Trojan Necurs (syshot.exe) et Kovter : xigncode3 0xE019101A...

Résolu
evansoja Messages postés 13 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je lance un jeu sur Windows 7 est ça m'affiche cette erreur détecter par Xigncode .

14 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Message bidon, il a été pris où ce jeu ?
    0
    1. evansoja Messages postés 13 Statut Membre
       
      re salut ,

      plusieurs jeux utilisent ce Xigncode fait chier .. sinon le jeu c CombatArms j lai pris par le site officiel .
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca donne quoi si tu clics sur LOG ?

    Si tu veux vérifier l'ordinateur :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  3. evansoja Messages postés 13 Statut Membre
     
    Quand j clics sur LOG ça me mène vers le dossier Xigncode du jeu .
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon ton PC est très infecté.
    Quelques adwares mais surtout Trojan Necurs et Trojan Kovter.

    Ton AVG ne doit plus fonctionner...
    Désinstalle AVG Web TuneUp

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :


    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [syshost32] => C:\Windows\Installer\{3150A6F5-55C9-B87A-5513-DC62345BF951}\syshost.exe
    HKLM-x32\...\Run: [ic-0.211b8575bb83e.exe -start] => C:\Users\ADMIN_~1\AppData\Local\Temp\3771948\ic-0.211b8575bb83e.exe -start <===== ATTENTION
    HKU\S-1-5-21-518146246-2592221939-2409529314-1000\...\Run: [{FDB5A73B-BF0C-4FA1-AC1F-1442CADD05E3}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\URigOQUXcKn').jaOUesw)));
    HKU\S-1-5-21-518146246-2592221939-2409529314-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msowhxe.exe <===== ATTENTION
    S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1592888 2016-03-15] ()
    S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] ()
    S2 e3f5270c; C:\Windows\system32\rundll32.exe c:\Program Files (x86)\NewGen\NewGen.dll,serv
    S2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [X]
    2016-03-17 19:00 - 2016-03-17 19:00 - 00038520 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
    2016-03-17 18:58 - 2016-03-27 13:06 - 00000000 ____D C:\ProgramData\Utatity
    2016-03-17 18:58 - 2016-03-17 18:58 - 06493696 _____ C:\Users\Admin_Zak\AppData\Roaming\agent.dat
    2016-03-17 18:58 - 2016-03-17 18:58 - 01622132 _____ C:\Users\Admin_Zak\AppData\Roaming\True-Find.tst
    2016-03-17 18:58 - 2016-03-17 18:58 - 00126464 _____ C:\Users\Admin_Zak\AppData\Roaming\noah.dat
    2016-03-17 18:58 - 2016-03-17 18:58 - 00065424 _____ C:\Users\Admin_Zak\AppData\Roaming\Config.xml
    2016-03-17 18:58 - 2016-03-17 18:58 - 00018432 _____ C:\Users\Admin_Zak\AppData\Roaming\Main.dat
    2016-03-17 18:58 - 2016-03-17 18:58 - 00005568 _____ C:\Users\Admin_Zak\AppData\Roaming\md.xml
    2016-03-17 18:58 - 2016-03-17 18:57 - 00774144 _____ C:\Users\Admin_Zak\AppData\Roaming\True-Find.exe
    2016-03-17 18:57 - 2016-03-17 18:57 - 00127488 _____ C:\Users\Admin_Zak\AppData\Roaming\Installer.dat
    2016-03-17 18:57 - 2016-03-17 18:57 - 00011568 _____ C:\Users\Admin_Zak\AppData\Roaming\InstallationConfiguration.xml
    2016-03-17 18:56 - 2016-03-17 19:11 - 00000000 ____D C:\ProgramData\TXQMPC
    2016-03-17 18:56 - 2016-03-17 18:58 - 00000000 ____D C:\ProgramData\Tencent
    2016-03-17 18:56 - 2016-03-17 18:56 - 00087864 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
    2016-03-17 18:56 - 2016-03-17 18:56 - 00045368 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys
    2016-03-17 18:56 - 2016-03-17 18:56 - 00005120 _____ C:\Users\Admin_Zak\AppData\Roaming\GiftBag.db
    2016-03-17 18:54 - 2016-03-17 18:54 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-03-17 18:54 - 2016-03-17 18:54 - 00000000 ____D C:\ProgramData\Thunder Network
    2016-03-17 18:53 - 2016-03-24 11:53 - 00015168 _____ C:\Windows\System32\Tasks\WinTaske
    2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Users\Admin_Zak\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
    2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Program Files (x86)\WinTaske
    2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Program Files (x86)\Winsere
    2016-03-17 18:52 - 2016-03-25 14:20 - 00000000 ____D C:\Program Files (x86)\SearchesToYesbnd
    2016-03-17 18:51 - 2016-03-17 18:53 - 00000000 ____D C:\Users\Public\Documents\dmp
    2016-03-17 16:47 - 2016-03-17 16:47 - 00074176 _____ C:\Windows\system32\Drivers\86d08932e1316043.sys
    Reboot:

