Sujet Précédent Sujet Suivant

Besoin d'aide trojan et my security engine

Fermé
Agamemnon - 30 avril 2010 à 11:45
 Utilisateur anonyme - 1 mai 2010 à 03:02
Bonjour,

voila depuis hier mon navigateur ouvre des fenetres publicitaires intempestives et mon ordi me signale sans arret que je suis victime de trojan, trust warriors, BAT Looper, etc. lorsque je clique sur "remove" dans la fenetre d'affichage il me redirige sur une page me proposant d'acheter une protection antivirale. bref, une icone "my security engine" est apparue sur mon bureau et dans mes programmes et tout cela persiste peu importe la façon dont je tente de les supprimes.

le pc ne semble pas altéré outre mesure, ormis l'apparition de ces fenetres d'avertissement et de pub, par contre j'ai bien peur que l'on puisse détecter mes mots de passe et login, etc. J'ai réalisé un scan a laide d'antivir qui me signale bien la présence de divers Tr/spy.gen, Tr/crypt.zpack.gen, etc.

Mes faibles connaissances informatiques ne m'aident pas dans ce cas précis.
J'espere que quelqu'un pourra preter attention à ma demande et m expliquer comment erradiquer cette saleté. D'autant que ce pc n'est pas le mien et que je flippe sérieusement!

je vous remercie d'avance

J'ai réaliser un scan via avira antivir que voici:


Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 30 avril 2010 10:57

La recherche porte sur 1265407 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : manage
Nom de l'ordinateur : ANNE

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 4/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 3/03/2009 08:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 3/03/2009 08:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 05:35:52
VBASE001.VDF : 7.10.0.1 2048 Bytes 6/11/2009 05:35:56
VBASE002.VDF : 7.10.0.2 2048 Bytes 6/11/2009 05:35:58
VBASE003.VDF : 7.10.0.3 2048 Bytes 6/11/2009 05:36:02
VBASE004.VDF : 7.10.0.4 2048 Bytes 6/11/2009 05:36:04
VBASE005.VDF : 7.10.0.5 2048 Bytes 6/11/2009 05:36:08
VBASE006.VDF : 7.10.0.6 2048 Bytes 6/11/2009 05:36:12
VBASE007.VDF : 7.10.0.7 2048 Bytes 6/11/2009 05:36:16
VBASE008.VDF : 7.10.0.8 2048 Bytes 6/11/2009 05:36:18
VBASE009.VDF : 7.10.0.9 2048 Bytes 6/11/2009 05:36:22
VBASE010.VDF : 7.10.0.10 2048 Bytes 6/11/2009 05:36:30
VBASE011.VDF : 7.10.0.11 2048 Bytes 6/11/2009 05:36:34
VBASE012.VDF : 7.10.0.12 2048 Bytes 6/11/2009 05:36:38
VBASE013.VDF : 7.10.0.13 2048 Bytes 6/11/2009 05:36:40
VBASE014.VDF : 7.10.0.14 2048 Bytes 6/11/2009 05:36:44
VBASE015.VDF : 7.10.0.15 2048 Bytes 6/11/2009 05:36:46
VBASE016.VDF : 7.10.0.16 2048 Bytes 6/11/2009 05:36:48
VBASE017.VDF : 7.10.0.17 2048 Bytes 6/11/2009 05:36:50
VBASE018.VDF : 7.10.0.18 2048 Bytes 6/11/2009 05:36:54
VBASE019.VDF : 7.10.0.19 2048 Bytes 6/11/2009 05:36:56
VBASE020.VDF : 7.10.0.20 2048 Bytes 6/11/2009 05:36:58
VBASE021.VDF : 7.10.0.21 2048 Bytes 6/11/2009 05:37:00
VBASE022.VDF : 7.10.0.22 2048 Bytes 6/11/2009 05:37:04
VBASE023.VDF : 7.10.0.23 2048 Bytes 6/11/2009 05:37:06
VBASE024.VDF : 7.10.0.24 2048 Bytes 6/11/2009 05:37:10
VBASE025.VDF : 7.10.0.25 2048 Bytes 6/11/2009 05:37:12
VBASE026.VDF : 7.10.0.26 2048 Bytes 6/11/2009 05:37:14
VBASE027.VDF : 7.10.0.27 2048 Bytes 6/11/2009 05:37:16
VBASE028.VDF : 7.10.0.28 2048 Bytes 6/11/2009 05:37:18
VBASE029.VDF : 7.10.0.29 2048 Bytes 6/11/2009 05:37:20
VBASE030.VDF : 7.10.0.30 2048 Bytes 6/11/2009 05:37:22
VBASE031.VDF : 7.10.0.33 2048 Bytes 6/11/2009 05:37:24
Version du moteur : 8.2.1.59
AEVDF.DLL : 8.1.1.2 106867 Bytes 8/11/2009 05:38:52
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 8/11/2009 05:38:48
AESCN.DLL : 8.1.2.5 127346 Bytes 8/11/2009 05:38:46
AESBX.DLL : 8.1.1.1 246132 Bytes 8/11/2009 05:38:44
AERDL.DLL : 8.1.3.2 479604 Bytes 8/11/2009 05:38:42
AEPACK.DLL : 8.2.0.3 422261 Bytes 8/11/2009 05:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 8/11/2009 05:38:38
AEHEUR.DLL : 8.1.0.178 2093431 Bytes 8/11/2009 05:38:34
AEHELP.DLL : 8.1.7.0 237940 Bytes 8/11/2009 05:38:30
AEGEN.DLL : 8.1.1.71 364916 Bytes 8/11/2009 05:38:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 8/11/2009 05:38:26
AECORE.DLL : 8.1.8.2 184694 Bytes 8/11/2009 05:38:24
AEBB.DLL : 8.1.0.3 53618 Bytes 8/11/2009 05:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7/11/2008 13:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/02/2009 06:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 7/11/2008 13:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 2/11/2009 14:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: ShlExt
Fichier de configuration......................: C:\DOCUME~1\manage\LOCALS~1\Temp\0a6962c0.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : vendredi 30 avril 2010 10:57

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\lsass.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\net.net.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.PEPM.Gen
C:\WINDOWS\system32\pkczxyx.dll
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\youja_.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
C:\WINDOWS\system32\drivers\pcuzsrdo.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\xoctfoyg.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\WINDOWS\Temp\koiw.tmp\svchost.exe
[RESULTAT] Contient le cheval de Troie TR/Downloader.Gen

Début de la désinfection :
C:\lsass.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3ba16a.qua' !
C:\WINDOWS\system32\net.net.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.PEPM.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4ea15c.qua' !
C:\WINDOWS\system32\youja_.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d98fe27.qua' !
C:\WINDOWS\system32\drivers\pcuzsrdo.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f0ae697.qua' !
C:\WINDOWS\system32\drivers\xoctfoyg.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3da16f.qua' !
C:\WINDOWS\Temp\koiw.tmp\svchost.exe
[RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3da17a.qua' !


Fin de la recherche : vendredi 30 avril 2010 11:21
Temps nécessaire: 20:28 Minute(s)

La recherche a été effectuée intégralement

3720 Les répertoires ont été contrôlés
178973 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
6 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
178964 Fichiers non infectés
1752 Les archives ont été contrôlées
6 Avertissements
7 Consignes




A voir également:

56 réponses

Précédent
Réponse 41 / 56
Agamemnon
1 mai 2010 à 00:38
oups, usbfix n'a pas l air de se lancer...
0
Réponse 42 / 56
Utilisateur anonyme
1 mai 2010 à 00:40
message d'erreur ?
0
Réponse 43 / 56
Agamemnon
1 mai 2010 à 00:43
non juste le sablier et une barre de progression qui apparait juste le temps d'afficher 2 pourcents
0
Réponse 44 / 56
Utilisateur anonyme
1 mai 2010 à 00:48
Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 56
Agamemnon
1 mai 2010 à 00:59
Voilà les 2 liens :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij6JtT1l2.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijgoX7RvS.txt
0
Réponse 46 / 56
Utilisateur anonyme
1 mai 2010 à 01:03

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 47 / 56
Agamemnon
1 mai 2010 à 01:34
J ai commence a lancer combofix mais il m indique qu'un scanneur entemps reel est toujours actif, que combofix va continuer à s executer à mes risques et perils l'antivirus en question est (evidemment): My security engine

je continue à executer le programme quand même??
0
Réponse 48 / 56
Utilisateur anonyme
1 mai 2010 à 01:35
oui
0
Réponse 49 / 56
Agamemnon
1 mai 2010 à 02:10
Voilà, j ai mis le rapport sous forme de lien comme tout à l'heure:

http://www.cijoint.fr/cjlink.php?file=cj201005/cij8xJGaSb.txt
0
Réponse 50 / 56
Utilisateur anonyme
1 mai 2010 à 02:23

__________________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Collect::[4]
c:\documents and settings\manage\Application Data\My Security Engine\*.*
c:\documents and settings\All Users\Application Data\ad265d0\MSad26.exe
c:\documents and settings\manage\bgpvgqva^.exe
c:\windows\system32\bgpvgqva^.exe
c:\windows\system32\drivers\aec.sys.vir

Folder::
c:\documents and settings\manage\Application Data\My Security Engine
c:\documents and settings\All Users\Application Data\MSNHNE
c:\documents and settings\All Users\Application Data\ad265d0

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"My Security Engine"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"c:\Documents and Settings\All Users\Application Data\ad265d0\MSad26.exe"=-

Netsvc::
gcqjonjl

SkipFix::
------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 51 / 56
Agamemnon
1 mai 2010 à 02:45
voila:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijE1aecw1.txt
0
Réponse 52 / 56
Utilisateur anonyme
1 mai 2010 à 02:51
tu as amené ton pc à faire reparer y a pas longtemps ?
0
Réponse 53 / 56
Agamemnon
1 mai 2010 à 02:54
C est celui de ma mère donc je ne sais pas exactement ce qu il y avait, mais oui il y a quelques mois elle l a réparer ou changer quelque chose...

Pourquoi que ce passe t il?
0
Réponse 54 / 56
Utilisateur anonyme
1 mai 2010 à 02:56
j'ai peur qu'elle se soit fait refourguer une version bidon de windows

demande-lui exactement ce qui a ete fait, je repasse demain pour la suite là je vais aller me reposer
0
Réponse 55 / 56
Agamemnon
1 mai 2010 à 03:00
C est bien possible en fait. Oui ok je me renseigne!

Encore merci beaucoup d'avoir consacré autant de temps à mon problème!!

Bonne soirée à toi

A bientot
0
Réponse 56 / 56
Utilisateur anonyme
1 mai 2010 à 03:02
ok ;)
0

Discussions similaires

Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Myreadingmanga pourquoi je ne peux plus me connecter
Bulmaaa -
Saati -

15 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
problème myreadingmanga (message erreur)
Asako -
oblixx -

1 réponse
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses