Je crois être infectée par un trojan

five16 · le 27 janvier 2012

Bonjour,

J'ai essayé de restaurer mon système mais je ne parviens pas jusqu'aux commandes. Des boîtes s'ouvrent sous le nom Vista Home Security 2012 - Unregistred version. Là on me fait état de mon ordinateur "infecté", et quand je clique sur remove all (oui c'est en anglais), je tombe sur une nouvelle boîte qui me dit (toujours en anglais donc quelques difficultés à tout comprendre) tout ce que la version "registered" m'apporterait. Quand pour continuer je clique sur "purchase full version", ô surprise je suis redirigée sur Internet Explorer (j'utilise Firefox), et là on m'invite à laisser mon numéro de carte bleue afin d'être protégée 1 an pour la modique somme de 59.95€ (et c'est le minimum).

Je n'ai bien évidemment pas laissé mon numéro de carte, mais je n'ai pas non plus d'autres solutions que de faire appel à vos services (gratuits lol mais fort sympathiques), car je n'ai plus beaucoup de commandes auxquelles je peux encore avoir accès !

Depuis peu j'ai aussi le message xf9poa4vaz.exe ?

Des boîtes de dialogues apparaissent aussi de façon aléatoire.

J'ai fait un petit tour sur votre site avant de poster mon propre message.

J'ai essayé de télécharger Antivir sans succès car j'ai un message d'erreur.

J'ai mis à jour Internet Explorer. Et maintenant...

Voilà j'attends que quelqu'un me dise quoi faire ? Car je suis loin – très loin – d'être une experte !

Merci beaucoup de votre attention et de votre éventuel coup de main.

Bonne soirée, cordialement.

Apollo · le 28 janvier 2012

Bonjour,

C'est évidemment un rogue (escroquerie et faux anti-machin)Il ne faut jamais cliquer sur ce que tu ne connais pas!

http://www.bleepingcomputer.com/virus-removal/remove-vista-home-security-2012

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Si les raccourcis ont disparu, relance l'outil en mode 6.

Poste le rapport RKreport[2].txt.

@++

Modifié le 28 janvier 2012 par Apollo

five16 · le 28 janvier 2012

Bonsoir,

Je suis désolée pour ma réponse tardive.

Je crois que la santé de mon pc s'aggrave car je vous fais réponse en mode sans échec !!

Quand je lance mon pc je tombe direct sur la fenêtre Vista Home Security (entre autres) et lorsque je ferme toutes les boites je n'ai plus qu'un écran orange ?!

En attendant de vos nouvelles voici le rapport (bien que je ne sache pas réellement si j'ai fait la bonne manip !)

RogueKiller V7.0.1 [28/01/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/45)

Blog: tigzy-RK

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Béatrice [Droits d'admin]

Mode: Recherche -- Date : 28/01/2012 22:17:15

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] bne.exe -- C:\Users\Béatrice\AppData\Local\bne.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 9 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Run : BarDiscover Service ("C:\ProgramData\BarDiscover\bardiscover133.exe" "C:\Program Files\BarDiscover\bardiscover.dll" ybjtxtgul) -> FOUND

[sUSP PATH] HKLM\[...]\Run : xf9poa4vaz (C:\ProgramData\xf9poa4vaz.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-3406931045-2847150304-316314828-1000[...]\Run : xf9poa4vaz (C:\Users\Béatrice\xf9poa4vaz.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[FILEASSO] HKCR\.exe : (sno) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] dfcbcae4756ffb1d202161186cd08633

[bSP] f63c2147160b57796f0b8b3f56bb8b0d : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 150646 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 294232064 | Size: 9391 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[1].txt >>

RKreport[1].txt

Voilà je vous remercie, bonne soirée.

Cordialement.

Apollo · le 28 janvier 2012

Re,

Ne t'en fais pas, on va le trucider.

Oui, relance l'outil et choisis le mode 2.

Poste le rapport stp.

@++

Apollo · le 28 janvier 2012

Je vais aller dodoter car je suis là depuis ce matin.

Si après le mode 2 de Rogue Killer, tu as accès à internet, essaie de faire ce qui suit.

Je viendrai voir en fin de matinée.

Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau.

|MG| Malwarebytes Anti-Malware 1.60.0.1800 Download

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

five16 · le 28 janvier 2012

Re,

Message faisant suite à l'avant dernier,

Désolée mais je ne comprends pas quand tu dis :

-relance l'outil (je suppose que tu parles de RogueKiller ?!)

Fallait-il que je clique sur scan ? J'ai cliqué (sans grande conviction sur ma manip) en voici le rapport (peut-être le même que le précédent, j'y connais rien):