Se connecter / S'enregistrer
Votre question

Infection par "Windows Security Alert"

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Décembre 2010 21:58:53

Bonsoir à tous et toutes

Je pense que je viens d'être infecté par un malware/tojan du nom de "Windows Security Alert". Le PC me fait des "Windows Security Alert" ou des "Critical Error" avec un logo composé d'une croix blanche dans un rond rouge en bas à droite.

Un coup, c'est "Damaged hard drive are detected", une autre fois c'est "Hard Drive not found", "Windows can't find hard disk space", "Ram memory usage is critical", etc, etc...

Est-ce que quelqu'un peut me prendre en charge? :( 

J'ai l'impression que le PC plante de plus en plus; par exemple, je ne peux rester que quelques dizaines de minutes allumé défois

Je vous remercie énormément par avance de votre aide :love: 

Autres pages sur : infection windows security alert

a c 267 8 Sécurité
5 Décembre 2010 22:05:27

Bonjour,

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    5 Décembre 2010 22:09:55

    Merci beaucoup pour ta réponse et pour la rapidité de celle-ci :love: 

    Toutes les 10 minutes environ, le PC redémarre!!! Je vais faire tout ce que tu m'as dit, j'ai peur que ça prenne du temps :??: 

    Merci encore!
    Contenus similaires
    a c 267 8 Sécurité
    5 Décembre 2010 22:35:00

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.

  • Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur.

  • Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    5 Décembre 2010 23:14:35

    J'ai fait l'analyse ComboFix, mais je n'avais pas désactivé Avira :heink:  Quel couillon que je suis! :ange:  :ange: 

    Voilà le rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijTQtYo...


    (le temps que tu le lises, j'en fait un autre, en désactivant mon antivirus, au cas où ça permette de gagner du temps)
    6 Décembre 2010 00:52:25

    Oulala, ça me parait compliqué, d'autant que ça touche au disque dur, et j'ai tellement de données dessus!!!

    D'autant que je suis pas fortiche en "informatique pure"

    J'ai chopé cette cochonnerie, apparement, sur un site sur lequel je vais tous les jours... Incompréhensible...



    Apparement d'après le lien, le mieux est d'essayer "Bootkit Remover"

    Qu'est-ce que tu en penses? Je peux y aller sans risque?



    PS: les problèmes semblent avoir disparus :??:  Plus aucun signe...
    a c 267 8 Sécurité
    6 Décembre 2010 01:33:50

    Oui.
    6 Décembre 2010 13:19:42

    Bonjour Destrio5

    Ca ne marche pas.

    J'ai téléchargé "Bootkit Remover", créé le fichier "dump.cmd", mais il n y a pas de trace d'un quelconque fichier "fix.Bat". En double cliquant sur "dump.cmd", ça ne fait que me créér un fichier texte: "bootkit_remover_debug_log.txt"

    Et donc, il n y a pas de création de fichier "copy_mbr" sur le bureau
    6 Décembre 2010 18:58:22

    Ca continue de planter: maintenant ça me fait des rectangles gris dans la barre des tâches au bout d'un moment!!! :pfff:  , mais le PC reste allumé, les fenêtres d'alertes ont disparu ainsi que le logo du virus
    a c 267 8 Sécurité
    6 Décembre 2010 20:16:25

    Tu as lancé Bootkit Remover ?
    a c 267 8 Sécurité
    6 Décembre 2010 20:51:34

    Donc il faut que le fichier remover de l'archive bootkit_remover soit sur ton Bureau.

    Voici le fichier fix.bat :
    http://destrio5.free.fr/Desinfection/TDL4/fix.bat

    Double-clique sur fix.bat, ça doit ouvrir une fenêtre noire qui va se refermer.

    Refais un scan avec ComboFix.
    6 Décembre 2010 21:28:33

    Dans un premier temps, j'ai lancé remover.exe, ça m'a fait une fenêtre noire que j'ai fermé en appuyant sur une touche
    Ca a créé un fichier "bootkit_remover_debug_log.txt" que je te mets ici:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijVTh93...

    Après quoi j'ai créé le fichier dump.cmd, puis cliqué sur le fix.bat que tu m'as donné; ça a aussi créé une fenêtre noire que j'ai refermé en appuyant sur une touche, mais aucun fichier "copy_mbr" n'a été créé

    Voilà le nouveau rapport Combofix:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijvYfya...

    A noter que Combofix a redémarré le PC car il m'a indiqué dans une fenêtre qu'il y avait une histoire de rootkit, mais je n'ai pas très bien compris
    a c 267 8 Sécurité
    6 Décembre 2010 21:49:35

    Ça n'a pas fonctionné, essaie la manip' avec mbr de GMER.
    7 Décembre 2010 01:23:30

    Re

    Désolé, je me suis endormi devant le PC :ouch:  :lol: 

    Ca a parfaitement marché avec mbr de GMER. Je me suis arrêté au scan de Virus Total. Je n'ai pas fait le "Nettoyer le MBR"


    Je te mets un scan (j'ai collé les images avec Photoshop ;)  ) de Virus Total:

    7 Décembre 2010 01:28:38

    Je suppose que je dois nettoyer le MBR.

