Rogue - MalwareBytes

Lio66 Messages postés 47 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Bonjour,

J'ai été infecté par le rogue "pc performance & stability".

J'ai suivi ce tuto:
Téléchargez MalwareBytes Anti-Malware (MBAM).
* Laissez-vous guider lors de l'installation.
* La mise à jour se fait automatiquement lors de l'installation.
* Ouvrez MalwareBytes Anti-Malware, cliquez sur "Exécuter un examen complet" puis sur "Rechercher".
* Sélectionnez les disques que vous voulez analyser puis cliquez sur "Lancer l'examen".
* Laissez maintenant l'analyse se réaliser, cela peut prendre un peu de temps.
* Une fois l'analyse terminée, cliquez sur OK puis sur "Afficher les résultats".
* Vérifiez que tout soit bien coché et cliquez sur "Supprimer la sélection".
* Un rapport va être généré. Postez le rapport sur le forum Virus/sécurité pour vous faire aider.
* Il se pourrait que le logiciel ait besoin de redémarrer le PC pour terminer la suppression de certains fichiers, acceptez.

Voici le rapport:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.19.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Lionel :: LIONEL-HP [administrateur]

19/03/2012 22:54:44
mbam-log-2012-03-19 (22-54-44).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 296369
Temps écoulé: 1 heure(s), 4 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 2
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> 3876 -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> 5440 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|orytRAOHtwiq.exe (Rogue.FakeHDD) -> Données: C:\ProgramData\orytRAOHtwiq.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\ProgramData\orytRAOHtwiq.exe (Rogue.FakeHDD) -> Suppression au redémarrage.
C:\ProgramData\Fzt8jt9hmnDX0Y.exe (Trojan.FakeAlert) -> Suppression au redémarrage.
C:\Users\Lionel\AppData\Local\Temp\walFBcbCdpBq2w.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Lionel\AppData\Local\Temp\sTJEdRVVB0O6ld.exe.tmp (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.

(fin)

Que dois je faire?

Merci par avance de votre aide

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection par le rogue «pc performance & stability» est décrite et un scan avec MalwareBytes Anti-Malware détecte des processus mémoire, des fichiers et des entrées de registre à supprimer ou mettre en quarantaine. Les éléments identifiés nécessitent un redémarrage pour la suppression complète et incluent des clés Run et des hijacks du Start Menu, mis en quarantaine ou réparés selon les indications. En cas d'infection similaire, il est recommandé de redémarrer l'ordinateur après le nettoyage et de réaliser un second scan pour vérifier l'absence de traces. Certains commentaires mettent aussi en garde contre l'utilisation précipitée d'outils supplémentaires comme AdwCleaner, afin d'éviter la suppression involontaire de raccourcis et de configurer une vérification approfondie du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    lu,

    redémarrer?
    4
  2. g3n-h@ckm@n
     
    hello

    non !!! pas adwcleaner maintenant sinon les raccourcis du menu demarrer s'ils sont absents seront supprimés

    on n'utilise jamais un logiciel qui nettoie les fichiers temporaires suite à une infection par rogue , on verifie d'abord qu il ne manque rien à l'user
    2
  3. Lio66 Messages postés 47 Statut Membre
     
    oridnateur redémarré.

    J'ai plus "pc performance & stability" qui s'affiche.
    Par contre, écran toujours noir avec les dossiers vides et uniquement poubelle sur le bureau.
    0
  4. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
     
    Bsr
    jusque là c bon,

    termine le nettoyage avec adwcleaner (ex ad remover)

    http://general-changelog-team.fr/fr/downloads/summary/20-outils-de-xplode/2-adwcleaner

    comment protège tu ton pc?
    0
    1. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 382
       
      je n'avais pas vu vu le message de 00:09

      Non un antivirus n'est pas suffisant
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lio66 Messages postés 47 Statut Membre
     
    ok, j'essaie ça.
    Je protege avec avira.. pas suffisant?
    0
  7. Lio66 Messages postés 47 Statut Membre
     
    Merci g3n.

    Par contre, que dois je faire alors pour que tout revienne à la normale?
    0
  8. g3n-h@ckm@n
     
    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  9. Lio66 Messages postés 47 Statut Membre
     
    Merci beaucoup.

    Je vais essayer de faire ca au plus vite.
    0
  10. Lio66 Messages postés 47 Statut Membre
     
    Pour info, mon ordi est sous garantie.

    Est ce que ce genre de pb peut passer en garantie?
    0
    1. Utilisateur anonyme
       
      Comme dit g3n-h@ckm@n ce n'est pas prix en charge par la garantie, surtout que la très grande majorité des infections sont du à l'utilisateur lui même qui infecte son propre pc à cliquer sans réfléchir.
      0
  11. g3n-h@ckm@n
     
    non les virus ne sont pas pris en charge :)

    le systeme d'exploitation non plus d ailleurs
    0
  12. Lio66 Messages postés 47 Statut Membre
     
    Bonjour g3n-h@ckm@n

    J'ai effectué le pre scan, au démarrage de l'ordi, les icones et dossiers sont revenus sur le bureau. Toutefois, j'ai toujours l'écran noir sur le bureau, et j'ai deux message d'erreur (catalyst control et hp assistant ont cessé de cfonctionné).

    Le rapport Pre_scan se trouve là:
    https://pjjoint.malekal.com/files.php?id=20120321_y11h9j5h9j10

    Je vous remercie déjà pour là où j'en suis arrivé parce que sans vous, je serai encore avec 0 icones.
    Par contre, pour m'en débarasser completement, que dois je faire e plus?
    0
  13. g3n-h@ckm@n
     
    hello

    si tu choisis n'importe quelle photo comme fond d'ecran ca te la met pas ?

    ============

    desinstalle Facemoods
    desinstalle Vuze Remote Toolbar
    desinstalle Ask.com/AskToolbar
    desinstalle Java update 29
    desinstalle spotify
    desinstalle conduit/ConduitEngine

    ============

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ""=-
    "facemoods"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
    [-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6}]
    [-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2CEA3AD4-5355-4E20-B80E-31D50D4663C2}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F07C49F0-3D75-4BFF-AF39-681A0FE384FE}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
    [-HKCU\Software\Ask.com]
    [-HKCU\Software\facemoods.com]
    [-HKLM\Software\facemoods.com]

    txt::
    C:\Windows\System32\Tasks\{3B745575-10EC-4B78-B19B-8E8F9942A2D8}

    file::
    C:\Program Files\Vuze_Remote\prxtbVuze.dll
    C:\Windows\lö¸

    folder::
    C:\Program Files\facemoods.com
    C:\Program Files\Ask.com
    C:\Windows\assembly\tmp\0CUS4V1O
    C:\Windows\assembly\tmp\1C18B5KX
    C:\Windows\assembly\tmp\9KNFDP5L
    C:\Windows\assembly\tmp\CCF93B48
    C:\Windows\assembly\tmp\HWDAZGAJ
    C:\Users\Lionel\AppData\Local\Conduit
    C:\Program Files\Ask.com
    C:\Program Files\Conduit

    Mbr::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  14. Lio66 Messages postés 47 Statut Membre
     
    En rajoutant une photo cela fonctionne. Mais je pense qu'un problème persiste. Quand je clique sur le logo window en bas a gauche de l'ecran, la barre d'outils est vide (seulement apparaît "tous les programmes".
    0
  15. g3n-h@ckm@n
     
    t'as pas utilisé adwcleaner comme conseillé ?
    0
  16. Lio66 Messages postés 47 Statut Membre
     
    Autant pour moi, j'avais pas lu l'integralite de ton precedent message (je suis sur mon telephone).

    J'essaierai a midi d'installer les prgrammes en question, pre_scan et copie coller.

    Merci beaucoup
    0
  17. Lio66 Messages postés 47 Statut Membre
     
    Je suis en train de désinstaller les programmes, par contre, je ne sais pas à quoi correspond: conduit/ConduitEngine

    Je l'ai pas dans les programmes.
    0
  18. Lio66 Messages postés 47 Statut Membre
     
    J'ai desinstalle les prog,
    J'ai lance pre_scan
    Script
    Jai copie coller le texte puis fichier et enregistrer

    Quand je ferme le texte, il apparaît le message suivant:

    Erreur lors de la sauvegarde du fichier c'\pre_scan\save_script\BCD !

    Continuer avec le fichier suivant?

    [RegCreatekeyEx: 5 - acces refusé]
    Oui - n'on
    0
    1. Lio66 Messages postés 47 Statut Membre
       
      J'ai cliquè sur non, car impossibilitE de cliquer sur oui.

      Le programme travaille, fenetre qui s'ouvre etc...

      Puis l'ordi s'eteint et redemarre. Mais au redémarrage, je n'ai pas de rapport pre_scan sur le bureau.
      0
  19. g3n-h@ckm@n
     
    ben non c est un raport pre_script...
    0
    1. Lio66 Messages postés 47 Statut Membre
       
      poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

      Le pb, c'est que j'ai pas de rapport qui apparaît en fin de travail.
      0
  20. g3n-h@ckm@n
     
    planqué dans tes icones sur ton bureau
    0
    1. Lio66 Messages postés 47 Statut Membre
       
      Encore merci. Je regarde ca ce soir en rentrant.
      0
  • 1
  • 2
  • 3