trojan fake alertRésolu/Fermé

Question

Bonjour,
Voilà en voulant télécharger un logiciel, mon pc a été infecté. J'ai eu droit à ADWARE/Adware.gen7, trojan Fake Alert, virus Crypt zpack gen, qv06. Auparavant j'ai eu Xp sécurity cleaner pro. Excusez moi du "peu". Antivir et moi en avons apparement suprimés mais je pense qu'il reste un nettoyage à faire . 
je vous joint le rapport Hijackthis :
https://www.cjoint.com/?CFnpATqdgag
Malwarebytes et antivir ne trouvent plus rien.
Merci d'avance pour l'aide apportée.

Fish66 · Answer

Salut,
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

@+

Nickie72 · Answer

merci de ta réponse rapide.
Voilà le rapport
https://www.cjoint.com/?CFnqb0qHEEh
Par contre j'ai eu un petit problème quand j'ai téléchargé adwcleaner, google m'a prévenu qu'on essayait de changer les données (excuse moi si je m'explique mal) et quand le pc a redémaré j'ai eu le message "un handle non valide".

Fish66 · Answer

D'accord!
* Télécharge sur le bureau RogueKiller (par tigzy)    
https://www.luanagames.com/index.fr.html  

* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )    
* Quitte tous tes programmes en cours    
* Lance RogueKiller.exe   

Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe   

* Laisse le prescan se terminer, clique sur Scan   

* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

Nickie72 · Answer

même en le renommant il n'a pas voulu s'ouvrir. j'ai ce message "C:\Documents and Settings\Compaq_Proprietaire\Bureau\winlogon.exe n'est pas une application Win32 valide.
Que dois-je faire

Fish66 · Answer

On va procéder autrement:
Démarrage  en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------
Dans ce mode tu refais la procédure de RogueKiller, ensuite poste le rapport stp

Nickie72 · Answer

bonjour Désolée pour hier. Voici donc le rapport de RogueKiller: RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Compaq_Propriétaire [Droits d'admin] Mode : Recherche -- Date : 14/06/2013 09:06:10 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xF7B62134) SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xF7B620EE) SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xF7B6213E) SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xF7B620E4) SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xF7B620F3) SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xF7B620FD) SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xF7B6212F) SSDT[97] : NtLoadDriver @ 0x80584172 -> HOOKED (Unknown @ 0xF7B6211B) SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xF7B62102) SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xF7B620D0) SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xF7B620D5) SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xF7B6210C) SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xF7B62107) SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xF7B62143) SSDT[240] : NtSetSystemInformation @ 0x8060FE98 -> HOOKED (Unknown @ 0xF7B62120) SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xF7B620F8) SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xF7B620DF) SSDT[277] : NtWriteVirtualMemory @ 0x805B4400 -> HOOKED (Unknown @ 0xF7B620DA) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7B62148) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7B6214D) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Maxtor 6L200M0 +++++ --- User --- [MBR] 4a2ac4fc3378a1baf316abe967da5a4d [BSP] 8a7884da59e414827f91c43dcf324e78 : Toshiba MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 6142 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12578895 | Size: 184629 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_14062013_090610.txt >> RKreport[1]_S_14062013_090610.txt

Fish66 · Answer

Bonsoir, * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag (de Nicolas Coolman) à partir : ce lien * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : FEC Upload ou malekal.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

Nickie72 · Answer

j'ai essayé de télécharger ZHPDiag d'après ton lien. Il me demande de mettre à jour Adobe flash player et quand je veux le mettre, Avira trouve un logiciel malveillant (toujours ADWARE/Adware gen7) et refuse de mettre à jour. Dois je fermer avira et télécharger quand même?

Nickie72 · Answer

oups! autant pour moi, je me suis simplement trompée de loupe. J'ai pris une de gauche au lieu de celle de droite. Désolée.
Voilà le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130615_y14m15q6i5f15

Autre chose. Hier quand j'ai fermé RogueKiller, il m'a été demandé si je voulais faire "supression". Je ne l'ai pas fait car je ne savais s'il fallait ou pas. Ai-je bien fait?

Nickie72 · Answer

bonsoir
Désolée j'ai encore du m'absenter.
Je ne sais pas ce qu'est un logiciel d'émulation de CD. 
J'espère ne pas en avoir.
Je passe combofix et te poste le rapport.

Fish66 · Answer

Bonjour,
On va tout d'abord lancer un autre outil :
Passe un coup de Pre_Scan : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan 
Le rapport est un peu long, héberge le stp

@+

Nickie72 · Answer

bon et bien voilà depuis ce matin j'essaie de scanner avec ComboFix et dès que l'étape 50 arrive, mon PC se ferme et se rallume donc je suis obligée de tout recommencer et rebelote ça recommence. Mon antivirus bien que fermé me demande toujours s'il doit bloquer ou pas. Est ce que ça vient de ça? Je ne sais pas comment fermer plus Avira (là j'avais arrêté Guard, Web et Mail et pourtant j'avais toujours le message pour bloquer).
De même pour Pre_Scan, je le lance et il reste bloqué sur C:\Documents and Sttings\Compaq_proprietaire\ApplicationData\Microsoft\HTLM Help\hh.dat.
J'ai eu beau le relancer plusieurs fois, rien à faire il se bloque aussi. Je ne sais pas combien de temps il met pour scanner mais je pense qu'une demi heure sans bouger c'est long.
Que dois-je faire, Merci

Nickie72 · Answer

je te joint le rapport de Pre_Scan. J'espère qu'il est complet.
https://www.cjoint.com/?CFqrCjNlbdN

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\Drivers\USBkey.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Nickie72 · Answer

j'ai lancé une analyse car je n'ai pas vu "envoyer le fichier" mais je ne trouve pas le lien.
Autre chose depuis que j'ai passé Pre_Scan j'ai toujours un message de sécurité me disant que la connexion que je vais utiliser n'est pas sécurisée et que d'autres utilisateurs du web pourront dorénavant accéder aux informations que j'envoie.  Y a t-il quelque chose à faire pour empêcher ça. Merci

g3n-h@ckm@n · Answer

je suis le concepteur de pre_scan c'est pour cela que j'ai pris la main que je vais rendre à Fish66 une fois ceci passé

Nickie72 · Answer

bravo à toi et merci alors. Bonne soirée

g3n-h@ckm@n · Answer

pour virustotal , le lien est celui de ta barre d'adresse en haut une fois l'analyse terminée

Nickie72 · Answer

Merci je ne suis pas trop douée mais j'm'améliore de jour en jour, enfin j'espère.
Voilà le lien :
https://www.virustotal.com/gui/file/fd3eb10284baea86d42982bd1a0e8861502fff91c4fa5d919a13f7f239eb842b

g3n-h@ckm@n · Answer

bien relance l'outil , il va te proposer une fenêtre avec un menu à boutons

clique sur diag , heberge le rapport Pre_Diag_date_heure.txt et donne le lien

Nickie72 · Answer

je l'ai encore lancé en mode sans échec car ça ne marchait pas.
Voici le rapport
https://www.cjoint.com/?CFquGGbX201

g3n-h@ckm@n · Answer

surement tu desactives pas ces p.... de protections qui servent à rien avant de l'executer...perso je n'utilise pas d'antivirus, anti-machin ou anti-chose.......et j'ai jamais rien eu !!

Nickie72 · Answer

oui mais toi tu es un PRO pas une petite débutante ou presque comme moi. Tu as raison je n'ai pas désactivé  ce "comme tu dis".  Pourtant quand j'ai lancé ComboFix je croyais bien avoir tout désactivé mais j'avais encore des messages de mon antivirus. J'avais du oublié quelque chose mais quoi!!!Bonne soirée à vous deux.

g3n-h@ckm@n · Answer

je vois pas le rapport

g3n-h@ckm@n · Answer

oui mais toi tu es un PRO pas une petite débutante ou presque comme moi

 je vois pas le rapport 

je suis pas une débutante , et je mesure 1.99 m ^^
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

je pense que tu devrais refaire une suppression avec adwcleaner en mode sans echec

Nickie72 · Answer

Bonjour g3n-h@ckm@n.
je reprends la discussion après un gros orage.
J'ai retéléchargé adwcleaner (en serrant les fesses! je rigole) car je l'avais supprimé et voilà le rapport en mode sans echec.
https://www.cjoint.com/?CFrmvbngpr0

g3n-h@ckm@n · Answer

ouis ben je vais te faire un script ensuite je rends la main

Nickie72 · Answer

ok.
Merci à toi.

g3n-h@ckm@n · Answer

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Alcmtr]
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7},]     
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4f12-8568-69135F087DB0},]     
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]     
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]     
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]     
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\Software\Red Sky]     
[HKU\S-1-5-21-4233004631-551953418-747123752-1008\Software\?? ?? ???? ????? ??? ?? ????] 
[HKLM\Software\Companion Wizard]     
[HKLM\Software\BrowserChoice]     
[HKLM\Software\WiseConvert] 


File|Fold::
C:\WA6P     
C:\Documents and Settings\All Users\Application Data\SpeedyPC 
C:\Program Files\Ad-Aware Antivirus 
C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job 

Driver::
29957058
3c6cc2c0
b004a885 
UWASFSD

Clean::

MBR::

Reboot:: 

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Nickie72 · Answer

ci-joint rapport Pre-Scrpt.txt:
https://www.cjoint.com/?CFrnNfYqKxu

g3n-h@ckm@n · Answer

quls soucis persistent ?

Nickie72 · Answer

A part, peut-être, les fenêtres internet qui sont longues à s'ouvrir et deviennent parfois transparentes à l'ouverture, je ne vois rien d'autres comme soucis.

g3n-h@ckm@n · Answer

ok fais ce menage et dis uoi

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Nickie72 · Answer

dans delFix je ne peux pas cocher "reactiver l'UAC" dois-je le lance en mode sans échec

Nickie72 · Answer

voilà j'ai fait tout ce qui était indiqué. Petit problème: maintenant le parapluie d'Avira reste fermé mais quand je clique dessus guard est bien activé mais ça me dit que webguard et mailguard sont arrêtés

g3n-h@ckm@n · Answer

desinstalle-le , réinstalle-le

Nickie72 · Answer

bon ça y est c'est reparti. En fin de compte je n'ai pas eu besoin de désinstaller. 
Je pense que maintenant tout "roule" comme il faut.
S'il ne reste plus rien à faire je te remercie énormément pour ton aide et tes conseils.
De même je remercie Fish66 si de son coté c'est terminé aussi.
Si c'est ok pour vous je vais mettre en résolu
Mille merci

Fish66 · Answer

Bonsoir à tous
g3n-h@ckm@n  que je le salue et le remercie a bien nettoyé 
ton PC.
Il me reste qu'à te dire sois prudent et bon surf..

Bonne soirée

Nickie72 · Answer

en tous cas remerci à vous deux. Bonne continuation à aider d'autres internautes dans le besoin.

Trojan fake alert

40 réponses

Discussions similaires

Newsletters