Se connecter / S'enregistrer
Votre question
Résolu

infection Live Security Platinum

Tags :
  • Platinum
  • live security platinium
  • lsp
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Septembre 2012 18:04:50

Bonjour,

Le pc portable de mon père est infecté par Live Security Platinum. En lisant divers tuto, j'ai téléchargé via mon pc OTL et copie le rapport que j'ai transféré et lance sur le portable via USB. Pourriez vous m'aider pour la suite de la procédure.

Merci d'avance pour votre aide!!

Autres pages sur : infection live security platinum

a c 1009 8 Sécurité
18 Septembre 2012 18:26:49

Bonjour,

Le PC infecté ne démarre pas en Mode sans échec avec prise en charge du réseau ?

Sinon, tu passes donc par ton PC et tu appliques la procédure via une clé USB.

OTL :

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    netsvcs
    msconfig
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %systemroot%\assembly\GAC_32\*.ini
    %systemroot%\assembly\GAC_64\*.ini
    %systemdrive%\$Recycle.Bin|@;true;true;true
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\Tasks\*.* /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Aide en images : Héberger son rapport d'analyse
    Les rapports sont sauvegardés sur le Bureau.


  • @+

    m
    0
    l
    Contenus similaires
    a c 1009 8 Sécurité
    18 Septembre 2012 19:22:39

    Re,

    Une raison particulière pour que ni le SP1, ni le SP2, ne soiten pas installés sur ce Windows Vista ?
    Un système qui n'est pas à jour présente des failles de sécurité importantes et est une cible de choix pour les malwares.
    Java n'est pas à jour non plus, le rogue en a profité pour s'installer.
    On s'en occupera par la suite.

    Attention, il ne reste plus que 14,82 Gb d'espace libre, alors qu'il y a de la place sur l'autre partition.
    Il faudrait que ton père transfère des données personnelles et désinstalle les applications qu'il n'utilise plus.

    Je vois que tu peux démarrer en mode normal.
    Il faudra désinstaller via Programmes et fonctionnalités LiveUpdate (Symantec Corporation) qui est inutile puisque Symantec n'est plus présent sur le système.

    ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL)
      :OTL
      SRV - File not found [Auto | Stopped] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
      SRV - [2007/09/26 10:56:14 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE -- (LiveUpdate)
      SRV - [2007/09/26 10:56:14 | 000,554,352 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Planificateur LiveUpdate automatique)
      DRV - [2008/03/18 15:13:34 | 000,385,072 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
      IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found
      IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=9577DADB-BABB-4287-8CB7-AF207967CCA4&apn_sauid=29BAEC09-7EF6-4165-BDBC-0DE2AE557E48
      IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com//?search={searchTerms}&loc=search_box&a=19d4qjS2cDE
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
      O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
      O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
      O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found.
      O4 - HKLM..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui File not found
      O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found
      O4 - HKCU..\RunOnce: [036DFF9800097428F2850B7EC2E33E28] C:\ProgramData\036DFF9800097428F2850B7EC2E33E28\036DFF9800097428F2850B7EC2E33E28.exe ()
      [2012/09/16 01:33:36 | 000,000,000 | ---D | C] -- C:\Users\Cécé\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
      [2012/09/16 01:30:44 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF9800097428F2850B7EC2E33E28
      [3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
      [2012/09/16 01:33:36 | 000,001,984 | ---- | M] () -- C:\Users\Cécé\Desktop\Live Security Platinum.lnk

      :reg
      [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

      :files
      ipconfig /flushdns /c

      :Commands
      [EMPTYTEMP]
      [CREATERESTOREPOINT]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Malwarebyte's Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware en cliquant sur Download Now et enregistre le sur le Bureau
    • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
    • Clique sur Terminer
    • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
    • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
    • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
    • Sélectionne ton disque dur, puis clique sur Lancer l'examen
    • A la fin du scan, clique sur Afficher les résultats
    • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
    • Si un redémarrage est demandé, clique sur Yes
    • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse


  • ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • mbam-log[date-heure].txt


  • @+
    m
    0
    l
    19 Septembre 2012 18:44:55

    Re,
    J'ai rétabli la connexion mais impossible de réactiver le pare feu Windows. Anti-virus utilisé microsoft security essentials.
    merci pour tous.
    m
    0
    l
    a c 1009 8 Sécurité
    19 Septembre 2012 18:58:58

    Bonjour,

    Tu as passé le correctif OTL deux fois ?

