HELP ! virus "Warning! you are in danger..."
Résolu
alex056
-
martyboy -
martyboy -
Bonjour,
j'étais sur mon PC et d'un coup un fond d'écran bleu apparait avec écrit en rouge : "warning! you are in danger! your computer is infected with spyware! all you do with computer........" et un logiciel s'exécute (System Tool 2011), me scanne mon PC et au bout de 2/3 min me dit que j'ai plein de fichiers infectés.
Je ne peux lancer aucunes applications !!! Je clique sur BitDefender (oui j'ai bitDefender comme antivirus payant), aaussitôt j'ai un onglet en bas à droite "Application cannot be executed. The file bdagent.exe is infected.
J'ai essayé d'exécuter malwarebytes, c'est pareil : pas possible de l'exécuter. La seul appli qui s'ouvre c'est internet explorer !?...
Comment faire si je ne peux lancer aucun antivirus ou autre pour retirer cette saloperie ?
Pour info je suis sur XP 64bits
Merci d'avance pour votre aide précieuse !!!
alex
j'étais sur mon PC et d'un coup un fond d'écran bleu apparait avec écrit en rouge : "warning! you are in danger! your computer is infected with spyware! all you do with computer........" et un logiciel s'exécute (System Tool 2011), me scanne mon PC et au bout de 2/3 min me dit que j'ai plein de fichiers infectés.
Je ne peux lancer aucunes applications !!! Je clique sur BitDefender (oui j'ai bitDefender comme antivirus payant), aaussitôt j'ai un onglet en bas à droite "Application cannot be executed. The file bdagent.exe is infected.
J'ai essayé d'exécuter malwarebytes, c'est pareil : pas possible de l'exécuter. La seul appli qui s'ouvre c'est internet explorer !?...
Comment faire si je ne peux lancer aucun antivirus ou autre pour retirer cette saloperie ?
Pour info je suis sur XP 64bits
Merci d'avance pour votre aide précieuse !!!
alex
A voir également:
- HELP ! virus "Warning! you are in danger..."
- Virus mcafee - Accueil - Piratage
- Deco in paris avis ✓ - Forum Consommation & Internet
- Navigation in private - Guide
- Aux in ✓ - Forum Enceintes / HiFi
- Peut-on brancher un casque sur une prise auxiliaire ? - Forum Casque et écouteurs
19 réponses
slt
* Téléchargez sur le bureau RogueKiller (par Tigzy)
https://www.luanagames.com/index.fr.html
o Sous Vista/Seven, clique droit -> lancer en tant qu'administrateur
o Quitte tous tes programmes en cours
o Lance le.
o Lorsque demandé, tape 1 et valide
o Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
o Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passez le mode 2. Si vous ne savez pas, faites vous aider. Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement
N.B: ne pas redémarrer le pc après avoir fait RogueKiller sans quoi l'infection pourrait se réactiver et passer à Malwarebytes.
* Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre bureau.
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
mettez le à jour et collez nous un rapport d'analyse rapide avec
* Téléchargez sur le bureau RogueKiller (par Tigzy)
https://www.luanagames.com/index.fr.html
o Sous Vista/Seven, clique droit -> lancer en tant qu'administrateur
o Quitte tous tes programmes en cours
o Lance le.
o Lorsque demandé, tape 1 et valide
o Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
o Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passez le mode 2. Si vous ne savez pas, faites vous aider. Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement
N.B: ne pas redémarrer le pc après avoir fait RogueKiller sans quoi l'infection pourrait se réactiver et passer à Malwarebytes.
* Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre bureau.
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
mettez le à jour et collez nous un rapport d'analyse rapide avec
martyboy
merci mille fois ca a sauver mon pc
impossible de lancer roguekiller :je l'ouvre, message exécuter ou annuler je clique sur exécuter et là c'est la meme chose qu'avec les autres applis : onglet en bas à droite "Application cannot be executed. The file RogueKiller.exe is infected"...
et je ne peux meme pas accéder au gestionnaire de taches : Ctrl+Alt+supp > Clic sur gestionnaire de taches et rebelotte avec l'onglet en bas à droite mais cette fois-ci c'est taskmgr.exe qui est soit disant infecté
ça y est j'ai réussi à lancer RogueKiller après une bonne quinzaine de tentatives !
j'ai donc scanner puis detruit la clé registre.
Je suis en train de lancer malwarebytes.
Je poste le rapport après.
Merci beaucoup !!!
j'ai donc scanner puis detruit la clé registre.
Je suis en train de lancer malwarebytes.
Je poste le rapport après.
Merci beaucoup !!!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà le rapport apres le scan rapide avec Malwarebytes :
Type d'examen: Examen rapide
Elément(s) analysé(s): 170642
Temps écoulé: 6 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\administrator\Desktop\system tool 2011.lnk (Rogue.SystemTool) -> No action taken.
J'ai donc supprimé le .ink, redémarré et mainteant ça remarche !
Merci encore !
Type d'examen: Examen rapide
Elément(s) analysé(s): 170642
Temps écoulé: 6 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\administrator\Desktop\system tool 2011.lnk (Rogue.SystemTool) -> No action taken.
J'ai donc supprimé le .ink, redémarré et mainteant ça remarche !
Merci encore !
le voilà :
Operating System: Windows XP 64 / Windows Home Server / Windows Server 2003 (5.2.3790 Service Pack 2) version 32 bits
User: Admin
Mode: Scan -- Time : 27/01/2011 17:56:38
Bad processes:
Killed c:\documents and settings\all users\application data\holfakf06504\holfakf06504.exe
Found:
HKCU\...\RUNONCE\ hOlFaKf06504 : C:\Documents and Settings\All Users\Application Data\hOlFaKf06504\hOlFaKf06504.exe
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
0.0.0.0 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
Finished
RogueKiller V3.8.2 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP 64 / Windows Home Server / Windows Server 2003 (5.2.3790 Service Pack 2) version 32 bits
User: Admin
Mode: Remove -- Time : 27/01/2011 17:59:09
Bad processes:
Killed c:\documents and settings\administrator\desktop\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50_francais_215092.exe
Killed c:\docume~1\admini~1\locals~1\temp\is-hak25.tmp\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50_francais_215092.tmp
Deregistred:
HKCU\...\RUNONCE\ hOlFaKf06504 : C:\Documents and Settings\All Users\Application Data\hOlFaKf06504\hOlFaKf06504.exe
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
0.0.0.0 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
Finished
Operating System: Windows XP 64 / Windows Home Server / Windows Server 2003 (5.2.3790 Service Pack 2) version 32 bits
User: Admin
Mode: Scan -- Time : 27/01/2011 17:56:38
Bad processes:
Killed c:\documents and settings\all users\application data\holfakf06504\holfakf06504.exe
Found:
HKCU\...\RUNONCE\ hOlFaKf06504 : C:\Documents and Settings\All Users\Application Data\hOlFaKf06504\hOlFaKf06504.exe
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
0.0.0.0 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
Finished
RogueKiller V3.8.2 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP 64 / Windows Home Server / Windows Server 2003 (5.2.3790 Service Pack 2) version 32 bits
User: Admin
Mode: Remove -- Time : 27/01/2011 17:59:09
Bad processes:
Killed c:\documents and settings\administrator\desktop\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50_francais_215092.exe
Killed c:\docume~1\admini~1\locals~1\temp\is-hak25.tmp\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50_francais_215092.tmp
Deregistred:
HKCU\...\RUNONCE\ hOlFaKf06504 : C:\Documents and Settings\All Users\Application Data\hOlFaKf06504\hOlFaKf06504.exe
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
0.0.0.0 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
Finished
A priori tout est parti.
J'ai refais un scan (complet cette fois) sur tous mes disques avec Malwarebytes et rien à déclarer.
Sans ce merveilleux logiciel RogueKiller, je crois que j'étais condamné à restaurer le système !
Par précaution je vais lancé un scan avec BitDefender cette nuit. D'ailleurs c'est étonnant que BitDefender (que je paye, les mises à jours sont régulières, protection en tps réel activée) n'est pas vu venir ce virus ! une idée là-dessus ?
J'ai refais un scan (complet cette fois) sur tous mes disques avec Malwarebytes et rien à déclarer.
Sans ce merveilleux logiciel RogueKiller, je crois que j'étais condamné à restaurer le système !
Par précaution je vais lancé un scan avec BitDefender cette nuit. D'ailleurs c'est étonnant que BitDefender (que je paye, les mises à jours sont régulières, protection en tps réel activée) n'est pas vu venir ce virus ! une idée là-dessus ?
rien de spécial dans le rapport (que j'ai pas sauvegardé...) : quelques cookies infectés et supprimés et 3 ou 4 archives contenant des trojans que j'ai donc supprimé aussi.
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Voilà :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijaRFsNIO.txt
Vous voyez qlqchose d'anormal ?
http://www.cijoint.fr/cjlink.php?file=cj201101/cijaRFsNIO.txt
Vous voyez qlqchose d'anormal ?
Téléchargez DelFix* (d'Xplode) sur votre bureau.
Lancez le puis sélectionnez [Suppression] .
Copiez/collez le contenu du rapport qui s'ouvrira dans votre sujet si vous vous faites aider sur un forum.
Vous pouvez également lancer l'option [Désinstallation] ensuite
Note : Les rapports sont également enregistrés à la racine du disque dur ( C:\DelFixSearch.txt pour l'option recherche et C:\DelFixSuppr.txt
ensuite pour nettoyer les traces du pc lance ccleaner
puis désactive ta restauration systeme puis redemarre ton pc puis réactive la
https://www.informatruc.com
puis pour vérifier colle une analyse en ligne avec nod32 ou panda ici: antivirus en ligne
pour l'option suppression ) *
Lancez le puis sélectionnez [Suppression] .
Copiez/collez le contenu du rapport qui s'ouvrira dans votre sujet si vous vous faites aider sur un forum.
Vous pouvez également lancer l'option [Désinstallation] ensuite
Note : Les rapports sont également enregistrés à la racine du disque dur ( C:\DelFixSearch.txt pour l'option recherche et C:\DelFixSuppr.txt
ensuite pour nettoyer les traces du pc lance ccleaner
puis désactive ta restauration systeme puis redemarre ton pc puis réactive la
https://www.informatruc.com
puis pour vérifier colle une analyse en ligne avec nod32 ou panda ici: antivirus en ligne
pour l'option suppression ) *
après ces petites manips, voilà le rapport de nod32 :
C:\Documents and Settings\Administrator\Application Data\Sun\Java\Deployment\cache\6.0\34\6879d2a2-649d3ffd menaces multiples supprimé - mis en quarantaine
C:\Documents and Settings\Administrator\Local Settings\Temp\NER33.tmp\Toolbar.exe Win32/Toolbar.AskSBar application nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\Administrator\Application Data\Sun\Java\Deployment\cache\6.0\34\6879d2a2-649d3ffd menaces multiples supprimé - mis en quarantaine
C:\Documents and Settings\Administrator\Local Settings\Temp\NER33.tmp\Toolbar.exe Win32/Toolbar.AskSBar application nettoyé par suppression - mis en quarantaine
colle un rapport de recherche avec ad remover
http://www.teamxscript.org/adremoverTelechargement.html
http://www.teamxscript.org/adremoverTelechargement.html
voilà :
======= REPORT FROM AD-REMOVER 2.0.0.2,D | ONLY XP/VISTA/7 =======
Updated by TeamXscript on 29/01/11 at 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org
C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Launched at 20:53:02 on 29/01/2011, Normal boot
Microsoft(R) Windows(R) XP Professionnel Edition x64 Service Pack 2 (X64)
Administrator@ALEX-197CFA75EE (Hewlett-Packard HP xw4600 Workstation)
============== SEARCH ==============
Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
============== ADDITIONNAL SCAN ==============
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
[HKLM\Software\Microsoft\Internet Explorer\Main]
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: about:blank
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files (x86)\Ad-Remover\Quarantine: 0 File(s)
C:\Program Files (x86)\Ad-Remover\Backup: 0 File(s)
C:\Ad-Report-SCAN[1].txt - 29/01/2011 (664 Byte(s))
End at: 20:53:38, 29/01/2011
============== E.O.F ==============
======= REPORT FROM AD-REMOVER 2.0.0.2,D | ONLY XP/VISTA/7 =======
Updated by TeamXscript on 29/01/11 at 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org
C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Launched at 20:53:02 on 29/01/2011, Normal boot
Microsoft(R) Windows(R) XP Professionnel Edition x64 Service Pack 2 (X64)
Administrator@ALEX-197CFA75EE (Hewlett-Packard HP xw4600 Workstation)
============== SEARCH ==============
Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
============== ADDITIONNAL SCAN ==============
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
[HKLM\Software\Microsoft\Internet Explorer\Main]
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: about:blank
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files (x86)\Ad-Remover\Quarantine: 0 File(s)
C:\Program Files (x86)\Ad-Remover\Backup: 0 File(s)
C:\Ad-Report-SCAN[1].txt - 29/01/2011 (664 Byte(s))
End at: 20:53:38, 29/01/2011
============== E.O.F ==============
