Se connecter / S'enregistrer
Votre question

Attaque de Live Security Platinium !

Tags :
  • Virus
  • msn
  • Scan
  • live security
  • platinium
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Août 2012 00:05:51

Bonjour !

Comme pour pas mal de personnes, je suis infecté par Live Security Platinium.

Mes résultats de scan :
OTL : http://pjjoint.malekal.com/files.php?id=20120801_r5n14s...
Extras : http://pjjoint.malekal.com/files.php?id=20120801_y11q6j...

Merci pour votre aide !

Autres pages sur : attaque live security platinium

a c 548 8 Sécurité
1 Août 2012 11:05:02

Bonjour,

Tu as déjà effectué des procédures sur ce pc ?

C'est un pc professionnel ? As-tu volontairement installé un proxy ?
FF - prefs.js..network.proxy.ftp: "109.169.26.139"
FF - prefs.js..network.proxy.ftp_port: 3128

/!\ Cette infection, dans son approche initiale, vole les données stockées de l’utilisateur lié à la gestion de site : FTP, etc ...
Il conviendra donc si tu gères des sites/forum ou utilise des logiciels de type FTP, de modifier les mot de passe /!\



1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

- TuneUp Utilities 2011 (sauf réelle utilité, ne sert pas à grand chose sur Win7)
- Spybot - Search & Destroy (inutile et obsolète)
- Cracklock 3.9.44 (idem)

- BabylonObjectInstaller (adware : logiciel publicitaire)
- Babylon toolbar on IE (idem)


1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-2548524425-3416401621-3410283727-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-2548524425-3416401621-3410283727-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112250&tt=010712_5&babsrc=SP_ss&mntrId=ec4b24f700000000000006265ef11fe9
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112250&tt=010712_5&babsrc=KW_ss&mntrId=ec4b24f700000000000006265ef11fe9&q="
    [2012/07/08 00:37:58 | 000,002,351 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    [2012/07/31 00:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85A0537562CF9567854F147C45
    [2012/07/30 23:11:00 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
    [2012/07/30 23:08:09 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85D06A747CCF9567854F147C45
    [2012/07/08 00:38:12 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\BabylonToolbar
    [2012/07/08 00:38:04 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar
    [2012/07/08 00:37:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
    [2012/07/08 00:37:42 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\Babylon
    [2012/07/31 00:19:36 | 000,001,875 | ---- | M] () -- C:\Users\Jeff Owen\Desktop\Live Security Platinum.lnk
    [2012/07/31 23:29:38 | 000,019,968 | ---- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\800000cb.@
    [2012/07/31 23:29:38 | 000,013,312 | ---- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\80000000.@
    [2012/07/30 23:41:42 | 000,001,712 | ---- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\00000001.@
    [2012/07/30 23:20:08 | 000,019,968 | ---- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\800000cb.@
    [2012/07/30 23:11:52 | 000,013,312 | ---- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\80000000.@
    [2012/07/30 23:11:00 | 000,001,875 | ---- | C] () -- C:\Users\Jeff Owen\Desktop\Live Security Platinum.lnk[2009/07/14 01:11:59 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\@
    [2009/07/14 01:11:59 | 000,002,048 | -HS- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\@
    [2012/07/30 23:07:31 | 000,001,712 | ---- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\00000001.@
    [2012/07/08 00:37:42 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\Babylon
    [2012/07/08 00:38:12 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\BabylonToolbar
    [2011/09/11 13:36:54 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\YyIUwQvTlxlicurPyJ
    @Alternate Data Stream - 180 bytes -> C:\ProgramData\TEMP:1CE11B51

    :Files
    C:\Program Files\BabylonToolbar

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    5 Août 2012 00:43:54

    hyunkel30 a dit :
    Bonjour,

    Tu as déjà effectué des procédures sur ce pc ?

