Sujet Précédent Sujet Suivant

PC infecté par "Privacy protection"

Cynthia -  
 Cynthia -
Bonjour,

Mon Pc est infecté par "Privacy protection" et peut-être plus...
En effet, en plus d'avoir la fenêtre de scan, et les autorisations administrateur refusées, j'ai aussi un problème quand je fais une recherche sur Google : j'ai des pages publicitaires qui envahissent l'écran, ou bien un message "la page est introuvable". Je ne sais pas si c'est lié, mais j'ai ces deux problèmes qui m'inquiètent, car je n'ai jamais de virus habituellement. J'ai prêté mon ordinateur et je le regrette amèrement...

Je communique ici grâce à un mac portable, mais l'ordinateur infecté est un PC sous windows 7.

Quelqu'un peut-il m'aider à nettoyer mon ordinateur? J'ai déjà fouillé un peu le forum et j'ai essayé de télécharger RogueKiller, mais je ne parviens pas à l'ouvrir sur mon bureau...

Merci pour votre aide, je suis vraiment désespérée...

Cynthia

A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
tant pis
 
salut change l'extension de roguekiller en .pif à la place de .exe
0
Réponse 2 / 24
Utilisateur anonyme
 
Bonjour,

Télécharge Malwarebytes Anti-Malware.

Installe-le et puis lance-le...

Tu cliques sur la loupe, tu fais examen complet, tu patientes, tu ne bouges à rien pendant le test et après, tu cliques sur la disquette et tu enregistres ton rapport sur le bureau...

Ensuite, héberge le rapport sur www.cijoint.fr.

Et colle-moi le lien dans ta prochaine réponse.

Merci.
0
Utilisateur anonyme
 
https://www.malwarebytes.com/
0
tant pis
 
s'il y a du Zaccess avec ; malwarebytes ne demarrera pas il faut passer Roguekiller d'abord vu qu'il est deja telechargé
0
Réponse 3 / 24
Cynthia
 
Merci pour vos réponses rapides.
Je ne suis pas une experte alors excusez-moi si je semble un peu niaise parfois...
J'ai tenté de changer l'extension de Roguekiller mais je n'y suis pas autorisée (alors que je suis bien l'administrateur...).
Je continue avec Roguekiller ou je passe à l'autre méthode?
0
Utilisateur anonyme
 
Si Roguekiller fonctionne, fais avec et après tu feras ma méthode.
0
Réponse 4 / 24
Cynthia
 
Je ne parviens pas à renommer Roguekiller. J'arrive à renommer son raccourci (je ne sais pas si cela sert à grand chose...), ce qui me permet de le lancer, mais la fenêtre s'ouvre et se referme immédiatement...
0
Utilisateur anonyme
 
Essaie Malwarebytes ou ADWCleaner
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
Cynthia
 
Le seul programme qui a pu se lancer et rester ouvert est ADWCleaner. Enfin!
Voici le résultat de la recherche :
http://www.cijoint.fr/cjlink.php?file=cj201111/cijFo61d6W.txt
0
Utilisateur anonyme
 
Oui, tu as beaucoup de toolbars, des choses qui ne servent à rien du tout !
0
Cynthia
 
D'accord, et que dois-je faire pour supprimer l'incessant "privacy protection" et les publicités intempestives?

Merci :)
0
Réponse 6 / 24
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Si rogueKiller ne se lance pas, le renommer en winlogon.exe
0
Réponse 7 / 24
Cynthia
 
Roguekiller se lance, je tape 2 (j'ai aussi essayé avec 1), des codes commencent à s'afficher, et la fenêtre se ferme aussitôt. Je n'ai pas la possibilité de copier le résultat...
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tu peux essayer avec cette version?
https://www.luanagames.com/index.fr.html
0
Réponse 8 / 24
Cynthia
 
J'ai réussi au bout de quelques tentatives...
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201111/cijMHHny9A.txt
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
C'est pas le rapport ça.
Tu as pas de rapport à la fin?

Ou tu as toujours le rootkit ZeroAccess
0
Cynthia
 
Pardon mais c'est du chinois pour moi... Si ça signifie que je ne peux pas démarrer le programme, alors je pense que oui.
Je démarre le programme Roguekiller. Il semble stable. Je tape 2 et entrée. Du code s'affiche pendant un petit moment et puis la fenêtre se ferme de manière intempestive.

