Infecté par Security Sphere 2012
Fermé
Maddy
-
Modifié par irongege le 1/11/2011 à 16:33
2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 - 1 nov. 2011 à 23:31
2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 - 1 nov. 2011 à 23:31
A voir également:
- Infecté par Security Sphere 2012
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Windows live mail 2012 - Télécharger - Mail
- Word 2012 - Télécharger - Traitement de texte
- Eset internet security download - Télécharger - Sécurité
- Windows movie maker 2012 - Télécharger - Montage & Édition
7 réponses
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
29 oct. 2011 à 22:56
29 oct. 2011 à 22:56
Salut,
Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>
-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.
-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.
-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.
-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.
-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.
-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur
-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.
-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).
Si tu es prêt, c'est partit ==>
Comment aller en Mode sans échec avec prise en charge réseau :
▶ Redémarre ton ordinateur.
▶ Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le chargement du BIOS.
▶ Tu verras un écran avec options de démarrage apparaître.
▶ Choisis l'option : Mode Sans Échec avec prise en charge réseau, et valide avec "Entrée"
▶ Choisis ton compte habituel, et non Administrateur.
Ensuite effectue RogueKiller :
* Télécharger sur le bureau RogueKiller : https://www.luanagames.com/index.fr.html
* Quitter tous les programmes en cours.
* Sous Vista/Seven, clic droit => Éxécuter en tant qu'administrateur.
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, tapez 2 et valider.
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse sur le forum.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Ensuite repasse RogueKiller en mode 6 et poste le second rapport ;)
Si tu as des questions, n'hésite pas à me les poser !
Gabriel.
Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>
-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.
-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.
-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.
-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.
-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.
-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur
-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.
-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).
Si tu es prêt, c'est partit ==>
Comment aller en Mode sans échec avec prise en charge réseau :
▶ Redémarre ton ordinateur.
▶ Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le chargement du BIOS.
▶ Tu verras un écran avec options de démarrage apparaître.
▶ Choisis l'option : Mode Sans Échec avec prise en charge réseau, et valide avec "Entrée"
▶ Choisis ton compte habituel, et non Administrateur.
Ensuite effectue RogueKiller :
* Télécharger sur le bureau RogueKiller : https://www.luanagames.com/index.fr.html
* Quitter tous les programmes en cours.
* Sous Vista/Seven, clic droit => Éxécuter en tant qu'administrateur.
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, tapez 2 et valider.
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse sur le forum.
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Ensuite repasse RogueKiller en mode 6 et poste le second rapport ;)
Si tu as des questions, n'hésite pas à me les poser !
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
29 oct. 2011 à 23:13
29 oct. 2011 à 23:13
Salut,
Passe le en mode 6 et poste le rapport :)
@+
Gabriel.
Passe le en mode 6 et poste le rapport :)
@+
Gabriel.
RogueKiller V6.1.5 [29/10/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Yumi [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 29/10/2011 23:30:21
Processus malicieux: 0
Driver: [NOT LOADED]
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 4 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 47 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Voilà le nouveau rapport...
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Yumi [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 29/10/2011 23:30:21
Processus malicieux: 0
Driver: [NOT LOADED]
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 4 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 47 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Voilà le nouveau rapport...
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
29 oct. 2011 à 23:33
29 oct. 2011 à 23:33
Re,
- Télécharge TDSSKiller : https://support.kaspersky.com/downloads/utils/tdsskiller.zip
- Lance-le (Utilisateurs de Vista/Seven => Clic droit puis "Exécuter en tant que administrateur")
L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.
Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir.
- Copie/Colle son contenu dans ta prochaine réponse sur le forum.
N.B : Le rapport se trouve également sous C:\tdsskiller.txt.
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut , et "delete" en bas.
Si tu as des questions sur l'utilisation de TDSSkiller, n'hésite pas à me les poser !
@+
Gabriel.
- Télécharge TDSSKiller : https://support.kaspersky.com/downloads/utils/tdsskiller.zip
- Lance-le (Utilisateurs de Vista/Seven => Clic droit puis "Exécuter en tant que administrateur")
L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.
Patiente pendant le scan. À la fin de l'analyse, appuie sur une touche de ton choix. Un rapport va s'ouvrir.
- Copie/Colle son contenu dans ta prochaine réponse sur le forum.
N.B : Le rapport se trouve également sous C:\tdsskiller.txt.
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut , et "delete" en bas.
