Comment se débarasser de Live security plati?

Résolu/Fermé
DELISA Messages postés 5 Date d'inscription mardi 21 août 2012 Statut Membre Dernière intervention 21 août 2012 - 21 août 2012 à 16:00
DELISA Messages postés 5 Date d'inscription mardi 21 août 2012 Statut Membre Dernière intervention 21 août 2012 - 21 août 2012 à 19:19
Bonjour,

Mon PC est infecté par Live security platinium que je n'arrive pas à supprimer, même par la suppression de programmes.
Comment puis je faire SVP?

Merci!!

A voir également:

8 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 août 2012 à 16:02
Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

0
DELISA Messages postés 5 Date d'inscription mardi 21 août 2012 Statut Membre Dernière intervention 21 août 2012
21 août 2012 à 16:10
Voila le rapport:

RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Denis CHAUVEAU [Droits d'admin]
Mode: Suppression -- Date: 21/08/2012 16:09:10

¤¤¤ Processus malicieux: 1 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\RunOnce : 036DFF424A56349D0007AED37B07D329 (C:\Documents and Settings\All Users\Application Data\036DFF424A56349D0007AED37B07D329\036DFF424A56349D0007AED37B07D329.exe) -> DELETED
[ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\Denis CHAUVEAU\Local Settings\Application Data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n.) -> REPLACED (c:\windows\system32\shell32.dll)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n --> REMOVED AT REBOOT
[ZeroAccess][FILE] @ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\L --> REMOVED
[ZeroAccess][FILE] n : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7C9060C)
SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7C905C6)
SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7C90616)
SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xF7C905BC)
SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xF7C905CB)
SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xF7C905D5)
SSDT[68] : NtDuplicateObject @ 0x8057DDAF -> HOOKED (Unknown @ 0xF7C90607)
SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xF7C905DA)
SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xF7C905A8)
SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xF7C905AD)
SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7C9062F)
SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xF7C905E4)
SSDT[200] : NtRequestWaitReplyPort @ 0x8057D89E -> HOOKED (Unknown @ 0xF7C90620)
SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xF7C905DF)
SSDT[213] : NtSetContextThread @ 0x8063629D -> HOOKED (Unknown @ 0xF7C9061B)
SSDT[237] : NtSetSecurityObject @ 0x8059EC29 -> HOOKED (Unknown @ 0xF7C90625)
SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xF7C905D0)
SSDT[255] : NtSystemDebugControl @ 0x80651981 -> HOOKED (Unknown @ 0xF7C9062A)
SSDT[257] : NtTerminateProcess @ 0x8058E6B9 -> HOOKED (Unknown @ 0xF7C905B7)
S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7C9063E)
S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7C90643)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM160HI +++++
--- User ---
[MBR] 9af7e2c4f5ca361d85e20bc6436ff168
[BSP] 828d38b5d022c23872e2ce21c242b437 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 6149 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12594960 | Size: 72749 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 161585152 | Size: 73727 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 août 2012 à 16:14
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
0
DELISA Messages postés 5 Date d'inscription mardi 21 août 2012 Statut Membre Dernière intervention 21 août 2012
21 août 2012 à 16:52
Je n'arrive pas à lancer l'analyse dans OTL?
Est ce normal?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 août 2012 à 17:02
Déjà poste le rapport AdwCleaner.


Pour OTL, ça fait quoi ça bloque ?
Tu as Avast ?
0
DELISA Messages postés 5 Date d'inscription mardi 21 août 2012 Statut Membre Dernière intervention 21 août 2012
21 août 2012 à 17:19
Désolé pour le retrad, voila le lien.

https://pjjoint.malekal.com/files.php?id=20120821_i117y11n6c9

Et le rapport ADW/

Merci encore!


# AdwCleaner v1.801 - Rapport créé le 21/08/2012 à 16:17:13
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Denis CHAUVEAU - DENIS
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Denis CHAUVEAU\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Free Offers from Freeze.com
Dossier Supprimé : C:\Program Files\PriceGong
Dossier Supprimé : C:\Program Files\RelevantKnowledge

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2365905
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\ASKInstaller
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Freeze.com

***** [Registre - GUID] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC600575-3013-4E8E-941C-4B00DAFCE730}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1838 octets] - [21/08/2012 16:17:13]

########## EOF - C:\AdwCleaner[S1].txt - [1966 octets] ##########
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 août 2012 à 18:16
Installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec. Il est efficace.

~~

Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0
DELISA Messages postés 5 Date d'inscription mardi 21 août 2012 Statut Membre Dernière intervention 21 août 2012
21 août 2012 à 19:19
Merci beaucoup pour ton efficacité!
0