (Disabled)  
 
En second, je pense que l'on peut descendre un peu dans le rapport, jusqu'à ce fichier qui me semble à vérifier : O41 - Driver: (utnunvwv) . (.Microsoft Corporation - Boot Time Removal Tool.) - C:\Windows\system32\drivers\utnunvwv.sys On le fera donc plus tard.
 
On descend jusqu'en 43 et on voit ceci : O43 - CFD: 12/03/2011 - 07:34:00 - [0] ----D- C:\Users\moi\AppData\Roaming\tazebama     Tazebama est une infection qui se transmet par disque amovible, donc USBFix qui le prend en charge :)
 
Descendons directement dans la partie 51, qui liste les M2 (points de montage ou "Mountpoints" ) et on voit ceci chez toi :  
 
---\\ MountPoints2 Shell Key (O51)
O51 - MPSK:{0c88b3c3-7fc9-11df-a4a0-001a921dc428}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\SWLauncher.exe (.not file.)    
O51 - MPSK:{84a3a961-7fca-11df-872e-001a921dc428}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\AutoRun.exe (.not file.)      
O51 - MPSK:{84a3a970-7fca-11df-872e-001a921dc428}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\AutoRun.exe (.not file.)    
O51 - MPSK:{8896174b-74a0-11df-bede-001a921dc428}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\C\Settings\cool.exe (.not file.)
   
 
Les fichiers semblent absents, mais les autoruns du lecteur F, on ne sait pas s'ils sont légitimes, quant aux fichiers "cool.exe" et "SWLauncher.exe", ils sont néfastes. Puisque de toute façon on va lancer USBFix, il nous dira ce qu'il en est. A noter que les autoruns, s'ils sont légitimes, ne seront pas touchés par USBFix, dans le cas contraire, de toute façon, USBFix créé de nouveaux autoruns car il "vaccine" les disques amovibles lors de son option nettoyage.  
 
Ensuite, on part en 084, on voit ceci qui attire l'oeil : [MD5.C2E0F2BC824BBD30D7F9F0677F951D01] [SPRF] (.Ask.com - wrapper Application.) -- C:\Users\moi\AppData\Local\Temp\setup.exe   [2844552]
Pourquoi ? A cause de "ASK" qui est une infection BT (toolbar). Il ne semble pas installé mais a été téléchargé. On passera plus tard Ad-Remover, un outil qui va le nettoyer.  
 
En 088, on a ceci : [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}    
[HKLM\Software\Classes\bittorrent]  

La première ligne semble toujours appartenir à ASK. D'ailleurs, on a la chance d'avoir ce très bon outil, qui est ZHPDiag, qui nous donne les MD5 des fichiers. Ici, pour la première ligne, on a le CLSID. En allant sur SYSTEMLOOKUP qui est un site, comme tu peux le voir, de recherche d'infection d'après les noms de fichiers, les noms de dossiers ainsi que les CLSID, on recherche donc le CLSID présent, on trouve ceci : http://www.systemlookup.com/search [...] 8127440&s=
 
C'est bien ASK ;)
 
La seconde ligne parle d'elle-même ^^
 
On peut encore voir que JAVA n'est pas à jour, ainsi que OpenOffice, que l'on mettra à jour en fin de procédure.  
 
Voilà, cela répond à ta question ?  :D  

Reply

Marsh Posté le 31-03-2011 à 20:32:33    

Bon, j ai effectuer un test, ca a donné : http://www.cijoint.fr/cj201103/cijzX84Izt.txt
 
j'ai relancé, effectué un nettoyage, et la c est le drame, perte de connexion, j attend de voir si la machine reboot


---------------
#mais-chut
Reply

Marsh Posté le 31-03-2011 à 20:39:37    

Normal le nettoyage fait redémarrer ;) Donc tu vas avoir accès et tu pourras me poster le rapport.  
 
En tout cas, bonne pioche, c'était bien infecté ;)

Reply

Marsh Posté le 31-03-2011 à 20:48:25    

bon en fait, ca semble stopper la connexion au net, j'ai du appeler pour faire redemarrer.
 
 
j'ai relancé une recherche, et voila le nouveau log http://www.cijoint.fr/cj201103/cijW8oETbD.txt


---------------
#mais-chut
Reply

Marsh Posté le 31-03-2011 à 20:50:16    

:heink: Peux-tu demander à refaire un nettoyage et puis-je avoir le rapport de nettoyage ensuite stp ?  
 
 
++

Reply

Marsh Posté le 31-03-2011 à 22:55:52    

ba c est fait, le résultat est le dernier lien que j ai mis
 
a priori, il ne detect plus rien


---------------
#mais-chut
Reply

Marsh Posté le 31-03-2011 à 23:16:46    

Ok ;) Ton dernier lien, c'était la recherche pas le nettoyage ;)  
 
La suite :  
 
Ad-Remover
 
 
• Télécharge AD-Remover (de C_XX) sur ton Bureau.
   
:!: Déconnecte toi et ferme toutes les applications en cours :!:
 
   • Double-clique sur l'icône AD-Remover
   • Au menu principal, clique sur "Nettoyer"
   • Confirme le lancement de l'analyse et laisse l'outil travailler
   • Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
 
   • Tuto (par l'auteur) si besoin : http://www.teamxscript.org/adremoverNettoyage.html
 
++

Reply

Marsh Posté le 11-04-2011 à 13:35:32    

Bon, j'ai pas encore eu l'occasion de faire la dernière partie, mais en attendant, merci pour l'aide


---------------
#mais-chut
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed