Ordinateur infecté, message warning et popup

Résolu
BlueWarning -  
 juju666 -
Bonjour,

J'ai un problème depuis quelques heures sur mon ordinateur sous vista. En effet, mon fond d'écran est maintenant bleu, avec inscrit comme message "Warning, youre're in danger ! your computer is infected with spyware!"

Une fenêtre s'ouvre également souvent, faisant un scan de mon pc et me proposant d'acheter un antivirus nommé System Tool. Une fenêtre popup Warning s'ouvre également en boucle en bas à droite.

J'ai vu qu'il y avait déjà un sujet de discussion à propos de ce problème mais les problèmes et les tests pouvant différer, j'ai pensé qu'il était préférable d'en ouvrir un autre.

Merci d'avance pour votre aide !

54 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur rencontre sur Vista un fond d'écran bleu et des alertes indiquant que l'ordinateur est infecté par un spyware, avec une fenêtre de scan et une promotion d'un antivirus nommé System Tool.
Plusieurs réponses recommandent des outils comme RogueKiller pour nettoyer, puis de réinitialiser les paramètres avancés d'options Internet; des scans Avast et l'exécution d'outils List_Kill'em et OTL sont évoqués.
D'autres interventions évoquent le redémarrage en mode sans échec et des vérifications réseau, avec des retours indiquant que le problème peut subsister malgré les tentatives, et des scans répétés.
Certains éléments techniques tels que List'em.txt et des liens de rapports de scan apparaissent dans les échanges, fournissant des traces techniques mais sans consensus sur une solution définitive.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut pas maintenant malwarebytes

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Killem

    mirroirs :

    List_Kill'em
    List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    ▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

    ▶▶▶ NE LES POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
  2. BlueWarning
     
    Malheureusement, même en désactivant mon antivirus et mon firewall, aucun programme ne se lance.

    Je crois que la meilleure solution qu'il me reste est de faire une restauration complète.
    0
  3. BlueWarning
     
    Merci ! J'ai réussi à lancer RogueKiller après l'avoir renommé winlogon.exe comme indiqué.

    Voici ce que j'obtiens dans le RKreport.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijYpaMBZv.txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      salut

      relance le en mode 2 (REMOVE)
      0
    2. gen-hackman
       
      fais ce que demande tigzy c est le concepteur de roguekiller
      0
    3. BlueWarning
       
      Voilà qui est fait, j'obtiens ceci : http://www.cijoint.fr/cjlink.php?file=cj201103/cijgoaQioH.txt
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Mouais, tu as dû faire quelque chose entre temps, ou le rapport n'est pas complet...
      Profite en pour faire le mode 3 (HOSTSFIX)
      0
    5. gen-hackman
       
      L_K les retablit automatiquement :)
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. gen-hackman
     
    vois si tu arrives à installer list_kill'em
    0
    1. BlueWarning
       
      Je peux bien le faire. Je vais donc l'utiliser comme indiqué plus haut. Je mets les List'em.txt et More.txt une fois fini.
      0
  6. gen-hackman
     
    oui via cijoint.fr stp car les rapports sont assez longs
    G3?-?@¢??@?......Concepteur de List_Kill'em...
    0
  7. BlueWarning
     
    Voilà qui est fait.

    Voici donc le List'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijxI9peZp.txt

    et le more.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijhwdSMVB.txt
    0
  8. gen-hackman
     
    1/....

    ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

    ▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


    FILE:C:\ProgramData\aCiFaCa06504
    FILE:C:\Users\Kev1\AppData\Local\Temp\xmlUpdater.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\Zattoo-Update.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\0.09695513273171119.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\0.32008165551880097.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\0.6124013923219844.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\0.6896458857064162.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\0.8641017589457021.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\0.9366727799609849.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\uninstall.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\Update_1a33.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\Update_cd04.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\Update_f0a5.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\Update_fc89.exe
    FILE:C:\Users\Kev1\AppData\Local\Temp\WINDOWS_SECURITY_CENTER.exe
    REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "AdobeBridge"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "NPSStartup"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Ask and Record FLV Service"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper "

    REM:HKEY_LOCAL_MACHINE\software\Symantec

    ▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    laisse travailler l'outil

    poste le resultat

    ▶ Ferme List_Kill'em

    Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

    =================================

    2/......

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ================================================

    0
  9. BlueWarning
     
    Voici le résultat que j'obtiens avec List_Kill'em : http://www.cijoint.fr/cjlink.php?file=cj201103/cijtBndq8W.txt

    et avec Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201103/cij7N8xIkr.txt
    0
  10. BlueWarning
     
    Je ne sais pas si c'est vraiment le cas, mais j'ai l'impression que le problème est réglé.
    0
  11. gen-hackman
     
    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ▶▶▶ Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse

    ▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
    0
  12. BlueWarning
     
    Voici le Kill'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijJfdZmWb.txt

    et le zip obtenu : http://www.cijoint.fr/cjlink.php?file=cj201103/cijakFzFGP.zip
    0
  13. BlueWarning
     
    Avec le programme OTL.exe ? Car si c'est le cas, il plante lors du scan du fichier winlogon.exe.
    0
  14. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  15. BlueWarning
     
    Voici le combofix.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cij8dE7j5E.txt
    0
  16. gen-hackman
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Folder::
    c:\windows\system32\drivers\etc\Nouveau dossier

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HP Software Update"=-
    "SunJavaUpdateSched"=-
    "iTunesHelper"=-

    DDS::
    uInternet Settings,ProxyOverride = local

    Firefox::
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

    Driver::
    Norton Internet Security

    RegLock::
    [HKEY_USERS\S-1-5-21-708053346-271107660-4031541000-1000_Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
    [HKEY_USERS\S-1-5-21-708053346-271107660-4031541000-1000_Classes\CLSID\{a20d11fc-9c50-452f-8db8-ec67ec5b1fa3}]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  17. BlueWarning
     
    Le bureau à bien disparu, n'ayant plus qu'un écran noir avec un flèche...sauf qu'il n'est pas revenu et que c'est comme ça depuis déjà bien 10h.

    J'ai accès à rien, même lorsque je fais ctrl+alt+supp
    0
  18. gen-hackman
     
    ok attendons encore

    tu n'as meme pas la fenetre bleue "autoscan" ?
    0
  • 1
  • 2
  • 3