Discussion :

[Otacon95]

Salut tout le monde, je viens vers vous car j'ai un problème ennuyeux...
Ce matin j'ai allumé mon ordinateur portable qui ma affiché un message inhabituel, pas de message windows ni rien, un bel écran noir avec du texte du style "objet malveillant détecté, scan Bitdefender en cours..." c'est marrant car j'ai Avast, jamais eu bitdefender sur ce pc... bon je continue mon taf car c'était très urgent, la PC a ramé comme pas possible, ça allais mieux dans l'apres midi après que l'urgence soit passé, j'ai pensé a une attaque ciblé (quelqu'un qui attaque pendant cette heure la pour bien me prendre la tete..) et je viens vers vous pour avoir quelques conseils, est ce qu'un scan avec une clé usb bootable pourrait permettre de voir quelque chose etc...? un formatage sera utile? (il sera fait quoiqu'il arrive)
Je vous remercie d'avance pour vos réponses

[JML19]

Bonjour

Passe un coup de Malwarebytes et AdwCleaner.

[Otacon95]

j'ai pensé a ça, mais si ça se lance avant le système... voila quoi

[labougie]

salut,

Il est possible d'utiliser Rkill de Grinler.

1/ Rkill
Lien 1

Lien 2
Lien 3
Lien 4
iExplore.exe ou eXplorer.exe,

• Avant de Commencer tu dois désactiver tes logiciels antimalware, pour qu'ils n'interfèrent pas avec Rkill, de plus ils risquent de le reconnaitre comme néfaste,
• Télécharge le Lien #1.
• Sauvegarde le sur ton bureau
• Double clique sur l'icône RKill .
  Si tu utilises vista 7 8 8.1(clique droit et choisi en tant qu'administrateur)
• Une fenêtre noire va apparaitre brièvement indiquant que l'opération a réussie.
• Si toutefois cela échouait, supprime cette application et Télécharge le Lien #2.
• Continue ainsi de suite jusqu'à ce l'utilitaire fonctionne.
• Si aucun des liens ne fonctionne, indique le moi.
• le rapport se situe => c:\Windows\rkill.log

Puis tu enchaines en suivant ce lien
Tu postes les 2 rapports en suivant
Labougie

[labougie]

As tu des problèmes pour exécuter la manipulation?
Si oui, indique moi quels sont ils.

Dans le cas ou ton système se refuse à correctement booter, indique l'Os sur lequel le problème est présent, puis, si la version (si tu la connais est en 32 ou 64 bits).
A partir de là, nous emploierons une autre méthodologie.

Pour mettre à dispo les rapports demandés, te voici une aide.

2ème solution - Hébergement sur Cjoint

Si le rapport est trop volumineux pour l'héberger de cette façon, passer par un hébergeur comme Cjoint en cochant 21 jours pour la durée d'hébergement.
Explication : Cliquer sur Lire
Communiquer les liens obtenus pour chaque rapport dans la réponse sur le forum.

labougie

[Otacon95]

roguekiller ne se lance pas, je vais tester MRT, je ne me rappel plus de la manipulation pour lancer l'utilitaire au démarrage

[labougie]

Si tu veux une aide efficace, il faut appliquer ce qui est demander, et non pas faire ce que bon te semble.
La désinfection d'une machine n'est pas sans risque, et ton comportement vis à vis d'elle sera soit un frein, soit une aide précieuse.

Rkill permet de produire d'excellents résultats, Je n'ai rien contre roguekiller de tigzy mais je ne t'aies pas demandé de le passer.

De plus, tu ne réponds à aucune de mes questions.

Commence par bien lire, puis appliquer ce qui est demandé.

labougie

[Otacon95]

autant pour moi, je pensais que Rkill était une abréviation de roguekiller

De plus, c'est un windows 8.1 64bits

[Otacon95]

http://www.cjoint.com/data3/EGvuXVje8uO_Rkill.txt

[labougie]

Parfait,
Rien ne bloque dans ce rapport, en revanche tu as plein de fichiers %temp%.

Nous allons examiner ton système; Bien lire les consignes avant de les appliquer

[hr]

Charge cet outil
Zoek By Smeenk

Désactive ton antivirus car Zoek.exe sera sans doute supprimé au chargement, l'outil est reconnu néfaste mais ne l'est pas, c'est un faux positif.

Lien de chargement de l'outil.

Double clique sur l'exe, pour obtenir ceci



Copie colle le script bleu suivant dans le cadre de l'outil

createsrpoint;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;e
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;e
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run;e
Autoclean;
standardsearch;

• Clique sur "Run Script"

La fênetre de l'outil disparaît un instant puis affichera ce texte

Zoek.exe is running now.
Do not start any browser windows, they may get closed automatically.
Please wait! This window will close when finished.
A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log

Patiente le temps que l'outil produise son rapport.
En fonction des options demandées, le scan peut être long 5 à 10 min

Le rapport s'ouvre automatiquement et, est stocké sous c:\ le rapport sera de la forme C:\zoek-results2014-04-06-000151.log
Si un redémarrage est nécessaire, fais le, et le rapport s'ouvrira ensuite.


Pendant le scan, l'outil affichera une progression de cette façon





Poste le rapport obtenu.
labougie

[Otacon95]

http://www.cjoint.com/data3/EGwiKf3m...ek-results.txt

Au passage, tu peux expliquer ce que tu recherche dans les rapports?
Expliquer un peu le pourquoi des étapes

Aussi, le message ne se fait plus

[txuku]

Bonjour

Otacon95 tu devrais laisser labougie travailler tranquillement - il est assez pointu dans cette matiere et je l ai vu oeuvrer ailleurs !

Quitte a poser tes questions loesque ton os sera sain ?

[labougie]

Txuku, ,

Merci pour ton soutien, (la désinfection c'est plus facile que java ).

Otacon95,

Ton premier message évoque une demande d'aide pour une machine "inféctée", afin de prodiguer l'aide, il me faut des billes. Les outils que je te fais passer sont des outils de diagnostique puissants. Par conséquent, il ne faut pas les utiliser tout seul, mais avec l'aide d'un helper.

Zoek, a supprimé certaines tâches, fichiers et dossiers vides ou néfastes. Si tu le souhaites, nous allons continuer dans cette démarche en utilisant d'autres outils.
En revanche le logiciel Ad-Aware, tu peux le désinstaller en passant par:

• Panneau de configuration
• Programmes et fonctionnalités
• Sélectionne Ad-Aware, clique droit et désinstaller

Ad-Aware ne sert à rien, il est obsolète.

1/ FRST (farbar)
Chargez la version qui convient à votre PC. La version 32 bits pour un pc en X86 (32bits) ou la version 64 bits pour un pc en X64 (64bits).

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur "Actions" puis sur "Exécuter quand même"


Frst 64 bits version=> Cliquez sur le lien, le chargement se lancera tout seul.

Frst 32 bits version=> Cliquez sur le lien, le chargement se lancera tout seul. <<==== ta version

Déposez Frst.exe sur votre bureau.
Regardez bien cette image, frst n'est pas un raccourci, il n'y a pas de flèche.









Maintenant que vous avez chargé la bonne version de l'outil, double cliquez dessus, puis validez le Disclaimer par "Ok"








Cochez en + les cases "Drivers MD5" // "Additions.txt" // "Shortcut" & "90 Days Files"
Cliquez sur "Scan"

Patientez le temps que l'outil analyse votre pc.

Les rapports dont j'ai besoin se situent dans le même dossier que Frst.exe, ils se nomment Frst.txt // Additions.txt & Shorcut.txt


.

labougie

[txuku]

[Otacon95]

http://www.cjoint.com/data3/EGxmwCrpeex_FRST.txt

http://www.cjoint.com/data3/EGxmx488pJx_Addition.txt

http://www.cjoint.com/data3/EGxmyHdRAAx_Shortcut.txt

[labougie]

Salut,

Je prends connaissance seulement de tes messages , ben... oui je travaille pendant que tu es vacances scolaire ou alors tu as un taffe pour l'été, ce que je te souhaite pour les finances.

Le propre d'un virus c'est justement d'être inconnu et surtout le plus discret possible. L'une de ces tâches est justement de faire dans le maximum du "discret" . Ainsi il passe inaperçu dans le système mais surtout aux yeux des protections .

Tu dois prendre connaissance que les développeurs de bestioles usent aussi des antitrucs pour tester leurs bébés afin de les rendre les + invisibles possible. C'est donc le jeu du chat et de la souris qui commence,,,,,,,,.

Je regarde tes rapports et te dis quoi.

labougie

[labougie]

Si tu as passé malwarebyte, j'aimerai en faire la lecture (du dernier rapport d'il y a 2-3 jours je pense).
Si tu ne l'as pas passé,,,,,, NE PAS LE FAIRE pour l'instant

labougie

[labougie]

Plusieurs petites choses .

Je vois que tu fais du développement, c'est cool ça .
En revanche cela l'est moins .

Il faut suivre les conseils donnés, sinon nous n'avancerons pas.
Ad aware => à désinstaller

Idem pour
Java 7 Update 71 => faillible
Java SE Development Kit 7 Update 40

Sachant que tu fais du dév avec netbean, je suppose que tu travailles java (j'ai vu aussi python), les versions 7 sont faillibles sache le. Si inutile pour toi, les désinstaller.

As tu installé ce proxy?
ProxyServer: [S-1-5-21-4235813453-470915818-3126237790-1002] => 192.168.1.62:8080

As te lire avant que je pose un correctif.

Labougie

[Otacon95]

Il faut suivre les conseils donnés, sinon nous n'avancerons pas.
Ad aware => à désinstaller

Je l'ai désinstallé pendant



Idem pour
Java 7 Update 71 => faillible
Java SE Development Kit 7 Update 40

Pas pensé a le faire sur ce PC la


Sachant que tu fais du dév avec netbean, je suppose que tu travailles java (j'ai vu aussi python), les versions 7 sont faillibles sache le. Si inutile pour toi, les désinstaller.

Ca fait longtemps que j'ai pas utilisé netbean


As tu installé ce proxy?
ProxyServer: [S-1-5-21-4235813453-470915818-3126237790-1002] => 192.168.1.62:8080
Le seul proxy que j'ai installé c'est sur une VM pour du SQUID

[labougie]

Concernant le proxy, va falloir me dire si je peux le faire sauter ou pas,,,
Correspond il a "Le seul proxy que j'ai installéc'est sur une VM pour du SQUID"

Tu as beaucoup de scories d'ancien antivirus comme
norton - kasperky ou bitdefender

Je vais prendre une info auprès d'un béta testeur sur kasperky afin de savoir si leur removal-tool et bon sur ta version de windows

je repasse dans la soirée.

pense au proxy en attendant

labougie