Vista Internet Security...encore une victime! Fermé

Question

Bonjour, 

A mon tour d'avoir été touché par ce rogue. 

ça ma bloqué internet et je ne pouvais pas aller sur un forum voir une solution. J'ai crée une session invité sur mon ordi et là j'avais internet. Je suis allé là : https://forum.hardware.fr/hfr/WindowsSoftware/Securite/desactiver-internet-security-sujet_315373_1.htm 
et j'ai téléchargé et lançé "exefix.reg" et ça ma dit que ça avait bien modifié ma base de registre.
J'ai lancé Spydoctor et ... vlan ... payant ... entre temps ma session invité avait perdu internet !
Donc là je suis un peu paumé. J'ai téléchargé Malwarebytes' Anti-Malware ainsi que ses MAJ et vais tenter de voir ce qu'il me trouve et s'il peut me supprimer cette m***de. 

Je suis preneur de tout avis et conseils !! et vous direz si ça a marché ! Merci

Hassan94240 · Answer

Salut, normalement Malwarbyte's devrais t'en débarrasser 

fais coméme apres le scan de Malwarbyte's 

pour bien nétoyer ton ordi 

un bon coup de : Ccleaner

seb380531 · Answer

Merci 

je chope CCleaner ... et dès que je rentre du taf je tente tout ça !

truecode · Answer

Bonjour,

Avant de faire malware bytes il y a d'autre étape pour supprimer complétement l'infection par le rogue : 

Etape 1 : 

Si vous avez Spybot S&D:

Désactiver Spybot - Search & Destroy\TeaTimer.exe  
*Lance spybot  
*Menu mode : clique sur "avancé" 
*Puis sur "outils"  
*clique sur l'icone "résident"  
*Ensuite à droite décoches Teatimer 

Désactiver l'uac sous vista

Désactive l'UAC (User Account Control) le temps de la désinfection. 
Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur. 
(Manipulation inverse pour le remettre en fin de désinfection). 
(Cela va permettre aux outils de désinfection de travailler correctement). 

Etape 2 :


*Téléchargez Rkill https://download.bleepingcomputer.com/grinler/rkill.com
*Double-cliquez dessus pour le lancer. Il va arrêter automatiquement tous les processus associés à Security Tool et à d'autres rogues. soyez patient car le logiciel peut prendre du temps ! Une fois terminé, le logiciel se ferme tout simplement : c'est normal . Vous pouvez passer directement à la suite de la désinfection. 
*Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte. 


Etape 3 :  

*Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

*Double clique sur le fichier téléchargé
*Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
*Quand la mise à jour est terminé va dans l'onglet
*Tu sélectionne "Exécuter un examen complet"
*Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

*L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
*Maintenant tu clique sur "Ok" pour poursuivre.
*Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
*Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
*Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
*Le Bloc-notes va s'ouvrir avec le rapport d'analyse
*Fais un copier coller de ce rapport etposte-le dans ton prochain message. 
 

Etape 4 : 

* Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
* Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
* Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
* Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

seb380531 · Answer

Bonjour et merci, 

Et bien ç'est parti ... on verra ce que ça va donner

seb380531 · Answer

Bonjour,  

Eh bien j'ai fais choux blanc !!!  J'ai désactivé l'uac sous vista, téléchargez et lancé Rkill, lancé MBAM dont voici le rapport : 

Malwarebytes' Anti-Malware 1.44 
Version de la base de données: 3861 
Windows 6.0.6002 Service Pack 2 
Internet Explorer 8.0.6001.18882 

22/03/2010 21:02:28 
mbam-log-2010-03-22 (21-02-28).txt 

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|) 
Eléments examinés: 218520 
Temps écoulé: 1 hour(s), 10 minute(s), 22 second(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 1 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 4 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully. 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
C:\Users\Seb et Emeline\AppData\Local\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully. 
C:\Users\Seb et Emeline\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully. 
C:\Users\Seb et Emeline\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully. 
C:\Users\Seb et Emeline\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. 

je pensais alors que c'était bon et lancé RSIT.  

N'ayant pas internet chez moi (de par le fait !!!) je me connecte d'ailleurs et je viens de me rendre compte que j'ai oublié les rapports log.txt et info.txt  sur mon ordi.  

Peut être malgré cet oubli pourrez vous m'aider ?  

Actuellement les symptomes sont : plus de messages de Vista Internet Security, le centre de sécurité de windows est revenu à la normale, ma connexion si on n'en croit mon icône "réseau" est bonne puisque je suis connecté à ma box, ma clé wifi est également connecté à ma box ... donc tout semble normal niveau connexion sauf que je lance IE et "connexion impossible" et quand je lance mon diagnostic NEUF il me dit "impossible de se connecter à votre box".

Merci

truecode · Answer

On peut voir qu'il y a bien eu élimination du rogue par contre le rapport d'analyse de RSIT est utile pour voir s'il ne reste pas de résidu voir d'autres infections .

Par contre si tu n'a pas internet , je te conseille de faire l'analyse avec ZHPDIAG car RSIT a besoin d'internet pour télécharger Hijackthis afin d'avoir un rapport complet .

Voici la manip pour ZHPDIAG : 

* Télécharge ZHPDiag https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

seb380531 · Answer

Merci pour cette réponse (hyper) rapide .... je devais à peine finir de taper le message que tu commençais à y répondre .... c'est dingue ça .... wouaw.

Ok je vais faire ça mais comme je suis au taf ce sera + tard.

Ne plus avoir internet est symptomatique de ce genre d'infection car j'ai pas trop trouvé de cas similaire où, après avoir détruit le rogue, tout semble normal sauf la connexion internet ?

Merci

truecode · Answer

Les rogues sont proposés en téléchargement suite à l'affichage de de fausses alertes indiquant que vous êtes infecté.

Ces de fausses alertes indiquant que vous êtes infecté. peuvent arriver de deux manières :

Soit votre ordinateur est réellement infecté et des fenêtres intempestives d'alertes s'ouvrent.
Soit un site WEB ouvre une popup de publicité d'alerte, votre ordinateur n'est pas infecté, la popup est ouverte par le site WEB.

Le but étant de faire installer un faux logiciels de sécurité et voir même plus faire payer l'utilisateur.

Il est possible que d'autre infections soit sur ton pc et ne permettent pas d'accéder à internet .

Je vais attendre ton rapport avant de te donner la suite des instructions .

seb380531 · Answer

Bonjour, 

ca y est le diag de ZHP est fait :
http://www.cijoint.fr/cjlink.php?file=cj201003/cijdds9KzW.txt

Merci

seb380531 · Answer

un petit up 

merci

truecode · Answer

Re , 

Alors on continue :


*Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3 
*Lance l'installation du programme en exécutant le fichier téléchargé. 
*Double-clique maintenant sur le raccourci de Toolbar-S&D. 
*Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
*Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
*Poste le rapport généré. (C:\TB.txt)

seb380531 · Answer

as tu remarqué qq chose dans mon diagnostic ?

seb380531 · Answer

Salut, 

voici le rapport TB:

http://www.cijoint.fr/cjlink.php?file=cj201003/cij25jrUW1.txt 

Merci

seb380531 · Answer

après vérification oui  le contrôle des comptes utilisateurs est tjs désactivé

seb380531 · Answer

un petit up ....

merci

truecode · Answer

*Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
*Enregistrer ce fichier sur le Bureau.
*Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
*Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):



:processes

explorer.exe

:files
c:\program files\partner\partner.dll
c:\windows\system32\wuaucldt.exe

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]


:commands

[emptytemp]

[start explorer]

[reboot]


*Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
*Cliquer sur le bouton rouge Moveit!.
*Fermer OTMoveIt3
*Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. 


Ensuite : 

*Téléchargez ATF-Cleaner depuis http://www.atribune.org/ccount/click.php?id=1
*Double clique sur ce programme pour en lancer l'exécution.
*Sélectionnez la boîte appelée "Select All" et cliquez sur le bouton "Empty Selected"
*Une fois terminé, fermez le programme.

seb380531 · Answer

Bonjour 

voici le rapport :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder c:\program files\partner\partner.dll not found.
c:\windows\system32\wuaucldt.exe moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Invité
->Temp folder emptied: 180359 bytes
->Temporary Internet Files folder emptied: 9854601 bytes
->Java cache emptied: 12118833 bytes
->Flash cache emptied: 480 bytes
 
User: Public
 
User: Seb et Emeline
->Temp folder emptied: 3174037 bytes
->Temporary Internet Files folder emptied: 527193317 bytes
->Java cache emptied: 68566380 bytes
->Flash cache emptied: 2017378 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 91769879 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 15049472 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 7618570 bytes
RecycleBin emptied: 7834305036 bytes
 
Total Files Cleaned = 8 175,00 mb
 
 
OTM by OldTimer - Version 3.1.10.1 log created on 03262010_182745

Files moved on Reboot...
File C:\Windows	emp\MpCmdRun-8E-421CFC91-A93E-42AB-A35C-F06F127FCC44.lock not found!
C:\Windows	emp\MpCmdRun.log moved successfully.
File C:\Windows	emp\TMP000000560C461E11305AE66B not found!

Registry entries deleted on Reboot...

Mais bon ... toujours rien.

Merci

seb380531 · Answer

un petit up
merci

truecode · Answer

Bonsoir , 

Normalement plus de soucis , poste tout de même un rapport ZHPDIAG pour vérifier la suppression

seb380531 · Answer

bonjour, 

Appareme,t si je suis ce que tu me dis c'est que si je n'ai toujours pas internet, ce n'est pas à cause de ce qui m'est arrivé mais autre chose. Car je n'ai tjs pas de connexion.

Merci

seb380531 · Answer

Bonjour, 

désolé je tarde pour répondre mais j'étais en déplacement pro. 

Déplacement que mon amie, ayant un besoin important de connexion, a utiliser pour restaurer mon système avant l'incident.

Du coup internet remarche mais je sais pas si tout ce que tu m'as fait faire demeure ....

Merci encore.

truecode · Answer

Bonjour,

Comment je t'ai mis en commentaire poste moi tout de même le rapport ZHPDIAG pour que je vérifie

Vista Internet Security...encore une victime!

22 réponses

Discussions similaires