Salut,
 
je viens d'erradiquer un virus de mon ordi.  
Je l'ai fait analyser par un site avant de le supprimer voici ce que ca donne:

Ce virus se logeait dans C:\Users\Nicolas\AppData\Roaming\install\security.exe, il lançait firefox.exe de manière totalement invisible pour moi a chaque démarrage.
 
Firefox ne semble pas avoir été altéré. J'imagine que c'était un keylogger vu son comportement non ? Je suis a peu prêt sur que le processus security.exe de ce virus n'a pas eu accès au net, il ne fait pas partit des exceptions de mon pare-feu.
 
Question: Je sais que c'est pas évident comme ca, mais est-ce que des données personnels (comptes bancaires et co) ont pu être transmises par ce biais ?
 
A+

Salut,  
 
Un trojan dropper est conçu pour permettre à d'autres infections d'infiltrer ton ordinateur. D'où les connexions à ton insu.
 
Par sécurité, je te conseil de changer tous tes mots de passe de connexion vers internet (réseaux sociaux, compte bancaire,....)
 
Certaines infections sont capables de passer outre le pare-feu et ne sont pas détectées par les AV.
 
Je te propose faire un diagnostic de ton ordinateur pour vérifier si ce dropper n'a pas installé d'autres infections :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Attention, le site de ci-joint n'accepte pas les fichiers trop volumineux. Si le fichier de ZHPDiag est trop lourd tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 
Je te rappelle que la charte de ce forum interdit de poster directement les rapport dans tes réponses.
 
Comment héberger un rapport sur ci-joint :
 
 
 • Clique sur ce lien : http://www.cijoint.fr/
 • Clique sur "Parcourir"... et cherche le fichier du rapport que tu souhaites me transmettre.
 • Clique sur "Ouvrir".
 • Clique sur "Cliquez ici pour déposer le fichier".
 • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
 • Copie-colle ce lien dans ta réponse.

Salut,  
 
merci pour la réponse. Entre temps les choses se sont un poil agravée je n'arrive plus a lancer Firefox il crash systématiquement.  
 
Je veux bien tester ton soft, par contre il fait quoi  au juste ?  
 
A+

D'autres avis sinon ?

Tu ferais mieux de suivre le conseil de malwarebleach .

Je vais le faire quand je rentrerais oui.

Salut Ill Nino,    
 

 
ZHPDiag est un outil de diagnostic, il permet de vérifier s'il y a des infections présentes sur un ordinateur. En gros, il scanne ton ordinateur en particulier les programmes actifs. Mon rôle est de l'analyser et s'il y a des infections de te proposer de de les supprimer en utilisant des outils adaptés. En générale, si la désinfection va jusqu'au bout, je termine par des conseils de mises à jour et de sécurisation de ton ordinateur. Suivant le type d'infection rencontrée, je te donne des conseils pour t'en prémunir.
 
Si tu es intéressé, suis les recommandations de mon post à son sujet.

Ok, voici du coup le rapport:
http://www.cijoint.fr/cjlink.php?f [...] 4gkLAm.txt

EDIT: D'ailleurs a cette ligne on voit l'entrée dans le registre du virus:
O53 - SMSR:HKLM\...\startupreg\HKCU  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Nicolas\AppData\Roaming\install\security.exe

Re,  
 
L'infection dont tu parles est toujours présente sur ton ordinateur, on va tenter de la supprimer complétement. Attention au téléchargement de cracks , tu mets tes données personnelles en danger, sincèrement.
Pour ton information => A lire sur le danger des cracks
 
• Télécharge RogueKiller (de Tigzy) sur ton bureau.
• Tu possèdes malwarebytes anti-malware, lance le, met le à jour et quitte le programme.
• Lance RogueKiller. Sous Vista/Seven, clique droit -> lancer en tant qu'administrateur  
• Lorsque demandé, tape 1 et valide
• Un rapport (RKreport.txt) se créé normalement à côté de l'exécutable.
 
Ne pas redémarrer ton ordinateur avant de passer à cette étape :
 
• Maintenant lance malwarebytes anti-malware,  
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin de l'analyse, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le lien ci-joint du rapport qui va apparaitre après la suppression stp.
• S'il n'apparait pas, tu le trouveras dans l'onglet rapport/log de malwarebytes.
 