    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    2/
    Passe ESETNecursCleaner donné sur ce topic : http://www.supprimer-trojan.com/syshost-exe-trojan-necurs/

    3/

    Télécharge et exécute TDSSKiller
    Fais "Skip" sur les détections. Clique en haut à droite sur "reports".
    Envoie sur http://pjjoint.malekal.com/ le contenu du rapport TDSSKiller.
    Donne le lien du rapport pjjoint dans un nouveau message pour pouvoir le consulter.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.

    ou réinstalle AVG si tu préfères.
    Ne réinstalle pas AVG Web Tune, sert à rien.

    ~~

    MalwareBytes ( durée : environ 40min de scan ):
    ==================================================
    Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

    Mettre MBAM à jour puis lancer un examen.
    A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
    Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
    Vas chercher le rapport dans l'onglet "Historique".

    A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

    0
  7. evansoja Messages postés 13 Statut Membre
     
    Quand j envoies le contenu du rapport du scan sur le site
    http://pjjoint.malekal.com/ il m'affiches ce message :

    (Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Zip le.
      0
  8. evansoja Messages postés 13 Statut Membre
     
    Même problème quand je zip . Je vais poster le rapport ici :

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Date de l'analyse: 27/03/2016
    Heure de l'analyse: 15:09
    Fichier journal: Journal d'analysee.txt
    Administrateur: Oui

    Version: 2.2.1.1043
    Base de données de programmes malveillants: v2016.03.27.02
    Base de données de rootkits: v2016.03.12.01
    Licence: Gratuit
    Protection contre les programmes malveillants: Désactivé
    Protection contre les sites Web malveillants: Désactivé
    Autoprotection: Désactivé

    Système d'exploitation: Windows 7 Service Pack 1
    Processeur: x64
    Système de fichiers: NTFS
    Utilisateur: Admin_Zak

    Type d'analyse: Analyse des menaces
    Résultat: Terminé
    Objets analysés: 449012
    Temps écoulé: 12 min, 49 s

    Mémoire: Activé
    Démarrage: Activé
    Système de fichiers: Activé
    Archives: Activé
    Rootkits: Désactivé
    Heuristique: Activé
    PUP: Activé
    PUM: Activé

    Processus: 0
    (Aucun élément malveillant détecté)

    Modules: 0
    (Aucun élément malveillant détecté)

    Clés du Registre: 0
    (Aucun élément malveillant détecté)

    Valeurs du Registre: 0
    (Aucun élément malveillant détecté)

    Données du Registre: 0
    (Aucun élément malveillant détecté)

    Dossiers: 0
    (Aucun élément malveillant détecté)

    Fichiers: 0
    (Aucun élément malveillant détecté)

    Secteurs physiques: 0
    (Aucun élément malveillant détecté)

    (end)
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok refais un scan FRST pour voir s'il reste des trucs.
    Donne les liens via pjjoint.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Il ne reste plus que des extensions parasites sur Firefox et Chrome.
    Tu peux les supprimer manuellement et :

    Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
    Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

    0
  11. evansoja Messages postés 13 Statut Membre
     
    Sinon le probleme du Xigncode est bien résolu .Tes explications sont très claires ,C'est le premier sujet qui résout ce probleme j'ai chercher beaucoup sur des sites mais pas de réponse... . Je vous remercie pour votre aide

    Pour tous qui on le même probleme , vous n'aurez qu'à suivre bien ces étapes .
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas de soucis,
    Change tous tes mots de passe
    Installe un Antivirus.
    Fais un scan Malwarebytes ces prochains jours.

    Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

    0