Infecté par un Rogue: XP Home Security [Résolu/Fermé]

Signaler
Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011
-
Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011
-
Bonjour à tous et à toutes!

Je travaillais tranquillement sur mon ordi et tout d'un coup en lançant Firefox, j'ai reconnu une activité suspecte, mais malheureusement familière venant de mon ordinateur. Toutes mes pages Firefox se sont fermées, un petit bouclier rouge, identique à celui de Windows est apparu en bas, dans la zone de notification avec une info-bulle m'avertissant soudainement que mon pc n'était plus protégé. Mon antivirus m'a avisé d'un lancement d'exécutable quelconque (dans ce cas, il a le nom kii.exe .. et je suis certain, par expérience, qu'il cache plusieurs de ses petits frères dans mon système) et ensuite, l'apparition d'une fenêtre identique à 99,98% au centre de sécurité Windows qui m'avertit que mon pare-feu est désactivé, que je n'ai pas d'antivirus et bla bla bla. Ca ressemble à s'y méprendre à l'authentique Centre de sécurité Windows, sauf que ca ne fait que parler de XP Home Security (un logiciel qu'ils veulent surement me vendre et bla bla bla)...

Ensuite, un faux scan qui détecte tout un tas de faux virus (cette fois, 28!). Et bien entendu, comme c'est pas la première fois que je me fais attaquer par ce genre de cochonnerie, je sais comment exécuter mes logiciels, et quels outils aller télécharger... Je ne sais pas comment j'ai pu faire pour me remettre aussi rapidement dans le pétrin. Mais sachez que depuis la dernière fois que j'ai résolu ce problème, j'ai formaté mon PC puis réinstallé Windows.

Depuis la réinstallation de Windows, Windows Update est incapable de faire une mise à jour de sécurité particulière (KB2481109). J'espère que ce n'est pas en exploitant cette faille de sécurité que ce rogue s'est retrouvé sur mon système..

J'aurais besoin de votre aide pour me débarasser (une fois de plus!) de ces trucs désagréables.

Merci d'avance!



8 réponses

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Salut,



Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


Avec Internet Explorer - Télécharge ça : https://www.luanagames.com/index.fr.html
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.



ETAPE 2:

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!


ETAPE 3:

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Surf un peu voir ce que cela donne.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011

Bonjour! Je commence par mon rapport Rogue Killer:

RogueKiller V5.1.0 [02/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 SerWDemarrage : Mode normal
Utilisateur: SteveDegarie [Droits d'admin]
Mode: Suppression -- Date : 04/05/2011 13:52:02

Processus malicieux: 1
[APPDT/TMP/DESKTOP] kii.exe -- c:\documents and settings\stevedegarie\local settings\application data\kii.exe -> KILLED

Entrees de registre: 8
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\IEXPLORE.EXE")

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011

Et mon rapport MBAM:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6506

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-05-04 13:57:05
mbam-log-2011-05-04 (13-57-05).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 142836
Temps écoulé: 2 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" %*) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\stevedegarie\local settings\temp\0.4510837856372454.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\stevedegarie\local settings\application data\kii.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\stevedegarie\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011

Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011

Wow!

Depuis bientôt une heure que je surf comme un fou, et toujours pas de comportement bizarre! Excepté celui-ci:

Depuis le dernier redémarrage de mon ordi (causé par MBAM), le petit bouclier rouge de windows (le vrai cette-fois!) est dans ma zone de notification en bas à droite. Il m'avertis que je n'ai pas de pare-feu, alors, j'active tout de suite celui de windows, ca fonctionne! Mais il m'averti aussi que les Mises à jour automatiques sont désactivées. Quand j'essaie de les activé à même le centre de sécurité windows, je recois un message d'erreur: "Désolé. Le centre de sécurité n'a pas pu modifier vos paramètres de mises à jour automatiques." Et on me conseille d'aller les activer manuellement via le panneau de config > Mises à jour Automatiques. J'y vais, et je vois que l'option Installation Automatique (Recommandé) est bel et bien sélectionnée! C'est pas un peu contradictoire tout ca? (est-ce que c'est là que ma mise à jour impossible à installer (KB2481109) vient me déranger?)

Mais bon, le système semble être en pleine forme tout de même :)

Merci beaucoup!
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 412
Voir : https://forums.commentcamarche.net/forum/affich-21993126-suite-au-virus-xp-total-security#1

~~

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Messages postés
8
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
10 août 2011

WOW.

Non seulement vous m'avez répondu excessivement rapidement, mais en plus, les infos que vous me donnez après la résolution du problèmes seront d'une valeur inestimable. Je vais les faire lire à ma copine qui utilise aussi mon ordinateur, comme ca, je saurai que nous sommes deux utilisateurs avertis!

Merci infiniment pour l'aide que j'ai obtenue et comptez sur moi pour rester fidèle à votre site. (je réfèrerai le forum à mes amis s'ils se mettent dans le pétrin)

Merci beaucoup et bonne journée!