La dernière page de code que je t'ai fait parvenir, je l'avais obtenue en appuyant sur une touche pendant le défilement du code. Je ne me souviens plus de la touche, mais cela avait permis de stopper l'affichage et de pouvoir le consulter.
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tu te souviens de quelle ligne apparait en dernier?
0
Cynthia
 
En fait la première page de code est celle que je t'ai montré, et ensuite il s'ouvre une deuxième fenêtre, plus petite, qui se ferme aussitôt. Trop rapide pour lire quoi que ce soit.
0
Cynthia
 
Ok! J'ai réussi à faire une capture d'écran de cette fenêtre furtive.
C'est ici :
http://www.cijoint.fr/cjlink.php?file=cj201111/cij67MgExZ.jpg
C'est la dernière chose qui apparait avant que le programme quitte.
0
Réponse 9 / 24
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Cynthia

Tigzy est le développeur de RogueKiller.
Il mérite ta confiance.
Tente de faire bien ce qu'il propose.

Hello Tigzy

Al.
0
Cynthia
 
Merci, j'avais compris ;)
Cela n'empêche que je reste une quiche, et que je ne comprends pas tout aussi vite qu'une spécialiste...
Il est le seul à m'aider, je ne vais certainement pas m'amuser à faire les choses à l 'envers volontairement.
Je suis très reconnaissante de son aide!
0
Réponse 10 / 24
Cynthia
 
J'allais justement demander si ce n'était pas risqué...
J'attends tes consignes Tigzy.
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tu peux essayer ça? https://forums.commentcamarche.net/forum/affich-23595383-pc-infecte-par-privacy-protection#30
0
Réponse 11 / 24
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Bon je fais te prendre en charge pour la suite
Je te conseille de lire ceci : http://tigzyrk.blogspot.com/2011/09/rootkit-zeroaccess-max.html

voici la démarche:

Télécharger et enregistrer sur le bureau
Combofix

=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus

0
Réponse 12 / 24
Cynthia
 
J'obtiens ce message :
"Combofix a détecté la présence d'une activité de rootkit et a besoin de faire redémarrer le PC"
Je ne peux que cliquer sur OK ou fermer la fenêtre. Je fais quoi?
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
ok
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Si tu as des doutes, regarde la vidéo dans le lien que j'ai donné plus haut
0
Réponse 13 / 24
Cynthia
 
Le rapport combofix:

http://www.toofiles.com/fr/oip/documents/txt/combofix.html

(cijoint ne fonctionnait pas)
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
j'arrive pas à le joindre...
Tu peux copier / coller le contenu ici?
0
tant pis
 
