Infecté par un Rogue: XP Home Security Résolu/Fermé

Question

Bonjour à tous et à toutes!

Je travaillais tranquillement sur mon ordi et tout d'un coup en lançant Firefox, j'ai reconnu une activité suspecte, mais malheureusement familière venant de mon ordinateur. Toutes mes pages Firefox se sont fermées, un petit bouclier rouge, identique à celui de Windows est apparu en bas, dans la zone de notification avec une info-bulle m'avertissant soudainement que mon pc n'était plus protégé. Mon antivirus m'a avisé d'un lancement d'exécutable quelconque (dans ce cas, il a le nom kii.exe .. et je suis certain, par expérience, qu'il cache plusieurs de ses petits frères dans mon système) et ensuite, l'apparition d'une fenêtre identique à 99,98% au centre de sécurité Windows qui m'avertit  que mon pare-feu est désactivé, que je n'ai pas d'antivirus et bla bla bla. Ca ressemble à s'y méprendre à l'authentique Centre de sécurité Windows, sauf que ca ne fait que parler de XP Home Security (un logiciel qu'ils veulent surement me vendre et bla bla bla)...

Ensuite, un faux scan qui détecte tout un tas de faux virus (cette fois, 28!). Et bien entendu, comme c'est pas la première fois que je me fais attaquer par ce genre de cochonnerie, je sais comment exécuter mes logiciels, et quels outils aller télécharger... Je ne sais pas comment j'ai pu faire pour me remettre aussi rapidement dans le pétrin. Mais sachez que depuis la dernière fois que j'ai résolu ce problème, j'ai formaté mon PC puis réinstallé Windows.

Depuis la réinstallation de Windows, Windows Update est incapable de faire une mise à jour de sécurité particulière (KB2481109). J'espère que ce n'est pas en exploitant cette faille de sécurité que ce rogue s'est retrouvé sur mon système..

J'aurais besoin de votre aide pour me débarasser (une fois de plus!) de ces trucs désagréables.

Merci d'avance! 



Configuration: Windows XP / Firefox 4.0.1

Malekal_morte- · Answer

Salut,  



Bienvenue. 
Voici la procédure à suivre. 
Prière de lire attentivement les instructions pour les suivre correctement. 
Bien poster les rapports comme demandés afin de pouvoir les analyser. 


Avec Internet Explorer - Télécharge ça : https://www.luanagames.com/index.fr.html  
Tu le renommes en winlogon ou iexplore s'il est bloqué. 
Lances en option 2 (nettoyage).  
Poste le rapport ici.  



ETAPE 2:

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!! 


ETAPE 3: 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/  

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.  
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)  

* Lance OTL  
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :  
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT 
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs  
* Clique sur le bouton Analyse.  
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.  
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

monsieurkiwi · Answer

Bonjour! Je commence par mon rapport Rogue Killer: RogueKiller V5.1.0 [02/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 SerWDemarrage : Mode normal Utilisateur: SteveDegarie [Droits d'admin] Mode: Suppression -- Date : 04/05/2011 13:52:02 Processus malicieux: 1 [APPDT/TMP/DESKTOP] kii.exe -- c:\documents and settings\stevedegarie\local settings\application data\kii.exe -> KILLED Entrees de registre: 8 [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0) [FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "%1" %*) -> REPLACED : ("%1" %*) [FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "%1" %*) -> REPLACED : ("%1" %*) [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe") [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode) [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\SteveDegarie\Local Settings\Application Data\kii.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\IEXPLORE.EXE") Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

monsieurkiwi · Answer

Et mon rapport MBAM:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6506

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-05-04 13:57:05
mbam-log-2011-05-04 (13-57-05).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 142836
Temps écoulé: 2 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" %*) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\stevedegarie\local settings\temp\0.4510837856372454.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\stevedegarie\local settings\application data\kii.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\stevedegarie\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

monsieurkiwi · Answer

mes liens pjjoint:

https://pjjoint.malekal.com/files.php?id=a990bf13168615

https://pjjoint.malekal.com/files.php?id=4ae85e571981514

Malekal_morte- · Answer

Surf un peu voir ce que cela donne.

monsieurkiwi · Answer

Wow!

Depuis bientôt une heure que je surf comme un fou, et toujours pas de comportement bizarre! Excepté celui-ci:

Depuis le dernier redémarrage de mon ordi (causé par MBAM), le petit bouclier rouge de windows (le vrai cette-fois!) est dans ma zone de notification en bas à droite. Il m'avertis que je n'ai pas de pare-feu, alors, j'active tout de suite celui de windows, ca fonctionne! Mais il m'averti aussi que les Mises à jour automatiques sont désactivées. Quand j'essaie de les activé à même le centre de sécurité windows, je recois un message d'erreur: "Désolé. Le centre de sécurité n'a pas pu modifier vos paramètres de mises à jour automatiques." Et on me conseille d'aller les activer manuellement via le panneau de config > Mises à jour Automatiques. J'y vais, et je vois que l'option Installation Automatique (Recommandé) est bel et bien sélectionnée! C'est pas un peu contradictoire tout ca? (est-ce que c'est là que ma mise à jour impossible à installer (KB2481109) vient me déranger?)

Mais bon, le système semble être en pleine forme tout de même :)

Merci beaucoup!

Malekal_morte- · Answer

Voir : https://forums.commentcamarche.net/forum/affich-21993126-suite-au-virus-xp-total-security#1

~~

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html  
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte : 
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

monsieurkiwi · Answer

WOW.

Non seulement vous m'avez répondu excessivement rapidement, mais en plus, les infos que vous me donnez après la résolution du problèmes seront d'une valeur inestimable. Je vais les faire lire à ma copine qui utilise aussi mon ordinateur, comme ca, je saurai que nous sommes deux utilisateurs avertis!

Merci infiniment pour l'aide que j'ai obtenue et comptez sur moi pour rester fidèle à votre site. (je réfèrerai le forum à mes amis s'ils se mettent dans le pétrin)

Merci beaucoup et bonne journée!

Infecté par un Rogue: XP Home Security

8 réponses

Discussions similaires