PC infection par le Live Sécurity platinum

[inviteaf033e75]

bonjour,

Surprise en rentrant du boulot cette après-midi, c'est l’icône de se programme sur le PC, si une personne pourrait m'indiquer les démarches à suivre pour m'en débarrassé. Je suis sous win 7 familiale.

Merci d'avance
-----

[inviteaf033e75]

bonjour,

Surprise en rentrant du boulot cette après-midi, c'est l’icône de se programme sur le PC, si une personne pourrait m'indiquer les démarches à suivre pour m'en débarrassé. Je suis sous win 7 familiale.

Merci d'avance

Pour prendre de l'avance j'ai redémarré en mode sans échec avec prise en charge réseau,
j'ai téléchargé rogue killer

voila le rapport obtenu.

Rapport.txt

[chantal11]

Bonjour bly68,

Par souci de confidentialité, les rapports doivent être impérativement postés en pièces jointes.

Merci d'en tenir compte pour la suite de la procédure.

Hélas, il n'y a pas que Live Security Platinum qui a en fait installé ZeroAccess.

---------------------------------------------------------------------------------------------

Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• selon l'infection, un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible (il est, de toutes façons, recommandé de sauvegarder régulièrement ses données personnelles)
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

---------------------------------------------------------------------------------------------

RogueKiller :

• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Suppression, puis sur Rapport et poste ce rapport en PJ dans ta prochaine réponse
  
• Ensuite clique sur Host RAZ, puis sur Rapport et poste ce rapport en PJ dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Redémarre en mode normal.

---------------------------------------------------------------------------------------------

ComboFix :

/!\ComboFix est un outil puissant qui ne doit pas être employé à la légère. Cette procédure a été créée spécifiquement pour cet utilisateur. Si vous n'êtes pas cet utilisateur, ne la lancez pas au risque d'endommager sérieusement votre installation de Windows /!\

• Télécharge ComboFix de sUBs et enregistre-le sur ton Bureau (et nulle part ailleurs, impérativement sur le Bureau)
• /!\ Ferme toutes les applications en cours et désactive toute protection résidente
• Prends connaissance de ce tutoriel et imprime-le au besoin
• Sauvegarde tes données importantes
• Clique sur ComboFix.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte la licence d'utilisation et laisse toi guider par le programme
• Autorise ComboFix à se connecter à internet pour les mises à jour si le programme le demande
• /!\ Sous XP, ComboFix va vérifier si la Console de récupération est installée. Si cette Console n'est pas installée, accepte par Oui afin de permettre à ComboFix de l'installer
• Surtout, laisse l'outil travailler sans rien toucher
• Le système va redémarrer, puis le rapport Combofix.txt va s'afficher. Poste ce rapport en PJ dans ta prochaine réponse
  Le rapport est sauvegardé sous :C:\Combofix.txt

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• les 2 rapports RogueKiller
• Combofix.txt

/!\ Change tous tes mots de passe FTP/Réseaux sociaux/Web ......

@+

[inviteaf033e75]

Re

Donc voilà les deux rapports + le combosfix

Merci d'avance

[A voir en vidéo sur Futura]

[chantal11]

Re,

Merci pour les rapports.

Nous allons vérifier le système avec cet outil, suis bien les instructions indiquées :

OTL :

• Télécharge OTL de Old_Timer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  
  Code:

  netsvcs
  msconfig
  activex
  drivers32
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  nslookup http://www.google.fr /c
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste-les en PJ.
  Les rapports sont sauvegardés sur le Bureau.

@+

[inviteaf033e75]

Je n'ai pas le fichier extras sur le bureau, par contre j'ai deux fichiers deskop.ini qui sont apparu.

il y a ces infos dedans
[.ShellClassInfo]
LocalizedResourceName=@%System Root%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\syst em32\imageres.dll,-183

et dans le deuxième :

[.ShellClassInfo]
LocalizedResourceName=@%System Root%\system32\shell32.dll,-21799

[chantal11]

Re,

Je n'ai pas le fichier extras sur le bureau

En fait, le rapport Extras ne se crée qu'au 1er passage de OTL et sur ton rapport il est indiqué que c'est le 2ème passage.
Ce n'est pas grave.

---------------------------------------------------------------------------------------------

par contre j'ai deux fichiers deskop.ini qui sont apparu.

• Dans l'explorateur -> Organiser -> Options des dossiers et de recherche -> onglet Affichage ->
• coche la case Masquer les fichiers protégés du système d'exploitation
• Clique sur Appliquer

---------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
  
  Code:

  :OTL
  IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/niouzefire/{C297B482-8E3A-48DE-A436-9C755DE621D0}
  IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
  IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2583879
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/niouzefire/{C297B482-8E3A-48DE-A436-9C755DE621D0}
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1000\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={F36A5227-D841-4362-A6BB-E86F62B62ABB}&mid=3d8716d5bdd947d0bab22104e48631a3-605473af35cae0f1c4fca8f1d6cb179530f79410&lang=fr&ds=gm011&pr=sa&d=2012-04-21 18:00:33&v=11.0.0.9&sap=hp
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1002\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1002\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={F36A5227-D841-4362-A6BB-E86F62B62ABB}&mid=3d8716d5bdd947d0bab22104e48631a3-605473af35cae0f1c4fca8f1d6cb179530f79410&lang=fr&ds=gm011&pr=sa&d=2012-04-21 18:00:33&v=11.0.0.9&sap=dsp&q={searchTerms}
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1002\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/niouzefire/{C297B482-8E3A-48DE-A436-9C755DE621D0}?q={searchTerms}
  IE - HKU\S-1-5-21-502265381-1074164972-292001075-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2583879
  FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
  FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7B266c935f-1783-4eaa-b9ac-d2029f699536%7D&mid=3d8716d5bdd947d0bab22104e48631a3-605473af35cae0f1c4fca8f1d6cb179530f79410&ds=gm011&v=11.0.0.9&lang=fr&pr=sa&d=2012-04-21%2018%3A00%3A33&sap=ku&q="
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKU\S-1-5-21-502265381-1074164972-292001075-1002\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
  [2012/07/27 12:00:55 | 000,000,000 | ---D | C] -- C:\ProgramData\7531CC9221B0AB046995CAB4F875F002
  [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  [2011/07/23 10:53:28 | 000,000,000 | ---D | M] -- C:\Users\jacques\AppData\Roaming\sHcQaxsWXEYdlbHQQP
  
  :files
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

----------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
  
• Poste ce rapport dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Sont attendus en PJ les rapports :

• C:\_OTL\MovedFiles\********_** ****.log
• AdwCleaner(S).txt
• mbam-log[date-heure].txt
• SX Check&Update

@+

[inviteaf033e75]

re

Les log otl pour le moment, je suis allé trop vite la première fois j'ai oublié de cocher tous les utilisateurs et les deux autres du coup j'ai refait un deuxième scan je poste les deux.

Merci pour votre patience.

[inviteaf033e75]

Re

Voilà les derniers

En vous remerciant d'avance.

[chantal11]

Bonjour,

Merci pour les rapports.

Mets à jour ta version de Opera -> http://fr.opera.com/

Comment se comporte le système ?

Si tout va bien nous pourrons finaliser la procédure.

@+

[inviteaf033e75]

Bonjour,

Opéra mis à jour me sert surtout de navigateurs de secours en cas de problèmes avec FF.

Système ok pour le moment, une quinzaine de processus ne tourne plus depuis le passage de OTL moyenne de 85 processus avant purge maintenant 69-70 environs,par contre je remarque deux processus csrss.exe qui tourne en même temps les deux sont dans le dossier C:\Windows\System32.


@+

[chantal11]

Re,

Opéra mis à jour me sert surtout de navigateurs de secours en cas de problèmes avec FF.

Même s'ils ne servent que de navigateurs de secours, ils doivent être à jour

par contre je remarque deux processus csrss.exe qui tourne en même temps les deux sont dans le dossier C:\Windows\System32.

Oui, l'emplacement est normal et il y a bien 2 processus csrss.exe qui tournent en permanence.


Nous allons donc pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

Purge points de restauration :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous
  
  Code:

  :Commands
  [CLEARALLRESTOREPOINTS]
  [EMPTYTEMP]

• Colle l'intégralité du code dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
• Si l'outil te demande de redémarrer le PC, tu acceptes

---------------------------------------------------------------------------------------------

Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Purge d'outils
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• Relance AdwCleaner et clique sur Désinstaller
• Supprime SXCU de ton Bureau
• Supprime tous les rapports générés restants

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  /!\ Change tous tes mots de passe FTP/Réseaux sociaux/Web ......
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut l'installer Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  Maintenir Java, Adobe Reader et le player Flash à jour
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
• Au niveau de Firefox, tu peux sécuriser ta navigation
  Firefox sécurisé
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

[inviteaf033e75]

Hello,

Chantal11, je te souhaite un bon week-end et je te remercie d'avoir passer un peu de temps à m'aider.

[chantal11]

Bon Week-End à toi aussi et bonne continuation

[inviteaf033e75]

Arf

Bon ben j'ai un petit soucis, les jeux ne marche plus

Wichter refuse de se lancer, j'ai un message qui me dit que mon matos ne correspond plus au minimum pour le lancer, j'ai jamais eu de problème pour le lancer.

Assassin Creed Revelation est très lent au chargement et impossible à jouer pareil jamais eu de problème pour jouer jusqu’à présent.

Je pense que quelques chose à été désactivé en remettant de l'ordre, vu que j'ai perdu environs 15 processus, je devais surement en avoir qui améliorer le coté graphique.

le pc est un Dell xps I5 2.67ghz avec turbo boost, j'ai d'ailleurs l'impression qu'il ne se lance au démarrage des jeux en mettant le moniteur d'intel il reste sur 2.67 ghz alors que je peux le monter à 3.19 ghz.

Si quelqu'un à une idée. Je suis preneur. Merci d'avance.

[chantal11]

Bonjour,

Seuls les processus malicieux ont été supprimés.

Nous n'avons pas touché à tes jeux, avec les outils de désinfection, ni à Turbo Boost.

Au besoin, ré-installe les applications.

Si le problème persiste, il te faut ouvrir un sujet dans -> http://forums.futura-sciences.com/lo...e-open-source/

Fais quand même ces 2 procédures :

1) Vérification et réparation des erreurs de système de fichiers :
Ordinateur -> Clic-droit sur C -> Propriétés ->onglet Outils -> Vérifier maintenant -> coches la case " Réparer automatiquement les erreurs de système de fichiers -> Démarrer -> tu valides la demande de planification -> tu redémarres le PC et tu laisses faire l'analyse, le PC redémarrera tout seul.

2) Vérification et réparation des fichiers système :
Démarrer --> Tous les programmes --> Accessoires --> Clic-droit sur Invite de commandes --> Exécuter en tant qu'administrateur --> tu tapes

sfc /scannow

Tu laisses faire l'analyse.
En fin d'analyse, un message t'indiquera si des fichiers corrompus ont été réparés.



@+

[inviteaf033e75]

bonjour,

Nop pas d'amélioration

Witcher me dit toujours que j'ai pas le minimum pour jouer

Diablo 3 me signale que le pilote graphique intégré n'est pas à jours.

Je joue bien avec la carte nvidia clic droit sur l’icône des jeux on à bien le processeurs nvidia par défaut.
Je vais voir pour ouvir un nouveau sujet comme tu me l'as indiqué, je te remercie Chantal11.

@+