je l'ai lu , rien de probant à part Pmax et Zacces qui ont sauté
0
Cynthia
 
ComboFix 11-11-08.01 - Cynthia 08/11/2011 11:47:17.1.4 - x86
Microsoft Windows+7 ...dition Familiale Premium 6.1.7601.1.1252.33.1036.18.3063.2455 [GMT 1:00]
LancÈ depuis: c:\users\Cynthia\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a ÈtÈ crÈÈ
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Cynthia\AppData\Local\3338dd0c\U
c:\users\Cynthia\AppData\Local\3338dd0c\U\80000000.@
c:\users\Cynthia\AppData\Local\3338dd0c\U\800000cb.@
c:\users\Cynthia\AppData\Local\3338dd0c\U\800000cf.@
c:\users\Cynthia\AppData\Local\3338dd0c\X
c:\users\Cynthia\AppData\Roaming\70C1.tmp
c:\users\Cynthia\AppData\Roaming\7365.tmp
c:\users\Cynthia\AppData\Roaming\privacy.exe
c:\windows\$NtUninstallKB4555$
c:\windows\$NtUninstallKB4555$\2856561483
c:\windows\$NtUninstallKB4555$\859364620\@
c:\windows\$NtUninstallKB4555$\859364620\L\xadqgnnk
c:\windows\$NtUninstallKB4555$\859364620\loader.tlb
c:\windows\$NtUninstallKB4555$\859364620\U\@00000001
c:\windows\$NtUninstallKB4555$\859364620\U\@000000c0
c:\windows\$NtUninstallKB4555$\859364620\U\@000000cb
c:\windows\$NtUninstallKB4555$\859364620\U\@000000cf
c:\windows\$NtUninstallKB4555$\859364620\U\@80000000
c:\windows\$NtUninstallKB4555$\859364620\U\@800000c0
c:\windows\$NtUninstallKB4555$\859364620\U\@800000cb
c:\windows\$NtUninstallKB4555$\859364620\U\@800000cf
c:\windows\system32\
c:\windows\system32\c_06372.nls
.
Une copie infectÈe de c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\windows\winsxs\x86_netfx-mscorsvw_exe_b03f5f7f11d50a3a_6.1.7600.16385_none_f47d7472a4c4e67e\mscorsvw.exe
.
Une copie infectÈe de c:\windows\system32\drivers\cdrom.sys a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\windows\System32\DriverStore\FileRepository\cdrom.inf_x86_neutral_6381e09675524225\cdrom.sys
.
c:\windows\system32\atiesrxx.exe . . . est infectÈ!!
c:\windows\system32\atiesrxx.exe . . . was deleted!! You should re-install the program it pertains to
.
Une copie infectÈe de c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\program files\Common Files\Apple\Mobile Device Support\
.
c:\program files\AVG\AVG2012\avgwdsvc.exe . . . est infectÈ!!
c:\program files\AVG\AVG2012\avgwdsvc.exe . . . was deleted!! You should re-install the program it pertains to
.
Une copie infectÈe de c:\program files\Bonjour\mDNSResponder.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\program files\Bonjour\
.
Une copie infectÈe de c:\program files\iPod\bin\iPodService.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\program files\iPod\bin\
.
Une copie infectÈe de c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\program files\McAfee Security Scan\2.0.181\
.
c:\windows\system32\Pen_Tablet.exe . . . est infectÈ!!
c:\windows\system32\Pen_Tablet.exe . . . was deleted!! You should re-install the program it pertains to
.
Une copie infectÈe de c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\
.
Une copie infectÈe de c:\program files\WTouch\WTouchService.exe a ÈtÈ trouvÈe et dÈsinfectÈe
Copie restaurÈe # partir de - c:\program files\WTouch\
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_3338dd0c
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-10-08 au 2011-11-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-11-08 10:50 . 2011-11-08 10:52 -------- d-----w- c:\users\Cynthia\AppData\Local\temp
2011-11-08 10:50 . 2011-11-08 10:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-11-08 10:27 . 2009-07-13 23:11 80896 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2011-11-07 16:27 . 2011-11-07 16:27 -------- d-----w- c:\users\Cynthia\AppData\Local\Apps
2011-11-07 14:58 . 2011-11-07 15:04 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-11-07 14:58 . 2011-11-07 14:58 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Malwarebytes
2011-11-07 14:58 . 2011-11-07 14:58 -------- d-----w- c:\programdata\Malwarebytes
2011-11-07 14:58 . 2011-11-07 15:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-11-07 14:58 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-07 11:36 . 2011-11-08 10:08 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-11-03 09:58 . 2011-11-03 10:04 -------- d-----w- c:\users\Cynthia\AppData\Roaming\Garmin
2011-11-01 11:59 . 2011-11-03 10:09 -------- d-----w- c:\program files\Microsoft.NET
2011-11-01 11:58 . 2011-11-01 11:58 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-11-01 11:58 . 2011-11-01 11:58 -------- d-----w- c:\program files\Microsoft Analysis Services
2011-11-01 11:58 . 2011-11-01 12:10 -------- d-----w- c:\users\Cynthia\AppData\Local\Microsoft Help
2011-11-01 11:57 . 2011-11-03 02:04 -------- d-----w- c:\programdata\Microsoft Help
2011-11-01 11:57 . 2011-11-01 11:57 -------- d-----r- C:\MSOCache
2011-11-01 11:53 . 2011-11-08 10:49 -------- d-sh--w- c:\users\Cynthia\AppData\Local\3338dd0c
2011-10-27 10:54 . 2011-10-27 10:54 -------- d-----w- c:\program files\Common Files\AVG Secure Search
2011-10-27 10:54 . 2011-10-27 10:54 -------- d-----w- c:\program files\AVG Secure Search
2011-10-27 10:52 . 2011-10-27 10:52 -------- d-----w- c:\users\Cynthia\AppData\Roaming\AVG2012
2011-10-27 10:52 . 2011-10-27 12:57 -------- d-----w- c:\programdata\AVG2012
2011-10-26 10:02 . 2011-10-26 10:02 -------- d-----w- C:\$AVG
