Votre question

Infection Live security platinum [résolu]

Tags :
  • Platinum
  • msn
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Juillet 2012 08:47:41

Bonjour à tous,

Hier alors que je surfais normalement, live security platinum s'est installé sur mon ordinateur.
Quand je m'en suis rendu compte, j'ai lancé Avira pour essayer de le virer puis redémarrer l'ordi mais sans succès.

En redémarrant, impossible de lancer n'importe quel programme.
Je suis donc en mode sans échec avec prise en charge du réseau.

J'ai pu consulté un peu les forums mais j'ai vu que les procédures sons spécifiques à chaque ordinateur, je préfère attendre des conseils avant de faire quoi que ce soit.

Merci d'avance,

Bonne journée

Autres pages sur : infection live security platinum resolu

a c 628 8 Sécurité
26 Juillet 2012 14:34:05

Bonjour,

Une première info importante :
/!\ Cette infection, dans son approche initiale, vole les données stockées de l’utilisateur lié à la gestion de site : FTP, etc ...
Il convient donc si tu gères des sites/forum ou utilise des logiciels de type FTP, de modifier les mot de passe, sinon il seront injecté avec le script malicieux afin de contaminer d'autres personnes /!\


à faire ensuite en mode sans échec donc :

Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 628 8 Sécurité
    27 Juillet 2012 11:33:26

    Re,

    Une info en passant :
    Citation :
    Drive C: | 232,88 Gb Total Space | 14,81 Gb Free Space | 6,36% Space Free | Partition Type: NTFS
    Drive D: | 232,49 Gb Total Space | 10,46 Gb Free Space | 4,50% Space Free | Partition Type: NTFS


    Tes disques durs sont plein, cela peut provoquer ralentissement et problème du système, je te conseille très fortement d'archiver et faire de la place après la procédure de désinfection !


    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-2461682827-163955607-631626904-1000\..\SearchScopes\{5BAE7F8E-E73D-4B5A-8083-0D1A52B83B58}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
    FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
    O3 - HKU\S-1-5-21-2461682827-163955607-631626904-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    O4 - HKU\S-1-5-21-2461682827-163955607-631626904-1000..\RunOnce: [7531CC92176C5DAC1681FC1FE56C34C7] C:\ProgramData\7531CC92176C5DAC1681FC1FE56C34C7\7531CC92176C5DAC1681FC1FE56C34C7.exe ()
    [2012/07/25 16:07:04 | 000,000,000 | ---D | C] -- C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
    [2012/07/25 16:04:12 | 000,000,000 | ---D | C] -- C:\ProgramData\7531CC92176C5DAC1681FC1F4F147CE7
    [2012/07/25 22:29:22 | 000,002,059 | ---- | M] () -- C:\Users\Fabrice\Desktop\Live Security Platinum.lnk

    :Reg
    [-HKEY_USERS\S-1-5-21-2461682827-163955607-631626904-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

    :Files
    C:\ProgramData\7531CC92176C5DAC1681FC1FE56C34C7

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais pouvoir redémarre le pc normalement après cela, si c’est le cas, fait c qui suit :

    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    a c 628 8 Sécurité
    28 Juillet 2012 20:00:53

    Re,

    Oui, ce sera ok, on va nettoyer, mettre à jour le pc et conclure ;) 

    En passant :
    Citation :
    C:\Users\Fabrice\Downloads\audacity_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.


    Nous n'estimons plus 01net comme un site "sûr" de téléchargement, en effet sa politique de repackage de logiciel gratuit avec des logiciels publicitaires est pour nous aberrante et dangereuse. Nous vous conseillons d'éviter les téléchargement là-bas.


    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon désinstalle-le dans ta liste des programmes.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    /!\ Info/Rappel : Cette infection, dans son approche initiale, vole les données stockées de l’utilisateur lié à la gestion de site : FTP, etc ...
    Il convient donc si tu gères des sites/forum ou utilise des logiciels de type FTP, de modifier les mot de passe /!\



    Pense à libérer de la place sur tes disques dur !


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS