my security shield, trojan spy, trust warrior

[invite1c617b90]

Bonjour à tous,

J'ai de gros soucis sur mon ordinateur depuis hier. En effet, une fenêtre pop-up est arrivée signalant : "avertissement ! une tentative de vol d'identité est détectée. IP de connexion cachée : 128.154.26.11 risque de sécurité : élevé. On me recommande d'acheter un abonnement pour supprimer les fichiers contaminés et protéger mon pc. Je tombe sur un site appelé "my security shield". Cette fenetre est bloquée sur mon écran et je ne peux l'enlever.
Suite à cela, d'autres messages sont arrivés, une véritable invasion ! :
"lsas.Trojan-spy.DOS.keycopy. Attention votre information a été volée" et un autre appelé "Malware fakepopup trustwarrior".
Je suis novice en informatique. J'ai effectué la procédure (ATF cleaner, RSIT) et vous envoie en PJ les fichiers. Merci pour votre aide
-----

[invite4c6c2965]

Salut,
Tu as cliquer sur Supprimer la sélection avec MBAM ? (sinon scan à refaire)



Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]   
"QuickTime Task"=-
"RealTray"=-
"syshitray2"=-
"eorezo"=-
"EoEngine"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]    
"WinUsr"=-
"SpiderMessenger"=-
"My Security Shield"=-
 
:Files
C:\Documents and Settings\All Users\Application Data\1781c6
C:\Documents and Settings\VAYSSIE\Application Data\My Security Shield       
C:\Documents and Settings\All Users\Application Data\MSNHKXS  
C:\Documents and Settings\All Users\Application Data\1781c6  
C:\Program Files\EoRezo       
C:\Program Files\SpiderMessenger   
 
:Services
bygb
ptjmu
jfdcd
MEMSWEEP2
    
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[Reboot]

Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[invite1c617b90]

Merci B Marlow pour votre réponse.
Je vous envoie, comme convenu, le rapport c:\_OTM \Moved Files,
Etant très novice en informatique, j'espère ne pas avoir fait d'erreur dans la procédure. En tous cas, je vous remercie pour votre aide si rapide et efficace.
Dernière question : comment puis-je être sûre de ne plus avoir de virus cachés dans l'ordinateur ? Dois-je relancer un scan ?
Bien cordialement

[invite4c6c2965]

tu n'as pas répondu à ma question:

Tu as cliquer sur Supprimer la sélection avec MBAM ?

Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[A voir en vidéo sur Futura]

[invite1c617b90]

Bonjour,
Voici le rapport esetonlinescaner en pièce joint.

En effet, je n'avais pas supprimé la sélection avec MBAM. Dois je quand même refaire un scan ou est-ce que le scan de eset fait le même travail ?
Merci pour votre patience,

[invite4c6c2965]

Non, eset online et MBAM ne fon pas le même travail. Je te conseille de refaire un scan Complet
de ton poste de travail avec MBAM, supprime ce qu'il trouve, à la fin poste le rapport.

[invite1c617b90]

J'ai refait une scan complet avec MBAM (Malwarebytes' Anti-malware, j'espère que l'on parle bien de la même chose ??) et supprimé ce qu'il a trouvé.
Voici le fichier en P.J.
Dois-je faire autre chose ?
Merci

[invite4c6c2965]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite1c617b90]

Voici le rapport combofix en pj.
Bonne soirée

[invite4c6c2965]

Il reste quelques trucs:

Désactive ton antivirus, car il risque de faire de fausses alertes sur le programme suivant.
Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Ferme toutes les fenêtres actives, navigateur y compris /!\
Double clique sur le programme d'installation , et installe le dans son emplacement par défaut: ( C:\Program files )
Clique sur le raccourci pour le lancer
Au menu principal choisis l'option (Nettoyer)
Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log)

[invite1c617b90]

Bonjour,

Voici le fichier Ad-Report-clean
Bien cordialement

[invite4c6c2965]

relance RSIT puis poste le nouveau rapport log.txt

[invite1c617b90]

Voici le rapport RSIT

[invite4c6c2965]

cherche ce programme C:\Program Files\trend micro\VAYSSIE.exe
double-clique dessus, clique sur Do a system scan only
coche ces lignes, ferme les fenêtres actives, puis clique sur Fixchecked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNoti fier\GoogleToolbarNotifier.exe "
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe



Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invite1c617b90]

Bonjour,

Voici le rapport Eset.
Bonne journée

[invite4c6c2965]

Ceci va supprimer les programmes qui nous ont servi à la procédure:

• Télécharge DelFix de Xplode
• Enregistre-le sur le Bureau
• Lance-le, tape 2 et valide en appuyant sur la touche [Entrée]
• Patiente quelques secondes puis poste le contenu du rapport qui s'ouvrira

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

[invite1c617b90]

Voici le rapport Delfix

[invite4c6c2965]

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

@+

[invite1c617b90]

Bonjour,

Je vous remercie vivement pour votre aide et ne manquerai pas à recommander votre site.