Security sphere 2012
Résolu
Nangie
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je viens de me faire attaquer par Security Sphere 2012. En faisant un recherche sur le forum, j'ai trouvé qu'il fallait télécharger et exécuter RogueKiller dans un premier temps puis poster le rapport RK pour avoir les conseils de quelqu'un qui pourrait m'aider à enlever ce virus de mon PC /Windows Vista
Merci d'avance pour votre précieuse aide.
Voici le rapport RogueKiller:
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Angélique [Droits d'admin]
Mode: Recherche -- Date : 28/11/2011 00:49:09
¤¤¤ Processus malicieux: 5 ¤¤¤
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[SUSP PATH] comp_isv.dll -- C:\Users\ANGLIQ~1\AppData\Local\Temp\comp_isv.dll -> UNLOADED
¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : oK33011ElDlA33011 (C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : certhelp (rundll32 "C:\Users\ANGLIQ~1\AppData\Local\Temp\comp_isv.dll",CreateProcessNotify) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1711189874-300555670-3071688003-1000[...]\Run : oK33011ElDlA33011 (C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1711189874-300555670-3071688003-1000[...]\Run : certhelp (rundll32 "C:\Users\ANGLIQ~1\AppData\Local\Temp\comp_isv.dll",CreateProcessNotify) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Je viens de me faire attaquer par Security Sphere 2012. En faisant un recherche sur le forum, j'ai trouvé qu'il fallait télécharger et exécuter RogueKiller dans un premier temps puis poster le rapport RK pour avoir les conseils de quelqu'un qui pourrait m'aider à enlever ce virus de mon PC /Windows Vista
Merci d'avance pour votre précieuse aide.
Voici le rapport RogueKiller:
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Angélique [Droits d'admin]
Mode: Recherche -- Date : 28/11/2011 00:49:09
¤¤¤ Processus malicieux: 5 ¤¤¤
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] oK33011ElDlA33011.exe -- C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe -> KILLED [TermProc]
[SUSP PATH] comp_isv.dll -- C:\Users\ANGLIQ~1\AppData\Local\Temp\comp_isv.dll -> UNLOADED
¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : oK33011ElDlA33011 (C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : certhelp (rundll32 "C:\Users\ANGLIQ~1\AppData\Local\Temp\comp_isv.dll",CreateProcessNotify) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1711189874-300555670-3071688003-1000[...]\Run : oK33011ElDlA33011 (C:\ProgramData\oK33011ElDlA33011\oK33011ElDlA33011.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1711189874-300555670-3071688003-1000[...]\Run : certhelp (rundll32 "C:\Users\ANGLIQ~1\AppData\Local\Temp\comp_isv.dll",CreateProcessNotify) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
A voir également:
- Security sphere 2012
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Windows live mail 2012 - Télécharger - Mail
- Word 2012 - Télécharger - Traitement de texte
- Windows movie maker 2012 - Télécharger - Montage & Édition
- Eset internet security download - Télécharger - Sécurité
5 réponses
Salut,
Relance RogueKiller
Lances en option 2 (Suppression).
Poste le rapport ici.
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
ensuite :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Relance RogueKiller
Lances en option 2 (Suppression).
Poste le rapport ici.
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
ensuite :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Salut Malekal_morte.
Tout d'abord, voici le rapport de Rogue Killer après la suppression:
http://pjjoint.malekal.com/files.php?id=20111129_m13t11o9e6k11
Puis le rapport de Malewarebytes
http://pjjoint.malekal.com/files.php?id=20111129_p13l8o8e10s14
Voici le liens pour le OTL.txt:
http://pjjoint.malekal.com/files.php?id=20111129_o15t9u14e13b13
Et celui pour le Extra.txt :
http://pjjoint.malekal.com/files.php?id=20111129_c9s14h6s14o15
Merci infiniment pour ton aide :)
Tout d'abord, voici le rapport de Rogue Killer après la suppression:
http://pjjoint.malekal.com/files.php?id=20111129_m13t11o9e6k11
Puis le rapport de Malewarebytes
http://pjjoint.malekal.com/files.php?id=20111129_p13l8o8e10s14
Voici le liens pour le OTL.txt:
http://pjjoint.malekal.com/files.php?id=20111129_o15t9u14e13b13
Et celui pour le Extra.txt :
http://pjjoint.malekal.com/files.php?id=20111129_c9s14h6s14o15
Merci infiniment pour ton aide :)
Supprime : C:\ProgramData\oK33011ElDlA33011
Malwarebyte a viré une Backdoor IRC.
Je te conseille de changer tes mots de passe (mail, facebook etc), possible qu'ils aient été récupérés.
Pour le reste, ça semble OK.
Fais plus attention à l'avenir....
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese
Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1
Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Malwarebyte a viré une Backdoor IRC.
Je te conseille de changer tes mots de passe (mail, facebook etc), possible qu'ils aient été récupérés.
Pour le reste, ça semble OK.
Fais plus attention à l'avenir....
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese
Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1
Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Merci beaucoup pour l'aide et la prévention sur les virus, rogue, malwares...
A l'avenir, je ferai attention à bien maintenir Windows à jour: je ne savais pas qu'il était si important d'installer les mises-à-jour et j'avoue que je fais souvent l'impasse dessus.
Pour les téléchargements, je vais aussi tacher d'être plus vigilente.
Mais je ne comprends pas vraiment comment j'ai choper ce truc car je ne téléchargeait rien au moment où ça c'est mis sur mon PC. En fait je cherchait des horaires de cinema. Est-ce que ça vient de l'ouverture d'une page web infectée ou est-ce dû à un ancien téléchargement infecté?
Au fait, est-ce que je dois garder sur mon PC les logiciels Rogue Killer,Malewarebytes et OTL? Mon anti-virus est Ariva. Est-ce qu'il suffit à lui seul ou dois-je garder ces nouveaux logiciels?
Merci d'avance pour tes explications et désolée de te déranger encore...
A l'avenir, je ferai attention à bien maintenir Windows à jour: je ne savais pas qu'il était si important d'installer les mises-à-jour et j'avoue que je fais souvent l'impasse dessus.
Pour les téléchargements, je vais aussi tacher d'être plus vigilente.
Mais je ne comprends pas vraiment comment j'ai choper ce truc car je ne téléchargeait rien au moment où ça c'est mis sur mon PC. En fait je cherchait des horaires de cinema. Est-ce que ça vient de l'ouverture d'une page web infectée ou est-ce dû à un ancien téléchargement infecté?
Au fait, est-ce que je dois garder sur mon PC les logiciels Rogue Killer,Malewarebytes et OTL? Mon anti-virus est Ariva. Est-ce qu'il suffit à lui seul ou dois-je garder ces nouveaux logiciels?
Merci d'avance pour tes explications et désolée de te déranger encore...
<italMais je ne comprends pas vraiment comment j'ai choper ce truc car je ne téléchargeait rien au moment où ça c'est mis sur mon PC. En fait je cherchait des horaires de cinema. Est-ce que ça vient de l'ouverture d'une page web infectée ou est-ce dû à un ancien téléchargement infecté?></ital>
Ca peux être un exploit sur site WEB.
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
~~
Tu peux tout supprimer, eventuellement garder Malwarebyte pour des scans ponctuels.
OTL à virer.
Avira, c'est suffisant si tu fais le reste.
Eventuellement WOT peut t'aider. Voir lien sécurité donné précédemment.
Ca peux être un exploit sur site WEB.
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
~~
Tu peux tout supprimer, eventuellement garder Malwarebyte pour des scans ponctuels.
OTL à virer.
Avira, c'est suffisant si tu fais le reste.
Eventuellement WOT peut t'aider. Voir lien sécurité donné précédemment.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci encore Malekal_Morte pour tes réponses.
Maintenant je comprends comment et pourquoi je me suis fait infecter: ça faisait 2 semaines que Java me relançait pour le mettre à jour et que je ne le faisait pas.
Je vais suivre tes conseils et faire attention aux mises-à-jour dorénavant.
Encore merci pour tous tes conseils et tes liens :)
Maintenant je comprends comment et pourquoi je me suis fait infecter: ça faisait 2 semaines que Java me relançait pour le mettre à jour et que je ne le faisait pas.
Je vais suivre tes conseils et faire attention aux mises-à-jour dorénavant.
Encore merci pour tous tes conseils et tes liens :)