    Dans le cas suivant:

    http://forum.malekal.com/mbr-malwares-comment-detecter-...

    Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f

    il faut bien remplacer %userprofile% par mon nom d'utilisateur PC ??


    Edit: jepa est mon nom d'utilisateur PC. J'ai fait exécuter: "jepa\Bureau\mbr" -f
    Ca ne marche pas, ça me met une fenêtre d'erreur: "Windows ne trouve pas jepa\Bureau\mbr......"
    a c 267 8 Sécurité
    7 Décembre 2010 03:06:01

    Laisse avec "%userprofile%".
    7 Décembre 2010 03:48:26

    Ca ne marche pas

    Voilà une copie d'écran de ce que ça me fait (fenêtre d'erreur):

    a c 267 8 Sécurité
    7 Décembre 2010 04:36:02

    Essaie cette commande : "%userprofile%\Desktop\mbr" -f
    7 Décembre 2010 09:43:47

    Bonjour

    Avec cette commande, ça a marché! ;)  J'ai donc refait des analyses

    Hélas, j'ai bien l'impression que le problème est toujours là

    J'ai recommencé tout le processus depuis le début


    Le scan Virus Total est toujours le même


    Voilà le "mbr.log" après l'exécution réussie de la commande "%userprofile%\Desktop\mbr" -f

    Citation :


    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.0.6002 Disk: Hitachi_HDT725032VLA380 rev.V54OA73A -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    detected disk devices:
    \Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskHitachi_HDT725032VLA380_________________V54OA73A#5&cdd46ed&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
    detected hooks:
    \Driver\atapi -> 0x855231f8
    user != kernel MBR !!!
    sectors 625142446 (+255): user != kernel




    Et enfin voilà le dernier rapport Combofix:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijgTQLt...
    7 Décembre 2010 21:35:43

    Bonsoir ;) 

    J'exécute TDSSKiller.exe en tant qu'administrateur ou en double cliquant dessus?
    a c 267 8 Sécurité
    7 Décembre 2010 22:23:47

    En tant qu'administrateur.
    a c 267 8 Sécurité
    7 Décembre 2010 23:01:21

    Continue.
    7 Décembre 2010 23:15:07

    Oui, mais je sélectionne quoi avant? Skip? Delete? Cure? Quarantaine?

    Pour TDSS.tdl2, ils disent de sélectionner "delete"
    Pour TDSS.tdl3, c'est "cure"
    Mais il n y a aucune indication pour TDSS.tdl4
    a c 267 8 Sécurité
    7 Décembre 2010 23:30:13

    Laisse par défaut.
    a c 267 8 Sécurité
    8 Décembre 2010 00:52:56

    L'infection est partie, tu n'as plus de souci ?
    8 Décembre 2010 00:56:30

    Ca a l'air d'être bon...

    Seul truc un peu bizarre: dans Firefox, la barre noire tout en haut (où il y a le titre de la page, la croix rouge, etc... (me rappele plus le nom de cette barre) ), devient grise au bout d'un moment... et ça ne le faisait pas avant l'infection

    a c 267 8 Sécurité
    8 Décembre 2010 01:04:47

    Elle passe de transparent à grise juste dans Firefox ?
    8 Décembre 2010 01:10:37

    De noire à grise/transparente, mais au bout d'un moment d'utilisation de Firefox
    a c 267 8 Sécurité
    8 Décembre 2010 01:20:40

    Ça ne me dit rien.
    8 Décembre 2010 01:32:53

    Le mieux est que j'attende que ça arrive :pt1cable:  , et je ferai une copie d'écran...

    Pour le reste, c'est bon donc? T'as une idée d'où j'ai chopé cette cochonnerie? C'est apparu alors que je visitais un site web, normal (pas underground)... Et c'est pas la première fois que j'attrape un spyware/trojan...
    9 Décembre 2010 18:52:05

    Bonsoir

    Bon, et bien ça ne le fait plus l'histoire de la barre transparente Firefox

    Tout à l'air d'aller bien

    Il ne me reste plus qu'à te remercier pour toute ton aide :) 


    J'ai fait un rapport Hijackthis. Peux-tu y jeter un coup d'oeil et me dire si tout est normal? Merci encore

    Rapport Hijackthis:

    http://www.cijoint.fr/cjlink.php?file=cj201012/cij6ZXOm...



    a c 267 8 Sécurité
    9 Décembre 2010 22:12:08

    Oui.


    1/

  • Télécharge DelFix sur ton Bureau.
  • Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
  • Clique sur le bouton Suppression.
  • Poste le rapport (C:\DelFixSuppr.txt).
  • Supprime DelFix.


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS