Bureau noir et 19 trojans !

Ce sont de fausses alertes pour te faire acheter un programme qui est une arnaque.
donc suis la procédure.

d'accord je m'y mets de suite

je peux déjà dire que roguekiller est très puissant car le bureau est revenu (j'en ferais la pub sur mon site) je poste le rapport dès que je peux

RogueKiller V5.3.3 [18/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Pascale [Droits d'admin]
Mode: Suppression -- Date : 25/08/2011 14:21:57

Processus malicieux: 1
[SUSP PATH] CAAFPGKaHiKhe.exe -- c:\programdata\caafpgkahikhe.exe -> KILLED [TermProc]

Entrees de registre: 10
[SUSP PATH] HKCU\[...]\Run : CAAFPGKaHiKhe (C:\ProgramData\CAAFPGKaHiKhe.exe) -> DELETED
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Pascale\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

Fichiers / Dossiers particuliers:

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt

RogueKiller V5.3.3 [18/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Pascale [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 25/08/2011 14:24:12

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 11 / Fail 0
Lancement rapide: Success 19 / Fail 0
Programmes: Success 367 / Fail 0
Menu demarrer: Success 54 / Fail 0
Dossier utilisateur: Success 4691 / Fail 0
Mes documents: Success 1295 / Fail 0
Mes favoris: Success 32 / Fail 0
Mes images: Success 2019 / Fail 0
Ma musique: Success 4447 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 6992 / Fail 0
Sauvegarde: [FOUND] Success 229 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

c'est donc le même problème que moi mais tu avais combien de trojans et lesquels avant le problème du bureau (juste comme ça pour savoir) ?

Et voici le rapport malwarebyte

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7564

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

25/08/2011 15:25:56
mbam-log-2011-08-25 (15-25-56).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 177595
Temps écoulé: 7 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\caafpgkahikhe.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\mui.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
c:\info.cmd (Trojan.Agent) -> Quarantined and deleted successfully.



Le logiciel me propose de redemarrer l'ordinateur pour que la suppression soit effective.
Faut il le faire immédiatement?

Hello

RogueKiller pas à jour
Il ne faut pas utiliser le lien CCM.

J'en déduis que tu as cracké Photoshop (ton fichier hosts) et c'est les crack dans ce genre qui sont plein de virus!

A ta place je met le disque dans unautre ordi je récupére les données et je réinstalle windows!

ça le fait sur firefox (pas essayé explorer), en fait par exemple je tape le nom de mon post dans google (déjà ça beugue et je suis obligé d'actualiser la page pour voir les résultats de recherche), je clique sur le post, je regarde la barre d'adresse qui indique l'adresse de mon post une demi-seconde puis qui passe sur maltasong.com ou un autre site que j'ai pas retenu et ensuite la petite fenêtre de téléchargement s'ouvre et me demande d'ouvrir ou d'enregistrer "s" ou "search" (ce que je ne fais pas biensur), ça le fait à peu près 2 fois sur 3 on va dire.

test sur internet explorer...

sinon je n'ai pas le dossier sysnative apparement

aucun problème sur explorer

OK sur Firefox : Menu Outils => Modules Complémentaires.
T'as pas des extensions bizarres ?

Tu as quoi comme moteur de recherche en haut à droite ?

voir : https://www.malekal.com/desinstaller-un-programme-et-extensions-firefox/

Java et Adobe Reader sont vulnérables : https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/

Faut que vous les mettiez à jour.
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

ok moi c'était aussi java/tharra.A mais après avoir redémarré il m'indiquait les mêmes mais sous le nom que j'ai donné plus haut

je crains que cela recommence j'ai encore 5 fichiers tharra.a d'après un nouveau scan d'antivir, c'est normal ?

Ok merci pour les infos.
J'ai recupéré mes icones sur le bureau également. Le scan d'OTL est en cours.
Juste une question, je n'ai pas rebranché mon disque dur externe depuis l'infection, faut il que je refasse toutes les étapes en le connectant?

même question pour moi

faut pas mettre à jour, faut voir si tu en as pas qui sont pourris :)

j'ai encore un problème car depuis ce matin (aucun problème de ce type hier soir) j'ai des retransfert à partir des liens google vers hostgator puis un autre truc sur firefox, pareil sur internet explrer mais transfert vers un autre site. J'ai tapé le nom de mon site dans google (teamracing80) et en cliquant dessus il m'a aussi transféré ! par contre il ne le fait qu'une fois par site apparement, j'ai fait un screen mais je ne sais pas où le poster

http://teamracing80.e-monsite.com/rubrique,telechargements,1842011.html voilà j'ai mis le screen sur cette page, si quelqu'un peut m'aider à résoudre le problème ça serait bien parce que c'est vraiment lourd. Merci à ceux qui me répondront.
JHKarting

C'est un prb au niveau de ton Firefox.
Le mieux c'est de faire ça : https://forums.commentcamarche.net/forum/affich-22984322-bureau-noir-et-19-trojans#30

Ce programme là peux t'aider à faire une sauvegarde : http://mozbackup.jasnapaka.com/

Est ce que tes redirections t'amenaient sur le site gomeo par hasard? Car moi c'est ce qui se passe. Ce n'est pas systématique mais régulièrement firefox est redirigé vers Gomeo. Je suis en train de faire quelques recherches et ça a l'air assez connu comme problème...

A mon avis c'est la procédure qui a réinitialisé quelque chose, je pense qu'avec ccleaner dans outils puis demarrage tu peux désactiver le lancement de ces deux process. Je ne suis pas sur mais sinon tu arretes les process et ça ne devrait plus revenir. Moi mon ordi a eu un plantage et j'ai du couper l'alim pour redemarrer, d'habitude dans ce cas il me met une recherche de solution au probleme mais la il ne l'a pas fait, bizarre.

Tu as raison la procédure a surement réinitialisé des programmes, cependant je persiste à penser qu'il doit rester des crasses quelque part dans l'ordi: même en les fermant manuellement dans le gestionnaire, ils réapparaissent tout seuls une minute après...
Je vais les désinstaller carrément et voir ce qui se passe.

Moi j'ai plus trop de problèmes, mais antivir me marque des BOO/tdss.D et me propose jamais de les supprimer, je ne sais pas si c'est dangereux et comment les virer du pc ?
(J'aurais voulu répondre avant mais le message que j'avais écrit a pas été envoyé et j'ai remarqué ça qu'aujourd'hui

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.

le tdsskiller a rien repéré (d'ailleurs je crois que j'avais déjà fait un scan avec ce logiciel il y a deux jours mais j'avais oublié). Enfin bon sinon voilà le rapport= http://pjjoint.malekal.com/files.php?id=p9f8o11v6h12h6n7v5u5v5z6g8r7y15e9t10x15t7v15d13. Et antivir rale toujours autant, mystère.

et lui il dit quoi ? https://forum.malekal.com/viewtopic.php?t=33630&start=

alors celui-là m'a trouvé = infected mbr detected, j'ai fait réparer et antivir scanne le pc pour voir si c'est résolu.

Windows 7 64 bits et j'ai installé le service pack 1 il y a 3 ou 4 jours

okay.

Paragraphe : Windows Seven - Réparer votre ordinateur

Tente une restauration du système si possible après l'installation du SP1.

=> https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847

Pour restaurer le système, il ne faut pas un cd qu'on a crée précédemment ? Parce que justement je crois que je ne l'ai jamais fait. Sinon j'ai remarqué que ce qui m'arrivait a chaque demarrage était la 4ème image du tutoriel mais moi c'est en anglais

Alors j'ai réussi a tomber sur un truc qui me proposait 5 options différentes mais par contre aucune ne marche (c'est bizarre parce que je n'ai pas de point de restauration après l'installation du sp1. D'ailleurs apparemment j'en ai aucun. Bon je vais essayer tout ça aujourd'hui j'espère que ça va marcher.

Si je ne me trompe pas je pense que c'est la réparation du Mbr qui a du faire planter le démarrage de Windows. Les réparations expliquées dans le tuto ne donnent rien du tout et ça fait une demi-heure que je cherche le cd de réparation que j'avais gravé au début du pc. Je pense que je vais ramener l'ordinateur chez un professionnel parce que là je ne peut plus rien faire avec. Si tu peux m'aider à trouver une solution je crois que ça me sauverait moi et mon porte-monnaie. Merci quand même pour toute l'aide que tu m'as apportée ces derniers jours.

ok.
Le truc c'est que le fix est parfois aléatoire et ça peux tout planter :/