Sujet Précédent Sujet Suivant

Infecté par windows 7 Internet Security

Résolu/Fermé
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 - 13 janv. 2012 à 22:50
 An2i - 15 févr. 2012 à 14:46
Bonjour,

Le PC d'une amie est infecté par ce fameux "W7 Internet Security" depuis hier.
Elle m'a appelé à l'aide? mais je pense que certains d'entre vous pourrons m'aider pour le "virer" correctement du pc.

Je retourne demain dessus, dois-je commencer à faire une analyse avec "Roguekiller" ou "combofix"?

Merci d'avance pour l'aide.

Bye bonne suitée.



A voir également:

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
13 janv. 2012 à 23:06
Salut,

RogueKiller :


Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com

D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=

1
Réponse 2 / 10
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
13 janv. 2012 à 23:12
Ok merci je fais ça dès demain à la 1ère heure!

Et je poste le rapport...

Bonne soirée.
0
Réponse 3 / 10
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 09:09
Bonjour bonjour, voici le rapport de "roguekiller"

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: LaPouniere [Droits d'admin]
Mode: Suppression -- Date : 14/01/2012 09:05:51

¤¤¤ Processus malicieux: 2 ¤¤¤
[SUSP PATH] xbt.exe -- C:\Users\LaPouniere\AppData\Local\xbt.exe -> KILLED [TermProc]
[SUSP PATH] Linkury.exe -- C:\Users\LaPouniere\AppData\Local\Linkury\Application\Linkury.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Linkury Chrome Smartbar (C:\Users\LaPouniere\AppData\Local\Linkury\Application\Linkury.exe startup) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCR\.exe : (iljf) -> REPLACED (exefile)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] a9b8161b398b075eb90200b8227ae4a1
[BSP] dfe985ee4ee996bf70aad73418ec1ff7 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 2048 | Size: 10485 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 20482880 | Size: 143744 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 301233944 | Size: 95825 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 3300e173912bc7b80800aafe4328f267
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 40 | Size: 16038 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Réponse 4 / 10
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 10:08
Y'a t-il encore quelqu'un pour m'aider à désinfecter...?

Merci d'avance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 janv. 2012 à 11:58
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

0
Réponse 6 / 10
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 12:33
OK FAIT pour OTL dont voici le lien du rapport:
https://pjjoint.malekal.com/files.php?id=20120114_u9i15f6b8y13
0
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 12:37
J'ai pendant l'analyse un message de "OTL:OTL.exe": fichier endommagé et illisible.Executer CHKDSK.
Le fichier c:\users\LaPounier\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LTTOLNWD

A-t-il une certaine importance dans mon problème?

Merci encore
0
Réponse 7 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 janv. 2012 à 12:37
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/01/14 08:58:30 | 000,007,448 | ---- | M] () -- C:\Users\LaPouniere\AppData\Local\bdcfc264
[2012/01/14 08:58:30 | 000,007,402 | ---- | M] () -- C:\ProgramData\dee0c10c
[2012/01/14 08:58:28 | 000,007,366 | ---- | M] () -- C:\Users\LaPouniere\AppData\Roaming\f6f3bcda
[2012/01/13 10:24:46 | 000,295,936 | ---- | M] (Microsoft Corporation) -- C:\Users\LaPouniere\AppData\Local\xbt.exe
[2012/01/11 20:43:00 | 000,000,258 | ---- | M] () -- C:\Windows\tasks\OfferBoxUpdate.job
[2010/10/05 09:35:25 | 000,000,000 | ---D | M] -- C:\Users\LaPouniere\AppData\Roaming\EoRezo
[2011/11/29 22:06:33 | 000,000,000 | ---D | M] -- C:\Users\LaPouniere\AppData\Roaming\OfferBox

* redemarre le pc sous windows et poste le rapport ici
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 janv. 2012 à 12:40
fais ça aussi :

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
0
Réponse 8 / 10
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 12:42
Voici le dernier rapport demandé:

========== OTL ==========
C:\Users\LaPouniere\AppData\Local\bdcfc264 moved successfully.
C:\ProgramData\dee0c10c moved successfully.
C:\Users\LaPouniere\AppData\Roaming\f6f3bcda moved successfully.
C:\Users\LaPouniere\AppData\Local\xbt.exe moved successfully.
C:\Windows\Tasks\OfferBoxUpdate.job moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Software folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV\3.0.1.352 folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\EoRezo folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\OfferBox\sdch folder moved successfully.
C:\Users\LaPouniere\AppData\Roaming\OfferBox folder moved successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 01142012_124029
0
Réponse 9 / 10
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 13:41
Et voici deux rapports de "adwCleaner"

https://pjjoint.malekal.com/files.php?id=20120114_u10u7s8u11p5

Et le 2e:

https://pjjoint.malekal.com/files.php?id=20120114_j10u14f14n13l8

Merci!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 janv. 2012 à 13:49
ok ça doit être bon.

Méga Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !
0
odzala41 Messages postés 35 Date d'inscription jeudi 7 décembre 2006 Statut Membre Dernière intervention 19 mars 2012 1
14 janv. 2012 à 13:56
Ok, super info merci!
Je ferais passer le mot à mon amie qui, malheureusement, est une bille sur un pc et vu le nombre de logiciels "pourris" qu'elle a dessus j'en conclu qu'elle n'en prend pas soin!
Mais bon chacun aura son avis la dessus...

Et encore merci pour la désinfection.

Bonne journée!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 janv. 2012 à 14:05
yep pour info, les trucs Eorezo, ça ouvre des popups de publicités (ça installe un agent publicitaire)

ça va aussi par des tutoriels sur 01net : https://www.malekal.com/pctuto-et-01net-le-foutage-de-gueule-continue/
0
Réponse 10 / 10
yoyo62160 Messages postés 48 Date d'inscription samedi 14 janvier 2012 Statut Membre Dernière intervention 26 décembre 2014 2
14 janv. 2012 à 13:47
j'ais déja été infecté avec internet security et il me semble que je l'ais viré avec ad-remover
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
14 janv. 2012 à 14:04
créer ton sujet stp si tu veux de l'aide.
0
An2i
15 févr. 2012 à 14:46
redémarré votre ordinateur en mode SANS ECHEC pour pouvoir réstauré votre pc car le virus bloque la réstauration pour démaré en mode sans echec apuié plusieur foi au démarage sur f8 puis réstaurez votre pc a une date antérieur pas besoin de telecharger de programme :)
0