Infecté par windows 7 Internet Security

Résolu

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention -
An2i - 15 févr. 2012 à 14:46

Bonjour,

Le PC d'une amie est infecté par ce fameux "W7 Internet Security" depuis hier.
Elle m'a appelé à l'aide? mais je pense que certains d'entre vous pourrons m'aider pour le "virer" correctement du pc.

Je retourne demain dessus, dois-je commencer à faire une analyse avec "Roguekiller" ou "combofix"?

Merci d'avance pour l'aide.

Bye bonne suitée.

Afficher la suite

A voir également:

Infecté par windows 7 Internet Security
Photofiltre 7 - Télécharger - Retouche d'image
Clé windows 7 - Guide
Microsoft security essentials windows 7 - Télécharger - Antivirus & Antimalwares
Passer de windows 7 à windows 10 - Accueil - Mise à jour
Télécharger windows 7 32 bits usb - Télécharger - Systèmes d'exploitation

10 réponses

Réponse 1 / 10

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

RogueKiller :

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com

D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=

Réponse 2 / 10

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

Ok merci je fais ça dès demain à la 1ère heure!

Et je poste le rapport...

Bonne soirée.

Réponse 3 / 10

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

Bonjour bonjour, voici le rapport de "roguekiller"

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: LaPouniere [Droits d'admin]
Mode: Suppression -- Date : 14/01/2012 09:05:51

¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] xbt.exe -- C:\Users\LaPouniere\AppData\Local\xbt.exe -> KILLED [TermProc]
[SUSP PATH] Linkury.exe -- C:\Users\LaPouniere\AppData\Local\Linkury\Application\Linkury.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Linkury Chrome Smartbar (C:\Users\LaPouniere\AppData\Local\Linkury\Application\Linkury.exe startup) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCR\.exe : (iljf) -> REPLACED (exefile)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] a9b8161b398b075eb90200b8227ae4a1
[BSP] dfe985ee4ee996bf70aad73418ec1ff7 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 2048 | Size: 10485 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 20482880 | Size: 143744 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 301233944 | Size: 95825 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 3300e173912bc7b80800aafe4328f267
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 40 | Size: 16038 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Réponse 4 / 10

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

Y'a t-il encore quelqu'un pour m'aider à désinfecter...?

Merci d'avance

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 10

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Réponse 6 / 10

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

OK FAIT pour OTL dont voici le lien du rapport:
https://pjjoint.malekal.com/files.php?id=20120114_u9i15f6b8y13

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

J'ai pendant l'analyse un message de "OTL:OTL.exe": fichier endommagé et illisible.Executer CHKDSK.
Le fichier c:\users\LaPounier\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LTTOLNWD

A-t-il une certaine importance dans mon problème?

Merci encore

Réponse 7 / 10

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/01/14 08:58:30 | 000,007,448 | ---- | M] () -- C:\Users\LaPouniere\AppData\Local\bdcfc264
[2012/01/14 08:58:30 | 000,007,402 | ---- | M] () -- C:\ProgramData\dee0c10c
[2012/01/14 08:58:28 | 000,007,366 | ---- | M] () -- C:\Users\LaPouniere\AppData\Roaming\f6f3bcda
[2012/01/13 10:24:46 | 000,295,936 | ---- | M] (Microsoft Corporation) -- C:\Users\LaPouniere\AppData\Local\xbt.exe
[2012/01/11 20:43:00 | 000,000,258 | ---- | M] () -- C:\Windows\tasks\OfferBoxUpdate.job
[2010/10/05 09:35:25 | 000,000,000 | ---D | M] -- C:\Users\LaPouniere\AppData\Roaming\EoRezo
[2011/11/29 22:06:33 | 000,000,000 | ---D | M] -- C:\Users\LaPouniere\AppData\Roaming\OfferBox

* redemarre le pc sous windows et poste le rapport ici

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

fais ça aussi :

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Réponse 8 / 10

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

Voici le dernier rapport demandé:

========== OTL ==========
C:\Users\LaPouniere\AppData\Local\bdcfc264 moved successfully.
C:\ProgramData\dee0c10c moved successfully.
C:\Users\LaPouniere\AppData\Roaming\f6f3bcda moved successfully.
C:\Users\LaPouniere\AppData\Local\xbt.exe moved successfully.
C:\Windows\Tasks\OfferBoxUpdate.job moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Software folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV\3.0.1.352 folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\OfferBox\sdch folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\OfferBox folder moved successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 01142012_124029

Réponse 9 / 10

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

Et voici deux rapports de "adwCleaner"

https://pjjoint.malekal.com/files.php?id=20120114_u10u7s8u11p5

Et le 2e:

https://pjjoint.malekal.com/files.php?id=20120114_j10u14f14n13l8

Merci!

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

ok ça doit être bon.

Méga Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

odzala41 Messages postés 35 Date d'inscription Statut Membre Dernière intervention 1

Ok, super info merci!
Je ferais passer le mot à mon amie qui, malheureusement, est une bille sur un pc et vu le nombre de logiciels "pourris" qu'elle a dessus j'en conclu qu'elle n'en prend pas soin!
Mais bon chacun aura son avis la dessus...

Et encore merci pour la désinfection.

Bonne journée!

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

yep pour info, les trucs Eorezo, ça ouvre des popups de publicités (ça installe un agent publicitaire)

ça va aussi par des tutoriels sur 01net : https://www.malekal.com/pctuto-et-01net-le-foutage-de-gueule-continue/

Réponse 10 / 10

yoyo62160 Messages postés 48 Date d'inscription Statut Membre Dernière intervention 2

j'ais déja été infecté avec internet security et il me semble que je l'ais viré avec ad-remover

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

créer ton sujet stp si tu veux de l'aide.

An2i

redémarré votre ordinateur en mode SANS ECHEC pour pouvoir réstauré votre pc car le virus bloque la réstauration pour démaré en mode sans echec apuié plusieur foi au démarage sur f8 puis réstaurez votre pc a une date antérieur pas besoin de telecharger de programme :)

Discussions similaires

Voxbone ? qui est-ce ?

Votre réponse

Discussions similaires