Trojan fake alert
Résolu
Nickie72
Messages postés
155
Date d'inscription
Statut
Membre
Dernière intervention
-
Nickie72 Messages postés 155 Date d'inscription Statut Membre Dernière intervention -
Nickie72 Messages postés 155 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Voilà en voulant télécharger un logiciel, mon pc a été infecté. J'ai eu droit à ADWARE/Adware.gen7, trojan Fake Alert, virus Crypt zpack gen, qv06. Auparavant j'ai eu Xp sécurity cleaner pro. Excusez moi du "peu". Antivir et moi en avons apparement suprimés mais je pense qu'il reste un nettoyage à faire .
je vous joint le rapport Hijackthis :
https://www.cjoint.com/?CFnpATqdgag
Malwarebytes et antivir ne trouvent plus rien.
Merci d'avance pour l'aide apportée.
Voilà en voulant télécharger un logiciel, mon pc a été infecté. J'ai eu droit à ADWARE/Adware.gen7, trojan Fake Alert, virus Crypt zpack gen, qv06. Auparavant j'ai eu Xp sécurity cleaner pro. Excusez moi du "peu". Antivir et moi en avons apparement suprimés mais je pense qu'il reste un nettoyage à faire .
je vous joint le rapport Hijackthis :
https://www.cjoint.com/?CFnpATqdgag
Malwarebytes et antivir ne trouvent plus rien.
Merci d'avance pour l'aide apportée.
A voir également:
- Trojan fake alert
- Que du fake taxe - Forum Vos droits sur internet
- Que du fake formate héritage ✓ - Forum Vos droits sur internet
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Fake ? - Forum Consommation & Internet
40 réponses
Salut,
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
@+
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
@+
merci de ta réponse rapide.
Voilà le rapport
https://www.cjoint.com/?CFnqb0qHEEh
Par contre j'ai eu un petit problème quand j'ai téléchargé adwcleaner, google m'a prévenu qu'on essayait de changer les données (excuse moi si je m'explique mal) et quand le pc a redémaré j'ai eu le message "un handle non valide".
Voilà le rapport
https://www.cjoint.com/?CFnqb0qHEEh
Par contre j'ai eu un petit problème quand j'ai téléchargé adwcleaner, google m'a prévenu qu'on essayait de changer les données (excuse moi si je m'explique mal) et quand le pc a redémaré j'ai eu le message "un handle non valide".
D'accord!
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
* Laisse le prescan se terminer, clique sur Scan
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
* Laisse le prescan se terminer, clique sur Scan
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
même en le renommant il n'a pas voulu s'ouvrir. j'ai ce message "C:\Documents and Settings\Compaq_Proprietaire\Bureau\winlogon.exe n'est pas une application Win32 valide.
Que dois-je faire
Que dois-je faire
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
On va procéder autrement:
Démarrage en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------
Dans ce mode tu refais la procédure de RogueKiller, ensuite poste le rapport stp
Démarrage en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------
Dans ce mode tu refais la procédure de RogueKiller, ensuite poste le rapport stp
bonjour
Désolée pour hier.
Voici donc le rapport de RogueKiller:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 14/06/2013 09:06:10
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xF7B62134)
SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xF7B620EE)
SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xF7B6213E)
SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xF7B620E4)
SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xF7B620F3)
SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xF7B620FD)
SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xF7B6212F)
SSDT[97] : NtLoadDriver @ 0x80584172 -> HOOKED (Unknown @ 0xF7B6211B)
SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xF7B62102)
SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xF7B620D0)
SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xF7B620D5)
SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xF7B6210C)
SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xF7B62107)
SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xF7B62143)
SSDT[240] : NtSetSystemInformation @ 0x8060FE98 -> HOOKED (Unknown @ 0xF7B62120)
SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xF7B620F8)
SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xF7B620DF)
SSDT[277] : NtWriteVirtualMemory @ 0x805B4400 -> HOOKED (Unknown @ 0xF7B620DA)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7B62148)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7B6214D)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Maxtor 6L200M0 +++++
--- User ---
[MBR] 4a2ac4fc3378a1baf316abe967da5a4d
[BSP] 8a7884da59e414827f91c43dcf324e78 : Toshiba MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 6142 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12578895 | Size: 184629 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_14062013_090610.txt >>
RKreport[1]_S_14062013_090610.txt
Désolée pour hier.
Voici donc le rapport de RogueKiller:
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Compaq_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 14/06/2013 09:06:10
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xF7B62134)
SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xF7B620EE)
SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xF7B6213E)
SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xF7B620E4)
SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xF7B620F3)
SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xF7B620FD)
SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xF7B6212F)
SSDT[97] : NtLoadDriver @ 0x80584172 -> HOOKED (Unknown @ 0xF7B6211B)
SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xF7B62102)
SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xF7B620D0)
SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xF7B620D5)
SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xF7B6210C)
SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xF7B62107)
SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xF7B62143)
SSDT[240] : NtSetSystemInformation @ 0x8060FE98 -> HOOKED (Unknown @ 0xF7B62120)
SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xF7B620F8)
SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xF7B620DF)
SSDT[277] : NtWriteVirtualMemory @ 0x805B4400 -> HOOKED (Unknown @ 0xF7B620DA)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7B62148)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7B6214D)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Maxtor 6L200M0 +++++
--- User ---
[MBR] 4a2ac4fc3378a1baf316abe967da5a4d
[BSP] 8a7884da59e414827f91c43dcf324e78 : Toshiba MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 6142 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12578895 | Size: 184629 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_14062013_090610.txt >>
RKreport[1]_S_14062013_090610.txt
Bonsoir,
* Télécharge puis enregistre sur le bureau de ton PC ZHPDiag
(de Nicolas Coolman) à partir : ce lien
* Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
* Clique sur l'icône en forme de loupe pour lancer le diagnostique
* Héberge le rapport ZHPDiag.txt de ton bureau sur : FEC Upload ou malekal.com
* Fais copier/coller le lien fourni dans ta prochaine réponse
* Aide ZHPDiag : <<< ICI >>>
* Télécharge puis enregistre sur le bureau de ton PC ZHPDiag
(de Nicolas Coolman) à partir : ce lien
* Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
* Clique sur l'icône en forme de loupe pour lancer le diagnostique
* Héberge le rapport ZHPDiag.txt de ton bureau sur : FEC Upload ou malekal.com
* Fais copier/coller le lien fourni dans ta prochaine réponse
* Aide ZHPDiag : <<< ICI >>>
j'ai essayé de télécharger ZHPDiag d'après ton lien. Il me demande de mettre à jour Adobe flash player et quand je veux le mettre, Avira trouve un logiciel malveillant (toujours ADWARE/Adware gen7) et refuse de mettre à jour. Dois je fermer avira et télécharger quand même?
oups! autant pour moi, je me suis simplement trompée de loupe. J'ai pris une de gauche au lieu de celle de droite. Désolée.
Voilà le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130615_y14m15q6i5f15
Autre chose. Hier quand j'ai fermé RogueKiller, il m'a été demandé si je voulais faire "supression". Je ne l'ai pas fait car je ne savais s'il fallait ou pas. Ai-je bien fait?
Voilà le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130615_y14m15q6i5f15
Autre chose. Hier quand j'ai fermé RogueKiller, il m'a été demandé si je voulais faire "supression". Je ne l'ai pas fait car je ne savais s'il fallait ou pas. Ai-je bien fait?
bonsoir
Désolée j'ai encore du m'absenter.
Je ne sais pas ce qu'est un logiciel d'émulation de CD.
J'espère ne pas en avoir.
Je passe combofix et te poste le rapport.
Désolée j'ai encore du m'absenter.
Je ne sais pas ce qu'est un logiciel d'émulation de CD.
J'espère ne pas en avoir.
Je passe combofix et te poste le rapport.
Bonjour,
On va tout d'abord lancer un autre outil :
Passe un coup de Pre_Scan : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan
Le rapport est un peu long, héberge le stp
@+
On va tout d'abord lancer un autre outil :
Passe un coup de Pre_Scan : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan
Le rapport est un peu long, héberge le stp
@+
bon et bien voilà depuis ce matin j'essaie de scanner avec ComboFix et dès que l'étape 50 arrive, mon PC se ferme et se rallume donc je suis obligée de tout recommencer et rebelote ça recommence. Mon antivirus bien que fermé me demande toujours s'il doit bloquer ou pas. Est ce que ça vient de ça? Je ne sais pas comment fermer plus Avira (là j'avais arrêté Guard, Web et Mail et pourtant j'avais toujours le message pour bloquer).
De même pour Pre_Scan, je le lance et il reste bloqué sur C:\Documents and Sttings\Compaq_proprietaire\ApplicationData\Microsoft\HTLM Help\hh.dat.
J'ai eu beau le relancer plusieurs fois, rien à faire il se bloque aussi. Je ne sais pas combien de temps il met pour scanner mais je pense qu'une demi heure sans bouger c'est long.
Que dois-je faire, Merci
De même pour Pre_Scan, je le lance et il reste bloqué sur C:\Documents and Sttings\Compaq_proprietaire\ApplicationData\Microsoft\HTLM Help\hh.dat.
J'ai eu beau le relancer plusieurs fois, rien à faire il se bloque aussi. Je ne sais pas combien de temps il met pour scanner mais je pense qu'une demi heure sans bouger c'est long.
Que dois-je faire, Merci
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\Drivers\USBkey.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\Drivers\USBkey.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
j'ai lancé une analyse car je n'ai pas vu "envoyer le fichier" mais je ne trouve pas le lien.
Autre chose depuis que j'ai passé Pre_Scan j'ai toujours un message de sécurité me disant que la connexion que je vais utiliser n'est pas sécurisée et que d'autres utilisateurs du web pourront dorénavant accéder aux informations que j'envoie. Y a t-il quelque chose à faire pour empêcher ça. Merci
Autre chose depuis que j'ai passé Pre_Scan j'ai toujours un message de sécurité me disant que la connexion que je vais utiliser n'est pas sécurisée et que d'autres utilisateurs du web pourront dorénavant accéder aux informations que j'envoie. Y a t-il quelque chose à faire pour empêcher ça. Merci
je suis le concepteur de pre_scan c'est pour cela que j'ai pris la main que je vais rendre à Fish66 une fois ceci passé
Merci je ne suis pas trop douée mais j'm'améliore de jour en jour, enfin j'espère.
Voilà le lien :
https://www.virustotal.com/gui/file/fd3eb10284baea86d42982bd1a0e8861502fff91c4fa5d919a13f7f239eb842b
Voilà le lien :
https://www.virustotal.com/gui/file/fd3eb10284baea86d42982bd1a0e8861502fff91c4fa5d919a13f7f239eb842b