Votre question

Pouvez-vous me dire si je suis toujours infecté par Live Security Platinium ou non?

Tags :
  • Demarrage
  • Windows Live
  • Virus
  • Scan
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Septembre 2012 22:25:23

Bonjour à tous,
Voilà mon PC a été infecté par Live Security Platinium et j'ai téléchargé RogueKiller pour m'en débarrasser, j'ai eu 2 rapports à la fin du scan et j'aimerai que vous me disiez (Pour les connaisseurs) si c'est bon ou est ce que je dois faire autre chose car pour le moment tout marche bien sur mon PC mais j'ai peur qu'il ait des restes de ce Virus. Ci-dessous les rapports. Merci d'avance !

Rapport 1 :

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : ABDELLAOUI [Droits d'admin]
Mode : Recherche -- Date : 06/09/2012 21:22:05

¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH] xsecva.exe -- C:\Users\ABDELLAOUI\AppData\Roaming\xsecva\xsecva.exe -> TUÉ [TermProc]
[SUSP PATH][DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : -> TUÉ [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : XSECVA ("C:\Users\ABDELLAOUI\AppData\Roaming\xsecva\xsecva.exe" -s) -> TROUVÉ
[RUN][BLACKLIST DLL] HKCU\[...]\Run : cdpri (rundll32.exe "C:\Users\ABDELLAOUI\AppData\Roaming\cdpri.dll",ReadPixels) -> TROUVÉ
[RUN][BLACKLIST DLL] HKLM\[...]\Run : cdpri (rundll32.exe "C:\Users\ABDELLAOUI\AppData\Roaming\cdpri.dll",ReadPixels) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2810456080-3779414826-768737948-1000[...]\Run : XSECVA ("C:\Users\ABDELLAOUI\AppData\Roaming\xsecva\xsecva.exe" -s) -> TROUVÉ
[RUN][BLACKLIST DLL] HKUS\S-1-5-21-2810456080-3779414826-768737948-1000[...]\Run : cdpri (rundll32.exe "C:\Users\ABDELLAOUI\AppData\Roaming\cdpri.dll",ReadPixels) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-2810456080-3779414826-768737948-1000\$92f6a367c85bc22f34631c0ece7e162a\n.) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] 0d96e4751f7f06828dcf77f21879afd4
[BSP] 20a8a86fd89b052f658bc20f9a32dd72 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 231419 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 502824960 | Size: 231419 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: Samsung S2 Portable USB Device +++++
--- User ---
[MBR] e717b85b3a7047bc87f5dd7dbca80ef3
[BSP] 1b951be6eab1f5f4f9419f49a4b4c48c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 64 | Size: 305242 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt


Rapport 2 :

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : ABDELLAOUI [Droits d'admin]
Mode : Suppression -- Date : 06/09/2012 21:23:19

¤¤¤ Processus malicieux : 3 ¤¤¤
[SUSP PATH] xsecva.exe -- C:\Users\ABDELLAOUI\AppData\Roaming\xsecva\xsecva.exe -> TUÉ [TermProc]
[SUSP PATH][DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : -> TUÉ [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 10 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : XSECVA ("C:\Users\ABDELLAOUI\AppData\Roaming\xsecva\xsecva.exe" -s) -> SUPPRIMÉ
[RUN][BLACKLIST DLL] HKCU\[...]\Run : cdpri (rundll32.exe "C:\Users\ABDELLAOUI\AppData\Roaming\cdpri.dll",ReadPixels) -> SUPPRIMÉ
[RUN][BLACKLIST DLL] HKLM\[...]\Run : cdpri (rundll32.exe "C:\Users\ABDELLAOUI\AppData\Roaming\cdpri.dll",ReadPixels) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ] HKLM\[...]\Wow6432Node\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Wow6432Node\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Wow6432Node\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-2810456080-3779414826-768737948-1000\$92f6a367c85bc22f34631c0ece7e162a\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST350041 8AS SCSI Disk Device +++++
--- User ---
[MBR] 0d96e4751f7f06828dcf77f21879afd4
[BSP] 20a8a86fd89b052f658bc20f9a32dd72 : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 231419 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 502824960 | Size: 231419 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive1: Samsung S2 Portable USB Device +++++
--- User ---
[MBR] e717b85b3a7047bc87f5dd7dbca80ef3
[BSP] 1b951be6eab1f5f4f9419f49a4b4c48c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 64 | Size: 305242 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt




Autres pages sur : pouvez dire infecte live security platinium

a c 628 8 Sécurité
7 Septembre 2012 18:20:38

Bonjour,

On va vérifier si tout est ok :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %systemroot%\assembly\GAC_32\*.ini
    %systemroot%\assembly\GAC_64\*.ini
    %systemdrive%\$Recycle.Bin|@;true;true;true
    %systemroot%\Installer|@;true;true;true
    C:\Windows\assembly\tmp\U\*.* /s
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS