Security tool, j'y ai passé mon aprèm....

foudre78 -  
flo-91 Messages postés 5973 Statut Contributeur sécurité -
Bonjour,

et oui moi aussi, hier soir le bonheur de mon 1er virus...

Apres consultation de divers liens et quelques videos sur youtube, je n'arrive pas à m'en separé, donc avant de foutre l'ordi à la poubelle, ou de payer un expert, je viens demandé votre aide, j'en ai vraiment ras le bol

Donc j'ai essayé le coup du logiciel malwarebytes, en mode normal bien sur cela bloque, security tool m'empeche de l'ouvrir me disant que c'est un virus! (le comble) pareil d'ailleurs pour Rkill. Par contre en mode sans echec, je l'ouvre fait analyse, il me trouve une erreur qui à l'air de correspondre a Sec Tool, je la nettoie, redemarre et security tool toujours la...

J'arrive pas a me connecté en administrateur en mode sans echec, que avec mon utilisateur

J'ai aussi essayé le coup qu'il donne en vidéo sur youtube, rechercher security tool en activant les dossiers cachés, puis le renommé pour le supprimé, mais il n'apparait nul part, donc je ne peux le modifier...

Voila j'en ai vraiment ras le bol, si quelqu'un de sympa pourrait me donné un petit coup de main, je m'acharne depuis qu'il est 14H...

8 réponses

  1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Salut,

    On va essayer sa :

    >Telecharge Combofix ici et enregistre le sur ton bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    # Ferme toutes les fenêtres de programme ouvertes, y compris celle-ci.

    # Ferme ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

    #Double clic sur l'icône de ComboFix située sur le Bureau. Note bien que, une fois que tu as lancé ComboFix, tu ne dois pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme. En fait, lorsque ComboFix tourne, ne touche plus du tout à ton pc. L'analyse peut prendre un certain temps, donc soit patient.

    #Une fenêtre présentant les différents sites autorisés de téléchargement de ComboFix s'affiche. Dans cette fenêtre, clique sur le bouton OK.

    #Après la fin de la sauvegarde du Registre Windows, ComboFix va essayer de savoir si la Console de récupération est installée. Si tu ne l'a pas déja fait accepte.

    #Ceci peut durer un certain temps, donc surtout soit patient. Si tu vois ton Bureau Windows disparaître, ne t'inquiete pas. C'est normal, et ComboFix restaurera votre Bureau avant de se terminer. Finalement, tu verras un nouvel affichage déclarant que le programme a presque fini et vous annonçant que le fichier rapport, ou log, se trouvera dans C:\ComboFix.txt.

    #Poste ce rapport.
    0
    1. cosmo33 Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
       
      Bonsoir,

      j'ai le meme problème, sauf quand je veux télécharger combofix, SécurityTool me dit que c'est un virus! je n'arrive plus a me séparer de ce virus mon PC s'éteind tout seul! Help Me..

      Cosmo33
      0
  2. potriais
     
    J'ai moi aussi passé l'après-midi...avant de trouver une solution des plus simples: redémarrage en mode 'sans échec' et restauration système. On ne peut plus simple et, à priori efficace: il a disparu de mon PC.
    0
  3. foudre78
     
    hello, vraiment merci, je viens de faire un rapport ZHP diag, voici le lien:

    http://www.cijoint.fr/cjlink.php?file=cj201009/cij0W2123o.txt

    Est ce qu'il est necessaire que je fasse le combofix tout de meme, ou ce rapport vous est suffisant?

    merci infiniment!
    0
  4. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Tu n'as pas que le rogue comme infection mais aussi la modification de fichiers host qui redirigent ta navigation !

    => Passe conbofix.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. foudre78
     
    Ce fut un peu long, mais voici enfin le rapport du combofix! Quel est ensuite la démarche à suivre docteur?

