Virus infection XP HOme security 2012 Alert
tikiti
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Bonjour,
voilà en naviguant tranquillement sur internet, entre autre sur facebook, rien de bien spécial. Firefox s'est brutallement éteint. Et j'ai une fenêtre XP Home Security 2012 Firewal Alert qui s'est ouverte. Mon ordinateur est protégé par avast.
De plus j'ai une petite bulle en bas à gauche qui s'est ouverte, voici ce message :
System hijack
System security threat was detected. Viruses and/or spyware may be damaging your system now. Prevent infection and data loss or stealing by running a free security scan.
Que faire ?? svp ??
Merci d'avance !!!
Bonjour,
voilà en naviguant tranquillement sur internet, entre autre sur facebook, rien de bien spécial. Firefox s'est brutallement éteint. Et j'ai une fenêtre XP Home Security 2012 Firewal Alert qui s'est ouverte. Mon ordinateur est protégé par avast.
De plus j'ai une petite bulle en bas à gauche qui s'est ouverte, voici ce message :
System hijack
System security threat was detected. Viruses and/or spyware may be damaging your system now. Prevent infection and data loss or stealing by running a free security scan.
Que faire ?? svp ??
Merci d'avance !!!
A voir également:
- Virus infection XP HOme security 2012 Alert
- Cle windows xp - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Mailstore home - Télécharger - Mail
- Windows live mail 2012 - Télécharger - Mail
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
12 réponses
Salut,
Avant de commencer la procédure, peux-tu faire ceci.
Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/
Pour cela, télécharge IE ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : https://forum.malekal.com/viewtopic.php?t=33301&start=
Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
Enregistre le fichier url.txt sur ton bureau.
Pour le transmettre :
* Soit copier/coller ici si ça te gène pas.
* Soit en message privé.
* Soit Envoie url.txt sur http://upload.malekal.com
puis :
Télécharge ça : https://www.luanagames.com/index.fr.html
Lances en option 2 (nettoyage).
Poste le rapport ici.
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
Avant de commencer la procédure, peux-tu faire ceci.
Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/
Pour cela, télécharge IE ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : https://forum.malekal.com/viewtopic.php?t=33301&start=
Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
Enregistre le fichier url.txt sur ton bureau.
Pour le transmettre :
* Soit copier/coller ici si ça te gène pas.
* Soit en message privé.
* Soit Envoie url.txt sur http://upload.malekal.com
puis :
Télécharge ça : https://www.luanagames.com/index.fr.html
Lances en option 2 (nettoyage).
Poste le rapport ici.
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
Depuis que j'ai fait RogueKiller, cela va mieux je peux ouvrir internet explorer ainsi que les programmes...
Est-ce finis??
Merci d'avance
Est-ce finis??
Merci d'avance
j'avais déjà lancé un scan avast mais sans résultat.
Le problème c'est que dès que je lance RogueKiller ou même IE History View, rien ne se lance et une fenêtre XP Home Security 2012 has blocked a program form accessing the internet.
RogueKiller.exe is infected with Trojan-BNK.Win32.Keylogger.gen
Private data can be stolen by third parties, including credit cart détails and passwords.
dois-je lancer mon pc en mode sans échec pour lancer RogueKiller ?
Le problème c'est que dès que je lance RogueKiller ou même IE History View, rien ne se lance et une fenêtre XP Home Security 2012 has blocked a program form accessing the internet.
RogueKiller.exe is infected with Trojan-BNK.Win32.Keylogger.gen
Private data can be stolen by third parties, including credit cart détails and passwords.
dois-je lancer mon pc en mode sans échec pour lancer RogueKiller ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici le rapport roguekiller
RogueKiller V5.2.4 [23/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Aurélie [Droits d'admin]
Mode: Suppression -- Date : 23/06/2011 10:26:29
Processus malicieux: 3
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
[SUSP PATH] hii.exe -- c:\documents and settings\aurélie\local settings\application data\hii.exe -> KILLED
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
Entrees de registre: 7
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V5.2.4 [23/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Aurélie [Droits d'admin]
Mode: Suppression -- Date : 23/06/2011 10:26:29
Processus malicieux: 3
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
[SUSP PATH] hii.exe -- c:\documents and settings\aurélie\local settings\application data\hii.exe -> KILLED
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
Entrees de registre: 7
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
et ensuite le rapport ie historyview
RogueKiller V5.2.4 [23/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Aurélie [Droits d'admin]
Mode: Suppression -- Date : 23/06/2011 10:26:29
Processus malicieux: 3
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
[SUSP PATH] hii.exe -- c:\documents and settings\aurélie\local settings\application data\hii.exe -> KILLED
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
Entrees de registre: 7
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V5.2.4 [23/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Aurélie [Droits d'admin]
Mode: Suppression -- Date : 23/06/2011 10:26:29
Processus malicieux: 3
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
[SUSP PATH] hii.exe -- c:\documents and settings\aurélie\local settings\application data\hii.exe -> KILLED
[SUSP PATH] DropboxExt.14.dll -- C:\Documents and Settings\Aurélie\Application Data\Dropbox\bin\DropboxExt.14.dll -> UNLOADED
Entrees de registre: 7
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
reçu merci :)
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
dis j'ai une question :
hxtp://jowusytuhowa.com/buy.html XP Home Security 2012 2 22.06.2011 22:59:33 18.07.2011 22:59:34 Aur%C3%A9lie No
hxtp://jowusytuhowa.com/1006000113425546174202700275172743470d720a700a741675 1 22.06.2011 22:59:22 18.07.2011 22:59:24 Aur%C3%A9lie No
https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fhome.php XP Home Security 2012 ALERT 411 22.06.2011 22:59:07 18.07.2011 22:59:08 Aur%C3%A9lie No
Apparemment, c'est vraiment depuis facebook, que tu as eu l'infection.
