Infecté par Security sphere 2012.

Résolu
Alphomega -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,

Quelqu'un peut-il m'aider ?
J'ai ma session infectée par security sphere et je ne peux plus rien faire. Par chance une deuxième session sur mon PC est clean. Donc je peux vous demander de l'aide.

D'avance merci.

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
    Lances en option 2 (Suppression).
    Poste le rapport ici.

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    1
  2. Alphomega
     
    Salut,

    Voici le rapport :

    RogueKiller V6.1.4 [22/10/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Virginie [Droits d'admin]
    Mode: Suppression -- Date : 24/10/2011 09:48:50

    Processus malicieux: 0

    Entrees de registre: 2
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED ()
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      essaye de faire roguekliller sur la session infectée plutôt.
      0
    2. Alphomega
       
      OK, c'est logique ^^
      0
    3. Alphomega
       
      Je n'arrive pas à l'installer sur ma session. Est-ce possible de le télécharger d'une session et de l'installer sur une autre ?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ben tu le mets sur c:\
      et tu vas le chercher depuis ta session infectée
      tu le renommes en winlogon.exe
      et tu le lances avec l'option 2.
      0
    5. Alphomega
       
      J'ai finalement, "et bizarrement" réussi à accéder à internet par le biais du menu démarrer en sélectionnant Mozilla sur ma session...

      J'ai fait ce que tu m'as conseillé et voici le rapport :

      RogueKiller V6.1.4 [22/10/2011] par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Moi [Droits d'admin]
      Mode: Suppression -- Date : 24/10/2011 10:42:29

      Processus malicieux: 0

      Entrees de registre: 1
      [SUSP PATH] HKCU\[...]\RunOnce : iP32111AcNnG32111 (C:\ProgramData\iP32111AcNnG32111\iP32111AcNnG32111.exe) -> DELETED

      Fichiers / Dossiers particuliers:

      Driver: [LOADED]

      Fichier HOSTS:
      127.0.0.1 localhost
      ::1 localhost


      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
  3. Jeje321 Messages postés 248 Statut Membre 22
     
    0
    1. Alphomega
       
      J'ai effectivement fait un tour sur ce site pour faire un test parce que mon débit me semblait trop lent. Et c'est là que Security Sphere est apparu.
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Sinon la manip est là ;)
      http://tigzyrk.blogspot.com/2011/10/rogue-security-sphere-2012.html
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    okay.

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Poste le rapport ici.

    0
    1. Alphomega
       
      J'utilise lequel ? TDL2, 3 ou 4 ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      nan ça c'est des présentations, la page de téléchargement est donnée plus bas : https://support.kaspersky.com/fr/14421
      0
    3. Alphomega
       
      voici le rapport :

      1 threat

      Unsigned file
      Service : TrueSight
      Suspicious object, medium risk skip


      Le truc étrange c'est que security sphere ne s'active plus depuis que je l'ai contourné pour aller sur le net...
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ou parce qu'il a été supprimé :)

      [SUSP PATH] HKCU\[...]\RunOnce : iP32111AcNnG32111 (C:\ProgramData\iP32111AcNnG32111\iP32111AcNnG32111.exe) -> DELETED

      TrueSight c'est un composant de RogueKiller, qui aurait du être supprimé si tu l'avais quitté proprement (avec l'option 0)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ça doit être correct.

    J'ai effectivement fait un tour sur ce site pour faire un test parce que mon débit me semblait trop lent. Et c'est là que Security Sphere est apparu.

    ça veux dire que tu as des logiciels pas à jour qui permettent l'infection de ton PC.

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    ~~

    Bon on peux faire ça, mais je pense que c'est OK.

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0
    1. Alphomega
       
      ça veux dire que tu as des logiciels pas à jour qui permettent l'infection de ton PC.

      Oui, cela fait plusieurs mois que j'ai une mise à jour Java qui veut se faire mais je la refuse... Je devrais pas ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ben oui c'est mal.
      Java pas à jour = porte d'entré à infection
      degrouptest hacké, tu vas dessus, pouf infecté...
      0
    3. Alphomega
       
      Voici les liens des rapports : http://pjjoint.malekal.com/files.php?read=OTL_i9f14u12l12r15q9s14x11f9v9p12h7c12h157k12m7d12x9k5

      et :

      http://pjjoint.malekal.com/files.php?read=OTL_Extras_v14p10v7w10j7i14d7c9o6p8s12x5b10i14d12e15p8m7h11y8
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime : C:\ProgramData\iP32111AcNnG32111

    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.

    0
  8. Alphomega
     
    Merci beaucoup à toi.
    Je vais faire ce que tu m'indiques et aussi mettre Java à jour.

    Merci encore. Bonne journée !
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    yep maintiens le à jour :)
    0