    C'est un pc professionnel ? As-tu volontairement installé un proxy ?
    FF - prefs.js..network.proxy.ftp: "109.169.26.139"
    FF - prefs.js..network.proxy.ftp_port: 3128

    /!\ Cette infection, dans son approche initiale, vole les données stockées de l’utilisateur lié à la gestion de site : FTP, etc ...
    Il conviendra donc si tu gères des sites/forum ou utilise des logiciels de type FTP, de modifier les mot de passe /!\



    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - TuneUp Utilities 2011 (sauf réelle utilité, ne sert pas à grand chose sur Win7)
    - Spybot - Search & Destroy (inutile et obsolète)
    - Cracklock 3.9.44 (idem)

    - BabylonObjectInstaller (adware : logiciel publicitaire)
    - Babylon toolbar on IE (idem)


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-2548524425-3416401621-3410283727-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-2548524425-3416401621-3410283727-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=112250&tt=010712_5&babsrc=SP_ss&mntrId=ec4b24f700000000000006265ef11fe9
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112250&tt=010712_5&babsrc=KW_ss&mntrId=ec4b24f700000000000006265ef11fe9&q="
    [2012/07/08 00:37:58 | 000,002,351 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    [2012/07/31 00:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85A0537562CF9567854F147C45
    [2012/07/30 23:11:00 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
    [2012/07/30 23:08:09 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85D06A747CCF9567854F147C45
    [2012/07/08 00:38:12 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\BabylonToolbar
    [2012/07/08 00:38:04 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar
    [2012/07/08 00:37:43 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
    [2012/07/08 00:37:42 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\Babylon
    [2012/07/31 00:19:36 | 000,001,875 | ---- | M] () -- C:\Users\Jeff Owen\Desktop\Live Security Platinum.lnk
    [2012/07/31 23:29:38 | 000,019,968 | ---- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\800000cb.@
    [2012/07/31 23:29:38 | 000,013,312 | ---- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\80000000.@
    [2012/07/30 23:41:42 | 000,001,712 | ---- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\00000001.@
    [2012/07/30 23:20:08 | 000,019,968 | ---- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\800000cb.@
    [2012/07/30 23:11:52 | 000,013,312 | ---- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\80000000.@
    [2012/07/30 23:11:00 | 000,001,875 | ---- | C] () -- C:\Users\Jeff Owen\Desktop\Live Security Platinum.lnk[2009/07/14 01:11:59 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\@
    [2009/07/14 01:11:59 | 000,002,048 | -HS- | C] () -- C:\Users\Jeff Owen\AppData\Local\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\@
    [2012/07/30 23:07:31 | 000,001,712 | ---- | C] () -- C:\Windows\Installer\{b3bcf1ea-9308-07c6-0019-7bd8b7c9abf1}\U\00000001.@
    [2012/07/08 00:37:42 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\Babylon
    [2012/07/08 00:38:12 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\BabylonToolbar
    [2011/09/11 13:36:54 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\YyIUwQvTlxlicurPyJ
    @Alternate Data Stream - 180 bytes -> C:\ProgramData\TEMP:1CE11B51

    :Files
    C:\Program Files\BabylonToolbar

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt


  • Je n'ai rien effetué de spécial sur ce PC.
    J'ai suivi la procédure, mais après le redémarrage, l'écran est resté tout noir (avant d'arriver au login et mdp) avec la souris, quel que soit le démarrage Mode Sans Echec/Normal/... etc.

    On dirait que c'est sans issus pour moi :-(
    Contenus similaires
    a c 548 8 Sécurité
    5 Août 2012 10:00:30

    Bonjour,

    C'était après quel redémarrage, celui du correctif d'OTL ou celui de combofix ?

    Tu peux atteindre le choix de démarrage sélectif donc ? (mode sans échec, etc)
    Si oui, est-ce que le menu "réparer l'ordinateur" fonctionne et est-ce que tu arrives ici :


    Je rappel que face à des infections comme celle-ci, avec rootkit, les dommages sont une conséquence possible.
    5 Août 2012 12:47:48

    C'est arrivé après le redémarrage d'OTL.
    J'ai le choix de démarrage sélectif, mais peu importe quel choix je choisis, je n'arrive pas à cet écran. Je n'arrive à aucune images couleurs.

    En démarrage normal, c'est comme ci la page "login et mdp" n'arrivait pas à se charger, ça reste tout noir avec la souris qu'on peux bouger.
    a c 548 8 Sécurité
    5 Août 2012 14:02:59

    Re,

    Tu vois le menu "réparer l"ordinateur" sur l'écran noir de choix de mode ? (avec la liste "mode sans échec", etc ...)