Mais j'ai pas le lien, donc je peux pas retrouver la page...
De mémoire, tu sais comment c'est venu, genre tu étais sur facebook et y avait un commentaire et tu as cliqué dessus et pouf l'infection est arrivée.
Si oui ça parlait de quoi le lien ? photo ?
Si tu as la page ça m'interresserait.
hxtp://jowusytuhowa.com/buy.html XP Home Security 2012 2 22.06.2011 22:59:33 18.07.2011 22:59:34 Aur%C3%A9lie No
hxtp://jowusytuhowa.com/1006000113425546174202700275172743470d720a700a741675 1 22.06.2011 22:59:22 18.07.2011 22:59:24 Aur%C3%A9lie No
https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fhome.php XP Home Security 2012 ALERT 411 22.06.2011 22:59:07 18.07.2011 22:59:08 Aur%C3%A9lie No
Apparemment, c'est vraiment depuis facebook, que tu as eu l'infection.
Mais j'ai pas le lien, donc je peux pas retrouver la page...
De mémoire, tu sais comment c'est venu, genre tu étais sur facebook et y avait un commentaire et tu as cliqué dessus et pouf l'infection est arrivée.
Si oui ça parlait de quoi le lien ? photo ?
Si tu as la page ça m'interresserait.
Hello,
voici le lien pour le fichier extras.txt
http://pjjoint.malekal.com/files.php?id=794ac98cb6697
le lien pour le fichier OTL.txt
http://pjjoint.malekal.com/files.php?id=75f243c22d101011
Sinon je dois dire que je me souviens plus trop sur quoi je naviguais au moment de l'intrusion du virus. Ce n'était en tout pas des photos, je regarde essentiellement l'actualité de mes amis sur la page d'accueil et je tchate en même temps.
voici le lien pour le fichier extras.txt
http://pjjoint.malekal.com/files.php?id=794ac98cb6697
le lien pour le fichier OTL.txt
http://pjjoint.malekal.com/files.php?id=75f243c22d101011
Sinon je dois dire que je me souviens plus trop sur quoi je naviguais au moment de l'intrusion du virus. Ce n'était en tout pas des photos, je regarde essentiellement l'actualité de mes amis sur la page d'accueil et je tchate en même temps.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
[2011.06.23 10:23:57 | 000,013,596 | -HS- | M] () -- C:\Documents and Settings\Aurélie\Local Settings\Application Data\30g26gy4agap850k
[2011.06.23 10:23:57 | 000,013,596 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\30g26gy4agap850k
[2011.06.22 22:56:38 | 000,335,872 | ---- | M] () -- C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe
* redemarre le pc sous windows et poste le rapport ici
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
[2011.06.23 10:23:57 | 000,013,596 | -HS- | M] () -- C:\Documents and Settings\Aurélie\Local Settings\Application Data\30g26gy4agap850k
[2011.06.23 10:23:57 | 000,013,596 | -HS- | M] () -- C:\Documents and Settings\All Users\Application Data\30g26gy4agap850k
[2011.06.22 22:56:38 | 000,335,872 | ---- | M] () -- C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe
* redemarre le pc sous windows et poste le rapport ici
voici le rapport OTL
========== OTL ==========
C:\Documents and Settings\Aurélie\Local Settings\Application Data\30g26gy4agap850k moved successfully.
C:\Documents and Settings\All Users\Application Data\30g26gy4agap850k moved successfully.
C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe moved successfully.
OTL by OldTimer - Version 3.2.24.1 log created on 06242011_115124
========== OTL ==========
C:\Documents and Settings\Aurélie\Local Settings\Application Data\30g26gy4agap850k moved successfully.
C:\Documents and Settings\All Users\Application Data\30g26gy4agap850k moved successfully.
C:\Documents and Settings\Aurélie\Local Settings\Application Data\hii.exe moved successfully.
OTL by OldTimer - Version 3.2.24.1 log created on 06242011_115124
