Virus qui copie mon historique internet

[CadetSpiff]

Bonjour à tous,

Je me suis aperçu récemment qu'un virus copiait dans un fichier, pleins de .txt dans lequel mon historique historique internet est tracé.

Il est effectue cette opération dans le dossier Program Files -> CLE puis dans ce dossier, plusieurs fichiers txt, nommé comme suite :

!Mail_20140901_193700_log.txt
!Mail_20140901_193716_log.txt
!Mail_20140901_193725_log.txt
!Mail_20140901_193744_log.txt
etc....

Dans chacun de ces fichiers, l'ensemble de mon historique de navigation y est tracé toutes les 20s.
Si je supprime ce dossier, il revient lors du prochain redémarrage.

J'ai beau faire des Scans AVIRA, Malware Bytes, rien n'y fait....
Comment être sûr que je n'ai pas d'autres virus, si ces antivirus anti-malwares, ne détectent rien....
Bonne journée et merci d'avance à ceux qui me répondront.

CadetSpiff

[Malekal_morte]

Salut,


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMFILES%\CLE\*
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[CadetSpiff]

Merci pour l'aide.
J'essaie de lancer les manip au plus vite et vous renvoie le bilan comme décrit dans votre réponse.

[CadetSpiff]

J'ai effectué les manipulations (au passage très claires).
Merci beaucoup et bonne soirée.

OTL/TXT
https://up2sha.re/file?f=QGknrrEhzoQN

Extras.txt
https://up2sha.re/file?f=LQvR71vG34jx

Désolé pour la non utilisation de Pjjoint.malekal mais impossible de charger mon fichier via les deux méthodes proposée...

[Malekal_morte]

Les rapports sont illisibles.
Attache les ici en pièce jointe (bouton en bas ajouter des fichiers joints quand tu rédiges un messages).

[CadetSpiff]

J'ai réessayé Pjjoint.malekal sur un autre ordi... même résultat.
Par contre, en pièce jointe, impec.

Bonne soirée.

OTL > http://pjjoint.malekal.com/files.php?re ... 8l6z5w8q13

EXTRA > http://pjjoint.malekal.com/files.php?re ... 8s8y8c6j14

[angelique]

ça te parle ça ?

O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\enregistrement.exe.lnk = C:\WINDOWS\system32\SP.EXE (niko) --PRC - [2010/02/27 19:58:42 | 000,315,392 | ---- | M] (niko) -- C:\WINDOWS\system32\SP.EXE

zip C:\WINDOWS\system32\SP.EXE et met le en piece jointe dans ta prochaine réponse

[CadetSpiff]

voilà le fichier zipé.

[angelique]

Mouai c'est référençé nul part ! ça sent l'appli perso codée

1 . Kill via le gestionnaire de tache (executer --> taskmgr --onglet processus) --> C:\WINDOWS\system32\SP.EXE < tu dois voir SP.EXE dans la liste (terminer processus)

2 . Va dans C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\enregistrement.exe.lnk << supprime enregistrement.exe.lnk

3 . Supprime dans le dossier Program Files -> CLE tous les !Mail*....._log.txt

4 . Redémarre Ѡindows et voit si ça se recrée ?? , si ça se recrée pas , alors supprime C:\WINDOWS\system32\SP.EXE

[CadetSpiff]

Merci beaucoup pour votre aide, le fichier CLE a disparu ;P
Merci angélique et Malekal_morte.

Pour l'info, oui le CD d'install me semblait suspect lorsque je l'avais acheté en occasion.
Mon cd original ne boutait plus pour que je puisse formater.

Maintenant je me demande si la longueur de démarrage de mon pc n'est pas à mettre sur d'autres prog. perso...

La future bonne démarche serait de passer sur une version en bonne et due forme (et saine): Genre Windows 7 ou 8? ou soyons fou, Linux!
puis de suivre votre guide "Anti-Virus"?

Passez un agréable Week-end.

[angelique]

Tu peux te diriger vers une distribution GNU_Linux oui , Debian , Xubuntu ...

sinon si ç'est bon alors:


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/malwarebyte-ant ... les-virus/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Il est important de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer flash ( voir 3 - Le format SWF (Flash) et les risques liés à son utilisation - http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html - ), JavaScript, et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections ( - http://forum.malekal.com/les-exploits-s ... t3563.html - )!!


Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/ < https://download.mozilla.org/?product=f ... in&lang=fr > ou setup d'installation hors ligne > http://www.mozilla.org/en-US/firefox/all/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock : chrome://adblockplus/content/ui/firstRun.html



List FR + EasyList << à mettre à jour regulièrement ainsi que les autres





NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/ : http://www.commentcamarche.net/faq/1567 ... -obeissant

Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/