Ordi infecté par win 7 security 2012 [Résolu/Fermé]

Signaler
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
-
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
-
Bonjour,

L'ordi de mon fils a été infecté par win 7 security. Après avoir cherché sur 'Comment ça marche', j'ai fait la manip suivante:
j'ai téléchargé et exécuté Roguekiller.
j'ai tapé '2' quand il me l'a demandé
Voici le rapport que j'ai obtenu :
-----------------------
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: ROMAIN [Droits d'admin]
Mode: Recherche -- Date : 16/01/2012 07:58:15

¤¤¤ Processus malicieux: 1 ¤¤¤
[WINDOW : Win 7 Security 2012] axwsncrmoe.exe -- C:\Users\ROMAIN\AppData\Local\Temp\axwsncrmoe.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCR\[...].exe : (hj) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 2af4a097eddec1c9294c3aa6f864a2ff
[BSP] f08cab831d45b8721515aa5e67322f7f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 160035 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 313391104 | Size: 159616 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
--------------------

J'attends votre aide pour analyser le problème.
je vous remercie d'avance.





10 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
Salut,

Relance RogueKiller avec l'option 2.
Poste le rapport ici.
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
7
Voici le nouveau rapport :


RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: ROMAIN [Droits d'admin]
Mode: Suppression -- Date : 17/01/2012 09:28:05

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 2af4a097eddec1c9294c3aa6f864a2ff
[BSP] f08cab831d45b8721515aa5e67322f7f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 160035 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 313391104 | Size: 159616 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt



merci pour ton aide
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
nslookup www.google.fr /c
CREATERESTOREPOINT

* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
7
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/01/16 07:54:38 | 000,008,435 | ---- | M] () -- C:\Users\ROMAIN\AppData\Roaming\f947a7df
[2012/01/16 07:54:38 | 000,008,379 | ---- | M] () -- C:\ProgramData\fb6df46a
[2012/01/15 21:30:56 | 000,286,208 | ---- | M] () -- C:\Users\ROMAIN\AppData\Local\gad.exe
[2012/01/15 21:30:52 | 000,000,000 | ---D | C] -- C:\Users\ROMAIN\AppData\Local\SanctionedMedia


* redemarre le pc sous windows et poste le rapport ici


~~



Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
7
========== OTL ==========
C:\Users\ROMAIN\AppData\Roaming\f947a7df moved successfully.
C:\ProgramData\fb6df46a moved successfully.
File C:\Users\ROMAIN\AppData\Local\gad.exe not found.
C:\Users\ROMAIN\AppData\Local\SanctionedMedia\Smad folder moved successfully.
C:\Users\ROMAIN\AppData\Local\SanctionedMedia folder moved successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 01172012_102739

voilà le rapport obtenu,
maintenant je redémarre mon ordi.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
Fais bien les mises à jour.

Spybot tu peux le désinstaller, il est pas très efficace.
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
7
J'ai redémarré l'ordi de mon fils, mais je n'ai pas compris s'il faut faire autre chose ou pas.
Tu me dis que je peux désinstaller spybot, mais quel logiciel mettre à la place qui serait plus efficace?

Je viens de lire les pages sur les mises à jour, merci beaucoup je vais aussi vérifier sur mon pc ,s'il y a des problèmes de mise à jour. Mais j'utilise 'windows update' tout le temps. J'espère qu'il n'y aura pas de problème.

par contre que dois je faire des logiciels installés : Roguekiller et OTL et des rapports d'erreurs ?

merci beaucoup de ton aide et du temps pasé à me répondre
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
tu peux supprimer les logiciels qu'on a utilisé.

Tu me dis que je peux désinstaller spybot, mais quel logiciel mettre à la place qui serait plus efficace?

Aucun enfin du moins comme antispyware. Servent à rien.
Déjà ton antivirus + maintenir tes logiciels à jour, c'est bien.

Après y a d'autres programmes types WOT etc.
voir mon prochain post.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
Fais plus attention à l'avenir....

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
7
Cet ordi, c'est celui de mon fils de 16 ans qui va un peu n'importe où!!
je vais lui demander d'être plus vigilant !!

Est-il possible de savoir où il a pris ce ''virus'' ?
Y a -t- il plus de danger sur facebook ou sur des sites de straming ?
merci encore
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 891
par une pub malicieuses sur un site de streaming très probablement .
La publicité malicieuse lance un exploit qui conduit à l'infection.

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !
Messages postés
36
Date d'inscription
mardi 17 janvier 2012
Statut
Membre
Dernière intervention
24 octobre 2019
7
Merci beaucoup pour ton aide. Je vais lire et je verrais bien si j'ai des questions sur tout ça !