    ComboFix 10-09-25.07 - user 26/09/2010 21:12:50.1.2 - x86 NETWORK
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.730 [GMT 2:00]
    Lancé depuis: E:\ComboFix.exe
    AV: avast! antivirus 4.8.1368 [VPS 100926-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\user\Local Settings\Application Data\297588.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-26 au 2010-09-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-26 17:41 . 2010-09-26 17:42 -------- d-----w- c:\program files\ZHPDiag
    2010-09-26 11:00 . 2009-08-27 07:53 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
    2010-09-26 11:00 . 2009-08-27 07:53 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
    2010-09-26 11:00 . 2009-08-27 07:53 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
    2010-09-26 11:00 . 2009-08-27 07:53 -------- d-----w- c:\documents and settings\Administrateur\Menu Démarrer

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-26 11:14 . 2010-09-26 11:14 -------- d-----w- c:\documents and settings\user\Application Data\Malwarebytes
    2010-09-26 11:02 . 2010-09-26 11:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-09-26 11:02 . 2010-09-26 11:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-09-15 09:37 . 2009-09-28 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-08-17 13:17 . 2008-04-13 23:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
    2010-07-22 15:48 . 2008-04-13 23:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
    2010-07-22 06:19 . 2010-07-22 06:19 5632 ------w- c:\windows\system32\xpsp4res.dll
    2010-06-30 12:32 . 2008-04-13 23:00 149504 ----a-w- c:\windows\system32\schannel.dll
    2010-06-25 20:17 . 2010-06-25 20:17 52736 --sha-w- c:\windows\system32\mubohom.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-27 148888]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-05-14 35328]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-23 1983816]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-17 767312]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Assistant Smart Wizard NETGEAR pour WG311v3.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1929216]
    Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-8-27 24576]
    NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1929216]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    S0 cerc6;cerc6; [x]
    S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/09/2009 17:12 114768]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/09/2009 17:12 20560]
    S2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09/10/2007 13:13 38144]
    S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28/12/2007 15:02 287232]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-26 c:\windows\Tasks\OGALogon.job
    - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://google.fr/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\0cx0xjdm.default\
    FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
    FF - plugin: c:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-RunOnce-297588 - c:\docume~1\user\LOCALS~1\APPLIC~1\297588.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-26 21:15
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2010-09-26 21:17:31
    ComboFix-quarantined-files.txt 2010-09-26 19:17

    Avant-CF: 27 758 120 960 octets libres
    Après-CF: 27 734 908 928 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - 9FC6221BF9390FC64323163B0808283C
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Security tool est toujours là je suppose ?
      Essaie de relancer malwarebytes.
      En mode sans echec si le mode normal ne fonctionne pas.
      0
  7. foudre78
     
    Et bien pour le rapport combofix j"étais en mode sans echec assistance réseaux, je rallume l'ordi en "normal" et contre toute attente security tool absent, et je ne suis plus redirigé n'importe ou quand je suis sur le net!

    Il me reste mozilla en mode "sans echec" comment le remettre normal?

    Idem dans ma barre en bas à droite, je ne vois plus l'icone "avast" (mon antivirus) comment savoir si il est bien de nouveau activer, depuis que je l'ai stoppé pour le combofix?

    En tous cas merci du conseil de pro!
    0
  8. foudre78
     
    donc je n'ai apparament plus security tools, mais apres test malarebytes, un nouveau défaut: rogue.secu....

    voici le rapport. (donc dois je encore faire quelque chose)?


    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Database version: 4052

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    26/09/2010 23:09:38
    mbam-log-2010-09-26 (23-09-38).txt

    Scan type: Quick scan
    Objects scanned: 117876
    Time elapsed: 1 hour(s), 26 minute(s), 17 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 1

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    C:\Documents and Settings\user\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
    0
  9. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Oui, sa a été supprimé, c'est bon ;)

    Pour la suite, reposte un nouveau rapport ZHPDIAG stp.
    0