Sujet Précédent Sujet Suivant

"Windows Security Warning" ; rogue ?

Fermé
tlaloc35 Messages postés 1 Date d'inscription jeudi 17 mai 2012 Statut Membre Dernière intervention 17 mai 2012 - 17 mai 2012 à 13:16
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 18 mai 2012 à 11:24
Bonjour,

Depuis peu de temps, lorsque j'utilise Firefox, cela ouvre automatiquement le site/page via Firefox: "http://protectortestutility.in/78dee9e271084cb2/67/".
Le titre de l'onglet est "Windows Security Warning". Dans cette page, il apparait que dans "System folders" se trouvent "6 Spyware found" dans Shared documents, 7 dans My documents... idem pour Hrd drive.. etc..
Il ya donc une image dans cette page: "Windows Security alert" avec écrit "To help protect your computer, Windows Web Secure Kit have detcted Trojans and ready to remove them.".. avec des soit-disant boutons "Remove all" et "Cancel".

J'ai Windows 7, Avast version gratuite en antivirus.
En fermant cette fenêtre, je peux renaviguer normalement. Cette fenêtre apparaît de temps en temps.

D'après les autres forums, j'ai l'impression qu'il s'agit d'un rogue. Je souhaiterais avoir votre confirmation. Si tel est le cas, pourriez-vous m'aider sur la solution à suivre (Roguekiller ?) et/ou me rediriger vers forum que vous pensez correspondre exactement à ce problème, svp ?

Je vous remercie de votre compréhension.
Sincères salutations,




A voir également:

2 réponses

Réponse 1 / 2
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
17 mai 2012 à 13:27
Bonjour,

Utilise l'option Scan de RogueKiller et poste le rapport :
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller
2
Tlaloc35
17 mai 2012 à 15:13
Ok, merci pour l'information. J'ai effectué le scan, je mets ci-dessous le rapport généré. Il y a effectivement 3 fichiers trouvés dans Registre et beaucoup plus dans Driver. En lisant la notice de Roguekillet, une autre question me vient : comment peut-on savoir si les SSDT apparus dans l'onglet Driver sont des malware ?

Merci
Cordialement,

Rapport généré:

RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Karine [Droits d'admin]
Mode: Recherche -- Date: 17/05/2012 15:06:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD6400AARS-00Y5B1 ATA Device +++++
--- User ---
[MBR] 26a3ee382fc1c0ea18c09a4b7ef08165
[BSP] fab024370e3c71e678e9ec35d0367ce5 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 99900 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 204802048 | Size: 470476 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 1168338944 | Size: 40001 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
17 mai 2012 à 16:06
Je vois rien dans l'onglet Driver.
0
tlaloc35
17 mai 2012 à 16:21
Pour les 3 fichiers dans "Registre", je peux donc les supprimer ?

Dans "Driver", contrairement aux autres onglets "Hosts", "Proxy" (dans lesquels il n'y a rien du tout, sauf "MBR" ), il y a toute une liste de SSDT non sélectionnable.. je ne sais pas si c'est normal. Quand on clique droit dessus, il apparait "Restaurer"
Exemples de SSDT (dans l'ordre: - Object, Index, Module, Module Path, Adress, Legit
- SSDT, 9, NtAddBootEntry, aswSnx.SYS, \SystemRoot\System32\Drivers\aswSnx.SYS, 0x8c225df8, 1
- SSDT, 19, NtAllocateVirtualMemory, aswSP.SYS, \SystemRoot\System32\Drivers\aswSP.SYS, 0x8e2b4a5a, 1
- SSDT, 43, NtAssignProcessToJobObject, aswSnx.SYS, \SystemRoot\System32\Drivers\aswSnx.SYS, 0x8c22685e, 1
- et plusieurs autres comme ça dont 3 objets "INLINE"
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
17 mai 2012 à 16:25
Oui, utilise l'option "Suppression".

aswSnx.SYS, aswSP.SYS sont des pilotes (drivers) de l'antivirus Avast.
0
tlaloc35
17 mai 2012 à 16:35
Suppression effectuée... on verra si ça revient.
Merci pour les conseils en tout cas.
Bonne fin de journée
0
Réponse 2 / 2
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
17 mai 2012 à 16:43
--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.
0