2011-10-25 14:55 . 2011-10-25 14:55 -------- d-----w- c:\programdata\WinZip
2011-10-25 14:55 . 2011-10-25 14:55 -------- d-----w- c:\users\Cynthia\AppData\Local\WinZip
2011-10-25 14:36 . 2011-10-25 14:36 -------- d-----w- c:\users\Cynthia\.swt
2011-10-24 13:29 . 2011-10-24 13:29 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2011-10-24 13:29 . 2011-10-24 13:29 69632 ----a-w- c:\windows\system32\QuickTime.qts
2011-10-17 08:55 . 2011-10-17 08:55 -------- d-----w- c:\program files\iPod
2011-10-17 08:47 . 2011-11-08 10:50 -------- d-----w- c:\program files\Bonjour
2011-10-13 09:50 . 2011-08-17 04:24 465408 ----a-w- c:\windows\system32\psisdecd.dll
2011-10-13 09:50 . 2011-08-17 04:19 75776 ----a-w- c:\windows\system32\psisrndr.ax
2011-10-13 09:48 . 2011-08-27 04:26 571904 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-13 09:48 . 2011-08-27 04:26 233472 ----a-w- c:\windows\system32\oleacc.dll
2011-10-13 09:48 . 2011-09-06 02:28 2334720 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-03 09:14 . 2011-06-08 20:03 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-20 08:14 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2011-09-13 04:30 . 2011-09-13 04:30 32592 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
2011-08-30 21:05 . 2011-08-30 21:05 83816 ----a-w- c:\windows\system32\dns-sd.exe
2011-08-30 21:05 . 2011-08-30 21:05 73064 ----a-w- c:\windows\system32\dnssd.dll
2011-08-30 21:05 . 2011-08-30 21:05 50536 ----a-w- c:\windows\system32\jdns_sd.dll
2011-08-30 21:05 . 2011-08-30 21:05 178536 ----a-w- c:\windows\system32\dnssdX.dll
2011-10-18 10:27 . 2011-05-06 12:02 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll" [2011-07-26 2532680]
.
[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2011-07-26 08:15 2532680 ----a-w- c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll" [2011-07-26 2532680]
.
[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll" [2011-07-26 2532680]
.
[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-04 98304]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2009-06-08 611712]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2011-09-23 2404704]
"EEventManager"="c:\program files\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
.
c:\users\Cynthia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\program files\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [2011-11-03 750972]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [2011-09-12 5265248]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [x]
R2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [x]
R3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG10\Toolbar\ToolbarBroker.exe [2011-07-26 1025352]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2011-11-08 227232]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 TrueSight;TrueSight;c:\windows\system32\drivers\TrueSight.sys [2011-11-08 111872]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-08-22 1343400]
S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [2011-07-10 23120]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [2011-09-13 32592]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [2011-07-10 229840]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [2011-07-10 295248]
S2 vToolbarUpdater;vToolbarUpdater;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe [2011-11-08 246600]
S2 WTouchService;WTouch Service;c:\program files\WTouch\WTouchService.exe [2011-11-08 113448]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [2011-07-10 134736]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [2011-07-10 24272]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [2011-07-10 16720]
S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
S3 WacomVTHid;Virtual Touch Driver;c:\windows\system32\DRIVERS\WacomVTHid.sys [2009-07-09 13480]
.
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MICROS~4\Office14\ONBttnIE.dll/105
TCP: Interfaces\{99F53595-4A25-4064-B178-67DFD2CB669B}: NameServer = 192.168.1.1
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG10\Toolbar\IEToolbar.dll
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\8.0.1\ViProtocol.dll
FF - ProfilePath - c:\users\Cynthia\AppData\Roaming\Mozilla\Firefox\Profiles\fy3au8kk.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-AdobeBridge - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgagD\1*]
"value"="?\0a\02\19\0e$\10?"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\SYSTEM32\WISPTIS.EXE
c:\windows\system32\taskhost.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\WTouch\WTouchUser.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conhost.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2011-11-08 11:53:29 - La machine a redÈmarrÈ
ComboFix-quarantined-files.txt 2011-11-08 10:53
.
Avant-CF: 9+071+529+984 octets libres
AprËs-CF: 9+271+189+504 octets libres
.
- - End Of File - - A567F7E1D46582CD75873AA313F49A6A
0
Réponse 14 / 24
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
ok, le rootkit a sauté.
Tu peux maintenant tester RogueKiller avec le dernier fichier que je t'ai mis? https://forums.commentcamarche.net/forum/affich-23595383-pc-infecte-par-privacy-protection#47
0
Réponse 15 / 24
Cynthia
 
Oui! Ça a été jusqu'au bout :D
Voici le résultat:

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Cynthia [Droits d'admin]
Mode: Suppression -- Date : 08/11/2011 13:32:48
*** DEBUG ON ***

******* Var env *******
[isX64] 0
[APPDATA] c:\users\cynthia\appdata\roaming
[DESKTOP] c:\users\cynthia\desktop
[CAPPDATA] c:\programdata
[CDESKTOP] c:\users\public\desktop
[CDOCS] c:\users\public\documents
[CPROG] c:\programdata\microsoft\windows\start menu\programs
[CSTARTMENU] c:\programdata\microsoft\windows\start menu
[DOCS] c:\users\cynthia\documents
[FAVS] c:\users\cynthia\favorites
[LAPPDATA] c:\users\cynthia\appdata\local
[MUSIC] c:\users\cynthia\music
[PICTS] c:\users\cynthia\pictures
[PROG] c:\program files
[PROGX86] c:\program files
[QUICKLNCH] c:\users\cynthia\appdata\roaming\microsoft\internet explorer\quick launch
[STARTMENU] c:\users\cynthia\appdata\roaming\microsoft\windows\start menu
[SYS32] c:\windows\system32
[SYSWOW64] c:\windows\system32
[TMP] c:\users\cynthia\appdata\local\temp
[USER] c:\users\cynthia
[VIDEOS] c:\users\cynthia\videos
[WINDOWS] c:\windows
[STARTUP FOLDER] c:\users\cynthia\appdata\roaming\microsoft\windows\start menu\programs\startup
***********************

§§§ Processus malicieux: 0 §§§

§§§ Entrees de registre: 4 §§§
[SUSP PATH] {7672CAF6-D66C-4FEC-9587-435805EAB9F0}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED
[SUSP PATH] {D7616B19-4258-4809-AC1E-68FC020B3D0E}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED
[SUSP PATH] {E1D8FF2D-5D55-409A-950C-3206E911F034}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED
[SUSP PATH] {F3893751-5268-40A3-8D56-6F9453CB3A25}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED

§§§ Fichiers / Dossiers particuliers: §§§

§§§ Driver: [LOADED] §§§

§§§ Infection : §§§

§§§ Fichier HOSTS: §§§
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
mmmh, bizarre ces jobs...
tu peux retester vite fait avec la version est en ligne? https://www.luanagames.com/index.fr.html
voir si le problème venait du rootkit ou de mes modifs.
0
tant pis
 
RK se serait pas fait injecter ?
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Je pense pas, quel serait l'intérêt de relancer RK dans un job?
0
tant pis
 
mmmm...j'aurais bien fait une analyse VT comparative entre la version "Jobée" et la version en ligne....
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
je pense que ça doit être écrasé.
0
Réponse 16 / 24
Cynthia
 
Avec cette version, j'obtiens cela :

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Cynthia [Droits d'admin]
Mode: Suppression -- Date : 08/11/2011 13:50:37

§§§ Processus malicieux: 0 §§§

§§§ Entrees de registre: 0 §§§

§§§ Fichiers / Dossiers particuliers: §§§

§§§ Driver: [LOADED] §§§

§§§ Infection : §§§

§§§ Fichier HOSTS: §§§
127.0.0.1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Ok merci. C'était donc dû au rootkit...
0
Réponse 17 / 24
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Télécharger sur le bureau Malwarebyte's Anti-Malware

= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection

un rapport s'ouvre le copier et le coller dans la réponse
0
Réponse 18 / 24
Cynthia
 
Ce message s'est affiché:
"L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté"

Le rapport est celui-ci :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de donnÈes: 7622

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

08/11/2011 14:40:01
mbam-log-2011-11-08 (14-40-01).txt

Type d'examen: Examen complet (C:\|E:\|F:\|)
ElÈment(s) analysÈ(s): 353088
Temps ÈcoulÈ: 26 minute(s), 50 seconde(s)

Processus mÈmoire infectÈ(s): 0
Module(s) mÈmoire infectÈ(s): 0
ClÈ(s) du Registre infectÈe(s): 0
Valeur(s) du Registre infectÈe(s): 0
ElÈment(s) de donnÈes du Registre infectÈ(s): 0
Dossier(s) infectÈ(s): 0
Fichier(s) infectÈ(s): 0

Processus mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Module(s) mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ClÈ(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Valeur(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ElÈment(s) de donnÈes du Registre infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Dossier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Fichier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Je n'ai pas eu à faire les étapes après le scan.
0
Réponse 19 / 24
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
ok

on voit le bout

* Télécharge ZHPDiag
Capture

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: http://pjjoint.malekal.com/ et colle le lien dans la réponse
0
Réponse 20 / 24
Cynthia
 
Volià le rapport

http://pjjoint.malekal.com/files.php?id=ZHPDiag_c14s10n5g12z7p12v14p1014k7i10p6b9t14t9o7m11s9s15u13

J'espère que tu as raison, et qu'on en vient à bout de ce truc! Merci pour tout.
0