Résolu PC sous windows 8.1 infécté

[mat9443]

Bonjour à toutes et à tous,
Je viens faire appel à vos connaissances et lumières.
Mon pc a été infécté cette semaine. Il n'était quasiment plus utilisable. J'ai pu m'en sortir avec Malwarebytes Anti-Malware.
Depuis, l'ordi rame, des popus s'ouvrent et une invite de commande s'ouvre puis se referme instantanément de temps en temps.
Aussi ma carte bleu a été piraté alors que je n'ai pas fait d'achat depuis un grand moment, du coup je voudrais être sûr que mon pc soit clean.
Merci de m'avoir lu.
Cordialement.

 

[job31]

Salut,

si tu veux être sûr tu formates.

 

[mat9443]

Salut,
merci à toi job31. Je pensais qu'un scan et un désinfection approprié serait suffisant. Le formatage est donc inévitable ?

 

[patt024]

Perso, je trouve le formatage assez extrême... mais c'est vrai que tu serais sur à 100 %

Sinon un scan avec ADWcleaner va te permettre d'enlever toolbar et popup, un antivirus permettrait d'enlever trojans et FRST permettrais de voir tout les problèmes, mais il faut s'y connaitre pour nettoyer.

 

[mat9443]

Salut patt024, merci pour ta réponse. Si je poste un scan sur ce post, pourrais tu me guider ? Merci.

 

[patt024]

Je veux bien, mais s'il te plait ne post pas les fichiers et encore moins un copier/coller. Suis les étapes sur cette page :

Vous devez être connecté pour voir les liens.

Je vais tenter de t'aider.

Et n'oublie pas Shortcut.txt

 

[Namnaute]

Salut,
il y a un autre moyen, qui ne dispense pas de faire un nettoyage en profondeur, mais qui contournera la réinstallation.
Apprendre à créer une clé USB Live de Ubuntu (ou autre linux) et s'en servir pour les achats.
Avec cet outil c'est assez instinctif http://www.linuxliveusb.com/
Prévoir une clé de 2 Go. C'est un système qui se lancera sans procéder à une installation. Suffit de démarrer sur la clé USB.

 

[hyunkel30]

Bonjour,

Et sinon, demandé aux gentils spécialistes de Tom's Guide en sécurité non ?

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• ■ Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  ■Clique sur le bouton Analyser.
  ■L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  ■A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).

Poste les deux rapports générés.

■Pour les rapports, merci d'utiliser

Vous devez être connecté pour voir les liens.

: dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

Vous devez être connecté pour voir les liens.

 

[patt024]

Soit le bienvenu hyunkel30 !!! Je te laisse faire le FIX, tu as certainement plus d'expérience que moi avec FRST !

 

[mat9443]

Salut,
merci à tous pour vos réponses.
Voici les deux liens demandés :

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

J'ai utilise un autre site car celui que tu m'as recommandé ne prenait pas en charge les fichiers de plus de 2MO.

 

[hyunkel30]

Re,

Ouais quand même ...
Ton pc est devenu un joli zombi, plus détournement DNS donc ça m'étonne pas ton piratage de carte ...
Tu devras en fin de procédure seulement, modifier l'ensemble de tes mots de passe, pour tous les services que tu aurais utilisé, et/ou ceux enregistré sur ce système.

Quelques questions avant de lancer le correctif :

- StreamOptimizer : c'est toi qui utilise ça ?

- MPCOnline : ça te dis quelque chose ?

- Tu as volontairement modifié ton fichier hosts ?

 

[mat9443]

Bonjour,
pour te répondre. Non, je n'utilise pas streamoptimizer
MPCOnline ne me dit rien.
Je ne pense pas avoir changé le fichier host car je ne sais pas ce que c'est. J'ai juste fait en sorte qu'à l'allumage du pc, la touche verr num soit activé.

 

[hyunkel30]

Re,

Ok, on y va alors :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- StreamOptimizer

~~~~~~~~~~~~~~~~~~~~~~~~~~


2)

• ■Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  ■Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  [fixed]start
  CreateRestorePoint:
  CloseProcesses:
  Task: {0019EB2B-24D2-4793-945E-DA54CFC10224} - System32\Tasks\{BA4A7DE4-CF9F-44B0-B9F7-BE86E78AB251} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe"
  Task: {0738DB1E-483E-4DA5-9E60-054B370B9882} - System32\Tasks\{43B13C5D-D1B0-4346-8313-51755063718D} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
  Task: {20AC0FA9-76FF-4FE9-8EA2-155B0814DD82} - System32\Tasks\{013C51EA-66AE-4DFD-B485-88B6556D4BA6} => pcalua.exe -a "C:\Program Files (x86)\Max Driver Updater\uninstaller.exe"
  C:\Program Files (x86)\Max Driver Updater
  Task: {39281DB1-091C-44F7-864E-300AFE1144C0} - System32\Tasks\Coerwcult Center => C:\Program Files (x86)\Crecult\Coerwcultcntdnk.exe
  C:\Program Files (x86)\Crecult
  Task: {607306EF-ABC3-46A9-8073-2DB46F5A8A53} - System32\Tasks\{E2F645EC-80CA-4DC3-A787-894ED2E4D256} => pcalua.exe -a C:\Users\matthieu\AppData\Local\uninstallssl.exe
  Task: {96D4600B-CE57-4279-92F9-8557215BC9BF} - System32\Tasks\GTFKUNKLETOWN => gtfkunkletown.exe
  Task: C:\Windows\Tasks\{87F52718-0C5C-BE33-3A00-BC9F5E839967}.job => C:\Windows\system32\regsvr32.exe2/s /n /i:/rt C:\PROGRA~3\537c3917\d0dd8b2.dll
  C:\PROGRA~3\537c3917\d0dd8b2.dll
  FirewallRules: [{2F62E9B0-30F4-4588-8080-EB1080B5CCFF}] => (Allow) C:\Program Files (x86)\SrpnFiles\SrpnFiles.exe
  FirewallRules: [{23CFB933-4419-4F53-B42F-D47A2D9BF0A8}] => (Allow) C:\Program Files (x86)\SrpnFiles\SrpnFiles.exe
  FirewallRules: [{91AD44B2-24F3-4B9D-9973-3776C403FF6B}] => (Allow) C:\Program Files (x86)\SrpnFiles\downloader.exe
  FirewallRules: [{7F972254-F2F4-4A59-9BED-F41E33564F05}] => (Allow) C:\Program Files (x86)\SrpnFiles\downloader.exe
  FirewallRules: [{FED557D4-1C24-4150-B2F6-E11985B3DA50}] => (Allow) C:\Users\matthieu\AppData\Local\Temp\MPCOnline\MPCDownload.exe
  FirewallRules: [{9033B873-E25F-4ECB-BA2B-790D3B9CF699}] => (Allow) C:\Users\matthieu\AppData\Local\Temp\MPCOnline\MPCDownload.exe
  C:\Program Files (x86)\SrpnFiles
  C:\Program Files (x86)\GTFKUNKLETOWN
  Tcpip\..\Interfaces\{07992710-7608-419F-B3BB-448153488E71}: [DhcpNameServer] 82.163.143.157
  Tcpip\..\Interfaces\{213C6A76-7288-46E2-8571-BD7655BF1C77}: [NameServer] 82.163.143.157,82.163.142.159
  Tcpip\..\Interfaces\{D72D0AD9-F96C-4A9F-A874-FF14AC521AF6}: [DhcpNameServer] 82.163.143.157
  Tcpip\..\Interfaces\{DD09165C-77C3-4397-ABE9-0F0CDE234EDF}: [DhcpNameServer] 82.163.143.157
  S3 CHNGTSvc; c:\exervice.exe
  Vous devez être connecté pour voir les liens.
  [X]
  c:\exervice.exe
  U3 McAPExe; pas de ImagePath
  U3 McMPFSvc; pas de ImagePath
  U3 McNaiAnn; pas de ImagePath
  U3 mcpltsvc; pas de ImagePath
  U3 McProxy; pas de ImagePath
  U3 mfecore; pas de ImagePath
  U3 MSK80Service; pas de ImagePath
  2016-08-22 09:06 - 2016-08-22 09:06 - 01608192 ____H C:\Windows\system32\BITB9B9.tmp
  2016-08-22 09:06 - 2016-08-22 09:06 - 01608192 ____H C:\Windows\system32\BIT1182.tmp
  2016-08-21 19:30 - 2016-08-21 19:30 - 00022180 _____ C:\Windows\System32\Tasks\GTFKUNKLETOWN
  2016-08-21 19:29 - 2016-08-21 19:30 - 00000000 ____D C:\Program Files (x86)\GTFKUNKLETOWN
  2016-08-21 19:25 - 2016-08-21 19:25 - 00003096 _____ C:\Windows\System32\Tasks\{E2F645EC-80CA-4DC3-A787-894ED2E4D256}
  2016-08-21 19:19 - 2016-08-21 19:19 - 00003094 _____ C:\Windows\System32\Tasks\{BA4A7DE4-CF9F-44B0-B9F7-BE86E78AB251}
  2016-08-21 18:59 - 2016-08-21 19:17 - 00000000 ____D C:\Users\matthieu\AppData\Local\app
  2016-08-21 18:56 - 2016-08-21 18:56 - 00000002 _____ C:\END
  2016-08-21 18:49 - 2016-08-21 21:10 - 00000000 ____D C:\Program Files (x86)\WebShield
  2016-08-21 18:34 - 2016-08-21 18:34 - 00003096 _____ C:\Windows\System32\Tasks\{43B13C5D-D1B0-4346-8313-51755063718D}
  2016-08-21 18:32 - 2016-08-21 18:32 - 00003118 _____ C:\Windows\System32\Tasks\{013C51EA-66AE-4DFD-B485-88B6556D4BA6}
  2016-08-21 18:30 - 2016-08-21 21:10 - 00000000 ____D C:\Program Files (x86)\SoSoEasy
  2016-08-21 18:30 - 2016-08-21 18:51 - 00000000 ____D C:\Users\matthieu\AppData\Local\WikiZ
  2016-08-21 18:30 - 2016-08-21 18:30 - 00008992 _____ C:\Windows\System32\Tasks\Coerwcult Center
  2016-08-21 18:30 - 2016-08-21 18:30 - 00000000 ___HD C:\Program Files (x86)\6wuFDAF
  2016-08-21 18:28 - 2016-08-21 21:10 - 00000000 ____D C:\Program Files (x86)\Crecult
  2016-08-21 18:16 - 2016-08-21 20:54 - 00000000 ____D C:\ProgramData\537c3917
  2016-08-21 18:16 - 2016-08-21 18:16 - 00000388 ____H C:\Windows\Tasks\{87F52718-0C5C-BE33-3A00-BC9F5E839967}.job
  2016-08-21 18:13 - 2016-08-21 18:14 - 00002560 _____ C:\Users\matthieu\AppData\Local\uninstallssl.exe
  2016-08-21 18:12 - 2016-08-21 21:10 - 00000000 ____D C:\Users\matthieu\AppData\Local\Apps\2.0
  2016-08-21 18:12 - 2016-08-21 21:10 - 00000000 ____D C:\Program Files (x86)\host
  2016-08-21 18:12 - 2016-08-21 20:54 - 00000000 ____D C:\Program Files\IcattiUn
  2016-08-21 18:12 - 2016-08-21 18:12 - 00000000 ____D C:\Program Files\Icatti
  2016-08-21 18:04 - 2016-08-21 18:04 - 00000000 ____D C:\5bdcd363aa7527cc022aaee1
  2016-08-21 18:03 - 2016-08-21 18:04 - 00000000 ____D C:\d3a637ef37c6613bec539517
  2016-08-21 18:02 - 2016-08-21 20:54 - 00000000 ____D C:\Program Files\Caster
  2016-08-21 18:13 - 2016-08-21 18:14 - 0002560 _____ () C:\Users\matthieu\AppData\Local\uninstallssl.exe
  C:\Windows\Tasks\{87F52718-0C5C-BE33-3A00-BC9F5E839967}.job
  cmd: ipconfig /flushdns
  Hosts:
  EmptyTemp:
  end[/fixed]
  
  ■Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  ■Ferme toutes les applications, y compris ton navigateur
  ■Double-clique sur FRST.exe
  ■Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
  Vous devez être connecté pour voir les images.
  
  ■ Le pc va demander à redémarrer, accepte.
  ■L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

 

[mat9443]

Re,

Je n'ai pas pu désinstaller le programme demandé.
La correction s'est bien déroulé.
Voici le rapport :

Vous devez être connecté pour voir les liens.

 

[hyunkel30]

Re,

Comment se comporte ton système maintenant ? as-tu encore des lenteurs, des pop-ups ou d'autres symptômes ?

 

[Namnaute]

Juste pour info, c'est légitime ça ?

DisableMSDefender (Version: 1.0.0 - Hewlett-Packard Company) Hidden

Sinon en effet y' a des sites chinois dans le hosts

 

[hyunkel30]

Re,

Oui, c'est un logiciel propriétaire HP, de la marque de son PC, qui permet de désactiver Windows Defender si l'utilisateur installe la solution de sécurité proposée avec le PC (McAfee à mon avis vu les restes que j'en ai supprimé)

Néanmoins l'utilisateur ne le vois pas dans sa liste des programmes (hidden), et il n'est pas actif car McAfee n'est plus installé, et on vois en début de rapport que Windows Defender est bien actif et à jour.

Pour info le souci de détournement ne vient pas du fichier hosts (les domaines sont sur boucle locale, donc plutôt bloquée), mais d'un détournement de DNS

 

[Namnaute]

oui je comprenais pas l’intérêt de bloquer l’accès à ces sites...
Se faire passer pour eux, afin d' intercepter les transactions redirigées sur des fakes sites?

Merci pour la réponse

 

[mat9443]

Bonjour,
un grand merci à toi hyunkel30. Mon pc refonctionne comme auparavant.
Sans vouloir abuser de ta gentillesse, je possède un autre pc sous xp sp3 qui est très lent au premier démarrage de mon navigateur. Je crains que cette machine soit elle aussi infectée. Penses tu pouvoir à nouveau m'aider ?

 

[hyunkel30]

Re,

Pour conclure déjà sur ce pc :

/!\ Comme indiqué précédemment, tu dois maintenant modifier tous tes mots de passes de services Internet utilisé avec ce pc infecté et/ou stocké sur ton système et/ou navigateur Internet /!\

Ensuite :

Télécharge

Vous devez être connecté pour voir les liens.

(de Xplode) sur ton bureau.

■ Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
■ Ne touche pas aux options cochées
■ Coche en plus "Purger la restauration système"
■ Clique sur le bouton "Exécuter"
■ Laisse travailler l'outil.
■ Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

############


Prévention :

Ton PC a été infecté par des adwares, à savoir des logiciels potentiellement indésirables qui se mettent en place lors des installations de logiciels.

Il faut donc que les utilisateurs de ce PC veillent à ne pas donner leur accord pour que ceux-ci s'installent lors des installations de logiciels (en décochant par exemple les cases précochées qui autorisent l'installation d'un moteur de recherche).

Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans

Vous devez être connecté pour voir les liens.

en utilisant cet outil :

Télécharge

Vous devez être connecté pour voir les liens.

(de guigui0001) sur ton bureau.

Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• ■ Lance-le en double-cliquant sur Adware_Prevention.exe
  ■ Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
  ■ A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
  
  
  Vous devez être connecté pour voir les liens.
  
  
  ■ Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !

Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration

~~~~~~~~~~~~~~~~~~~~

Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

■Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

Vous devez être connecté pour voir les liens.

et

Vous devez être connecté pour voir les liens.

■

Vous devez être connecté pour voir les liens.

et/ou

Vous devez être connecté pour voir les liens.

offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant :

Vous devez être connecté pour voir les liens.

et

Vous devez être connecté pour voir les liens.

par exemple. (pour Chrome :

Vous devez être connecté pour voir les liens.

ou

Vous devez être connecté pour voir les liens.

;

Vous devez être connecté pour voir les liens.

)

■Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux utiliser un outil comme

Vous devez être connecté pour voir les liens.

pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.

Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html
https://forum.tomshardware.fr/threads/dossier-pr%C3%A9vention-protection.238177/

###########

Sans vouloir abuser de ta gentillesse, je possède un autre pc sous xp sp3 qui est très lent au premier démarrage de mon navigateur. Je crains que cette machine soit elle aussi infectée. Penses tu pouvoir à nouveau m'aider ?

Je dois refuser tout simplement car je ne prend plus en charge les systèmes XP, car devenu obsolète, et n'étant plus suivi par Microsoft depuis Avril 2014.
Des pc sous XP ne devraient plus être connecté à Internet, car ils comportent de nombreuses failles de sécurité non colmatée et activement utilisées.

Je t'invite donc à lire ceci et a passer au plus vite à un système maintenu à jour :
https://forum.security-x.fr/windows-xp/fin-du-support-de-windows-xp-quelles-alternatives-13100/