Win7 security 2012

oziiow -  
 oziiow -
Bonjour,
j'ai été infecté par win7 security 2012 en regardant un streaming et il m'est impossible de me connecté a internet ni de faire une restauration de système. je suis sur le pc d'un ami pouvez-vous m'aider svp mon pc est mon outil de travail

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
    Lances en option 2 (Suppression).
    Poste le rapport ici.

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
    1
    1. oziiow
       
      ok merci mais je n'arrive pas à avoir accès au site j'ai un message d'alerte dès que j'ouvre une page internet
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      voir lien donné...
      0
    3. oziiow
       
      RogueKiller V6.2.3 [09/01/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
      Demarrage : Mode normal
      Utilisateur: Loisir [Droits d'admin]
      Mode: Suppression -- Date : 11/01/2012 14:46:40

      ¤¤¤ Processus malicieux: 1 ¤¤¤
      [WINDOW : Win 7 Security 2012] lln.exe -- C:\Users\Loisir\AppData\Local\lln.exe -> KILLED [TermProc]

      ¤¤¤ Entrees de registre: 5 ¤¤¤
      [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
      [FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Loisir\AppData\Local\lln.exe" -a "%1" %*) -> REPLACED ("%1" %*)
      [FILEASSO] HKCR\[...].exe : (u3) -> REPLACED (exefile)
      [FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Loisir\AppData\Local\lln.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files (x86)\internet explorer\iexplore.exe")

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [NOT LOADED] ¤¤¤

      ¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
      [ZeroAccess] sys32\consrv.dll present!

      ¤¤¤ Fichier HOSTS: ¤¤¤


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: +++++
      --- User ---
      [MBR] da1e9e5a1c69fd90d4d864ada12a6b42
      [BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code
      Partition table:
      0 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 2048 | Size: 15725 Mo
      1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 30717952 | Size: 80017 Mo
      2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 187002880 | Size: 224326 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    0
    1. oziiow
       
      désolé d'être un peu relou mais comment on désactive les logiciels de protection
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      en général par un clic droit en bas à droite son icone
      protection => désactivé.
      0
    3. oziiow
       
      et combofix je peux le téléchargé directement de mon pc infecté ou je l'installe via une clé usb?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      les deux, comme tu prefs.
      0
    5. oziiow
       
      c'est normal que combofix m'ai dit qu'il faisait redémarrer le pc automatiquement et que la ca a bloqué sur un écran tout noir avec la flèche de la souris immobile depuis plusieurs minutes
      0
  3. oziiow
     
    http://pjjoint.malekal.com/files.php?id=20120111_r15i5x10j8n12
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !
    0
    1. oziiow
       
      et maintenant je peux supprimer RogueKiller et combofix?
      0
  6. oziiow
     
    ok merci et dis moi existe-il un bon anti-virus gratuit
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui pour rogueKiller.

    L'antivirus c'est pas le prb.
    Le prb c'est que tu maintiens pas tes logiciels à jour qui permettent l'infection de ton PC.
    0
    1. oziiow
       
      tu me conseilles quel logiciel de ta liste pour la mise a jour?
      et le rapport a révélé quoi de grave?Y'a-t-il des programmes que j'dois effacés parce que j'ai l'impression que du coup le démarrage du pc est plus lent?
      Et aussi si j'ai parler d'antivirus c'est parce qu'il me signale qu'il est périmé.
      Merci d'avance de ton aide
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Secunia ou filehippo.com Update Checker.

      Avast! pour l'antivirus + les autres conseils : https://www.malekal.com/tutoriel-antivirus-avast/
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pour le démarrage :

    - Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
    - Double-clic sur HijackThis
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.

    ~~

    et aussi, si t'as pas vider ton cache avec CCleaner pour avoir la source de l'infection.

    A faire si tu le souhaites - ce n'est pas obligatoire :
    WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés.

    WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.
    L'envoie n'est pas obligatoire, à faire si tu es d'accord.

    Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.rar
    * Décompresse le tout avec un outil comme winrar / winzip / 7zip...
    * Lance WhyIGotInfected.exe
    * Dans l'onget "History", clique sur "Scan".
    * Si tu es d'accord pour envoyer de manière anonyme ton historique pour analyse, clique sur "Envoi".
    Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.

    L'onglet pluggin permet de vérifier si ses pluggins WEB sont à jour.
    Un pluggin WEB non à jour permet permet l'infection de son ordinateur via des Un exploit sur site WEB .
    Ne pas tenir à jour ses pluggins est une porte d'entrée à infection.
    0
    1. oziiow
       
      quand tu parles de vider mon cache avec ccleaner est-ce faire une analyse et un nettoyer? parce que je l'ai fait après avoir fait toutes les mises a jour recommandé par filehippo
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      le but du jeu c'est de récup ton historique de navigation pour avoir l'adresse pourrie ou la source qui va vers l'infection.
      Si tu as utilisé un nettoyeur y a plus de cache, c'est facile à voir si tu fais scan sur WIGI, la liste sera vide.
      0
  9. oziiow
     
    voila le lien :

    http://pjjoint.malekal.com/files.php?id=HijackThis_20120112_f11u8l6w15w5
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu m'étonnes que ça rame...
    Tu installes toutes les barres d'outils de la terre...
    y a Limewire au démarrage..

    Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
    De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
    Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
    Au final, il est pas conseillé d'en utiliser.
    Lire :
    Les toolbars c'est pas obligatoire!

    A désinstaller :
    Bing Bar
    Google Toolbar
    Max France Toolbar
    Wincore Mediabar
    Nero Toolbar

    Relance HijackThis et coche ces lines :

    R3 - URLSearchHook: Max France Toolbar - {9e9f4813-efd9-4b96-a69b-27c87ef25f5d} - C:\Program Files (x86)\Max_France\tbMax_.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Wincore Mediabar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll
    O2 - BHO: Max France Toolbar - {9e9f4813-efd9-4b96-a69b-27c87ef25f5d} - C:\Program Files (x86)\Max_France\tbMax_.dll
    O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
    O2 - BHO: DataMngr - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\BROWSE~1.DLL
    O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (file missing)
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O3 - Toolbar: Max France Toolbar - {9e9f4813-efd9-4b96-a69b-27c87ef25f5d} - C:\Program Files (x86)\Max_France\tbMax_.dll
    O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll (file missing)
    O3 - Toolbar: Wincore Mediabar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
    O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
    O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE
    O4 - HKLM\..\Run: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Smad] C:\Users\Loisir\AppData\Local\SanctionedMedia\Smad\Smad.exe
    O4 - Startup: LimeWire On Startup.lnk = C:\Program Files (x86)\LimeWire\LimeWire.exe
    O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files (x86)\PokerStars.FR\PokerStarsUpdate.exe

    ==> clic sur fix checked

    Redémrre l'ordinateur

    Supprime : C:\Users\Loisir\AppData\Local\SanctionedMedia
    0
    1. oziiow
       
      je refais "do a system scan and save a logfile" ou pas?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      do a scan only pour pouvoir cocher les cases.

      Désinstalle bien toutes les barres d'outils avant.
      0
    3. oziiow
       
      je desinstalle limewire aussi?
      Et tout ca j'le fais via le panneau de config > programmes> desinstaller
      Et pour RogueKiller j'sais pas comment le desinstaller?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      RogueKiller tu supprimes le fichier.

      Limewire faut le virer du démarrage.
      Après si tu t'en sers pas, tu peux le désinstaller oui.
      0
    5. oziiow
       
      quand je fais le scan de hijackthis ca me met un message attention qui commence par "for some reason your system denied write access to the Hosts file..." est-ce normal?
      0