Infection par Security Sphere

Lima9 -  
 Utilisateur anonyme -
Bonjour à tous,

Mon PC a été infecté par le fameux virus Security Sphere. J'ai réussi tant bien que mal à l'éradiquer (du moins c'est ce que je croyais...) mais voilà que quelques dysfonctionnements refont surface: affichage d'une page web que je n'avais pas demandé, lenteurs au niveau de la navigation internet et le dernier problème en date: impossibilité d'enregistrer le moindre document Word sur mon PC... Pratique!!
Si quelqu'un peut m'aider, je lui en serai très reconnaissante.
Note: En lisant les autres discussions relatives à ce sujet j'ai téléchargé ZHPDiag et j'ai lancé l'analyse comme il est conseillé. Il ne manque plus qu'à analyser le rapport...
Merci beaucoup!

6 réponses

  1. Utilisateur anonyme
     
    Bonjour

    * Télécharger sur le bureau RogueKiller
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 1 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
    2
  2. Utilisateur anonyme
     
    A faire dans l'ordre.

    * Quitter tous les programmes en cours
    * lancer sRogueKiller.exe
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Lorsque demandé, taper 2 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    ======================================

    * Télécharge et installe : Malwarebyte's Anti-Malware
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ===================================================

    On va faire une analyse de ton systéme.

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag
    ou
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    1
  3. Utilisateur anonyme
     
    1/ Copie/colle les lignes suivantes en gras:
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    O64 - Services: CurCS - ??/??/???? - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (.not file.) - esgiguard (esgiguard) .(...) - LEGACY_ESGIGUARD
    C:\Program Files\Enigma Software Group\SpyHunter
    M2 - MFEP: prefs.js [Nathalie - ofm9vlhj.default\toolbar@ask.com] [] LimeWire Toolbar v3.6.12.178 (.Ask.com.)
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    O43 - CFD: 17/09/2011 - 19:17:14 - [85959] ----D- C:\Program Files\Ask.com
    C:\Program Files\Ask.com
    C:\Documents and Settings\Nathalie\Application Data\Mozilla\Firefox\Profiles\ofm9vlhj.default\Extensions\toolbar@ask.com
    EmptyTemp
    FirewallRaz

    --------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    1
  4. Lima9
     
    Merci.
    Voici le rapport:

    RogueKiller V6.1.10 [18/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Nathalie [Droits d'admin]
    Mode: Recherche -- Date : 20/11/2011 12:10:09

    ¤¤¤ Processus malicieux: 4 ¤¤¤
    [WINDOW : Security Sphere 2012] oH21712IlPdO21712.exe -- C:\Documents and Settings\All Users\Application Data\oH21712IlPdO21712\oH21712IlPdO21712.exe -> KILLED [TermProc]
    [WINDOW : Security Sphere 2012] oH21712IlPdO21712.exe -- C:\Documents and Settings\All Users\Application Data\oH21712IlPdO21712\oH21712IlPdO21712.exe -> KILLED [TermProc]
    [WINDOW : Security Sphere 2012] oH21712IlPdO21712.exe -- C:\Documents and Settings\All Users\Application Data\oH21712IlPdO21712\oH21712IlPdO21712.exe -> KILLED [TermProc]
    [WINDOW : Security Sphere 2012] oH21712IlPdO21712.exe -- C:\Documents and Settings\All Users\Application Data\oH21712IlPdO21712\oH21712IlPdO21712.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : oH21712IlPdO21712 (C:\Documents and Settings\All Users\Application Data\oH21712IlPdO21712\oH21712IlPdO21712.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-861567501-1801674531-839522115-1004[...]\Run : oH21712IlPdO21712 (C:\Documents and Settings\All Users\Application Data\oH21712IlPdO21712\oH21712IlPdO21712.exe) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lima9
     
    Voici le rapport:

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8198

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    20/11/2011 13:49:54
    mbam-log-2011-11-20 (13-49-54).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 213359
    Temps écoulé: 56 minute(s), 3 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    c:\WINDOWS\system32\edlinger.dll (Trojan.Agent) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\edlinger.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\oh21712ilpdo21712\oh21712ilpdo21712.exe (Trojan.FakeAlert.SecGen) -> Quarantined and deleted successfully.
    c:\documents and settings\Nathalie\application data\Sun\Java\deployment\cache\6.0\51\4af5ba73-63035340 (Trojan.FakeAlert.SecGen) -> Quarantined and deleted successfully.
    c:\documents and settings\Nathalie\Bureau\rk_quarantine\oh21712ilpdo21712.exe.vir (Trojan.FakeAlert.SecGen) -> Quarantined and deleted successfully.
    0
  7. Lima9
     
    Et voici le rapport ZHPDiag:
    Merci!

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_v14f8g8d15w13d14w7x15w6o9l9n5q10i9e7j11y15t1111o13
    0