Security protection: Marche à suivre

[invite9fb1e6d9]

Bonjour,

Cela fait plus de 2 ans que je n'avais plus eu besoin de faire appel à vous.

Security protection s'est installé sur l'ordinateur portable de mon père.
Quand? Comment? Mystère.
Le PC est sous XP avec Avira comme anti-virus.
L'accès à Internet bloqué complètement.
Pouvez-vous m'indiquer une marche à suivre?
D'avance, merci pour votre aide (qui a toujours été efficace par le passé).
Bonne soirée.
-----

[chantal11]

Bonjour,

Toutes nos excuses pour le délai de réponse.

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller de Tigzy et enregistre-le sur ton Bureau
  
  
• /!\ Important -> Quitte tous les programmes en cours
  
  
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  
• Tape 1 quand c'est demandé pour lancer la Recherche et valide
  
  
• Poste le rapport RKreport.txt en pièce jointe dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

• Si des éléments infectieux ont été trouvés, relance RogueKiller et tape 2 pour lancer la Suppression et valide
  
• Poste le 2nd rapport RKreport.txt en pièce jointe dans ta prochaine réponse

• Si le fichier Hosts est corrompu, relance RogueKiller et tape 3 pour restaurer une copie saine et valide
  
• Poste le 3ème rapport RKreport.txt en pièce jointe dans ta prochaine réponse

• Si un proxy que tu n'as toi-même paramétré est détecté, relance RogueKiller et tape 4 pour le supprimer et valide
  
• Poste le 4ème rapport RKreport.txt en pièce jointe dans ta prochaine réponse

---------------------------------------------------------------------------------------------

TDSSKiller :

• Télécharge TDSSKiller.zip de Kaspersky et enregistre-le sur ton Bureau
  
  
• Décompresse le fichier TDSSKiller.zip par clic-droit -> Extraire
  Logiciel de décompression en cas de besoin 7-Zip
  
  
• Dans le dossier TDSSKiller, double-clique sur TDSSKiller.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  
• Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
  
  
• En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, vérifie que :
  
  • Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
  • Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
  • Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
  • Si Suspicious file est indiqué, l'option Skip soit cochée
    
    
• Clique ensuite sur Continue, puis clique sur Reboot computer
  
  
• Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_ log.txt en pièce jointe dans ta prochaine réponse
  Le rapport TDSSKiller.Version_Date_Heure_ log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heu re_log.txt

---------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Télécharge et installe Malwarebyte's Anti-Malware (clique sur Download Free version)
  
  
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  
  
• Clique sur Terminer
  
  
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  
  
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  
  
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
  
  
• A la fin du scan, clique sur Afficher les résultats
  
  
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  
  
• Si un redémarrage est demandé, clique sur Yes
  
  
• Le rapport mbam-log[date-heure].txt s'ouvre, Poste le rapport en pièce jointe dans ta prochaine réponse

---------------------------------------------------------------------------------------------

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau
  
  
• Décompresse le fichier ZHPDiag2.zip par clic-droit -> Extraire tout
  
  
• Double-clique sur ZHPDiag2.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
  
  
• L'outil a créé 3 icônes ZHPDiag, ZHPFix et MBRCheck sur le Bureau
  
  
• Double-clique sur ZHPDiag pour lancer l'outil
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
  
• Clique sur la loupe pour lancer l'analyse et patiente jusqu'à ce que le scan affiche 100%
  Referme ZHPDiag
  
  
• Le rapport ZHPDiag.txt se trouve sur le Bureau. Poste le rapport en pièce jointe dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

[invite9fb1e6d9]

RKreport[1].txtRKreport[2].txt

Bonjour,
Vous trouverez ci-joint les 2 premiers rapports de Rogue Killer.
Y a-t-il lieu de taper 3 à la vue de ces rapports?
Merci. Bon dimanche.

[yoda1234]

Chantal11 a demandé les rapports suivants:

• RogueKiller
• TDSSKiller
• Malwarebyte's Anti-Malware
• ZHPDiagZHPDiag

[A voir en vidéo sur Futura]

[invite9fb1e6d9]

Bonjour,

Ok.
Je vais passer aux autres étapes.
Désolé mais je pensais que je devais avancer pas à pas...
Le reste va suivre.

[chantal11]

Bonjour silky,

Sur les 2 rapports RogueKiller que tu as postés, l'option 2 Suppression n'a pas été utilisée.
Il faut le faire.

Tu suis aussi les autres consignes pour poster les autres rapports demandés TDSSKiller, Malwarebyte's, ZHPDiag.

Merci,

@+

[invite9fb1e6d9]

Bonsoir,

Voici les 4 rapports demandés.
Le PC infecté a l'air de se comporter mieux mais l'icône Security Protection est toujours présente sur le bureau.
Y a-t-il d'autres opérations à faire?
Merci

[chantal11]

Bonsoir,

Merci pour les rapports.
Heureusement, le rogue n'a pas embarqué avec lui quelque autre autre intrus plus coriace.

Pour le raccourci Security Protection, il suffit de le supprimer par un clic-droit -> Supprimer.

---------------------------------------------------------------------------------------------

Mets à jour ta version d'Adobe Reader :

Télécharge et installe cette dernière version :
Adobe - Téléchargement d'Adobe Reader
N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

---------------------------------------------------------------------------------------------

Mise à jour d'Internet Explorer :

Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE8.
Téléchargez Internet Explorer 8

---------------------------------------------------------------------------------------------

ZHPFix :

• Copie toutes les lignes ci-dessous
  
  Code:

  SysRestore
  R3 - URLSearchHook: ZoneAlarm Toolbar - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\ZoneAlarm\tbZon1.dll
  O2 - BHO: ZoneAlarm Toolbar - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ZoneAlarm\tbZon1.dll
  O3 - Toolbar: ZoneAlarm Toolbar - {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ZoneAlarm\tbZon1.dll
  O4 - HKLM\..\Run: [LaunchApp] Clé orpheline
  O43 - CFD: 12/07/2010 - 12:30:46 - [1791776] ----D- C:\Program Files\Conduit
  O43 - CFD: 12/07/2010 - 12:30:46 - [121840] ----D- C:\Documents and Settings\Maurice\Local Settings\Application Data\Conduit
  O52 - TDSD: \Drivers32\"msacm.l3codecp"="" . (...) -- (.not file.)
  O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (...) -- (.not file.)
  O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (ZoneAlarm Customized Web Search) - http://search.conduit.com
  [HKCU\Software\Conduit]
  [HKLM\Software\Conduit]
  [HKLM\Software\Classes\Toolbar.CT2611275]
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
  C:\Program Files\Conduit
  C:\Documents and Settings\Maurice\Local Settings\Application Data\Conduit
  EmptyTemp
  EmptyFlash
  FirewallRaz

• Ferme toutes les applications ouvertes
  
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Clique sur H
  Les lignes copiées apparaissent directement dans le cadre blanc (si ce n'est pas le cas clic-droit -> Coller)
  
• Clique sur GO
  
• Valide par Oui la désinstallation des programmes si demandé, mais refuse le redémarrage du PC, si proposé à ce moment là (cela stopperait l'action du fix)
  
• Laisse l'outil travailler. Si un redémarrage est demandé, cette fois-ci tu valides et tu redémarres le PC
  
• Le rapport s'affiche. Poste le rapport ZHPFixReport.txt, enregistré sur ton Bureau, en pièce jointe dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Est attendu le rapport :

• ZHPFixReport.txt

@+

[invite9fb1e6d9]

ZHPFixReport.txt

Bonjour,
Voir ci-joint.
Bonne journée

[chantal11]

Bonjour,

Le système se comporte toujours bien ?

Si c'est bien le cas, nous allons finaliser la désinfection.

---------------------------------------------------------------------------------------------

Désinstallation des outils avec ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur A
• Clique sur Tous puis sur Nettoyer
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Supprime les différents rapports des outils

---------------------------------------------------------------------------------------------

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

Supprime RogueKiller et TDSSKiller par clic-droit -> Supprimer si toujours présents sur le Bureau.

---------------------------------------------------------------------------------------------

Fichiers temporaires :

Nettoyage des fichiers temporaires avec ATF Cleaner de Atribune.

---------------------------------------------------------------------------------------------

Supprimer tous les anciens points de restauration et créer un nouveau point propre sous XP :

• Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK
• Puis, décoche la case Désactiver ... afin de réactiver la restauration système
• Un nouveau point de restauration propre sera créé

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi êtes vous infectés ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  • Il faut l'installer Flash Player sous chaque navigateur présent sur le système
  • Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  
  
• Au niveau de Firefox, tu peux sécuriser ta navigation avec ces 3 extensions :
  
  • NoScript -> https://addons.mozilla.org/fr/firefox/addon/722/
  • Adblock Plus -> https://addons.mozilla.org/fr/firefox/addon/1865/
  • WOT -> https://addons.mozilla.org/fr/firefox/addon/3456/
    Avec WOT, tu es immédiatement alerté par les ronds rouges qui apparaissent sur la page des résultats de recherche Google,et signalent ainsi un site potentiellement dangereux.

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

@+

[invite9fb1e6d9]

Bonjour,

Tout est excepté que je n'arrive pas à me connecter à ATRIBUNE.

Je ne comprends pas pourquoi...

Bien à vous

[chantal11]

Bonjour,

Oui, en effet le site semble avoir des soucis ou est en maintenance.

On va changer d'outil :

TFC - Nettoyage des fichiers temporaires :

• Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
• Ferme toutes les applications en cours
• Double-clique sur TFC.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
• Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

@+