Forums Zebulon.fr: Je crois être infectée par un trojan - Forums Zebulon.fr

Bonjour,

J'ai essayé de restaurer mon système mais je ne parviens pas jusqu'aux commandes. Des boîtes s'ouvrent sous le nom Vista Home Security 2012 - Unregistred version. Là on me fait état de mon ordinateur "infecté", et quand je clique sur remove all (oui c'est en anglais), je tombe sur une nouvelle boîte qui me dit (toujours en anglais donc quelques difficultés à tout comprendre) tout ce que la version "registered" m'apporterait. Quand pour continuer je clique sur "purchase full version", ô surprise je suis redirigée sur Internet Explorer (j'utilise Firefox), et là on m'invite à laisser mon numéro de carte bleue afin d'être protégée 1 an pour la modique somme de 59.95€ (et c'est le minimum).

Je n'ai bien évidemment pas laissé mon numéro de carte, mais je n'ai pas non plus d'autres solutions que de faire appel à vos services (gratuits lol mais fort sympathiques), car je n'ai plus beaucoup de commandes auxquelles je peux encore avoir accès !

Depuis peu j'ai aussi le message xf9poa4vaz.exe ?
Des boîtes de dialogues apparaissent aussi de façon aléatoire.
J'ai fait un petit tour sur votre site avant de poster mon propre message.
J'ai essayé de télécharger Antivir sans succès car j'ai un message d'erreur.
J'ai mis à jour Internet Explorer. Et maintenant...
Voilà j'attends que quelqu'un me dise quoi faire ? Car je suis loin – très loin – d'être une experte !

Merci beaucoup de votre attention et de votre éventuel coup de main.
Bonne soirée, cordialement.

Bonjour,

C'est évidemment un rogue (escroquerie et faux anti-machin)Il ne faut jamais cliquer sur ce que tu ne connais pas!
http://www.bleepingc...e-security-2012


Télécharge RogueKiller (par Tigzy) sur le bureau
(A partir d'une clé USB si le Rogue empêche l'accès au net) .
RogueKiller
Quitte tous les programmes en cours
Lance RogueKiller.exe.

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.
(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Si les raccourcis ont disparu, relance l'outil en mode 6.
Poste le rapport RKreport[2].txt.

@++

Ce message a été modifié par Apollo - 28 janvier 2012 - 10:03 .

Bonsoir,

Je suis désolée pour ma réponse tardive.
Je crois que la santé de mon pc s'aggrave car je vous fais réponse en mode sans échec !!
Quand je lance mon pc je tombe direct sur la fenêtre Vista Home Security (entre autres) et lorsque je ferme toutes les boites je n'ai plus qu'un écran orange ?!
En attendant de vos nouvelles voici le rapport (bien que je ne sache pas réellement si j'ai fait la bonne manip !)

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/45)
Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Béatrice [Droits d'admin]
Mode: Recherche -- Date : 28/01/2012 22:17:15

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND
[SUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[FILEASSO] HKCR\.exe : (sno) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤



¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: +++++
--- User ---
[MBR] dfcbcae4756ffb1d202161186cd08633
[BSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Voilà je vous remercie, bonne soirée.
Cordialement.

Re,

Ne t'en fais pas, on va le trucider.

Oui, relance l'outil et choisis le mode 2.

Poste le rapport stp.

@++

Je vais aller dodoter car je suis là depuis ce matin.

Si après le mode 2 de Rogue Killer, tu as accès à internet, essaie de faire ce qui suit.

Je viendrai voir en fin de matinée.

Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau.

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.



Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :
  

  Citation

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
  
  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

Re,

Message faisant suite à l'avant dernier,

Désolée mais je ne comprends pas quand tu dis :

-relance l'outil (je suppose que tu parles de RogueKiller ?!)
Fallait-il que je clique sur scan ? J'ai cliqué (sans grande conviction sur ma manip) en voici le rapport (peut-être le même que le précédent, j'y connais rien):

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/45)
Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Béatrice [Droits d'admin]
Mode: Recherche -- Date : 28/01/2012 23:42:19

¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]
[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND
[SUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[FILEASSO] HKCR\.exe : (sno) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤



¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: +++++
--- User ---
[MBR] dfcbcae4756ffb1d202161186cd08633
[BSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ensuite tu précises :
-choisis le mode 2 ,nulle part je vois mode 2 ???
ou alors c'est que je suis vraiment nulle ?!