    Il ne lance rien ?
    5 Août 2012 21:18:39

    Je ne me rappel pas l'avoir vu.
    Mais de toute façon, j'ai testé tout les choix de démarrage et aucun ne s'est lancé. :/ 

    J'ai enlevé mon DD pour récupérer mes données et formater le PC par la suite.
    a c 548 8 Sécurité
    5 Août 2012 22:20:24

    Re,

    A par si tu es très pressé, c'est dommage de formater directement.

    Regarde si tu vois ce menu de démarrage d'abord.

    De même nous avons des solutions pour récupérer les données sans démonter le disque au besoin, ou d'autres choses à tester avant ...

    Mais c'est toi qui voit.

    :jap: 
    6 Août 2012 12:26:05

    Au point au j'en suis je peux me permettre de tester d'autres solutions avant de formater.
    Le temps de remettre mon DD ce soir, je vais regarder pour le menu. Mais de mémoire je ne suis arrivé à aucunes pages en couleur.

    Que puis-je essayer d'autre alors apart le menu couleur :)  ?
    a c 548 8 Sécurité
    6 Août 2012 13:45:50

    Re,

    Moi déjà j'aimerais que tu me confirmes ou non la présence du choix du menu "réparer l'ordinateur" sur le même écran noir que "mode sans échec", c'est la première étape ;) 

    S'il y est, tu le sélectionnes, ensuite seulement tu arriveras au reste des écran en couleur ;) 
    6 Août 2012 22:54:43

    Alors, non je n'ai pas accès à "réparer l'ordinateur".
    Seulement : Mode sans échec, Mode sans échec avec prise en charge réseau, Invite de commandes sans échec, et Démarrer windows normalement.

    Je rappel que l'intitulé de cette page est "Récupération d'erreurs Windows".

    :p 
    a c 548 8 Sécurité
    7 Août 2012 10:21:56

    Re,

    Citation :
    Alors, non je n'ai pas accès à "réparer l'ordinateur".


    Tu peux approfondir ? L'option existe mais ne lance rien ? ou elle n'existe pas, ou elle tourne en rond, etc ?

    Citation :
    Je rappel que l'intitulé de cette page est "Récupération d'erreurs Windows".


    De quoi tu parles ?
    7 Août 2012 12:17:07

    Citation :
    Tu peux approfondir ? L'option existe mais ne lance rien ? ou elle n'existe pas, ou elle tourne en rond, etc ?


    Non l'option n'existe pas.

    Citation :
    Je rappel que l'intitulé de cette page est "Récupération d'erreurs Windows".


    Je parle du titre qu'il y a écrit en haut de la page.
    Voilà ce qui apparait (j'ai piqué cette photo sur le net) depuis le redémarrage.


    a c 548 8 Sécurité
    7 Août 2012 14:02:28

    Re,

    Ahhh mais voilà, ça c'est pas le menu de choix de démarrage effectivement, c'est celui de récupération, j'avais pas compris cela comme ça ;) 

    Tapote F8 ou F5 au démarrage du pc, tu devrais atteindre le "vrai" menu de démarrage sélectif avec le menu "réparer l'ordinateur"
    8 Août 2012 01:36:58

    :ouch:  Effectivement avec F8 j'arrive à la page !

    J'ai effectué "Réparation du démarrage" mais il indique qu'il n'a pas détecté de problème.
    Du coup après Terminer, et Redémarrer c'est toujours pareil, pas accès au login et mdp.

    Je suis paré pour la suite :lol: 
    a c 548 8 Sécurité
    8 Août 2012 10:07:46

    Re,

    Reviens sur le menu en couleur.

    Cette fois-ci choisi "restaurer le système"

    OTL a crée un point de restauration système lors de son premier scan, choisi-le ou tout autre point antérieur à l'apparition du problème de démarrage.

    Suis la procédure et regarde si le pc démarre normalement.
    8 Août 2012 12:40:32

    J'ai fait la restauration mais le PC ne démarre toujours pas normalement.
    Ca reste noir avec la souris. :sarcastic: 
    a c 548 8 Sécurité
    8 Août 2012 14:00:14

    Re,

    Teste un point encore plus antérieur pour voir.

    Sinon on regardera avec un liveCD
    8 Août 2012 20:41:07

    J'ai testé le point le plus antérieur (c'est OTL pour moi) une deuxième fois, mais pareil tout noir.

    LiveCD ? Dis moi tout !
    a c 548 8 Sécurité
    8 Août 2012 22:15:22

    Re,

    Note : en même temps tu pourras récupérer via clé usb ou disque dur des données importante au besoin, avant de faire la procédure.

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    svchost.exe
    services.exe
    kernel32.dll
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 548 8 Sécurité
    9 Août 2012 19:19:24

    Re,

    Tu n'as pas désinstaller certains programme que je t'avais demandé de désinstaller avant la procédure, notamment Spybot, celui-ci peut avoir provoquer un conflit lors de la correction ...

    Je ne vois rien qui empêcherait réellement le démarrage du pc, on va tester quelques trucs :

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    SRV - [2010/10/28 09:31:10 | 001,483,072 | ---- | M] (TuneUp Software) [Auto] -- C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
    SRV - [2010/10/28 09:29:08 | 000,029,504 | ---- | M] (TuneUp Software) [Auto] -- C:\Windows\System32\uxtuneup.dll -- (UxTuneUp)
    DRV - [2010/10/07 08:34:32 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand] -- C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)

    DRV - File not found [File_System | Auto] -- -- (NEWDRIVER)
    DRV - File not found [Kernel | On_Demand] -- -- (JakNDisMP)
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O4 - HKU\Jeff_Owen_ON_C..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
    NetSvcs: UxTuneUp - C:\Windows\System32\uxtuneup.dll (TuneUp Software)
    [2012/07/30 18:17:14 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85A0537562CF9567854F147C45
    [2012/07/30 17:11:00 | 000,000,000 | ---D | C] -- C:\Users\Jeff Owen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
    [2012/07/30 17:08:09 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF85D06A747CCF9567854F147C45
    [2012/07/30 17:07:50 | 000,426,184 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
    [2012/08/08 15:39:17 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2011
    [2012/08/08 15:39:16 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    [2012/07/30 18:19:36 | 000,001,875 | ---- | M] () -- C:\Users\Jeff Owen\Desktop\Live Security Platinum.lnk
    [2012/08/08 15:39:20 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\BabylonToolbar
    [2010/11/25 18:58:17 | 000,000,000 | ---D | M] -- C:\Users\Jeff Owen\AppData\Roaming\TuneUp Software
    [2012/08/08 15:39:16 | 000,000,000 | ---D | M] -- C:\ProgramData\036DFF85A0537562CF9567854F147C45
    [2012/07/30 17:10:00 | 000,000,000 | ---D | M] -- C:\ProgramData\036DFF85D06A747CCF9567854F147C45
    [2012/08/08 15:39:18 | 000,000,000 | ---D | M] -- C:\ProgramData\TuneUp Software

    :Reg
    [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "*Restore"=-

    :Files
    C:\Program Files\TuneUp Utilities 2011
    C:\Program Files\BabylonToolbar
    C:\Program Files\Spybot - Search & Destroy
    C:\$Recycle.Bin\S-1-5-21-2548524425-3416401621-3410283727-1000\$R7ROI28\windows\explorer.exe

    :Commands
    [emptytemp]



  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Essaye de redémarrer normalement après pour voir si c'est bon ou non.
    a c 548 8 Sécurité
    9 Août 2012 22:01:38

    Re,

    Alors je ne comprends pas, la restauration système fonctionne, mais tu n'accéderais pas à ta session, c'est illogique ...

    L'écran noir, il apparait quand ? avant ou après le choix de session ?

    Toujours aucune possibilité de démarrer en mode sans échec ?
    9 Août 2012 22:46:20

    L'écran noir apparait avant le choix de session, c'est comme si la page de choix de session n'arrivait pas à se charger que ce soit en Mode sans echec ou normal. :/ 
    a c 548 8 Sécurité
    10 Août 2012 10:01:20

    Re,

    Tu as récupérer les données que tu souhaitais pendant que tu étais sur le liveCD ?

    Reviens au menu de choix de réparation :
    http://www.infos-du-net.com/forum/id-2147701/attaque-li...

    Choisi "invite de commande"

    Puis saisi exactement ceci :
    Citation :
    sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows


    respecte bien les espaces, les majuscules ne sont pas obligatoire
    Valide avec "entrée"
    Un scan va débuter, laisse-le terminer puis tente de redémarrer normalement
    Si tu as un message d'erreur et que le scan ne débute pas, donne-moi ce message d'erreur.
    10 Août 2012 12:30:01

    Citation :
    Tu as récupérer les données que tu souhaitais pendant que tu étais sur le liveCD ?


