Comment se débarasser de Live security plati? Résolu

Question

Bonjour, 

Mon PC est infecté par Live security platinium que je n'arrive pas à supprimer, même par la suppression de programmes.
Comment puis je faire SVP?

Merci!!

Configuration: Windows Vista / Internet Explorer 9.0

Malekal_morte- · Answer

Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

DELISA · Answer

Voila le rapport: RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Denis CHAUVEAU [Droits d'admin] Mode: Suppression -- Date: 21/08/2012 16:09:10 ¤¤¤ Processus malicieux: 1 ¤¤¤ [ZeroAccess] n -- c:\windows\system32\n -> UNLOADED ¤¤¤ Entrees de registre: 5 ¤¤¤ [SUSP PATH] HKCU\[...]\RunOnce : 036DFF424A56349D0007AED37B07D329 (C:\Documents and Settings\All Users\Application Data\036DFF424A56349D0007AED37B07D329\036DFF424A56349D0007AED37B07D329.exe) -> DELETED [ZeroAccess] HKCR\[...]\InprocServer32 : (\.\globalroot\systemroot\Installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll) [ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\Denis CHAUVEAU\Local Settings\Application Data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n.) -> REPLACED (c:\windows\system32\shell32.dll) [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n --> REMOVED AT REBOOT [ZeroAccess][FILE] @ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\@ --> REMOVED AT REBOOT [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U\00000001.@ --> REMOVED [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U\80000000.@ --> REMOVED [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U\800000cb.@ --> REMOVED [ZeroAccess][FOLDER] U : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\windows\installer\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\L --> REMOVED [ZeroAccess][FILE] n : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\n --> REMOVED [ZeroAccess][FILE] @ : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\@ --> REMOVED [ZeroAccess][FOLDER] U : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\documents and settings\denis chauveau\local settings\application data\{bb9d4713-b55d-1db3-486e-f5cf75737f36}\L --> REMOVED ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7C9060C) SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7C905C6) SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7C90616) SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xF7C905BC) SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xF7C905CB) SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xF7C905D5) SSDT[68] : NtDuplicateObject @ 0x8057DDAF -> HOOKED (Unknown @ 0xF7C90607) SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xF7C905DA) SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xF7C905A8) SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xF7C905AD) SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7C9062F) SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xF7C905E4) SSDT[200] : NtRequestWaitReplyPort @ 0x8057D89E -> HOOKED (Unknown @ 0xF7C90620) SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xF7C905DF) SSDT[213] : NtSetContextThread @ 0x8063629D -> HOOKED (Unknown @ 0xF7C9061B) SSDT[237] : NtSetSecurityObject @ 0x8059EC29 -> HOOKED (Unknown @ 0xF7C90625) SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xF7C905D0) SSDT[255] : NtSystemDebugControl @ 0x80651981 -> HOOKED (Unknown @ 0xF7C9062A) SSDT[257] : NtTerminateProcess @ 0x8058E6B9 -> HOOKED (Unknown @ 0xF7C905B7) S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7C9063E) S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7C90643) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: SAMSUNG HM160HI +++++ --- User --- [MBR] 9af7e2c4f5ca361d85e20bc6436ff168 [BSP] 828d38b5d022c23872e2ce21c242b437 : KIWI Image system MBR Code Partition table: 0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 6149 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12594960 | Size: 72749 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 161585152 | Size: 73727 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Malekal_morte- · Answer

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  



puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

DELISA · Answer

Je n'arrive pas à lancer l'analyse dans OTL?
Est ce normal?

Malekal_morte- · Answer

Déjà poste le rapport AdwCleaner.


Pour OTL, ça fait quoi ça bloque ?
Tu as Avast ?

DELISA · Answer

Désolé pour le retrad, voila le lien.

https://pjjoint.malekal.com/files.php?id=20120821_i117y11n6c9

Et le rapport ADW/

Merci encore!


# AdwCleaner v1.801 - Rapport créé le 21/08/2012 à 16:17:13
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Denis CHAUVEAU - DENIS
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Denis CHAUVEAU\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Free Offers from Freeze.com
Dossier Supprimé : C:\Program Files\PriceGong
Dossier Supprimé : C:\Program Files\RelevantKnowledge

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2365905
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\ASKInstaller
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Freeze.com

***** [Registre - GUID] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC600575-3013-4E8E-941C-4B00DAFCE730}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1838 octets] - [21/08/2012 16:17:13]

########## EOF - C:\AdwCleaner[S1].txt - [1966 octets] ##########

Malekal_morte- · Answer

Installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Fais des scans réguliers avec. Il est efficace.

~~

Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

DELISA · Answer

Merci beaucoup pour ton efficacité!

Comment se débarasser de Live security plati?

8 réponses

Votre réponse

Discussions similaires

Newsletters