Si tu as des questions sur l'utilisation de TDSSkiller, n'hésite pas à me les poser !
@+
Gabriel.
Re,
j'ai le rapport sous les yeux :
Rootkit.Win32.ZAccess.j est détecté en haut et "Cure" est choisi
Rootkit.Win32.ZAccess.h est détecté en dessous, et "Cure" et choisit. Seulement ici, lorsque je veux choisir une autre option ( delete, normalement ) sont proposées seulement " skip " et " copy to quarantine " ...
Est-ce que je me suis trompée quelque part :s ?
j'ai le rapport sous les yeux :
Rootkit.Win32.ZAccess.j est détecté en haut et "Cure" est choisi
Rootkit.Win32.ZAccess.h est détecté en dessous, et "Cure" et choisit. Seulement ici, lorsque je veux choisir une autre option ( delete, normalement ) sont proposées seulement " skip " et " copy to quarantine " ...
Est-ce que je me suis trompée quelque part :s ?
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
30 oct. 2011 à 00:12
30 oct. 2011 à 00:12
Fais Cure...
/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<
=====================================================
? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\Choisis la version adéquate (32 ou 64 bits)/!\
=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.
Une fenêtre apparait : clique sur "Disable"
? Fais redémarrer l'ordinateur si l'outil te le demande.
>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<
_________________________________________________________
>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"
Sur le combofix renommé.
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!
? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !
@+
Gabriel.
/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<
=====================================================
? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\Choisis la version adéquate (32 ou 64 bits)/!\
=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.
Une fenêtre apparait : clique sur "Disable"
? Fais redémarrer l'ordinateur si l'outil te le demande.
>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<
_________________________________________________________
>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"
Sur le combofix renommé.
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!
? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !
@+
Gabriel.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
30 oct. 2011 à 00:35
30 oct. 2011 à 00:35
Re,
Je te conseille de faire Combofix avant, parce que ton PC ne peut peut-être plus se rallumer.
Tu as un sévère rootkit.
@+
Gabriel.
Je te conseille de faire Combofix avant, parce que ton PC ne peut peut-être plus se rallumer.
Tu as un sévère rootkit.
@+
Gabriel.
D'accord, là, tout change... J'ai redémarré mon PC, en mode sans échec toujours mais... Il ne reçoit plus le signal internet. ( Je ne sais pas si je dois ça à ce cher rootkit... )
Dans tout les cas, est -il possible que je le télécharge via un autre PC et que le transfert sur le mien VIA clef USB?
( ça a l'air dangereux :s )
Dans tout les cas, est -il possible que je le télécharge via un autre PC et que le transfert sur le mien VIA clef USB?
( ça a l'air dangereux :s )
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
30 oct. 2011 à 15:07
30 oct. 2011 à 15:07
Re,
Oui, c'est dangereux : tu as le rootikit actuellement le plus sévère.
Essaye de télécharger CF via un autre PC, mais ensuite, tu formateras ta clé USB, sauvegarde donc cette dernière ;)
@+
Gabriel.
Oui, c'est dangereux : tu as le rootikit actuellement le plus sévère.
Essaye de télécharger CF via un autre PC, mais ensuite, tu formateras ta clé USB, sauvegarde donc cette dernière ;)
@+
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
1 nov. 2011 à 23:31
1 nov. 2011 à 23:31
Ah...
Refais TDSSkiller :)
@+
Gabriel.
Refais TDSSkiller :)
@+
Gabriel.
29 oct. 2011 à 23:00
29 oct. 2011 à 23:11
RogueKiller V6.1.5 [29/10/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Yumi [Droits d'admin]
Mode: Suppression -- Date : 29/10/2011 23:09:28
Processus malicieux: 0
Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : iexso ("c:\users\yumi\appdata\local\iexso.exe" iexso) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : iJ04903KcMlJ04903 (C:\ProgramData\iJ04903KcMlJ04903\iJ04903KcMlJ04903.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED ()
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED ()
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED ()
Fichiers / Dossiers particuliers:
[FILE] KB14606560.exe : c:\users\yumi\appdata\roaming\adobe\plugs\KB14606560.exe --> REMOVED
[FOLDER] plugs : c:\users\yumi\appdata\roaming\adobe\plugs --> REMOVED
[FOLDER] shed : c:\users\yumi\appdata\roaming\adobe\shed --> REMOVED
Driver: [NOT LOADED]
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Merci encore de votre aide ^^'