    Non, parce que quand je branche mon DD externe, je n'arrive pas à y accéder par le liveCD.
    Je peux le "déconnecter en toute sécurité" dans la barre, mais pour y transférer mes fichiers que je veux sauvegarder j'arrive pas à trouver le chemin. :??:  Je cherche depuis un moment, même sur internet.

    J'essai plus tard peut être ? Si la manip que tu me propose ne risque oas une perte des données ?
    a c 548 8 Sécurité
    10 Août 2012 13:51:57

    Re,

    Non la manip proposée ne risque rien pour les données, tu peux l'effectuer.

    Pour tes données, si ce n'est pas fait, essaye avec l'utilitaire "2xExplorer" une fois sur le liveCD pour voir s'il ne repère pas mieux ton disque dur externe.
    En plus il permet d'avoir deux fenêtres contigu pour copier d'une à l'autre plus facilement.
    10 Août 2012 21:14:07

    Citation :
    Pour tes données, si ce n'est pas fait, essaye avec l'utilitaire "2xExplorer" une fois sur le liveCD pour voir s'il ne repère pas mieux ton disque dur externe.


    Ok je vais essayer.

    En attendant j'ai effectué la manip invite de commande et le scan s'est bien terminé avec "Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité".
    a c 548 8 Sécurité
    10 Août 2012 21:57:15

    Re,

    Si tu repasses en liveCD essaye aussi de me récupérer le tout premier script OTL de correction, il doit être à la base de ton disque C:, dans le dossier _OTL sous la forme date_heure.log

    Je veux voir si quelque chose à planter dedans.
    a c 548 8 Sécurité
    11 Août 2012 09:41:40

    Re,

    Bon, rien de particulier, tous c'était normalement déroulé, donc c'est bien l'infection qui a touché le système.

    Tu me diras quand tu aura protéger les données que tu voulais, on continuera les tests plus sereinement pour voir.
    12 Août 2012 19:59:00

    Malheureusement j'ai bien peur de n'avoir plus beaucoup de temps (comme la semaine qui s'est écoulée) et je n'arrive toujours pas à accéder à mes DD externes (clé USB ça marche).

    Sinon, je viens de me souvenir que c'est en acceptant la mise à jour d'Adobe Flash Player sur le net que Live Security Platinium est apparu !
    Peut être qu'il faut agir sur Adobe Flash Player en le supprimant ou en mettant une version antérieure ? Dommage que le point de restauration ne le repère pas.
    :/ 
    a c 548 8 Sécurité
    12 Août 2012 20:27:10

    Re,

    Non ça c'est la porte d'entrée de l'infection, c'est une fausse mise à jour flash, rien à voir. C'est issu d'un malvertising, une publicité infectée qui se sert d'une faille dans un des addons/logiciel de ton pc. (pour toi, soit Java, soit adobe reader)

    Pour les données, soit tu passe par clé usb, soit tu testes un autre disque dur si tu as ou dans ton entourage.

    Tu peux aussi tester un autre livecd ;
    http://www.inforumatique.fr/forum/recuperer-des-fichier...

    Ensuite, faudra formater, sauf si tu as des dvd originaux de win7 pour réparer sans pertes de données.
    13 Août 2012 20:43:59

    Merci pour le liveCD Ubuntu, j'ai pu effectuer mes sauvegardes sans problèmes !

    Je n'ai pas de CD original de Win7 donc ça sera sûrement formatage.

    Je suis prêt à tester une dernière manip avant de formater :) 
    a c 548 8 Sécurité
    13 Août 2012 23:04:09

    Re,

    Non malheureusement je n'ai rien d'autre sans DVD original de Windows.

    Sois tu en trouves un pour tenter une réparation sans perte de données, soit tu passes direct au formatage, le plus simple étant la partition recovery des pc de marque, accessible généralement via F10 ou alt+f10 ou autre combinaison au démarrage du pc.

    :jap: 
    14 Août 2012 01:01:39

    Ok merci beaucoup pour ton aide en tout cas !

    Je vais voir ça si j'en trouve un. Je te tiens au courant :sarcastic: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS