Se connecter / S'enregistrer
Votre question
Résolu

[rogue] security sphere 2012

Tags :
  • Windows 7
  • Spyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Janvier 2012 20:31:09

Bonjour,

Un faux logiciel de sécurité nommé "security sphere 2012" a infecté les pc de ma soeur qui tourne sous windows 7 starter, j'aurais besioin d'aide pour sa suppression :

J'ai déjà effectué une analyse avec l'outil RogueKiller :

Citation :
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode sans echec
Utilisateur: Melissa [Droits d'admin]
Mode: Recherche -- Date : 02/01/2012 20:03:41

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : jD36200CpCjF36200 (C:\ProgramData\jD36200CpCjF36200\jD36200CpCjF36200.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-4045263489-3911740043-833064219-1001[...]\Run : jD36200CpCjF36200 (C:\ProgramData\jD36200CpCjF36200\jD36200CpCjF36200.exe) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55172) -> FOUND
[] HKCU\[...]\Desktop : () -> ACCESS DENIED
[] HKCU\[...]\Desktop : () -> ACCESS DENIED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] e3fbc106731f923a9288253bad8081c6
[BSP] 141a80a822e4162c0eac3e2a8a9babfb : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 85899 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 167774208 | Size: 63385 Mo
2 - [XXXXXX] FAT32 [HIDDEN!] Offset (sectors): 291573760 | Size: 10737 Mo
3 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 312545280 | Size: 16 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt


Merci d'avance pour votre aide

Autres pages sur : rogue security sphere 2012

Meilleure solution

a c 548 8 Sécurité
a b $ Windows 7
2 Janvier 2012 21:52:55

Bonsoir,

Je tiens à t'avertir avant de commencer ta prise en charge.

Le pc a été infecté par un rootkit puissant dans sa dernière variante en plus du rogue ...
Le rogue ne sera pas un souci à éliminer en soit ...

Le problème va être de nettoyer ce rootkit qui utilise une partition cachée, sur le pc qui semble donc être un netbook sans lecteur cd n'est-ce pas ?

Je voudrais confirmer le diagnostic avant de lancer les procédure, merci de faire ceci :

- Fais un clic-droit sur "Ordinateur"
- Puis clique sur "Gérer"
- Dans la nouvelle fenêtre, clique sur "Gestion des disques"

Fais-moi une copie d'écran de la partie de droite avec les nom et lettre de partitions sur le disque s'il te plait :
http://www.infos-du-net.com/forum/272379-7-realiser-scr...

:jap: 
partage
2 Janvier 2012 23:49:28

c'est bien un netbook (asus eepc) sans lecteur CD

m
0
l
Contenus similaires
a c 548 8 Sécurité
a b $ Windows 7
2 Janvier 2012 23:56:30

Re,

Humpf je vois que dalle sur cette image :D 

Tu peux pas poster plus grand ? t'en fais pas pour la taille originale, l'hébergeur d'image te fournira un lien réduit, mais il faut que je puisse agrandir moi.


fais aussi ceci s'il te plait :

Télécharge AswMBR sur ton bureau.

  • Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Refuse la demande de mise à jour.
  • Clique sur le bouton Scan et laisse l'outil travailler.

  • Clique sur Save Log, enregistre le rapport sur le bureau et poste son contenu dans ta prochaine réponse.
    m
    0
    l
    3 Janvier 2012 17:56:44

    Citation :
    aswMBR version 0.9.9.1124 Copyright(c) 2011 AVAST Software
    Run date: 2012-01-03 17:51:11
    -----------------------------
    17:51:11.197 OS Version: Windows 6.1.7601 Service Pack 1
    17:51:11.197 Number of processors: 2 586 0x1C02
    17:51:11.199 ComputerName: MELISSA-PC UserName: Melissa
    17:51:36.987 Initialize success
    17:51:55.743 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
    17:51:55.751 Disk 0 Vendor: Hitachi_ FB2O Size: 152627MB BusType: 3
    17:51:55.777 Disk 0 MBR read successfully
    17:51:55.785 Disk 0 MBR scan
    17:51:55.805 Disk 0 Windows 7 default MBR code
    17:51:55.824 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 81920 MB offset 2048
    17:51:55.854 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 60449 MB offset 167774208
    17:51:55.891 Disk 0 Partition 3 00 1B Hidd FAT32 MSDOS5.0 10240 MB offset 291573760
    17:51:55.920 Disk 0 Partition 4 00 EF EFI FAT A1311 16 MB offset 312545280
    17:51:55.936 Disk 0 scanning sectors +312578048
    17:51:56.003 Disk 0 scanning C:\windows\system32\drivers
    17:52:03.846 Service scanning
    17:52:05.527 Service MpNWMon C:\windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
    17:52:06.498 Modules scanning
    17:52:19.057 Disk 0 trace - called modules:
    17:52:19.121 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll iaStor.sys
    17:52:19.151 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84c615e0]
    17:52:19.172 3 CLASSPNP.SYS[8699959e] -> nt!IofCallDriver -> [0x84278cb8]
    17:52:19.202 5 ACPI.sys[8623c3d4] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x83590028]
    17:52:19.223 Scan finished successfully
    17:52:53.175 Disk 0 MBR has been saved successfully to "C:\Users\Melissa\Desktop\MBR.dat"
    17:52:53.206 The log file has been saved successfully to "C:\Users\Melissa\Desktop\aswMBR.txt"



    PS : message édité pour la capture, excusez moi j'avais pas fais attention au rendu après la publication !
    m
    0
    l
    a c 548 8 Sécurité
    a b $ Windows 7
    3 Janvier 2012 19:04:45

    Re,

    Pas de souci ;) 

    Bon tant mieux c’est peut-être pas ce que je pensais en fait, on va pouvoir avancer plus vite ;) 

    à faire :


    1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    3 Janvier 2012 19:26:38

    Dans TDSSKiller


    Ce qui est affiché n'a l’ère de ressembler a aucun des cas ? Quel réponse je dois mettre ?
    m
    0
    l
    a c 548 8 Sécurité
    a b $ Windows 7
    3 Janvier 2012 19:40:49

    Re,

    mhmhm pas joli.

    met en quarantaine et poste moi le rapport s'il te plait, puis ceux d'OTL ;) 
    m
    0
    l
    a c 548 8 Sécurité
    a b $ Windows 7
    3 Janvier 2012 21:27:43

    Re,

    Mouais ben finalement tu as passé le fichier et tant mieux, ça appartenait à l'antimalware de microsoft ...

    Par contre :
    Citation :
    [2012/01/02 22:24:20 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbam.sys
    [2012/01/02 22:24:20 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
    ...
    [2012/01/02 21:29:36 | 000,000,000 | --SD | C] -- C:\ComboFix
    [2012/01/02 21:28:01 | 000,000,000 | ---D | C] -- C:\Qoobox


    Tu aurais dû me dire que tu avais utilisé CF et MBAM déjà !

    Poste-moi leurs rapports (Combofix est ici : C:\Combofix.txt ; malwarebytes, faut l'ouvrir puis onglet "log/rapport" )


    Ensuite :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :processes
    killallprocesses

    :OTL
    IE - HKU\S-1-5-21-4045263489-3911740043-833064219-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55172
    FF - prefs.js..network.proxy.http: "127.0.0.1"
    FF - prefs.js..network.proxy.http_port: 55172
    O2 - BHO: (no name) - {66D8FBA6-D90F-40A9-AC55-84896F79CA69} - No CLSID value found.
    O3 - HKU\S-1-5-21-4045263489-3911740043-833064219-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-4045263489-3911740043-833064219-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
    O4 - HKU\S-1-5-21-4045263489-3911740043-833064219-1001..\Run: [Microsoft® Windows Manager] C:\Users\Melissa\M-1-25-5432-6437-5685\winmgr.exe File not found
    [2011/12/18 12:23:41 | 000,000,000 | ---D | C] -- C:\Users\Melissa\AppData\Roaming\8C003
    [2011/12/18 12:23:02 | 000,000,000 | ---D | C] -- C:\Users\Melissa\AppData\Roaming\2C08C
    [2011/12/18 12:19:21 | 000,000,000 | RHSD | C] -- C:\Users\Melissa\M-1-25-5432-6437-5685
    @Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:B88E99C8

    :Files
    ipconfig /flushdns /c



  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer, accepte.
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais pouvoir redémarrer en mode normal à présent, dis-moi si tu as encore des symptômes/soucis, notamment niveau raccourci de bureau ou du menu démarrer absent.
    m
    0
    l
    a c 548 8 Sécurité
    a b $ Windows 7
    3 Janvier 2012 23:07:33

    Re,

    Bon, on va se poser une seconde pour que tu lises ceci, je le met normalement en début de procédure, mais là, y'en besoin maintenant :

    Citation :
    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !


  • Donc s'il te plait, lis ce que je demande, si c’est ambiguë, demande avant de faire toi-même ...

    1) je ne demandais ni de relancer MBAM, ni de relancer Combofix, mais bien de me fournir les rapports s'ils avaient été utilisé, donc il suffisait de me dire que tu ne les avais pas. Relancer Combofix ne sert à rien maintenant !

    2) je te demande une procédure avec OTL, tu ne l'as visiblement pas fait, merci de la faire et de me fournir le rapport

    3) j'ai posé une question à laquelle j'aimerais que tu me répondes quand tu aura terminé la procédure avec OTL.
    Citation :
    Tu devrais pouvoir redémarrer en mode normal à présent, dis-moi si tu as encore des symptômes/soucis, notamment niveau raccourci de bureau ou du menu démarrer absent.
    m
    0
    l
    a c 548 8 Sécurité
    a b $ Windows 7
    4 Janvier 2012 11:45:16

    Re,

    Ok, pour moi c'est terminé alors, on nettoie les outils :


    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime ensuite manuellement les outils suivants :
    - AswMBR.exe
    - RogueKiller.exe


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Mise à jour des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.




    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    4 Janvier 2012 20:22:55

    Ok je t'en remercie !

    A bientôt sur le forums ! :jap: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS