Virus windows security alert [Résolu/Fermé]

Signaler
-
badgone78
Messages postés
6
Date d'inscription
lundi 21 mars 2011
Statut
Membre
Dernière intervention
30 mars 2011
-
Bonjour,

J'ai fait des recherches pour voir si d'autres personnes avaient la même chose que moi.
Et le problème que je rencontre est que je n'ai plus la possibilité d'avoir accès au disque dur C: . Et je n'ai aucun icône sur le bureau à part la corbeille et internet explorer (alors que j'utilise Mozilla. Sur le menu "démarrer", lorsque je vais sur "tous les programmes", je n'ai accès,ici, qu'à Openoffice, et ensuite "vide".
Voila pour la premiere partie.
J'ai réussi à utiliser mbam, mais impossible de faire une mise à jour. Il plante au bout de 5 essais. Après l'avoir utilisé cependant, il m'a trouvé 11 fichiers infecté qui ont été mis en quarantaine et supprimé. Sauf, qu'après l'avoir redémarré, rien a changé.
Serait-il possible de m'aider par conséquent.

Merci par avance.

23 réponses


salut,

tu es infecter par un rogue, Un rogue est un faux logiciel de protection qui prétend que votre ordi est infecté, (fausses) preuves à l'appui.
L'erreur à ne jamais faire, c'est de l'acheter en pensant que vous serez bien protégé car vous serez surpris en voyant la somme qui vous sera déduit sur votre carte de crédit.


démarre en mode sans echec puis, fais ceci:

▶Télécharge sur le bureau RogueKiller

▶Quitte tous tes programmes en cours

▶Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
Sinon lance simplement RogueKiller.exe

▶Lorsque demandé, tape 2 et valide

▶Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.
RogueKiller V4.3.2 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: PHILIPPE [Droits d'admin]
Mode: Suppression -- Date : 21/03/2011 14:22:36

Processus malicieux: 0

Entrees de registre: 2
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : Octoshape Streaming Services ("C:\Documents and Settings\PHILIPPE\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun) -> DELETED
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : WmxemlFoTcFj (C:\Documents and Settings\All Users\Application Data\WmxemlFoTcFj.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

Voila...
Messages postés
7482
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
3 avril 2020
527
Hello

Je me permets d'intervenir, je ne sais pas si 91300 est au courant.
Si c'est le cas, je te prie de m'excuser.

Relance RogueKiller , et cette fois choisit le mode 6 et valide.
Colle le rapport.
Utilisateur anonyme
a non je n'étais pas au courant. :)
Tigzy
Messages postés
7482
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
3 avril 2020
527
C'est pour rétablir les raccourcis et les documents disparus ;)
a présent, toujours en mode sans echec:

1/MBAM :
MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:

▣ Télécharge MBAM


▣ Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.


▣ Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\


▣ A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»


▣ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"


> L'analyse peut durer un plusieurs heures...


▣ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"


▣ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"


▣ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI » »

2/ ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

▶ Télécharge zhpdiag (de Nicolas Coolman)

▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


@++
2/
▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

Qualification Helper sur HELPER FORMATION.
RogueKiller V4.3.2 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: PHILIPPE [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 21/03/2011 14:34:20

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 197 / Fail 0
Lancement rapide: Success 9 / Fail 0
Programmes: Success 309 / Fail 0
Menu demarrer: Success 107 / Fail 0
Mes documents: Success 4913 / Fail 4
Mes favoris: Success 7 / Fail 0

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Tigzy
Messages postés
7482
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
3 avril 2020
527
Tu as retrouvé tes icones?
Oui j'ai retrouvé tous mes icones sur le bureau. Merci.

Cependant, quand je vais dans C: , je n'ai que mes 2 rapports enregistrés. et j'ai toujours un fond noir...
Et le PC fait toujours le même boucan...
Tigzy
Messages postés
7482
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
3 avril 2020
527
Est-ce que je lance MBAM et ZHPDIAG maintenant?
Tigzy
Messages postés
7482
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
3 avril 2020
527

non, suis l'ordre donner. lance MBAM puis après avoir supprimer, lances zhpdiag.
je lance MBAM, mais la mise à jour ne veut pas se lancer.
Voici le message d'erreur après 5 tentatives automatiques :

"Une erreur s'est produite. Veuillez transmettre ce code d'erreur à notre équipe de support.

PROGRAM_ERROR_UPDATING(5, 0, Createfile)

Accès refusé"

Je peux lancer ensuite malgré tout un scan. Je fais abstraction de la mise à jour par conséquent, ou absolument pas?

on va essayer comme ceci:

télécharge ceci: http://data.mbamupdates.com/tools/mbam-rules.exe
enregistre le fichier puis exécute le.
ouvre ensuite MBAM qui devrait être a jour.
Il ne me demande plus de MAJ lors de l'execution.

Je lance MBAM.

Je vous poste ensuite le rapport.
Et voici le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6118

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

21/03/2011 15:48:07
mbam-log-2011-03-21 (15-48-07).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 361361
Temps écoulé: 37 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\18669364.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\wmxemlfotcfj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\PHILIPPE\mes documents\téléchargements\rk_quarantine\wmxemlfotcfj.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b89cea26-ecb5-40d8-bb54-f267a162670d}\RP558\A0117418.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{b89cea26-ecb5-40d8-bb54-f267a162670d}\RP558\A0117419.dll (Trojan.Backdoor) -> Quarantined and deleted successfully.
http://cjoint.com/?3dvp9alOJTO

Voici le lien pour le rapport de ZHPD
Est-ce que je redemarre le PC ?
Pouvez vous me dire ce que je dois faire svp ?

Ce script va cibler certains éléments à supprimer :


* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

* Copie les lignes suivantes :
____________________________________________________________________________________________________________________________

O43 - CFD: 13/01/2011 - 10:58:34 - [0] --H-D- C:\Documents and Settings\PHILIPPE\Application Data\12776

C:\Documents and Settings\PHILIPPE\Application Data\12776

[HKLM\Software\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}]
[HKLM\Software\Classes\CLSID\{47c6c527-6204-4f91-849d-66e234dee015}]
[HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661}]
[HKLM\Software\Classes\CLSID\{b791a095-a4ac-4312-8894-5b7e8ff5b3cd}]
[HKLM\Software\Classes\TypeLib\{eca4e801-17ae-4863-9f5c-af4047aabee0}]

__________________________________________________________________________________________________________________________________


* Clique sur "OK"
* Clique ensuite sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
Messages postés
6
Date d'inscription
lundi 21 mars 2011
Statut
Membre
Dernière intervention
30 mars 2011

Rapport de ZHPFix 1.12.3262 par Nicolas Coolman, Update du 21/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-03-2011-22-38-41.txt
Run by PHILIPPE at 21/03/2011 22:38:41
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{47c6c527-6204-4f91-849d-66e234dee015} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661} => Clé supprimée avec succès
HKLM\Software\Classes\CLSID\{b791a095-a4ac-4312-8894-5b7e8ff5b3cd} => Clé supprimée avec succès
HKLM\Software\Classes\TypeLib\{eca4e801-17ae-4863-9f5c-af4047aabee0} => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\PHILIPPE\Application Data\12776 => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\documents and settings\philippe\application data\12776 => Fichier absent


========== Récapitulatif ==========
5 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan
Messages postés
6
Date d'inscription
lundi 21 mars 2011
Statut
Membre
Dernière intervention
30 mars 2011

Que dois-je faire maintenant?
Merci.

tu peux redémarrer en mode normale?
plus de rogue?
Messages postés
6
Date d'inscription
lundi 21 mars 2011
Statut
Membre
Dernière intervention
30 mars 2011

Le PC refonctionne correctement. Cependant, je n'ai toujours rien dans C: .
En effet, je n'ai dessus que les rapports enregistrés et je ne pense pas que cela soit normal.
Qu'en pensez vous?

Merci.
1 2