Ordi infecté par win 7 security 2012

Résolu
Catdu30 Messages postés 38 Statut Membre -  
Catdu30 Messages postés 38 Statut Membre -
Bonjour,

L'ordi de mon fils a été infecté par win 7 security. Après avoir cherché sur 'Comment ça marche', j'ai fait la manip suivante:
j'ai téléchargé et exécuté Roguekiller.
j'ai tapé '2' quand il me l'a demandé
Voici le rapport que j'ai obtenu :
-----------------------
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: ROMAIN [Droits d'admin]
Mode: Recherche -- Date : 16/01/2012 07:58:15

¤¤¤ Processus malicieux: 1 ¤¤¤
[WINDOW : Win 7 Security 2012] axwsncrmoe.exe -- C:\Users\ROMAIN\AppData\Local\Temp\axwsncrmoe.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCR\[...].exe : (hj) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 2af4a097eddec1c9294c3aa6f864a2ff
[BSP] f08cab831d45b8721515aa5e67322f7f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 160035 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 313391104 | Size: 159616 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
--------------------

J'attends votre aide pour analyser le problème.
je vous remercie d'avance.

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Relance RogueKiller avec l'option 2.
    Poste le rapport ici.
    0
  2. Catdu30 Messages postés 38 Statut Membre 7
     
    Voici le nouveau rapport :

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: ROMAIN [Droits d'admin]
    Mode: Suppression -- Date : 17/01/2012 09:28:05

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 2af4a097eddec1c9294c3aa6f864a2ff
    [BSP] f08cab831d45b8721515aa5e67322f7f : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 160035 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 313391104 | Size: 159616 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

    merci pour ton aide
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    nslookup www.google.fr /c
    CREATERESTOREPOINT

    * Clique sur le bouton Quick Scan.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2012/01/16 07:54:38 | 000,008,435 | ---- | M] () -- C:\Users\ROMAIN\AppData\Roaming\f947a7df
    [2012/01/16 07:54:38 | 000,008,379 | ---- | M] () -- C:\ProgramData\fb6df46a
    [2012/01/15 21:30:56 | 000,286,208 | ---- | M] () -- C:\Users\ROMAIN\AppData\Local\gad.exe
    [2012/01/15 21:30:52 | 000,000,000 | ---D | C] -- C:\Users\ROMAIN\AppData\Local\SanctionedMedia


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !
    0
  6. Catdu30 Messages postés 38 Statut Membre 7
     
    ========== OTL ==========
    C:\Users\ROMAIN\AppData\Roaming\f947a7df moved successfully.
    C:\ProgramData\fb6df46a moved successfully.
    File C:\Users\ROMAIN\AppData\Local\gad.exe not found.
    C:\Users\ROMAIN\AppData\Local\SanctionedMedia\Smad folder moved successfully.
    C:\Users\ROMAIN\AppData\Local\SanctionedMedia folder moved successfully.

    OTL by OldTimer - Version 3.2.31.0 log created on 01172012_102739

    voilà le rapport obtenu,
    maintenant je redémarre mon ordi.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais bien les mises à jour.

    Spybot tu peux le désinstaller, il est pas très efficace.
    0
  8. Catdu30 Messages postés 38 Statut Membre 7
     
    J'ai redémarré l'ordi de mon fils, mais je n'ai pas compris s'il faut faire autre chose ou pas.
    Tu me dis que je peux désinstaller spybot, mais quel logiciel mettre à la place qui serait plus efficace?

    Je viens de lire les pages sur les mises à jour, merci beaucoup je vais aussi vérifier sur mon pc ,s'il y a des problèmes de mise à jour. Mais j'utilise 'windows update' tout le temps. J'espère qu'il n'y aura pas de problème.

    par contre que dois je faire des logiciels installés : Roguekiller et OTL et des rapports d'erreurs ?

    merci beaucoup de ton aide et du temps pasé à me répondre
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tu peux supprimer les logiciels qu'on a utilisé.

      Tu me dis que je peux désinstaller spybot, mais quel logiciel mettre à la place qui serait plus efficace?

      Aucun enfin du moins comme antispyware. Servent à rien.
      Déjà ton antivirus + maintenir tes logiciels à jour, c'est bien.

      Après y a d'autres programmes types WOT etc.
      voir mon prochain post.
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0
  10. Catdu30 Messages postés 38 Statut Membre 7
     
    Cet ordi, c'est celui de mon fils de 16 ans qui va un peu n'importe où!!
    je vais lui demander d'être plus vigilant !!

    Est-il possible de savoir où il a pris ce ''virus'' ?
    Y a -t- il plus de danger sur facebook ou sur des sites de straming ?
    merci encore
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      par une pub malicieuses sur un site de streaming très probablement .
      La publicité malicieuse lance un exploit qui conduit à l'infection.

      Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
      Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
      Exemple avec : Exploit Java

      IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
      /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
      https://forum.malekal.com/viewtopic.php?t=15960&start=

      Passe le mot à tes amis !
      0
    2. Catdu30 Messages postés 38 Statut Membre 7
       
      Merci beaucoup pour ton aide. Je vais lire et je verrais bien si j'ai des questions sur tout ça !
      0