Trojan Necurs (syshot.exe) et Kovter : xigncode3 0xE019101A... [Résolu/Fermé]

Signaler
Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017
-
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
-
Bonjour,

Je lance un jeu sur Windows 7 est ça m'affiche cette erreur détecter par Xigncode .

14 réponses

Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Salut,

Message bidon, il a été pris où ce jeu ?
Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

re salut ,

plusieurs jeux utilisent ce Xigncode fait chier .. sinon le jeu c CombatArms j lai pris par le site officiel .
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Ca donne quoi si tu clics sur LOG ?

Si tu veux vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

Quand j clics sur LOG ça me mène vers le dossier Xigncode du jeu .
Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Bon ton PC est très infecté.
Quelques adwares mais surtout Trojan Necurs et Trojan Kovter.

Ton AVG ne doit plus fonctionner...
Désinstalle AVG Web TuneUp

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [syshost32] => C:\Windows\Installer\{3150A6F5-55C9-B87A-5513-DC62345BF951}\syshost.exe
HKLM-x32\...\Run: [ic-0.211b8575bb83e.exe -start] => C:\Users\ADMIN_~1\AppData\Local\Temp\3771948\ic-0.211b8575bb83e.exe -start <===== ATTENTION
HKU\S-1-5-21-518146246-2592221939-2409529314-1000\...\Run: [{FDB5A73B-BF0C-4FA1-AC1F-1442CADD05E3}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\URigOQUXcKn').jaOUesw)));
HKU\S-1-5-21-518146246-2592221939-2409529314-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msowhxe.exe <===== ATTENTION
S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1592888 2016-03-15] ()
S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] ()
S2 e3f5270c; C:\Windows\system32\rundll32.exe c:\Program Files (x86)\NewGen\NewGen.dll,serv
S2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [X]
2016-03-17 19:00 - 2016-03-17 19:00 - 00038520 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
2016-03-17 18:58 - 2016-03-27 13:06 - 00000000 ____D C:\ProgramData\Utatity
2016-03-17 18:58 - 2016-03-17 18:58 - 06493696 _____ C:\Users\Admin_Zak\AppData\Roaming\agent.dat
2016-03-17 18:58 - 2016-03-17 18:58 - 01622132 _____ C:\Users\Admin_Zak\AppData\Roaming\True-Find.tst
2016-03-17 18:58 - 2016-03-17 18:58 - 00126464 _____ C:\Users\Admin_Zak\AppData\Roaming\noah.dat
2016-03-17 18:58 - 2016-03-17 18:58 - 00065424 _____ C:\Users\Admin_Zak\AppData\Roaming\Config.xml
2016-03-17 18:58 - 2016-03-17 18:58 - 00018432 _____ C:\Users\Admin_Zak\AppData\Roaming\Main.dat
2016-03-17 18:58 - 2016-03-17 18:58 - 00005568 _____ C:\Users\Admin_Zak\AppData\Roaming\md.xml
2016-03-17 18:58 - 2016-03-17 18:57 - 00774144 _____ C:\Users\Admin_Zak\AppData\Roaming\True-Find.exe
2016-03-17 18:57 - 2016-03-17 18:57 - 00127488 _____ C:\Users\Admin_Zak\AppData\Roaming\Installer.dat
2016-03-17 18:57 - 2016-03-17 18:57 - 00011568 _____ C:\Users\Admin_Zak\AppData\Roaming\InstallationConfiguration.xml
2016-03-17 18:56 - 2016-03-17 19:11 - 00000000 ____D C:\ProgramData\TXQMPC
2016-03-17 18:56 - 2016-03-17 18:58 - 00000000 ____D C:\ProgramData\Tencent
2016-03-17 18:56 - 2016-03-17 18:56 - 00087864 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
2016-03-17 18:56 - 2016-03-17 18:56 - 00045368 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys
2016-03-17 18:56 - 2016-03-17 18:56 - 00005120 _____ C:\Users\Admin_Zak\AppData\Roaming\GiftBag.db
2016-03-17 18:54 - 2016-03-17 18:54 - 00000000 ____D C:\Users\Public\Thunder Network
2016-03-17 18:54 - 2016-03-17 18:54 - 00000000 ____D C:\ProgramData\Thunder Network
2016-03-17 18:53 - 2016-03-24 11:53 - 00015168 _____ C:\Windows\System32\Tasks\WinTaske
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Users\Admin_Zak\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Program Files (x86)\WinTaske
2016-03-17 18:53 - 2016-03-17 18:53 - 00000000 ____D C:\Program Files (x86)\Winsere
2016-03-17 18:52 - 2016-03-25 14:20 - 00000000 ____D C:\Program Files (x86)\SearchesToYesbnd
2016-03-17 18:51 - 2016-03-17 18:53 - 00000000 ____D C:\Users\Public\Documents\dmp
2016-03-17 16:47 - 2016-03-17 16:47 - 00074176 _____ C:\Windows\system32\Drivers\86d08932e1316043.sys
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

2/
Passe ESETNecursCleaner donné sur ce topic : http://www.supprimer-trojan.com/syshost-exe-trojan-necurs/

3/

Télécharge et exécute TDSSKiller
Fais "Skip" sur les détections. Clique en haut à droite sur "reports".
Envoie sur http://pjjoint.malekal.com/ le contenu du rapport TDSSKiller.
Donne le lien du rapport pjjoint dans un nouveau message pour pouvoir le consulter.



Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

J'ai fait toutes les étapes . Le contenu du rapport TDSSKiller :


https://pjjoint.malekal.com/files.php?id=20160327_x6w12l8z11q8
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.

ou réinstalle AVG si tu préfères.
Ne réinstalle pas AVG Web Tune, sert à rien.

~~


MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

Quand j envoies le contenu du rapport du scan sur le site
http://pjjoint.malekal.com/ il m'affiches ce message :


(Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.)
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Zip le.
Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

Même problème quand je zip . Je vais poster le rapport ici :

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 27/03/2016
Heure de l'analyse: 15:09
Fichier journal: Journal d'analysee.txt
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2016.03.27.02
Base de données de rootkits: v2016.03.12.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Admin_Zak

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 449012
Temps écoulé: 12 min, 49 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
ok refais un scan FRST pour voir s'il reste des trucs.
Donne les liens via pjjoint.
Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Il ne reste plus que des extensions parasites sur Firefox et Chrome.
Tu peux les supprimer manuellement et :

Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :



Messages postés
12
Date d'inscription
dimanche 10 mai 2015
Statut
Membre
Dernière intervention
2 mai 2017

Sinon le probleme du Xigncode est bien résolu .Tes explications sont très claires ,C'est le premier sujet qui résout ce probleme j'ai chercher beaucoup sur des sites mais pas de réponse... . Je vous remercie pour votre aide

Pour tous qui on le même probleme , vous n'aurez qu'à suivre bien ces étapes .
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Pas de soucis,
Change tous tes mots de passe
Installe un Antivirus.
Fais un scan Malwarebytes ces prochains jours.


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows