Virus live security platinum

Résolu
christine -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai ce virus sur mon poste. J'ai téléchargé les 2 setup.exe mais je ne peux pas les exécuter : Rien ne se passe quand je double-clique dessus. Je ne peux d'aileurs exécuter aucun autre .exe à part I.E : ni notepad ni le gestionnaire de tâches.

Merci de votre aide.

Christine

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!
    0
    1. christine
       
      Re,
      impossible d'executer roguekiller. Le programme se lance et est stoppé immédiatement comme les autres exe que je veux lancer (même excel!)
      Merci
      Christine
      0
    2. christine
       
      Bonjour,

      Voici le rapport, le coup du renommage en winlogon a fonctionné.
      Cela a suffit à refaire fonctionné le lancement des .exe
      Je vous remercie vivement, vous êtes formidable..

      Christine

      RogueKiller V7.6.4 [17/07/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
      Demarrage : Mode normal
      Utilisateur: FO15517 [Droits d'admin]
      Mode: Suppression -- Date: 30/07/2012 15:07:00

      ¤¤¤ Processus malicieux: 1 ¤¤¤
      [SUSP PATH] 6C82D10416A77F80BDEF9E6A7B07D287.exe -- C:\Documents and Settings\All Users\Application Data\6C82D10416A77F80BDEF9E6A7B07D287\6C82D10416A77F80BDEF9E6A7B07D287.exe -> KILLED [TermProc]

      ¤¤¤ Entrees de registre: 7 ¤¤¤
      [SUSP PATH] HKCU\[...]\RunOnce : 6C82D10416A77F80BDEF9E6A7B07D287 (C:\Documents and Settings\All Users\Application Data\6C82D10416A77F80BDEF9E6A7B07D287\6C82D10416A77F80BDEF9E6A7B07D287.exe) -> DELETED
      [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX
      [HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REPLACED (0)
      [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
      [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
      [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      10.228.5.200 web-planning-2.usinor.com
      139.53.225.59 web-webservicestandemgpao-re7.usinor.com
      10.228.6.150 web-eprouvette-dev.usinor.com
      139.53.225.101 web-paratab.appliarmony.net
      139.53.225.101 web-qualcoil.appliarmony.net


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: ST9250410AS +++++
      --- User ---
      [MBR] 9a073b8e2d249af8150f885af486a289
      [BSP] 050c0627a9e3c57c0886f1965f5aa2a5 : Windows 7 MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 119236 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 244197376 | Size: 119237 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[2].txt >>
      RKreport[1].txt ; RKreport[2].txt
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    et :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.
    0
  3. christine
     
    Re,

    Je n'ai pas pu utiliser AdwCleaner car une erreur de subscript s'est affiché (line 4333).
    J'ai utilisé Malwarebyte qui a trouvé 5 infections (cf rapport ci-dessous) que j'ai supprimé.
    Merci encore.
    Christine

    En résumé, ce qui a marché :
    - Téléchargement de Roguekiller
    - Renommage en winlogon
    - Execution du fichier renommé.
    - téléchargement de malwarebyte
    - exécution et suppression des fichiers

    Malwarebytes Anti-Malware (Essai) 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.30.06

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 6.0.2900.5512
    FO15517 :: WS20044051 [administrateur]

    Protection: Activé

    30/07/2012 15:38:37
    mbam-log-2012-07-30 (15-38-37).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 255623
    Temps écoulé: 7 minute(s), 34 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 1
    C:\Documents and Settings\FO15517\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 5
    C:\Documents and Settings\All Users\Application Data\6C82D10416A77F80BDEF9E6A7B07D287\6C82D10416A77F80BDEF9E6A7B07D287.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
    X:\FO15517\Desktop\Setup.exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\FO15517\Local Settings\Temp\mor.exe.old (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
    X:\FO15517\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\FO15517\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. christine
     
    Apparemment, rien de particulier dans ces fichiers.Merci encore.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire le scan OTL.
    0