Arnaqué par Error Safe

[nicolas1550]

Bonjour, je me présente: je m'appelle Nicolas.

 

J'ai laissé un an ma mère avec mon PC, et vous pouvez vous imaginer dans quel état je l'ai retrouvé...

Elle s'est fait avoir par le malware Error Safe qui lui a signalé des problèmes de sécurité.

Elle a alors acheté une licence 18 euros et installé le logiciel.

 

1) Le logiciel a-t-il une véritable activité protectrice?

2) Est-il dangereux et si oui que risque-t-elle?

3) Son PC aurait été utilisé à distance pour une arnaque à la carte bleue. Est il possible qu'Error Safe en soit la cause? (Zone Alarm semble avoir été désinstallé par ce logiciel.

4) Si c'est bien une grosse arnaque, y a-t-il moyen d'obtenir réparation?

 

Merci beaucoup. La configuration: Windows XP (sans aucun service pack, mais avec toutes les mises à jour de sécurité), sur un pentium III 450.

[Malekal_morte]

Ne jamais laisser une mère admin local de sa machine.

 

A mon avis pour les dommages financier tu peux oublier.

 

As-tu besoin d'aide pour faire du ménage pour faire du nettoyage?

 

si oui :

 

- Télécharge HijackThis puis génère un log :

- Exécute le et clique sur Do a scan and save log file.

- Ouvre le log avec le Bloc-Note

- Colle le rapport ici

- N'hésite pas à consulter l'aide HijackThis -

 

_____

 

 

- Télécharge chercher.cmd sur ton bureau - Si le fichier s'ouvre directement, faire un clic droit / enregistrer la cible du lien sous

- Double-clic dessus, cela va t'ouvrir le bloc-note

- Copie/colle le résultat ici :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Modifié le 23 mai 2006 par Malekal_morte

[nicolas1550]

Merci beaucoup pour la réponse si rapide. Voici le log: (petite précision, impossible de redémarrer en mode sans échec, une fois le mode sélectionné, j'obtiens un écran noir avec un petit trait blanc qui clignote indéfiniment...)

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:32:26, on 23/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

C:\Program Files\Wireless\Client Manager\CMAGS.EXE

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchFilter.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Documents and Settings\Nicole\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chat-land.org/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sTManager] C:/Program Files/SpeedTouch/Dr SpeedTouch/drst.exe -b

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKCU\..\Run: [Error Safe] C:\Program Files\Error Safe\ers.exe /min

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

O4 - Global Startup: Wireless Client Manager.lnk = ?

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?2f907179676344b080ca84e332e15d62

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?2f907179676344b080ca84e332e15d62

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1134925605220

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by106fd.bay106.hotmail.msn.com/activex/HMAtchmt.ocx

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

 

et le log de chercher.cmd:

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 4CFA-300A

 

R‚pertoire de C:\Program Files

 

15/05/2006 22:10 <REP> .

15/05/2006 22:10 <REP> ..

31/12/2005 13:24 <REP> Adobe

19/04/2006 13:42 <REP> Adobe Type Manager

30/05/2005 09:29 <REP> Common Files

20/02/2005 17:44 <REP> ComPlus Applications

19/03/2006 23:12 <REP> Error Safe

11/03/2006 12:48 <REP> Error Safe Free

13/06/2005 19:30 <REP> eurobarre

12/03/2006 00:58 <REP> Fichiers communs

22/01/2006 20:54 <REP> GOlive

28/03/2006 21:22 <REP> Google

15/05/2006 18:48 <REP> IKEA Home Planner Kitchen

19/04/2006 11:05 <REP> ImageServer

15/04/2006 19:05 <REP> Internet Explorer

14/04/2006 17:00 <REP> Java

21/02/2005 01:42 <REP> Lavasoft

15/04/2006 19:07 <REP> Messenger

20/02/2005 17:51 <REP> microsoft frontpage

28/08/2005 11:04 <REP> Microsoft Office

28/03/2006 12:28 <REP> Microsoft Visual Studio

14/04/2006 17:58 <REP> Movie Maker

23/01/2006 17:21 <REP> MSN Apps

20/02/2005 17:44 <REP> MSN Gaming Zone

14/04/2006 19:30 <REP> MSN Messenger

23/01/2006 17:22 <REP> MSN Toolbar Suite

05/04/2006 04:03 <REP> MSXML 4.0

14/04/2006 17:44 <REP> NetMeeting

20/02/2005 23:07 <REP> Network Associates

16/04/2006 21:58 <REP> OfficeUpdate11

15/04/2006 19:01 <REP> Outlook Express

16/04/2006 22:07 <REP> PhotoDeluxe HE 3.0

21/02/2005 00:20 <REP> SAGEM Wi-Fi USB 802.11g

20/02/2005 23:33 <REP> ScanSoft

20/03/2006 03:35 <REP> Services en ligne

17/07/2005 13:53 <REP> Skype

02/05/2005 17:21 <REP> SpeedTouch

29/04/2006 11:16 <REP> Windows Media Player

14/04/2006 17:43 <REP> Windows NT

02/05/2005 17:11 <REP> Wireless

02/05/2005 17:11 <REP> Wireless LAN

20/02/2005 17:51 <REP> xerox

15/05/2006 22:03 <REP> Yahoo!

0 fichier(s) 0 octets

43 R‚p(s) 10ÿ008ÿ162ÿ304 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 4CFA-300A

 

R‚pertoire de C:\Program Files\fichiers communs

 

12/03/2006 00:58 <REP> .

12/03/2006 00:58 <REP> ..

20/03/2006 02:51 <REP> Adaptec Shared

15/05/2006 18:51 <REP> Adobe

20/02/2005 23:18 <REP> Designer

11/03/2006 12:48 <REP> Error Safe

20/02/2005 23:25 <REP> FotoNation

15/05/2006 22:05 <REP> InstallShield

16/04/2005 15:24 <REP> Java

21/04/2006 09:58 <REP> Microsoft Shared

20/02/2005 17:46 <REP> MSSoap

20/02/2005 23:06 <REP> Network Associates

20/02/2005 17:28 <REP> ODBC

20/02/2005 23:34 <REP> ScanSoft Shared

20/12/2005 13:14 <REP> Services

10/03/2006 19:22 <REP> Softwin

20/02/2005 17:28 <REP> SpeechEngines

15/04/2006 19:01 <REP> System

0 fichier(s) 0 octets

18 R‚p(s) 10ÿ008ÿ162ÿ304 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 4CFA-300A

 

R‚pertoire de C:\Program Files\common files

 

30/05/2005 09:29 <REP> .

30/05/2005 09:29 <REP> ..

02/06/2005 15:18 <REP> System

0 fichier(s) 0 octets

3 R‚p(s) 10ÿ008ÿ162ÿ304 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 4CFA-300A

 

R‚pertoire de C:\

 

28/03/2006 17:14 4ÿ325ÿ376 ashampoo_mediaplayer185_fe.exe

28/03/2006 17:28 3ÿ672ÿ950 freeplayer22.exe

25/03/2006 10:22 8ÿ021ÿ682 setup-towebv1-fr.exe

27/04/2006 19:36 9ÿ396ÿ336 SkypeSetup.exe

25/03/2006 10:24 19ÿ200ÿ460 SXFR201DOGTC5.EXE

5 fichier(s) 44ÿ616ÿ804 octets

0 R‚p(s) 10ÿ008ÿ158ÿ208 octets libres

c:\Documents and Settings\Nicole\Bureau\hijackthis\HijackThis.exe

c:\Documents and Settings\Nicole\Local Settings\Temp\main.exe

c:\Documents and Settings\Nicole\Local Settings\Temporary Internet Files\Content.IE5\4HUZSLQ7\HijackThis[1].exe

c:\Documents and Settings\Nicole\Local Settings\Temporary Internet Files\Content.IE5\4HUZSLQ7\SkypeSetup[1].exe

c:\Documents and Settings\Nicole\Local Settings\Temporary Internet Files\Content.IE5\KF2D89A3\HijackThis[1].exe

c:\Documents and Settings\Nicole\Mes documents\DIVERS MOI\ARCHIVES\amis\AdbeRdr705_fra_full.exe

c:\Documents and Settings\Nicole\Mes documents\DIVERS MOI\ARCHIVES\amis\psa30se_fr_fr.exe

c:\Documents and Settings\Nicole\Mes documents\DIVERS MOI\ARCHIVES\amis\ytb612_efgsip.exe

Modifié le 23 mai 2006 par nicolas1550

[nicolas1550]

Le PC est définitivement impossible à redémarrer en mode sans échec...

[Malekal_morte]

Vas dans ajout/suppression de programmes, désinstalle si présent :

Error Safe

 

Sur HijackThis, coche ces lignes :

O4 - HKCU\..\Run: [Error Safe] C:\Program Files\Error Safe\ers.exe /min

--> clic sur fix checked

 

Redémarre l'ordinateur

 

Supprime ces dossiers :

C:\Program Files\Error Safe\Error Safe

C:\Program Files\Error Safe\Safe Free

 

- Nettoye et corrige les erreur avec CCleaner

 

 

Pour le problème de mode sans échec :

Regarde dans l'observateur d'évènements --> Panneau de configuration / Outils d'administration / Observateurs d'évènements, si tu n'as d'erreur dans applications/systèmes, double-clic dessus et copie/colle le contenu

 

Regarde dans le gestionnaire de périphérique, si tu n'as pas des points d'exclamation jaune --> clic droit sur le poste de travail / onglet matériel / gestionnaire de périphérique

 

Fais un redémarre en mode sans échec puis un redémarre en mode normal

 

-- Ouvre le poste de travail

-- Clic sur le menu options en haut à droite

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Coche dans la liste "Afficher les fichiers cachés"

-- Décoche "Masquer les fichiers du système"

 

Copie/colle le contenu du fichier bootlog.txt avec les horaires correspondant au mode sans échec

[nicolas1550]

J'ai fait tout ce que vous m'avez dit. Le problème semble reglé. J'arrive à redémarrer en mode sans échec, CCleaner ne trouve plus d'erreurs, et Error safe aurait disparu.

 

Cependant je ne vois pas ce qu'il faut que je copie/colle. Mon observateur d'évènements n'indique pas d'erreurs durant les précédentes 48h et j'ai réinstallé Zone Alarm.

 

Merci beaucoup pour votre aide.

 

Dois-je poster un log Hijack This?

 

Comment dois-je paramétrer Windows pour que ma mère puisse utiliser toutes les fonction de son PC (essentiellement téléphonie IP, Internet, Photo, Bureautique), sans qu'elle puisse l'endommager?

[Malekal_morte]

J'ai fait tout ce que vous m'avez dit. Le problème semble reglé. J'arrive à redémarrer en mode sans échec, CCleaner ne trouve plus d'erreurs, et Error safe aurait disparu.

 

Cependant je ne vois pas ce qu'il faut que je copie/colle. Mon observateur d'évènements n'indique pas d'erreurs durant les précédentes 48h et j'ai réinstallé Zone Alarm.

 

Merci beaucoup pour votre aide.

 

Dois-je poster un log Hijack This?

 

Comment dois-je paramétrer Windows pour que ma mère puisse utiliser toutes les fonction de son PC (essentiellement téléphonie IP, Internet, Photo, Bureautique), sans qu'elle puisse l'endommager?

 

Non pas la peine pour le rapport.

 

Pour ta mère, crées un compte utilisateur sans les droits adminstrateur locales, voir ici : Gestion des utilisateurs sous Windows

 

 

______

 

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

 

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses, plus nous serons nombreux, plus nous aurons de poids : crées un message selon ton infection, cela prend 5 minutes!

[nicolas1550]

D'accord et merci encore énormément pour votre aide.