 

Arf, tu parles du rzr-cd74.exe ? C'est un trainer tout bete. Mais sinon, j'ai utilisé un NOCD pour éviter à avoir a insérer le jeu systématiquement. Mais bon, je ferais plus attention.
 
Sinon les rapports:
-RKreport.txt : http://www.cijoint.fr/cjlink.php?f [...] 5F25S5.txt
-mbam-log : http://www.cijoint.fr/cjlink.php?f [...] cgH7yx.txt
 
Merci pour ton aide.

Salut,
 

 
On va dire ça.  
 
Si à la fin du scan de malwarebytes tu n'as pas supprimé la sélection, je t'invite à faire un nouvel examen (en mode rapide cette fois) et à la fin sélectionner et supprimer la sélection. =>  No action taken
 
Tu vas faire ceci stp :
 
/!\Désactive tous tes programmes de sécurité/!\
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement (utilisateur de vista et sept clique droit "Exécuter en tant qu'administrateur" )
• Choisis l'option recherche
• Laisse travailler l'outil
• Ensuite héberges  le rapport UsbFix.txt qui apparaîtra sur ci-joint
• Note : le rapport UsbFix.txt est sauvegardé à la racine du disque système

   
 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
 

malwarebytes ne trouve plus le checkuUSB.exe il m'avait bien demandé de rebooter, ce que j'ai fait, il s'est lancé au boot et j'imagine a nettoyé le fichier. J'ai regardé sur le disque en affichant les fichiers cachés et système et il n'y est plus.

Par contre je n'arrive pas a telecharger UsbFix, firefox me met a chaques fois "La connexion a été réinitialisée".

C'est pas un virus mais un malware que j'ai choppé c'est ca ?

EDIT: C'est revenu !!! Je teste...

Voila le rapport : http://www.cijoint.fr/cjlink.php?f [...] zbsLWX.txt

le terme malware désigne l'ensemble des infections. Le virus est de nos jours peu répandu, il ne représente plus qu'environ 2 à 4% des infections que l'on trouve sur les ordinateurs.
 
Dans ton cas, tu es probablement  victime d'une porte dérobée (Backdoor).
 
 
1- Tu vas maintenant passer à l'option de suppression du usbfix (la vaccin de panda va être supprimé, et usbfix va installer son propre vaccin) gardes tous tes supports connectés.
 
 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau (utilisateur de vista et sept clique droit "Exécuter en tant qu'administrateur" )
• choisis l'option Suppression
• Ton bureau disparaîtra c'est normal .
• Ensuite héberges le rapport UsbFix.txt qui apparaîtra avec le bureau sur Ci-joint .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
• ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
• Ce dossier a été créé par UsbFix et est enregistré à la racine de ta partition système.
• Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

2- Ensuite, lance à nouveau ZHPDiag pour générer un nouveau rapport, transmets moi aussi le lien ci-joint de ce rapport.
 
++
 

OK.  
 
Heu, juste avant. Le truc de panda semble référer a l'autorun.inf qui est sur mon mobile nokia. En voici le contenu:

Faut vraiment s'attaquer a lui ? De plus je n'ai jamais utilisé Panda.

Pas d'inquiétude, USBFix ne supprime jamais les autorun.inf qui sont utiles à un appareil comme un APN ou téléphone.
Je pense que le vaccin a du être installé en usine.
 
De plus, USBFix va supprimer en prime :
 
la clé :  HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
 
Une belle infection !

Ok, c'est fait, voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] 1TYIiv.txt

Par contre je vois qu'il a supprimé
Supprimé! H:\autorun.inf
Supprimé! H:\sys

Autant l'autorun c'est pas grave, autant le sys est un répertoire normal dans l'arborescence de Symbian.
EDIT: Ca m'a viré les deux trois apps que j'avais d'installé.
EDIT: Voici le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?f [...] XZ8Z97.txt

C est bon j ai pu reinstaller mes appplications.

ouff, on a frisé la catastrophe.  
 
Cependant, pourrais tu uploder le fichier d'usbfix, ci ce n'est déjà fait vers son concepteur C_XX à cette adresse => http://www.teamxscript.org/Upload.php  (en passant j'ai mis à jour mon canned speech   ).
Le fichier se trouve ici => C:\UsbFix_Upload_Me_LICORNE.zip
 
Il serait intéressant qu'il soit au courant de ce genre de désagrément . En parallèle, je lui donnerai le lien de ce sujet qu'il se fasse une meilleure idée.
 
