Se connecter / S'enregistrer
Votre question
Résolu

live security platinum (résolu)

Tags :
  • Platinum
  • msn
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Août 2012 10:18:33

Bonjour,

hier j'ai été infecté par live security platinum qui c'est installé tout seul. je n'ai plus accés au différent logiciel du PC.
Là j'ai un autre PC pour vous contacter.

Pouvez vous me donnez des cinseils pour pouvoir m'en débarrassé.

merci

Autres pages sur : live security platinum resolu

a c 548 8 Sécurité
20 Août 2012 10:51:03

Bonjour,

Peux-tu me confirmer ou non que tu peux démarrer en mode sans échec :
Aide : Comment faire démarrer son ordinateur en mode sans échec.

Si c'est le cas, voici la procédure à suivre en mode sans échec, pour les logiciels, télécharge-les depuis un pc connecté, puis transfère avec une clé usb (pas de risque de propagation avec cette infection)
Je te conseille aussi de copier le script que je vais donner dans un fichier texte à transférer pour plus de facilité. Et inversement pour les rapports obtenu

Note : si tu n'as pas la main non plus en mode sans échec, dis-le moi, on utilisera d'autres procédures.


Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 940 8 Sécurité
    20 Août 2012 10:51:55

    Bonjour,

    Peux-tu redémarrer le système en Mode sans échec avec prise en charge du réseau ?

    Si oui, applique ce qui suit :

    OTL :

    • Télécharge OTL de OldTimer et enregistre le sur le Bureau
    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
    • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
      netsvcs
      msconfig
      activex
      drivers32
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      svchost.exe
      services.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\Tasks\*.* /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      nslookup http://www.google.fr /c
      CREATERESTOREPOINT

    • Clique ensuite sur Analyse et patiente le temps du scan

    • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
    • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
      Aide en images : Héberger son rapport d'analyse
      Les rapports sont sauvegardés sur le Bureau.


  • ----------------------------------------------------------------------------------------------

    Si tu ne peux pas démarrer en mode sans échec, on fera autrement.

    @+
    m
    0
    l
    Contenus similaires
    20 Août 2012 10:58:42

    merci de votre réponse rapide.
    je peux lancer en mode sans échec et la je viens de lancer OLT.
    Dés que j'ai les rapports je reposterai un commentaire avec ces derniers.

    merci
    m
    0
    l
    a c 548 8 Sécurité
    20 Août 2012 14:40:56

    Re,

    Ton disque est saturé !
    Citation :
    Drive C: | 220,88 Gb Total Space | 7,91 Gb Free Space | 3,58% Space Free | Partition Type: NTFS

    Cela peut engendrer de graves ralentissements et problèmes systèmes.
    Il faudra absolument penser à archiver ce qui ne te sert pas ou supprimer les trucs inutiles !

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

    L'infection a embarqué un rootkit, ce qui s'avère plus difficile à traiter, tu as aussi des adwares, des logiciels publicitaires, nous nous en occuperons une fois le pc remis en mode normal


    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    O4 - HKU\S-1-5-21-2909413466-1710510138-2324710516-1000..\RunOnce: [036DFF98000C24B1F284FCDF2F3B707C] C:\ProgramData\036DFF98000C24B1F284FCDF2F3B707C\036DFF98000C24B1F284FCDF2F3B707C.exe ()
    [2012/08/19 08:12:17 | 000,000,000 | ---D | C] -- C:\Users\manu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
    [2012/08/19 08:09:25 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF98000C24B1F284FCDF2F3B707C
    [2012/08/19 08:12:17 | 000,002,008 | ---- | M] () -- C:\Users\manu\Desktop\Live Security Platinum.lnk
    [2012/08/19 08:10:46 | 000,020,480 | ---- | C] () -- C:\Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\U\800000cb.@
    [2012/08/19 08:10:46 | 000,013,312 | ---- | C] () -- C:\Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\U\80000000.@
    [2012/08/19 08:10:44 | 000,001,712 | ---- | C] () -- C:\Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\U\00000001.@
    [2012/01/11 21:40:13 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\@
    [2012/01/11 21:40:13 | 000,002,048 | -HS- | C] () -- C:\Users\manu\AppData\Local\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\@
    @Alternate Data Stream - 177 bytes -> C:\Users\manu\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303033}

    :Reg
    [-HKEY_USERS\S-1-5-21-2909413466-1710510138-2324710516-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

    :Files
    C:\Windows\System32\services.exe|C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe /replace

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    A partir de là tu devrais pouvoir redémarrer et effectuer la suite en mode normal sur ton pc, si ce n'est pas le cas, ne poursuis pas, et signale-le moi, sinon continu :


    2) Désinstalle les programmes suivants dans ta liste des programmes (si présents)

    Note : si tu rencontres une erreur, passes au suivant et continu la procédure

    - Java(TM) 6 Update 14 (version obsolète, tu possèdes une plus récente)
    - ToolbarFR / barre d'outils Orange (sauf réelle utilité, barre d'outil Orange)
    - Orange Installeur version 1.2.5.0 / Orange Inside (sauf réelle utilité, grosse usine à gaz)
    - Orange update (si précédent désinstallé)
    - Google Desktop / Google Toolbar / etc ... (sauf réelle utilité)
    - Yahoo! BrowserPlus / Yahoo! Detect (idem)

    - AutocompletePro (adware : logiciel publicitaire)
    - Uninstall 1.0.0.1 (lié à un adware)


    3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    4) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt


    Dans ta prochaine réponse il ma faudra les rapports suivants donc :
    - OTL correction
    - Adwcleaner Suppression
    - Combofix.

    :jap: 
    m
    0
    l
    a c 548 8 Sécurité
    20 Août 2012 20:15:18

    Re,

    Ok pour suivre :

  • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
  • Copie-colle EXACTEMENT ceci dedans :



    Fcopy::
    C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe|C:\Windows\System32\services.exe


    Folder::
    c:\programdata\036DFF98000C24B1F284FCDF2F3B707C

    DDS::
    uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s



  • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
  • Choisi ton bureau comme destination et nomme le fichier "CFScript"
  • Clique sur le bouton "Enregistrer"
  • Ferme le Bloc-note.

  • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



  • Combofix va se relancer, suis les instructions.
  • Ne touche à rien pendant le temps du scan !!!
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    20 Août 2012 21:13:34

