Live Security Platinum

[bleh_]

Bonjour,

j'ai une machine sous vista qui a été infecté par ce rogue. J'ai voulu le désinstallé via la panneau de configuration en mode sans échec (je ne pouvais quasi plus rien faire en mode standard) mais sans succès, j'ai alors supprimé tout ce qu'il y avait dans le dossier "Live Security Platinum" (pas sur que ce fut une bonne idée ...) puis suis retourné dans "Programmes et fonctionnalités" mais il ne restait que "l'icône", rien à désinstaller. Bien que j'ai de nouveaux accès à toutes les commandes de la machine en mode standard, je ne serais pas étonné qu'il y ait encore trace de l'infection.

Voici le rapport de RogueKiller : RKreport[1].txt

[chantal11]

Bonjour,

On va vérifier en établissant un diagnostic avec cet outil, suis bien les instructions indiquées :

OTL :

• Télécharge OTL de Old_Timer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  
  Code:

  netsvcs
  msconfig
  activex
  drivers32
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  nslookup http://www.google.fr /c
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent, poste ces rapports en pièces jointes dans ta prochaine réponse.
  Les rapports sont sauvegardés sur le Bureau.

@+

[bleh_]

Bonjour,

Merci bien de l'aide, voici les rapports : OTL.Txt Extras.Txt

[chantal11]

Bonjour,

Ton système présente des failles de sécurité importantes, le rogue a pu ainsi s'installer sans aucun problèmes.
Java, Flash Player, Reader, navigateur non à jour avec un UAC désactivé.
On s'en occupera en suivant.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

• Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
• SweetIM for Messenger 3.7 (adware)

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
  
  Code:

  :OTL
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
  CHR - Extension: SweetIM for Facebook = C:\Users\Sylvie et Eric\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 
  CHR - Extension: SweetIM for Facebook = C:\Users\Sylvie et Eric\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
  CHR - Extension: SweetIM for Facebook = C:\Users\Sylvie et Eric\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of 
  CHR - Extension: SweetIM for Facebook = C:\Users\Sylvie et Eric\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
  O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found
  O7 - HKU\S-1-5-21-1517622482-191134406-1102748452-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
  O33 - MountPoints2\{8a67ccf6-ec61-11dd-a746-001fe20334e6}\Shell\AutoRun\command - "" = 83fgj.com
  O33 - MountPoints2\{8a67ccf6-ec61-11dd-a746-001fe20334e6}\Shell\explore\Command - "" = 83fgj.com
  O33 - MountPoints2\{8a67ccf6-ec61-11dd-a746-001fe20334e6}\Shell\open\Command - "" = 83fgj.com
  O33 - MountPoints2\{e970b470-276f-11de-83fc-001fe20334e6}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
  MsConfig - StartUpFolder: C:^Users^Sylvie et Eric^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.51690481658124.exe.lnk -  - File not found
  MsConfig - StartUpReg: LXDICATS - hkey= - key= -  File not found
  MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= -  File not found
  MsConfig - StartUpReg: NokiaOviSuite2 - hkey= - key= -  File not found
  MsConfig - StartUpReg: VoipStunt - hkey= - key= -  File not found
  [2012/07/17 17:52:56 | 000,000,000 | ---D | C] -- C:\Users\Sylvie et Eric\Desktop\RK_Quarantine
  [2012/07/14 18:59:34 | 000,000,000 | ---D | C] -- C:\Users\Sylvie et Eric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
  [2012/07/14 18:57:40 | 000,000,000 | ---D | C] -- C:\ProgramData\036E19324F859BA86624088E2F3B6FDA
  [2 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
  [2 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
  [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  [2012/07/16 10:03:57 | 000,002,000 | ---- | M] () -- C:\Users\Sylvie et Eric\Desktop\Live Security Platinum.lnk
  
  :files
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [RESETHOSTS]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

----------------------------------------------------------------------------------------------

Sont attendus les rapports :

• C:\_OTL\MovedFiles\********_** ****.log
• AdwCleaner(S).txt
• mbam-log[date-heure].txt

@+

[bleh_]

Voici les trois rapports :

07182012_144311.log
AdwCleaner[S1].txt
mbam-log-2012-07-18 (15-06-48).txt (j'ai sélectionné mes deux disques durs pour cet examen)

Mbam a detecté un logiciel de poker comme un trojan, et d'après quelques forums il semblerait que ça soit une erreur. Il a également détecté un fichier comme "Backdoor.IRCBot" c'est quoi ?

[chantal11]

Re,

Mbam a detecté un logiciel de poker comme un trojan, et d'après quelques forums il semblerait que ça soit une erreur.

Si cela avait été un faux positif, l'éditeur aurait demandé à la Team de Malwarebytes de retirer leur détection, hors à ce jour, elle y est toujours.

Tu ne vides pas la Quarantaine de toutes façons.

Il a également détecté un fichier comme "Backdoor.IRCBot" c'est quoi ?

Un Backdoor, c'est un malware qui permet à un pirate de contrôler un PC à distance et constituer ainsi un réseau de PC infectés est un botnet.


On continue.

---------------------------------------------------------------------------------------------

USBFix - Recherche :

• Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
• /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
• Double-clique sur UsbFix sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur l'option Recherche et laisse l'outil analyser ton système
• La recherche se lance
• Le rapport UsbFix.txt s'affiche. Poste le rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\UsbFix.txt
  
  Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

---------------------------------------------------------------------------------------------

Est attendu le rapport UsbFix.txt

@+

[bleh_]

Oki doki, merci.

Avast bloquait le téléchargement de UsbFix.

Le rapport : UsbFix.txt

[chantal11]

Bonjour,

Avast bloquait le téléchargement de UsbFix.

Oui, c'est un outil qui fait souvent "couiner" les antivirus, mais il est totalement sain et de toute confiance.


---------------------------------------------------------------------------------------------

USBFix - Nettoyage :

• /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
• Double-clique sur UsbFix sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur l'option Suppression et laisse l'outil travailler
• Le rapport UsbFix.txt s'affiche. Poste le rapport en pièce jointe dans ta prochaine réponse
  Le rapport se trouve sous C:\UsbFix.txt
  
  Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

---------------------------------------------------------------------------------------------

Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 30 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 5
http://www.java.com/fr/download/

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
• Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
• N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
• Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
• Copie-colle le contenu de ce rapport dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• UsbFix.txt
• SX Check&Update

@+

[bleh_]

Bonjour,

Quand je clique sur "Update Adobe Reader" il ne se passe rien. J'installe la version que tu m'as mis en lien ?

Le rapport d'UsbFix en attendant : UsbFix.txt

[chantal11]

Bonjour,

Oui, bien sûr fais la mise à jour directement depuis le lien indiqué.

Ensuite, tu lances SX Check&Update et tu génères un rapport en cliquant sur le bouton Rapport.
Tu postes le rapport obtenu en PJ.

@+

[bleh_]

Bonjour,

Le rapport : rapport_SX.txt

[chantal11]

Bonsoir,

C'est parfait.

Le système se comporte normalement ?

Si c'est bien le cas, nous allons pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

Purge points de restauration :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous
  
  Code:

  :Commands
  [CLEARALLRESTOREPOINTS]
  [EMPTYTEMP]

• Colle l'intégralité du code dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
• Si l'outil te demande de redémarrer le PC, tu acceptes

---------------------------------------------------------------------------------------------

Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Purge d'outils
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• Relance AdwCleaner et clique sur Désinstaller
• Relance USBFix et clique sur Désinstaller
• Supprime SXCU de ton Bureau
• Supprime tous les rapports générés restants

---------------------------------------------------------------------------------------------

Réactive l'UAC via Panneau de configuration -> Comptes Utilisateurs

L’UAC représente une mesure supplémentaire pour améliorer la sécurité du système, le laisser activé est fortement recommandé.
UAC (Contrôle de Compte Utilisateur), une mesure de sécurité supplémentaire contre les Malwares

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  [b]/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut l'installer Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  Maintenir Java, Adobe Reader et le player Flash à jour
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
• Au niveau de Firefox, tu peux sécuriser ta navigation
  Firefox sécurisé
  
  
• Il faut être vigilant avec les supports amovibles. Nous avons vacciné ton système et les supports amovibles connectés.
  Il faudra le faire aussi pour tout autre nouveau support
  Guide sécurisation Windows face aux menaces infectieuses USB
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF