Vista home security 2012Résolu/Fermé

Question

Bonjour, 

Comme certains, j'ai chopé Vista Home Security 2012... Je fonctionne sous Avira free et internet fonctionne encore. 
Si une bonne âme pourrait m'aider ce serait vraiment très très gentil.

kalimusic · Answer

Bonjour,

Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes. 

&#x25CF; Télécharge sur le bureau RogueKiller 
&#x25CF;   Ferme toutes tes applications en cours 
&#x25CF;  Lance RogueKiller.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Lorsque demandé, tape 1 et valide.
&#x25CF; Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.

Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

A +

kalimusic · Answer

re,

1. Relance RogueKiller.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Lorsque demandé, tape 2 et valide.
&#x25CF; Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.

2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess : 
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

3. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

tanglef · Answer

Voici le 2ème rapport:

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: tanglef [Droits d'admin]
Mode: Suppression -- Date : 15/01/2012 17:05:11

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] ActivFocusHook.dll -- C:\ProgramData\ACTIV Software\ActivApplications\ActivFocusHook.dll -> UNLOADED

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ed3e69bd0252d03dedbbdcfdd8ad9b9f
[BSP] 7296854703d6b267fd937391933a27d1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 1572 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 3074048 | Size: 79853 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 159037440 | Size: 78613 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

kalimusic · Answer

re,

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%temp%\smtmp\*.* /s
%systemroot%\*. /mp /s 
%systemroot%\assembly	mp\*.* /s 
%systemroot%\Tasks\*.* /s
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Fait de même avec le rapport de TDSSkiller stp

A +

tanglef · Answer

voici le lien pour le rapport TDSSkiller:

http://cjoint.com/?BAprz6DmrE5

tanglef · Answer

Qu'entends-tu par copie colle "en citation"?
c'est un copier coller normal ou c'est différent?
parce que j'ai lancé l'analyse rapide 2 fois et il plente après quelques secondes?
déso

kalimusic · Answer

re, 

Tu copies/colles les instructions données en citation (la police de caractère est différente).

 Ferme toutes tes applications en cours 

Relance OTL.exe  
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;   Dans la section Registre: approfondi, coche Avec liste blanche 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%temp%\smtmp\*.* /s
%systemroot%\*. /mp /s 
%systemroot%\assembly	mp\*.* /s 
%systemroot%\Tasks\*.* /s
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;   Clique sur le bouton Analyse, patiente pendant le balayage du système. 

A +

tanglef · Answer

J'ai recommencé encore plusieurs fois OTL mais à chaque fois quand il arrive à scanning modules, il se plante (ne répond pas).

re désolé

Merci

kalimusic · Answer

Ce n'est pas de ta faute, je ne sais pas ce qui bloque.

Tu as vu que la procédure était différente la seconde fois ?
En plus des instructions données ici : https://forums.commentcamarche.net/forum/affich-24193736-vista-home-security-2012#9
Tu coches Aucun dans la partie Module

A +

tanglef · Answer

Voilà enfin terminé,

les liens pour les rapports:

http://cjoint.com/?BApsFaFhP5x 

http://cjoint.com/?BApsGNPZCmL

merci, j'attends la suite des instructions si suite il y a.

Vista home security n'a plus l'air d'être là en tout cas

kalimusic · Answer

re,

Vista home security  n'est que la partie visible.
C'est un rootkit qui perturbait le scan de OTL.

1. Désinstalle (si possible) :

Conduit Engine     
SanctionedMedia     
Softonic France Toolbar     
Vuze Remote Toolbar     
 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

2. Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

tanglef · Answer

Voilà,
le lien pour le rapport :

http://cjoint.com/?BApxit684ma

j'espère que tout a bien fonctionné car il y a deja un souci avec le pilote pour le DVD-RAM.

J'attends de tes nieuws.

Encore merci

a +

kalimusic · Answer

tanglef,

Le pilote du lecteur CD/DVD était déjà manquant au début de ma prise en charge.
Il faudra le réinstaller, une fois le système désinfecté.

1. Désinstalle Trojan Killer

2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles  

3. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression. 

3. Héberge les rapports et donne les liens.

A +

tanglef · Answer

Malheureusement OTL plante à "...Softonic France" 
Je vais dormir et reviendrai demain après le boulot en espérant que tu sois là.
Bonne nuit
Encore merci

a +

kalimusic · Answer

Bonjour,

Relance la correction OTL en mode sans échec.
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

A+

kalimusic · Answer

Bonsoir,

Comment se comporte le pc maintenant ?

Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
cdrom.sys
/md5stop
type "C:\Qoobox\ComboFix-quarantined-files.txt" /c
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

A +

kalimusic · Answer

re,

Entre temps tu as désinstallé Antivir et installé Avast! et ZoneAlarm, il vaut mieux prévenir celui qui t'aide si tu fait des changements.

Le pilote du lecteur CD semble être revenu.

Tout fonctionne maintenant ?

A +

kalimusic · Answer

re,

Je comprends pas trop l'histoire de la corbeille vide sur ton DD externe.
Vérifie que tu as tout tes documents avant de supprimer.

1. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau.

4. Désinstalle les versions obsolètes des logiciels suivants : 

Java(TM) 6 Update 6 
Java(TM) 6 Update 7
Java(TM) 6 Update 21
Adobe Reader 8.1.4
5. Mises à jour de logiciels pouvant présenter des failles de sécurité.

&#x25CF; Télécharge et installe JRE 6 Update 30 
&#x25CF; Télécharge et installe Adobe Reader X (10.1.2)
&#x25CF; Vérifie ta version de FlashPlayer et si nécéssaire télécharge et installe Adobe Flash Player 11.1.102.55

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

 == == == == == == == == == == == == == == == == == == == == == ==

les choses simples qui font la différence

&#x25CF; Maintenir Windows à jour

&#x25CF; Maintenir les logiciels à jour 

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

kalimusic · Answer

oups, un oubli.... 

Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

Bonne soirée

Inès68 · Answer

Bonjour, je joins le rapport obtenu avec roguekiller

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: IB [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 14:59:26

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] ecz.exe -- C:\Users\IB\AppData\Local\ecz.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCR\.exe : (zhv) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 71a9eaa3cac447f6e182ee573c71549b
[BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 624586 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1219895775 | Size: 15545 Mo

User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Est-ce que je dois suivre le même "protocole" que vous avez dicté à tanglef?

kalimusic · Answer

Bonjour,

Merci de créer votre propre sujet, la procédure n'étant pas forcement la même suivant le système d'exploitation et les infections présentes.

A +

Vista home security 2012

21 réponses

Discussions similaires

Newsletters