Y'a du taf, n'est-ce pas, sur l'ordi surement, sur la proprio encore plus...

Sur ces bonnes paroles je te remercie pour le temps que tu nous consacres (à moi et aux autres).
Pour ce soir je vais céder ma place à d'autres, moi je pars dans les bras de morphée car les enfants demain ne chercheront pas à savoir si l'ordi est en panne !!!
J'espère simplement pouvoir me reconnecter et suivre assidument tes conseils !
A demain (j'espère).
Bien cordialement.

Ce message a été modifié par five16 - 29 janvier 2012 - 12:15 .

Bonjour,

Citation

Oui bien sûr puisque tu n'avais encore utilisé que cet outil à ma demande, seulement tu avais oublié de passer l'option 2 (remove) en cas de détection de malfaisants.

L'option 1 ne fait que rechercher des malwares; comme il en a découvert (FOUND = Trouvé), il faut donc relancer RogueKiller, taper 2 puis presser la touche Enter ou entrée du clavier.

RogueKiller corrigera alors ce qu'il a trouvé comme saletés.
Poste le rapport généré stp.

Bon dimanche.

@++

PS:

Citation

Oui mais il n'y a rien de très grave je pense.

Citation

Sans doute

Mais si tu prends de bonnes habitudes (information, garder tes applications et le système bien à jour) le pc sera moins sujet aux infections car une appli non à jour est une faille sur le pc

On en causera plusse tard.

Ce message a été modifié par Apollo - 29 janvier 2012 - 08:50 .

Salut,

Je vais essayer de faire de mon mieux pour faire les manip que tu m'indiques, alors voilà :
Premier rapport après le scan:

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/45)
Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Béatrice [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 21:20:41

¤¤¤ Processus malicieux: 6 ¤¤¤
[SUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]
[SUSP PATH] xf9poa4vaz.exe -- C:\Users\Béatrice\xf9poa4vaz.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- Path not found -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\hhqonl\setup.exe -> KILLED [TermProc]
[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 9 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND
[SUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[FILEASSO] HKCR\.exe : (sno) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤



¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: +++++
--- User ---
[MBR] dfcbcae4756ffb1d202161186cd08633
[BSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt


Voici le rapport après la suppression :

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/45)
Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Béatrice [Droits d'admin]
Mode: Suppression -- Date : 29/01/2012 21:28:28

¤¤¤ Processus malicieux: 7 ¤¤¤
[SUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]
[SUSP PATH] xf9poa4vaz.exe -- C:\Users\Béatrice\xf9poa4vaz.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- Path not found -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\hhqonl\setup.exe -> KILLED [TermProc]
[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]
[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 8 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> DELETED
[SUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[FILEASSO] HKCR\.exe : (sno) -> REPLACED (exefile)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤



¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: +++++
--- User ---
[MBR] dfcbcae4756ffb1d202161186cd08633
[BSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt


Est-ce que c'est ce que tu attendais ?
Dois-je quand même télécharger Malwarebytes' Anti-Malware (MBAM)?

Je te remercie encore pour le temps que tu nous consacre.
Bonne fin de soirée dans l'attente de te lire.
Bien cordialement.

bonsoir Apollo et five16

five16 ne comprenait pas les mode 1 et mode 2 .

car la présentation de RogueKiller a quelque peu changé .

amicalement

Salut,

Ah oui? Ok merci je vais regarder ce qui a changé; en fait je ne m'en sers jamais perso.

EDIT: Efectivement, je l'ignorais; merci ab-web et excuse-moi, five16



-----------------------

Citation

- Oui
- Oui

@++

Ce message a été modifié par Apollo - 30 janvier 2012 - 01:40 .