Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Je crois être infectée par un trojan


five16

Messages recommandés

Bonjour,

 

J'ai essayé de restaurer mon système mais je ne parviens pas jusqu'aux commandes. Des boîtes s'ouvrent sous le nom Vista Home Security 2012 - Unregistred version. Là on me fait état de mon ordinateur "infecté", et quand je clique sur remove all (oui c'est en anglais), je tombe sur une nouvelle boîte qui me dit (toujours en anglais donc quelques difficultés à tout comprendre) tout ce que la version "registered" m'apporterait. Quand pour continuer je clique sur "purchase full version", ô surprise je suis redirigée sur Internet Explorer (j'utilise Firefox), et là on m'invite à laisser mon numéro de carte bleue afin d'être protégée 1 an pour la modique somme de 59.95€ (et c'est le minimum).

 

Je n'ai bien évidemment pas laissé mon numéro de carte, mais je n'ai pas non plus d'autres solutions que de faire appel à vos services (gratuits lol mais fort sympathiques), car je n'ai plus beaucoup de commandes auxquelles je peux encore avoir accès !

 

Depuis peu j'ai aussi le message xf9poa4vaz.exe ?

Des boîtes de dialogues apparaissent aussi de façon aléatoire.

J'ai fait un petit tour sur votre site avant de poster mon propre message.

J'ai essayé de télécharger Antivir sans succès car j'ai un message d'erreur.

J'ai mis à jour Internet Explorer. Et maintenant...

Voilà j'attends que quelqu'un me dise quoi faire ? Car je suis loin – très loin – d'être une experte !

 

Merci beaucoup de votre attention et de votre éventuel coup de main.

Bonne soirée, cordialement.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

C'est évidemment un rogue (escroquerie et faux anti-machin)Il ne faut jamais cliquer sur ce que tu ne connais pas!

http://www.bleepingcomputer.com/virus-removal/remove-vista-home-security-2012

 

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

 

Si les raccourcis ont disparu, relance l'outil en mode 6.

Poste le rapport RKreport[2].txt.

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Je suis désolée pour ma réponse tardive.

Je crois que la santé de mon pc s'aggrave car je vous fais réponse en mode sans échec !!

Quand je lance mon pc je tombe direct sur la fenêtre Vista Home Security (entre autres) et lorsque je ferme toutes les boites je n'ai plus qu'un écran orange ?!

En attendant de vos nouvelles voici le rapport (bien que je ne sache pas réellement si j'ai fait la bonne manip !)

 

RogueKiller V7.0.1 [28/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/45)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Béatrice [Droits d'admin]

Mode: Recherche -- Date : 28/01/2012 22:17:15

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 9 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND

[sUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[FILEASSO] HKCR\.exe : (sno) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] dfcbcae4756ffb1d202161186cd08633

[bSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

 

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

 

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Voilà je vous remercie, bonne soirée.

Cordialement.

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Ne t'en fais pas, on va le trucider.

 

Oui, relance l'outil et choisis le mode 2.

 

Poste le rapport stp.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Je vais aller dodoter car je suis là depuis ce matin.

 

Si après le mode 2 de Rogue Killer, tu as accès à internet, essaie de faire ce qui suit.

 

Je viendrai voir en fin de matinée.

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

param-mbam-3088176.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Message faisant suite à l'avant dernier,

 

Désolée mais je ne comprends pas quand tu dis :

 

-relance l'outil (je suppose que tu parles de RogueKiller ?!)

Fallait-il que je clique sur scan ? J'ai cliqué (sans grande conviction sur ma manip) en voici le rapport (peut-être le même que le précédent, j'y connais rien):

 

RogueKiller V7.0.1 [28/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/45)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Béatrice [Droits d'admin]

Mode: Recherche -- Date : 28/01/2012 23:42:19

 

¤¤¤ Processus malicieux: 2 ¤¤¤

[sUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 9 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND

[sUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[FILEASSO] HKCR\.exe : (sno) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] dfcbcae4756ffb1d202161186cd08633

[bSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

 

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

 

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

Ensuite tu précises :

-choisis le mode 2 :chpas: ,nulle part je vois mode 2 ???

ou alors c'est que je suis vraiment nulle ?!

 

Y'a du taf, n'est-ce pas, sur l'ordi surement, sur la proprio encore plus...

 

Sur ces bonnes paroles je te remercie pour le temps que tu nous consacres (à moi et aux autres).

Pour ce soir je vais céder ma place à d'autres, moi je pars dans les bras de morphée car les enfants demain ne chercheront pas à savoir si l'ordi est en panne !!!

J'espère simplement pouvoir me reconnecter et suivre assidument tes conseils !

A demain (j'espère).

Bien cordialement.

Modifié par five16
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

je suppose que tu parles de RogueKiller

 

Oui bien sûr puisque tu n'avais encore utilisé que cet outil à ma demande, seulement tu avais oublié de passer l'option 2 (remove) en cas de détection de malfaisants.

 

L'option 1 ne fait que rechercher des malwares; comme il en a découvert (FOUND = Trouvé), il faut donc relancer RogueKiller, taper 2 puis presser la touche Enter ou entrée du clavier.

 

RogueKiller corrigera alors ce qu'il a trouvé comme saletés.

Poste le rapport généré stp.

 

Bon dimanche.

 

@++

 

PS:

Y'a du taf, n'est-ce pas, sur l'ordi surement
Oui mais il n'y a rien de très grave je pense.

 

sur la proprio encore plus
Sans doute :lol:

 

Mais si tu prends de bonnes habitudes (information, garder tes applications et le système bien à jour) le pc sera moins sujet aux infections car une appli non à jour est une faille sur le pc ;)

 

On en causera plusse tard.

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Je vais essayer de faire de mon mieux pour faire les manip que tu m'indiques, alors voilà :

Premier rapport après le scan:

 

RogueKiller V7.0.1 [28/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/45)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Béatrice [Droits d'admin]

Mode: Recherche -- Date : 29/01/2012 21:20:41

 

¤¤¤ Processus malicieux: 6 ¤¤¤

[sUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

[sUSP PATH] xf9poa4vaz.exe -- C:\Users\Béatrice\xf9poa4vaz.exe -> KILLED [TermProc]

[sVCHOST] svchost.exe -- Path not found -> KILLED [TermProc]

[sVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

[sUSP PATH] setup.exe -- C:\Windows\TEMP\hhqonl\setup.exe -> KILLED [TermProc]

[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 9 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND

[sUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[FILEASSO] HKCR\.exe : (sno) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] dfcbcae4756ffb1d202161186cd08633

[bSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

 

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

 

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

Voici le rapport après la suppression :

 

RogueKiller V7.0.1 [28/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/45)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Béatrice [Droits d'admin]

Mode: Suppression -- Date : 29/01/2012 21:28:28

 

¤¤¤ Processus malicieux: 7 ¤¤¤

[sUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

[sUSP PATH] xf9poa4vaz.exe -- C:\Users\Béatrice\xf9poa4vaz.exe -> KILLED [TermProc]

[sVCHOST] svchost.exe -- Path not found -> KILLED [TermProc]

[sVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

[sUSP PATH] setup.exe -- C:\Windows\TEMP\hhqonl\setup.exe -> KILLED [TermProc]

[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

[RESIDUE] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 8 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> DELETED

[sUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> DELETED

[sUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> DELETED

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

[FILEASSO] HKCR\.exe : (sno) -> REPLACED (exefile)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

 

¤¤¤ MBR Verif: ¤¤¤

 

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] dfcbcae4756ffb1d202161186cd08633

[bSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

 

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

 

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

Est-ce que c'est ce que tu attendais ?

Dois-je quand même télécharger Malwarebytes' Anti-Malware (MBAM)?

 

Je te remercie encore pour le temps que tu nous consacre.

Bonne fin de soirée dans l'attente de te lire.

Bien cordialement.

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

Ah oui? Ok merci je vais regarder ce qui a changé; en fait je ne m'en sers jamais perso.

 

EDIT: Efectivement, je l'ignorais; merci ab-web et excuse-moi, five16 ;)

 

roguekiller-311133a.jpg

 

-----------------------

 

Est-ce que c'est ce que tu attendais ?

Dois-je quand même télécharger Malwarebytes' Anti-Malware (MBAM)?

 

- Oui

- Oui ;)

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...