    ComboFix 12-08-20.02 - manu 20/08/2012 20:39:09.2.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.3000.1939 [GMT 2:00]
    Lancé depuis: c:\users\manu\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\manu\Desktop\CFScript.txt
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\programdata\036DFF98000C24B1F284FCDF2F3B707C
    c:\programdata\036DFF98000C24B1F284FCDF2F3B707C\036DFF98000C24B1F284FCDF2F3B707C
    c:\programdata\036DFF98000C24B1F284FCDF2F3B707C\036DFF98000C24B1F284FCDF2F3B707C.ico
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-07-20 au 2012-08-20 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-08-20 18:48 . 2012-08-20 18:48 -------- d-----w- c:\users\manu\AppData\Local\temp
    2012-08-20 18:48 . 2012-08-20 18:48 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-08-20 13:27 . 2012-08-20 13:27 -------- d-----w- C:\_OTL
    2012-08-19 06:14 . 2012-08-19 06:14 -------- d-sh--w- c:\windows\system32\%APPDATA%
    2012-08-17 06:42 . 2012-06-29 08:44 6891424 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{42CA06B1-BF9D-402C-8D86-01314D664B65}\mpengine.dll
    2012-08-15 09:00 . 2012-05-11 15:57 623616 ----a-w- c:\windows\system32\localspl.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-08-15 10:51 . 2012-06-16 09:26 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
    2012-08-15 10:51 . 2011-09-27 07:04 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2012-06-06 18:59 . 2012-06-06 18:59 1070152 ----a-w- c:\windows\system32\MSCOMCTL.OCX
    2012-06-05 16:47 . 2012-07-12 09:49 1401856 ----a-w- c:\windows\system32\msxml6.dll
    2012-06-05 16:47 . 2012-07-12 09:49 1248768 ----a-w- c:\windows\system32\msxml3.dll
    2012-06-04 15:26 . 2012-07-12 09:49 440704 ----a-w- c:\windows\system32\drivers\ksecdd.sys
    2012-06-02 22:19 . 2012-06-23 08:08 53784 ----a-w- c:\windows\system32\wuauclt.exe
    2012-06-02 22:19 . 2012-06-23 08:08 45080 ----a-w- c:\windows\system32\wups2.dll
    2012-06-02 22:19 . 2012-06-23 08:08 35864 ----a-w- c:\windows\system32\wups.dll
    2012-06-02 22:19 . 2012-06-23 08:08 577048 ----a-w- c:\windows\system32\wuapi.dll
    2012-06-02 22:19 . 2012-06-23 08:08 1933848 ----a-w- c:\windows\system32\wuaueng.dll
    2012-06-02 22:12 . 2012-06-23 08:08 2422272 ----a-w- c:\windows\system32\wucltux.dll
    2012-06-02 22:12 . 2012-06-23 08:08 88576 ----a-w- c:\windows\system32\wudriver.dll
    2012-06-02 13:19 . 2012-06-23 08:07 171904 ----a-w- c:\windows\system32\wuwebv.dll
    2012-06-02 13:12 . 2012-06-23 08:07 33792 ----a-w- c:\windows\system32\wuapp.exe
    2012-06-02 00:04 . 2012-07-12 09:49 278528 ----a-w- c:\windows\system32\schannel.dll
    2012-06-02 00:03 . 2012-07-12 09:49 204288 ----a-w- c:\windows\system32\ncrypt.dll
    2012-05-31 10:25 . 2012-03-30 19:08 237072 ------w- c:\windows\system32\MpSigStub.exe
    2012-07-21 19:40 . 2012-07-01 18:41 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2008-02-04 1038136]
    "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-01-14 1688872]
    "TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
    "MailNotifier"="c:\program files\Orange\MailNotifier\MailNotifier.exe" [2010-11-04 634368]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-08 894512]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-08-04 6265376]
    "PCMAgent"="c:\program files\CyberLink\PowerCinema\PCMAgent.exe" [2008-03-21 143360]
    "CLMLServer"="c:\program files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-04-11 196608]
    "PlayMovie"="c:\program files\CyberLink\PlayMovie\PMVService.exe" [2008-03-31 172032]
    "toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
    "Skytel"="Skytel.exe" [2008-08-04 1833504]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "Microsoft Default Manager"="c:\program files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
    .
    c:\users\manu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OneNote 2007 - Capture d'écran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Camera Monitor HD.lnk - c:\program files\PIXELA\Everio MediaBrowser HD Edition\MBCameraMonitor.exe [2010-8-19 541976]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    .
    R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-08-20 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-16 10:51]
    .
    2012-08-20 c:\windows\Tasks\Extension de garantie-manu.job
    - c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-05-22 10:13]
    .
    2010-12-19 c:\windows\Tasks\User_Feed_Synchronization-{2BA983A2-9ED0-4E15-B3CA-65569BD6CB61}.job
    - c:\windows\system32\msfeedssync.exe [2012-03-09 06:03]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage_IE
    uDefault_Search_URL = hxxp://www.google.com
    uSearchMigratedDefaultURL = hxxp://www.google.com
    uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
    IE: ajouter cette page à vos favoris Orange - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: envoyer le texte sélectionné par sms - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
    IE: envoyer par sms - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
    IE: envoyer un mail - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
    IE: orange.fr - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
    IE: Recherche avec cherche.us - c:\users\manu\scriptjava.html
    IE: rechercher le texte sélectionné - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
    IE: traduire la page - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\translate_html\translate.html
    IE: traduire le texte sélectionné - c:\users\manu\AppData\Roaming\Orange\OrangeInside\src\translateSelectedText_html\translateSelectedText.html
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\manu\AppData\Roaming\Mozilla\Firefox\Profiles\aweu52oo.default\
    FF - prefs.js: browser.search.selectedEngine - Orange
    FF - prefs.js: browser.startup.homepage - hxxp://r.orange.fr/r/Ohome_portail?ref=O_OI_defaultPage
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-08-20 20:48
    Windows 6.0.6002 Service Pack 2 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
    "ImagePath"="\??\c:\program files\CyberLink\PlayMovie\000.fcl"
    .
    Heure de fin: 2012-08-20 20:51:36
    ComboFix-quarantined-files.txt 2012-08-20 18:51
    ComboFix2.txt 2012-08-20 14:31
    .
    Avant-CF: 9 189 642 240 octets libres
    Après-CF: 9 170 796 544 octets libres
    .
    - - End Of File - - 6BDC07863EECF4306F2264FBB25E3C2A
    m
    0
    l
    a c 548 8 Sécurité
    20 Août 2012 22:59:00

