Infecté par windows 7 Internet Security

Résolu
odzala41 Messages postés 37 Statut Membre -  
 An2i -
Bonjour,

Le PC d'une amie est infecté par ce fameux "W7 Internet Security" depuis hier.
Elle m'a appelé à l'aide? mais je pense que certains d'entre vous pourrons m'aider pour le "virer" correctement du pc.

Je retourne demain dessus, dois-je commencer à faire une analyse avec "Roguekiller" ou "combofix"?

Merci d'avance pour l'aide.

Bye bonne suitée.

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    RogueKiller :

    Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
    Lances en option 2 (Suppression).
    Poste le rapport ici.

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=

    1
  2. odzala41 Messages postés 37 Statut Membre 1
     
    Ok merci je fais ça dès demain à la 1ère heure!

    Et je poste le rapport...

    Bonne soirée.
    0
  3. odzala41 Messages postés 37 Statut Membre 1
     
    Bonjour bonjour, voici le rapport de "roguekiller"

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: LaPouniere [Droits d'admin]
    Mode: Suppression -- Date : 14/01/2012 09:05:51

    ¤¤¤ Processus malicieux: 2 ¤¤¤
    [SUSP PATH] xbt.exe -- C:\Users\LaPouniere\AppData\Local\xbt.exe -> KILLED [TermProc]
    [SUSP PATH] Linkury.exe -- C:\Users\LaPouniere\AppData\Local\Linkury\Application\Linkury.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : Linkury Chrome Smartbar (C:\Users\LaPouniere\AppData\Local\Linkury\Application\Linkury.exe startup) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [FILEASSO] HKCR\.exe : (iljf) -> REPLACED (exefile)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] a9b8161b398b075eb90200b8227ae4a1
    [BSP] dfe985ee4ee996bf70aad73418ec1ff7 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 2048 | Size: 10485 Mo
    1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 20482880 | Size: 143744 Mo
    2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 301233944 | Size: 95825 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 3300e173912bc7b80800aafe4328f267
    [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 40 | Size: 16038 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  4. odzala41 Messages postés 37 Statut Membre 1
     
    Y'a t-il encore quelqu'un pour m'aider à désinfecter...?

    Merci d'avance
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0
  7. odzala41 Messages postés 37 Statut Membre 1
     
    OK FAIT pour OTL dont voici le lien du rapport:
    https://pjjoint.malekal.com/files.php?id=20120114_u9i15f6b8y13
    0
    1. odzala41 Messages postés 37 Statut Membre 1
       
      J'ai pendant l'analyse un message de "OTL:OTL.exe": fichier endommagé et illisible.Executer CHKDSK.
      Le fichier c:\users\LaPounier\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LTTOLNWD

      A-t-il une certaine importance dans mon problème?

      Merci encore
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2012/01/14 08:58:30 | 000,007,448 | ---- | M] () -- C:\Users\LaPouniere\AppData\Local\bdcfc264
    [2012/01/14 08:58:30 | 000,007,402 | ---- | M] () -- C:\ProgramData\dee0c10c
    [2012/01/14 08:58:28 | 000,007,366 | ---- | M] () -- C:\Users\LaPouniere\AppData\Roaming\f6f3bcda
    [2012/01/13 10:24:46 | 000,295,936 | ---- | M] (Microsoft Corporation) -- C:\Users\LaPouniere\AppData\Local\xbt.exe
    [2012/01/11 20:43:00 | 000,000,258 | ---- | M] () -- C:\Windows\tasks\OfferBoxUpdate.job
    [2010/10/05 09:35:25 | 000,000,000 | ---D | M] -- C:\Users\LaPouniere\AppData\Roaming\EoRezo
    [2011/11/29 22:06:33 | 000,000,000 | ---D | M] -- C:\Users\LaPouniere\AppData\Roaming\OfferBox


    * redemarre le pc sous windows et poste le rapport ici
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      fais ça aussi :

      Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
      Lance le, clique sur [Suppression] puis patiente le temps du scan.
      Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

      Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
      0
  9. odzala41 Messages postés 37 Statut Membre 1
     
    Voici le dernier rapport demandé:

    ========== OTL ==========
    C:\Users\LaPouniere\AppData\Local\bdcfc264 moved successfully.
    C:\ProgramData\dee0c10c moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\f6f3bcda moved successfully.
    C:\Users\LaPouniere\AppData\Local\xbt.exe moved successfully.
    C:\Windows\Tasks\OfferBoxUpdate.job moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Software folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV\3.0.1.352 folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate\Download folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\EoRezo\SoftwareUpdate folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\EoRezo folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\OfferBox\sdch folder moved successfully.
    C:\Users\LaPouniere\AppData\Roaming\OfferBox folder moved successfully.

    OTL by OldTimer - Version 3.2.31.0 log created on 01142012_124029
    0
  10. odzala41 Messages postés 37 Statut Membre 1
     
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok ça doit être bon.

      Méga Important - ton infection est venue par un exploit sur site web :

      Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
      Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
      Exemple avec : Exploit Java

      IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
      /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
      https://forum.malekal.com/viewtopic.php?t=15960&start=

      Passe le mot à tes amis !
      0
    2. odzala41 Messages postés 37 Statut Membre 1
       
      Ok, super info merci!
      Je ferais passer le mot à mon amie qui, malheureusement, est une bille sur un pc et vu le nombre de logiciels "pourris" qu'elle a dessus j'en conclu qu'elle n'en prend pas soin!
      Mais bon chacun aura son avis la dessus...

      Et encore merci pour la désinfection.

      Bonne journée!
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      yep pour info, les trucs Eorezo, ça ouvre des popups de publicités (ça installe un agent publicitaire)

      ça va aussi par des tutoriels sur 01net : https://www.malekal.com/pctuto-et-01net-le-foutage-de-gueule-continue/
      0
  11. yoyo62160 Messages postés 66 Statut Membre 2
     
    j'ais déja été infecté avec internet security et il me semble que je l'ais viré avec ad-remover
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      créer ton sujet stp si tu veux de l'aide.
      0
    2. An2i
       
      redémarré votre ordinateur en mode SANS ECHEC pour pouvoir réstauré votre pc car le virus bloque la réstauration pour démaré en mode sans echec apuié plusieur foi au démarage sur f8 puis réstaurez votre pc a une date antérieur pas besoin de telecharger de programme :)
      0