Je viens d'analyser ton rapport ZHPDiag et plus de trace du vilain malware . Comment se comporte ton ordinateur et en particulier firefox ?
 
J'attends ta réponse pour la suite.

Je l avais fait. Avec toute l aide que j ai recu c est la moindre des choses...
Rien a signalé la. Tout semblr bien marcher. J ai commencé a faire des chngements de mots de passe pour les sites importants.
 
Je me demande par contre ce que ce malware a pu faire de mal concretement. A ton avis meme bloqué derriere le par feu il a pu transmettre certaines infos critiques ?
 
Je serais plus prudent avec les NOCD maintenant en tout cas. Et je te dois en grand merci pour la qualité de ton aide.

Je ne saurais te dire avec précision, ce qu'il a bien pu faire exactement sur ton ordinateur.
Te demander de changer tous tes mots de passe est un principe de précaution, sait-on jamais.

C'est dans l'ordre des probabilités. Le tout est de réagir rapidement, ce que tu as fait me semble t-il, ton côté geek surement et la bonne connaissance de ton ordinateur (en passant super config gamer, tu dois t'éclater avec COD   )

Une question : tu as ta restauration système désactivée, c'est une volonté de ta part ?

Sinon je ne vois pas de programmes sensibles à mettre à jour.

Tu vas désinstaller les programmes de désinfection que l'on a utilisé, sauf malwarebytes bien entendu.  

Procède comme suit :

• Télécharge DelFix de Xplode sur ton bureau.
• Lance DelFix, clique ensuite sur Suppression.
• Patiente pendant la suppression jusqu'à l'ouverture du rapport.
• Poste le lien ci-joitn du contenu du rapport dans ta prochaine réponse sur le forum.

• Note : Le rapport se trouve sous C:\DelFixSearch.

Si tu le souhaites tu peux passer un coup de CCleaner, mais ce n'est pas une obligation, histoire de faire un coup de ménage dans tes temp et le registre.

Le problème de ce type de fichier c'est qu'il sont compressés, ce qui les rend dangereux puisque les AV ne peuvent pas déceler s'ils sont néfastes ou non. Fais surtout attention à tes sources de téléchargement. Pour l'aide pas de pb, je suis un peu ici pour ça, et ça faisait bien longtemps que je n'était pas passé sur Hardware.fr.

J'attends la réponse à ma question et le rapport de DELFix.

On terminera pas un ou deux conseil pour mieux sécuriser ton surf et je te donnerai un peu de lecture.

++

Voici le rapport de Delfix : http://www.cijoint.fr/cjlink.php?f [...] evj0df.txt
 
Oui, c'est volontaire la restauration systeme. J'suis assez maniac et quand quelque chose déconne sur mon ordi je préfère tout réinstaller. J'arrive pas a me dire que la restauration serait faire ca proprement. Elle ne peut restaurer qu'une partie du systeme. Il doit forcement y avoir un delta entre le moment ou ca a été fait et la restauration. La j'ai été a deux doigts de le faire. Mais vu que Sandy Bridge arrive, je ne voulais pas formater deux fois en si peu de temps.
 
N'empêche c'est vraiment le hasard si j'ai vu ce malware. J'ai le task manager de windows qui se lance a chaque boot justement pour avoir un oeil sur ce qui se lance et a un boot j'ai vu firefox.exe qui était lancé sans que je ne l'ai fait. Sans ca je ne l'aurais pas remarqué. A part ca je n'ai rien vu de ce malware.
 
Sinon, j'ai une assez mauvaise image de Ccleaner. C'est peut être faux, mais j'aurais tendance a laisser la base de registre comme elle est plutôt que de risquer de la corrompre. Étant développeur moi même, je sais que les bugs ne sont pas inévitables. Et une suppression de trop est vite arrivée.
 
Enfin bref. Comme dit j'ai jamais vu ca sur le net. A plusieurs reprise je me suis dit que ton aide était vraiment de qualité pro. Ca fait vraiment plaisir comme aide, encore une fois merci et volontiers pour la lecture.

Okay, le rapport montre que tous les tools sont supprimés. Xplode fait du bon boulot (c'est un des formateurs en désinfection du forum helper formation) un jeune dev plein d'avenir, un peu martien sur les bords. Mais il faut connaitre le forum pour me comprendre    
 

 
Tu as raison sur un point, la restauration système ne restaure pas tout le système.  
 
Un lien pour toi sur une fiche concernant le proco que tu as du certainement lire => ICI
Je suis hyper fana du hardware, mais je suis passé surtout dans le côté désinfection. Après une longue absence et une grosse mise à jour tu es le premier internaute que j'ai pris en charge. Content que tout ce soit bien terminé.
 

 
C'est bien ce que je te disais, la bonne connaissance de ton pc et les bons outils.
 

 
C'est un sujet qui fait polémique dans le milieu des chasseurs de virus, passer ou non un soft d'optimisation !? Je lis pas mal sur le sujet et je ne me fais pas encore ma propre opinion. Je propose encore en fin de désinfection l'utilisation de cet outil. Par contre je précise de ne pas l'utiliser à outrance. Toujours le doute !!
 

 
Merci pour tes compliments, ça me fait réellement plaisir. Ceci dit, je ne suis pas un pro, juste un passionné. Voici les conseils et la lecture promise :
 
Tu utilises couramment firefox, si tu ne les possèdes pas déjà, je te conseille d'installer ces deux modules complémentaires afin de sécuriser ta navigation :
 
- AdBlockPlus pour bloquer les publicités ;
- WOT, pour t'avertir des sites web dangereux.  
 
WOT existe aussi pour internet explorer ==> C'est par ici
 
Je t'encourage à faire des sauvegardes régulières de tes données sur des supports externes (CD/DVD, disque externe,....). Certaines infections virulentes ne permettent pas de les sauver et parfois elles sont cryptées et une rançon t'est demandée pour pouvoir les récupérer. Ai toujours une sauvegarde de tes fichiers importants en cas de problème.
 
Enfin, je t'invite à lire ce fichier PDF qui traite de la sécurité informatique. Ce fichier est issu du forum de malekal_morte, qui a mis en place un Projet Antimalware pour sensibiliser l'opinion publique sur les dangers des malwares. J'adhère à 100% sur ce projet. N'hésites pas à le diffuser autour de toi pour que le maximum de personnes soient prévenues.
 
Pour finir, peux tu éditer ton premier post et remplcer [HELP] par [RESOLU].
 
Je ne manquerai pas de lire tes fiches et topic sur Hardware.fr, j'en ai parcourue une ou deux pendant cette désinfection tu fais du bon boulot.    
 
Au plaisir de te lire et de te rendre service en cas de problème.  
 
Tous mes meilleurs vœux pour cette nouvelle année.

Ah ok. Je savais même pas que des forums accès sur la sécurité comme ça existaient. Ou même que des passionnés créaient des outils de désinfection. C'est vraiment une très bonne initiative.

Je vais lire tout ca. C'est clair que le monde des malware est mal connu. Je pensais etre plus ou moins au courant vu le temps que je passe sur le net, mais finalement j'en savais peu de choses et même en étant prudent j'me suis quand même fait avoir.
C'est vraiment un gros gros problème ça quand même. Avec le tout connecté au net on a pas finit de lutter contre les menaces. Ta passion a encore de beaux jours devant elle.

Il a l'air excellent WOT. Par contre ici au boulot avec le proxy miteux qu'on a j'arrive meme pas a m'inscrire. Mais bon, j'vais tester a la maison.

Sinon, Malware Malbytes est la référence au sujet des malwares ? Est-ce qu'il y en a d'autres de sérieux ?

Et puis pareillement ! Bonne année !

Salut,
 

 
Il existe quelques forums de formation à la désinfection.
La plupart des outils de désinfection que l'on utilise sont créés par des bénévoles. Tu peux lire leur pseudo en générale à la suite du nom de l'outil que l'on demande de télécharger. C'est un super travail, je dirais d'utilité public.
 

 
C'est vrai que le monde du malware est mal connu, et pourtant, leurs concepteurs font fortune sur le dos des internautes qui possèdent un ordinateur piégé. Et comme tu le dis, la lutte antimalware n'est pas prête à s'arrêter malheureusement.
 

 
Malwarebytes est un très bon antimalware, une référence en effet. Pour les autres programmes sérieux, perso je me contente d'un antivirus à jour (peu importe lequel, pour moi c'est avira, malwarebytes, un pare-feu bidirectionnel, et surtout un comportement prudent vis à vis d'internet.  
 
Au plaisir.

Ca marche !