Virus windows security alert

Résolu
badgone78 -  
badgone78 Messages postés 6 Statut Membre -
Bonjour,

J'ai fait des recherches pour voir si d'autres personnes avaient la même chose que moi.
Et le problème que je rencontre est que je n'ai plus la possibilité d'avoir accès au disque dur C: . Et je n'ai aucun icône sur le bureau à part la corbeille et internet explorer (alors que j'utilise Mozilla. Sur le menu "démarrer", lorsque je vais sur "tous les programmes", je n'ai accès,ici, qu'à Openoffice, et ensuite "vide".
Voila pour la premiere partie.
J'ai réussi à utiliser mbam, mais impossible de faire une mise à jour. Il plante au bout de 5 essais. Après l'avoir utilisé cependant, il m'a trouvé 11 fichiers infecté qui ont été mis en quarantaine et supprimé. Sauf, qu'après l'avoir redémarré, rien a changé.
Serait-il possible de m'aider par conséquent.

Merci par avance.

23 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    salut,

    tu es infecter par un rogue, Un rogue est un faux logiciel de protection qui prétend que votre ordi est infecté, (fausses) preuves à l'appui.
    L'erreur à ne jamais faire, c'est de l'acheter en pensant que vous serez bien protégé car vous serez surpris en voyant la somme qui vous sera déduit sur votre carte de crédit.


    démarre en mode sans echec puis, fais ceci:

    ▶Télécharge sur le bureau RogueKiller

    ▶Quitte tous tes programmes en cours

    ▶Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    Sinon lance simplement RogueKiller.exe

    ▶Lorsque demandé, tape 2 et valide

    ▶Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.
    0
  2. badgone78
     
    RogueKiller V4.3.2 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: PHILIPPE [Droits d'admin]
    Mode: Suppression -- Date : 21/03/2011 14:22:36

    Processus malicieux: 0

    Entrees de registre: 2
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : Octoshape Streaming Services ("C:\Documents and Settings\PHILIPPE\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun) -> DELETED
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : WmxemlFoTcFj (C:\Documents and Settings\All Users\Application Data\WmxemlFoTcFj.exe) -> DELETED

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Voila...
    0
  3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Hello

    Je me permets d'intervenir, je ne sais pas si 91300 est au courant.
    Si c'est le cas, je te prie de m'excuser.

    Relance RogueKiller , et cette fois choisit le mode 6 et valide.
    Colle le rapport.
    0
    1. Utilisateur anonyme
       
      a non je n'étais pas au courant. :)
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      C'est pour rétablir les raccourcis et les documents disparus ;)
      0
  4. Utilisateur anonyme
     
    a présent, toujours en mode sans echec:

    1/MBAM :
    MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:

    ▣ Télécharge MBAM

    ▣ Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    ▣ Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\

    ▣ A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»

    ▣ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

    > L'analyse peut durer un plusieurs heures...

    ▣ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    ▣ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    ▣ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI » »

    2/ ----->ZHPDIAG<-----

    /!\ utilisateur de vista et seven, désactiver l'UAC./!\

    /!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

    ▶ Télécharge zhpdiag (de Nicolas Coolman)

    ▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    > /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

    ▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

    attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    ▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    @++
    2/
    ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

    Qualification Helper sur HELPER FORMATION.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. badgone78
     
    RogueKiller V4.3.2 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: PHILIPPE [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 21/03/2011 14:34:20

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 197 / Fail 0
    Lancement rapide: Success 9 / Fail 0
    Programmes: Success 309 / Fail 0
    Menu demarrer: Success 107 / Fail 0
    Mes documents: Success 4913 / Fail 4
    Mes favoris: Success 7 / Fail 0

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu as retrouvé tes icones?
      0
  7. Utilisateur anonyme
     
    non, suis l'ordre donner. lance MBAM puis après avoir supprimer, lances zhpdiag.
    0
  8. badgone78
     
    je lance MBAM, mais la mise à jour ne veut pas se lancer.
    Voici le message d'erreur après 5 tentatives automatiques :

    "Une erreur s'est produite. Veuillez transmettre ce code d'erreur à notre équipe de support.

    PROGRAM_ERROR_UPDATING(5, 0, Createfile)

    Accès refusé"

    Je peux lancer ensuite malgré tout un scan. Je fais abstraction de la mise à jour par conséquent, ou absolument pas?
    0
  9. badgone78
     
    Il ne me demande plus de MAJ lors de l'execution.

    Je lance MBAM.

    Je vous poste ensuite le rapport.
    0
  10. badgone78
     
    Et voici le rapport :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6118

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 6.0.2900.5512

    21/03/2011 15:48:07
    mbam-log-2011-03-21 (15-48-07).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 361361
    Temps écoulé: 37 minute(s), 33 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\18669364.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\wmxemlfotcfj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\PHILIPPE\mes documents\téléchargements\rk_quarantine\wmxemlfotcfj.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{b89cea26-ecb5-40d8-bb54-f267a162670d}\RP558\A0117418.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{b89cea26-ecb5-40d8-bb54-f267a162670d}\RP558\A0117419.dll (Trojan.Backdoor) -> Quarantined and deleted successfully.
    0
  11. badgone78
     
    http://cjoint.com/?3dvp9alOJTO

    Voici le lien pour le rapport de ZHPD
    0
  12. badgone78
     
    Pouvez vous me dire ce que je dois faire svp ?
    0
  13. Utilisateur anonyme
     
    Ce script va cibler certains éléments à supprimer :

    * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

    * Copie les lignes suivantes :
    ____________________________________________________________________________________________________________________________

    O43 - CFD: 13/01/2011 - 10:58:34 - [0] --H-D- C:\Documents and Settings\PHILIPPE\Application Data\12776

    C:\Documents and Settings\PHILIPPE\Application Data\12776

    [HKLM\Software\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}]
    [HKLM\Software\Classes\CLSID\{47c6c527-6204-4f91-849d-66e234dee015}]
    [HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661}]
    [HKLM\Software\Classes\CLSID\{b791a095-a4ac-4312-8894-5b7e8ff5b3cd}]
    [HKLM\Software\Classes\TypeLib\{eca4e801-17ae-4863-9f5c-af4047aabee0}]

    __________________________________________________________________________________________________________________________________


    * Clique sur "OK"
    * Clique ensuite sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse.
    0
  14. badgone78 Messages postés 6 Statut Membre
     
    Rapport de ZHPFix 1.12.3262 par Nicolas Coolman, Update du 21/03/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-21-03-2011-22-38-41.txt
    Run by PHILIPPE at 21/03/2011 22:38:41
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKLM\Software\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} => Clé supprimée avec succès
    HKLM\Software\Classes\CLSID\{47c6c527-6204-4f91-849d-66e234dee015} => Clé supprimée avec succès
    HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661} => Clé supprimée avec succès
    HKLM\Software\Classes\CLSID\{b791a095-a4ac-4312-8894-5b7e8ff5b3cd} => Clé supprimée avec succès
    HKLM\Software\Classes\TypeLib\{eca4e801-17ae-4863-9f5c-af4047aabee0} => Clé supprimée avec succès

    ========== Dossier(s) ==========
    C:\Documents and Settings\PHILIPPE\Application Data\12776 => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\documents and settings\philippe\application data\12776 => Fichier absent

    ========== Récapitulatif ==========
    5 : Clé(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of the scan
    0
  15. badgone78 Messages postés 6 Statut Membre
     
    Que dois-je faire maintenant?
    Merci.
    0
  16. Utilisateur anonyme
     
    tu peux redémarrer en mode normale?
    plus de rogue?
    0
  17. badgone78 Messages postés 6 Statut Membre
     
    Le PC refonctionne correctement. Cependant, je n'ai toujours rien dans C: .
    En effet, je n'ai dessus que les rapports enregistrés et je ne pense pas que cela soit normal.
    Qu'en pensez vous?

    Merci.
    0
  • 1
  • 2