Cheval de troie dans dossier Roaming

[Tilks]

Bonjour,

D'abord bravo pour ce site très bien fait, je vous explique mon problème :

Constatant une utilisation abusive du processeur et de la carte graphique + un rappel de avast à chaque démarrage (cheval de troie dans dossier roaming) = je pense que mon pc est bien infecté

L'alerte avast a signalé plusieurs choses :

- Java 32 bit n'était pas à jour, j'ai corrigé cela, mais le virus est toujours présent
- le fichier du logiciel schearch&destroy est infecté, j'ai désinstallé, toujours rien

Donc j'ai suivi votre procédure, j'espère que quelqu'un pourra m'aider. Merci !
-----

[chantal11]

Bonjour,

Je regarde tes rapports pour un 1er diagnostic et je te reprends.

@+

[chantal11]

Re,

Désinstalle par Panneau de configuration -> Programmes et fonctionnalités :

McAfee Security Scan Plus (inutile, tu as avast!)

ainsi que ces versions obsolètes Java, tu as déjà la dernière version :
Java(TM) 6 Update 45
Java(TM) 7 Update 4


---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

Tutoriel d'utilisation Malwarebytes en images

----------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
AdwCleaner
Malwarebytes
RogueKiller - Recherche

@+

[Tilks]

Bonjour merci de m'avoir répondu aussi vite, alors voila :

- j'ai bien désinstallé java
- pour désinstaller mcafee, j'ai du utiliser revo uninstaller, puisque le lien dans panneau de config ne marcher pas (erreur fichier introuvable). Il m'a fait ca pour plusieurs autre fichiers auparavant, je pense que c'est du à l'infection. Mais sinon j'ai réussi à le désinstaller

En pièce jointe les rapports + une image de l'alerte avast

Merci !

[A voir en vidéo sur Futura]

[Tilks]

P.S. : Après tes 1er conseils, mon PC n'a plus l'air de chauffer, le processeur à l'air de fonctionner normalement. Cependant il y a toujours l'alerte avast en démarrage.

[chantal11]

Re,

OK pour les rapports.

Tu as bien fait pour McAfee.

Tu as vu ce qu'a détecté Malwarebytes ?
C'est le principal vecteur d'infections et quelquefois des infections très coriaces, qui mettent en danger ton système et tes données personnelles.

On va relancer RogueKiller, suis bien les instructions.

---------------------------------------------------------------------------------------------

RogueKiller :

• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
  
• Dans l'onglet Registre décoche l'entrée
  HKLM\[...]\Run : Nvtmru ("C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" -f "C:\ProgramData\NVIDIA\Updatus \NvTmru\nvtmru.dat"
  
  
• Clique sur Suppression
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse
  
  
• Ensuite clique sur Host RAZ, puis sur Rapport et poste ce rapport dans ta prochaine réponse
  
  
• Ensuite clique sur Proxy RAZ, puis sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Ensuite nous allons contrôler le système avec cet outil :

FRST - version 64 bits :

• Télécharge FRST de Farbar et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
3 rapports Roguekiller
FRST.txt et Addition.txt

@+

[Tilks]

Re,

Oui j'ai bien que le problème était dans le keygen :s

Voici les rapports demandés,

Merci !

[chantal11]

Re,

Encore du nettoyage à faire.

---------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  Task: {C86A9A6B-200C-4E2E-94AE-BD259A0E2CE5} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\FREEzeFrog\bin\1.0.672.0\FREEzeFrogSA.exe No File
  IMEO\ccleaner64.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\dropbox.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\googleearth.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\helplauncher.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\lifecam.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\mcsettings.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\pccompanion.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\setup.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\skype.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\uninst.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\uninstall.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\vcd-uninst.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\vcdmount.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  IMEO\vcdprefs.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2013\TUAutoReactivator64.exe"
  BootExecute: autocheck autochk * sdnclean64.exe
  SearchScopes: HKLM - DefaultScope value is missing.
  BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -  No File
  Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  FF Plugin-x32: @mcafee.com/McAfeeMssPlugin - C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File
  FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
  FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
  S2 AviraUpgradeService; "C:\Windows\TEMP\AVSETUP_51f6c65b\avupgsvc.exe" /TEMPSTART:""C:\Windows\TEMP\AVSETUP_51f6c65b\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" [x]
  S3 McComponentHostService; "C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe" [x]
  2013-07-30 17:58 - 2013-08-03 00:30 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
  2013-07-30 17:58 - 2013-07-30 18:43 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
  2013-07-30 17:58 - 2013-07-30 17:58 - 00000000 ____D C:\Windows\System32\Tasks\Safer-Networking
  2013-07-29 21:06 - 2013-07-29 21:06 - 00002046 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
  2013-07-28 21:29 - 2013-07-28 21:29 - 00000000 ____D C:\Users\Rafael\56CDB4FE895F4E0D8BB49A8D4310898D.TMP
  C:\Program Files (x86)\FREEzeFrog
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST,
  C:\Users\Rafael\Downloads dans ton cas) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog.txt

@+

[Tilks]

Re,

Voici le rapport fixlog

[chantal11]

Bonjour,

OK pour le rapport de correction.

Comment se comporte le système maintenant ?
Toujours des alertes d'Avast ?

---------------------------------------------------------------------------------------------

TFC - Nettoyage des fichiers temporaires :

• Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
• Ferme toutes les applications en cours
• Double-clique sur TFC.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
• Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

---------------------------------------------------------------------------------------------

Nous allons en profiter pour mettre à jour et vérifier des extensions sensibles aux failles de sécurité.

---------------------------------------------------------------------------------------------

Mets à jour ta version d'Adobe Reader :

Désinstalle cette version Adobe Reader X (10.1.7)

Télécharge et installe cette dernière version :
Adobe Reader
N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXCU.exe pour lancer l'application
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
• Poste le rapport_SX.txt dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport SXCU

@+

[Tilks]

Re,

En effet plus aucune alerte de avast au démarrage, c'est bon signe
De plus le système se comporte normalement maintenant, il est même plus rapide qu'avant j'ai l'impression.

Voici le rapport, merci

[chantal11]

Re,

C'est parfait, tout est à jour.

Nous allons pouvoir finaliser.

---------------------------------------------------------------------------------------------

DelFix :

• Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  Maintenir Java, Adobe Reader et le player Flash à jour
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

[Tilks]

Re,

Merci beaucoup pour tous ces conseils Je ferais plus attention à l'avenir. Je pense que c'est revenu à la normal maintenant
Le rapport est en pièce jointe

J'ai juste une question, vous supprimez les discussions quand elles sont closes ? Je dis à propos des données sur mon pc contenu dans les différents rapports

[chantal11]

Bonjour,

OK pour le rapport Delfix.

Non, les sujets restent sur le forum, mais pas d'inquiétude, tes rapports ne sont consultables que par toi-même et les Helpers et modérateurs.
Les autres internautes n'y ont pas accès.

Bonne continuation

[Tilks]

Ok merci beaucoup alors !

[chantal11]

Bonne continuation