    Re,

    Comment se comporte le pc ?

    Un dernier scan pour vérif :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    21 Août 2012 11:27:25

    bonjour, voici le rapport




    Malwarebytes Anti-Malware (Essai) 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.08.21.02

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    manu :: PC-DE-MANU [administrateur]

    Protection: Activé

    21/08/2012 09:56:44
    mbam-log-2012-08-21 (09-56-44).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 342204
    Temps écoulé: 1 heure(s), 16 minute(s), 18 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 2
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL| (Hijack.SearchPage) -> Mauvais: (http://www.cherche.us/keyword/%s) Bon: (http://www.google.com/) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL|SearchAssistant (Hijack.SearchPage) -> Mauvais: (http://www.cherche.us) Bon: (http://www.google.com/) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 8
    C:\manu\portable\Nouveau dossier (2)\logiciel\Keygen.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Qoobox\Quarantine\C\Users\manu\winternet.exe.vir (Redir.ChercheUs) -> Mis en quarantaine et supprimé avec succès.
    C:\Qoobox\Quarantine\C\Users\manu\AppData\Local\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\n.vir (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Qoobox\Quarantine\C\Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\n.vir (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Qoobox\Quarantine\C\Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\U\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\manu\Downloads\setup.exe (Worm.Koobface) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\08202012_152704\C_ProgramData\036DFF98000C24B1F284FCDF2F3B707C\036DFF98000C24B1F284FCDF2F3B707C.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\08202012_152704\C_Windows\Installer\{01dd052e-824d-32a8-bdb2-d1a50c3d5d49}\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    m
    0
    l

    Meilleure solution

    a c 548 8 Sécurité
    21 Août 2012 14:04:24

    Re,

    Citation :
    C:\manu\portable\Nouveau dossier (2)\logiciel\Keygen.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.


    Attention à votre comportement sinon, c'est normal de se faire infecter !

    On nettoie les outils, on met à jour et on conclus :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.

    2) Désinstallation de Combofix :

    Clique sur "Démarrer" -> "exécuter" (si non présent : "Tous les programmes" -> "accessoires")
    Tape exactement ceci :
    Citation :
    Combofix.exe /Uninstall


    Laisse l'outil travailler, il se supprimera automatiquement.


    3) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.


    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie l'absence d'anciennes versions dans ta liste des programmes, sinon désinstalle-les : Java(TM) 6 Update 29

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie l'absence d'anciennes versions dans ta liste des programmes, sinon désinstalle-les : Adobe Reader 8.1.4 / Spelling Dictionaries Support For Adobe Reader 8 / Adobe Reader 8

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Rappel :

    Citation :
    Ton disque est saturé !

    Citation :
    Drive C: | 220,88 Gb Total Space | 7,91 Gb Free Space | 3,58% Space Free | Partition Type: NTFS


    Cela peut engendrer de graves ralentissements et problèmes systèmes.
    Il faudra absolument penser à archiver ce qui ne te sert pas ou supprimer les trucs inutiles !



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS