Supprimer System Progressive Protection

Encotec Messages postés 356 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

Je viens de télécharger spyware pour supprimer ce virus.
Quelle est maintenant la procédure à suivre .
Merci

36 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur sous Windows XP avec Firefox 16.0 cherche une procédure de désinfection après avoir téléchargé un spyware et soupçonne la présence d’un virus. Pour commencer, elle préconise d’abord de désinstaller l’adware Search-Results Toolbar, puis d’exécuter OTL selon les instructions fournies pour corriger le système et générer un rapport ouvert automatiquement, avec les fichiers déplacés vers C:\_OTL\MovedFiles. Pour compléter le nettoyage, elle recommande d’installer MBAM (Malwarebytes), de le mettre à jour, d’effectuer un balayage rapide et de supprimer les éléments détectés pour sécuriser le système. Des rapports détaillés des outils (OTL et MBAM) seront générés et disponibles dans le dossier racine, permettant de vérifier les actions réalisées et de poursuivre le nettoyage si nécessaire.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes.

    1. Redémarre en mode sans échec avec prise en charge réseau.

    2. Télécharge RogueKiller (par Tigzy) sur le bureau
    Ferme toutes tes applications en cours
    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    A +
    0
  2. Encotec Messages postés 356 Statut Membre 19
     
    J'ai fait un scan complet avec Spyware terminator et il ne me trouve aucun fichier infecté ???
    0
  3. Encotec Messages postés 356 Statut Membre 19
     
    dois je supprimer Spyware Terminator ?? dans ce cas ? et avira egalement ?
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Pour l'instant tu utilises RogueKiller, A +
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Encotec Messages postés 356 Statut Membre 19
     
    RogueKiller V8.1.1 [03/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Danilo [Droits d'admin]
    Mode : Recherche -- Date : 19/10/2012 23:21:34

    ¤¤¤ Processus malicieux : 2 ¤¤¤
    [SVCHOST] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 407A94DEED2452F80000407A546B59B9 (C:\Documents and Settings\All Users\Application Data\407A94DEED2452F80000407A546B59B9\407A94DEED2452F80000407A546B59B9.exe) -> TROUVÉ
    [RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-57989841-1647877149-682003330-1003[...]\RunOnce : 407A94DEED2452F80000407A546B59B9 (C:\Documents and Settings\All Users\Application Data\407A94DEED2452F80000407A546B59B9\407A94DEED2452F80000407A546B59B9.exe) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-57989841-1647877149-682003330-1003\$113db25e14005be26c53edd7ed26dac7\n.) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\n.) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\n.) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\n --> TROUVÉ
    [ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-57989841-1647877149-682003330-1003\$113db25e14005be26c53edd7ed26dac7\n --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\@ --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-57989841-1647877149-682003330-1003\$113db25e14005be26c53edd7ed26dac7\@ --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-57989841-1647877149-682003330-1003\$113db25e14005be26c53edd7ed26dac7\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-57989841-1647877149-682003330-1003\$113db25e14005be26c53edd7ed26dac7\L --> TROUVÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[53] : NtCreateThread @ 0x80584D41 -> HOOKED (Unknown @ 0xF7D97334)
    SSDT[68] : NtDuplicateObject @ 0x8057F195 -> HOOKED (Unknown @ 0xF7D9737F)
    SSDT[98] : NtLoadKey @ 0x805D5235 -> HOOKED (Unknown @ 0xF7D97352)
    SSDT[122] : NtOpenProcess @ 0x8057F942 -> HOOKED (Unknown @ 0xF7D97320)
    SSDT[128] : NtOpenThread @ 0x805E4817 -> HOOKED (Unknown @ 0xF7D97325)
    SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7D973A7)
    SSDT[193] : NtReplaceKey @ 0x806571D6 -> HOOKED (Unknown @ 0xF7D9735C)
    SSDT[200] : NtRequestWaitReplyPort @ 0x8057D143 -> HOOKED (Unknown @ 0xF7D97398)
    SSDT[204] : NtRestoreKey @ 0x80656D6D -> HOOKED (Unknown @ 0xF7D97357)
    SSDT[213] : NtSetContextThread @ 0x8063628D -> HOOKED (Unknown @ 0xF7D97393)
    SSDT[237] : NtSetSecurityObject @ 0x8059DDD3 -> HOOKED (Unknown @ 0xF7D9739D)
    SSDT[255] : NtSystemDebugControl @ 0x80651AA1 -> HOOKED (Unknown @ 0xF7D973A2)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7D973B6)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7D973BB)

    ¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: HTS541010G9SA00 +++++
    --- User ---
    [MBR] a44c05a31a6c7c24c5822ec797943f6c
    [BSP] d5af114edef2e7a07e9782326f0ab5c5 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95385 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Tu es aussi infecté par la dernière variante de Sirefef et ça c'est plus coriace

    1. Relance RogueKiller.exe
    ● Clique sur Suppression
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    Nous allons utiliser cet outil de diagnostic maintenant pour voir tous les problèmes.

    2. Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    netsvcs 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.*
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    BASESERVICES
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +

    0
  7. Encotec Messages postés 356 Statut Membre 19
     
    je crains fort que tout cela soit trop compliqué pour moi...je ne trouve plus roguekiller...pfff comment dois je le relancer ?
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Normalement, il est sur ton Bureau.
      0
    2. Encotec Messages postés 356 Statut Membre 19
       
      j ai un dossier quanrantine et 3 reports
      0
    3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Passe au point 2
      0
  8. Encotec Messages postés 356 Statut Membre 19
     
    RogueKiller V8.1.1 [03/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Website: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Danilo [Droits d'admin]
    Mode : Suppression -- Date : 19/10/2012 23:48:36

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\n --> SUPPRIMÉ
    [ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-57989841-1647877149-682003330-1003\$113db25e14005be26c53edd7ed26dac7\n --> SUPPRIMÉ
    [ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\@ --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$113db25e14005be26c53edd7ed26dac7\U --> SUPPRIMÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7C45514)
    SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7C454CE)
    SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7C4551E)
    SSDT[53] : NtCreateThread @ 0x80584D41 -> HOOKED (Unknown @ 0xF7C454C4)
    SSDT[63] : NtDeleteKey @ 0x80599777 -> HOOKED (Unknown @ 0xF7C454D3)
    SSDT[65] : NtDeleteValueKey @ 0x80598396 -> HOOKED (Unknown @ 0xF7C454DD)
    SSDT[68] : NtDuplicateObject @ 0x8057F195 -> HOOKED (Unknown @ 0xF7C4550F)
    SSDT[98] : NtLoadKey @ 0x805D5235 -> HOOKED (Unknown @ 0xF7C454E2)
    SSDT[122] : NtOpenProcess @ 0x8057F942 -> HOOKED (Unknown @ 0xF7C454B0)
    SSDT[128] : NtOpenThread @ 0x805E4817 -> HOOKED (Unknown @ 0xF7C454B5)
    SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7C45537)
    SSDT[193] : NtReplaceKey @ 0x806571D6 -> HOOKED (Unknown @ 0xF7C454EC)
    SSDT[200] : NtRequestWaitReplyPort @ 0x8057D143 -> HOOKED (Unknown @ 0xF7C45528)
    SSDT[204] : NtRestoreKey @ 0x80656D6D -> HOOKED (Unknown @ 0xF7C454E7)
    SSDT[213] : NtSetContextThread @ 0x8063628D -> HOOKED (Unknown @ 0xF7C45523)
    SSDT[237] : NtSetSecurityObject @ 0x8059DDD3 -> HOOKED (Unknown @ 0xF7C4552D)
    SSDT[247] : NtSetValueKey @ 0x80580090 -> HOOKED (Unknown @ 0xF7C454D8)
    SSDT[255] : NtSystemDebugControl @ 0x80651AA1 -> HOOKED (Unknown @ 0xF7C45532)
    SSDT[257] : NtTerminateProcess @ 0x8058E8B9 -> HOOKED (Unknown @ 0xF7C454BF)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF7C45546)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF7C4554B)

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: HTS541010G9SA00 +++++
    --- User ---
    [MBR] a44c05a31a6c7c24c5822ec797943f6c
    [BSP] d5af114edef2e7a07e9782326f0ab5c5 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95385 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[5].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
    0
  9. Encotec Messages postés 356 Statut Membre 19
     
    ou puis je telecharger OTL ???
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      En cliquant sur OTL
      0
  10. Encotec Messages postés 356 Statut Membre 19
     
    Ok, c est parti pour OTL, il analyse
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      ok ;)
      0
    2. Encotec Messages postés 356 Statut Membre 19
       
      L analyse est longue !!!
      0
  11. Encotec Messages postés 356 Statut Membre 19
     
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      essaye de retrouver le fichier Extras.txt dans ce dossier C:\Documents and Settings\Danilo\Mes documents\Téléchargements
      0
  12. Encotec Messages postés 356 Statut Membre 19
     
    0
    1. Encotec Messages postés 356 Statut Membre 19
       
      Parti ??? tu me communiqueras la suite demain ?? je comprends qu'il est tard.
      En tout cas, merci pour ton aide précieuse et fiable
      0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    1. Désinstalle Search-Results Toolbar (adware)

    2. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    3. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)
    Effectue la mise à jour, lance un examen rapide et supprime les éléments trouvés.
    Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb

    4. Poste les rapports hébergés.

    A +
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Il faut recommencer, il manquait la commande initiale :OTL afin que l'outil puisse interpréter les instructions.
    Puis relancer Malwarebytes et supprimer les éléments.

    Un fois les infection supprimées, il faudra vérifier et réparer les services Windows endommagés par l'infection.

    A +

    0
  15. Encotec Messages postés 356 Statut Membre 19
     
    ok, sauf que je ne peux rester qu'une heure aujourd hui
    je fais le necessaire
    0
    1. Encotec Messages postés 356 Statut Membre 19
       
      Killing processes sur OLT est lent : Do NOT INTERRUPT..
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Laisse travailler l'outil sans l'interrompre
      0
  16. Encotec Messages postés 356 Statut Membre 19
     
    Aurais tu une idée de la durée ?? voila plus d'une heure que j'ai lancé la correction et toujours rien !!!!!!!!!!!!!!
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Cela doit durer au maximum 10 minutes, force le redémarrage et relance la correction en mode sans échec : Redémarrer en mode sans échec
      0
  17. Encotec Messages postés 356 Statut Membre 19
     
    En mode sans echec, mon ordinateur ne se connecte plus internet !!!!
    Je vais dans panneau et l'option connexion reseau ne s'affiche pas
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Suivant ton type de connexion c'est normal ;)
      0
  18. Encotec Messages postés 356 Statut Membre 19
     
    Euh !!! et ?? que dois je faire ?
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      re,

      Tu n'as pas besoin de connexion pour effectuer la correction OTL.
      Ensuite l'outil redémarrera le pc en mode normal, A +
      0
  19. Encotec Messages postés 356 Statut Membre 19
     
    1 heure apres avoir lancé la correction OTL, toujours rien....
    0
  • 1
  • 2