    On s'occupera aussi du pare-feu par la suite.

    RogueKiller :

    • Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Patiente le temps du Prescan, puis clique sur Scan

    • Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe


    @+
    m
    0
    l
    a c 1009 8 Sécurité
    19 Septembre 2012 20:30:48

    Re,

    OK.

    Hormis le souci avec le pare-feu, comment se comporte le système ?

    Farbar Service Scanner :

    • Télécharge Farbar Service Scanner et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône FSS.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Coche toutes les options et clique sur Scan

    • Poste le rapport FSS.txt dans ta prochaine réponse.


  • @+
    m
    0
    l
    a c 1009 8 Sécurité
    20 Septembre 2012 15:29:01

    Bonjour,

    On va tenter une réparation des services endommagés par l'infection.
    Suis bien les instructions.

    ---------------------------------------------------------------------------------------------

    Windows Repair :

    • Télécharge Windows Repair de Tweaking.com et enregistre le fichier sur ton Bureau
      Autre lien de téléchargement Windows Repair
    • Double-clique sur l'icône tweaking.com_windows_repair_aio_setup.exe pour lancer l'installation et suis les instructions en cliquant sur Next
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur l'onglet Step 3 puis sur Do It et laisse l'outil procéder à la vérification et réparation des fichiers système

    • A la fin de l'analyse, referme Windows Repair et redémarre le PC

    • Au redémarrage, relance Windows Repair, clique sur l'onglet Start Repairs puis sur Start
    • L'outil propose la création d'un point de restauration, clique sur Oui pour la question Would you like to do both now ? et laisse l'outil travailler
    • Clique de nouveau sur Start et coche exactement les mêmes options indiquées ci-dessous

    • Ferme toutes les applications, y compris ton navigateur et clique sur Start
    • Laisse l'outil travailler et redémarre le PC si cela ne s'est pas fait automatiquement


  • ---------------------------------------------------------------------------------------------

    Farbar Service Scanner :

    • Double-clique sur l'icône FSS.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Coche toutes les options et clique sur Scan

    • Poste le nouveau rapport FSS.txt dans ta prochaine réponse.


  • ---------------------------------------------------------------------------------------------

    Est attendu le nouveau rapport FSS.txt

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    20 Septembre 2012 19:11:53

    Re,

    Il y a du mieux, mais il faut persévérer :/ 

    ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL)
      :reg
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
      "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
      "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
      74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
      00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
      6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
      "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
      "ObjectName"="LocalSystem"
      "ErrorControl"=dword:00000001
      "Start"=dword:00000002
      "DelayedAutoStart"=dword:00000001
      "Type"=dword:00000020
      "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
      6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
      "ServiceSidType"=dword:00000001
      "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
      00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
      67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
      00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
      00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
      00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
      72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
      00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
      63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
      00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
      "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
      00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
      "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
      00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
      71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
      "Library"="bitsperf.dll"
      "Open"="PerfMon_Open"
      "Collect"="PerfMon_Collect"
      "Close"="PerfMon_Close"
      "InstallType"=dword:00000001
      "PerfIniFile"="bitsctrs.ini"
      "First Counter"=dword:00000774
      "Last Counter"=dword:00000784
      "First Help"=dword:00000775
      "Last Help"=dword:00000785
      "Object List"="1908"
      "PerfMMFileName"="Global\\MMF_BITS_s"
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
      "Security"=hex:01,00,14,90,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
      00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
      00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
      00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
      20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
      00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
      00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
      00,20,02,00,00

      :files
      sc start MpsSvc /c
      sc start bfe /c
      sc start wuauserv /c

      :Commands
      [EMPTYTEMP]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Redémarre le PC si cela ne s'est pas fait automatiquement et relance Farbar Service Scanner (FSS.exe) comme indiqué précédemment et poste le nouveau rapport.

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • FSS.txt


  • @+
    m
    0
    l
    21 Septembre 2012 15:23:50

    Re,
    Désolé pour l'attente des postes de ma part mais comme je bosse en même temps c'est pas évident.
    Dans tous les cas je te remercie de ton aide si précieuse.

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    21 Septembre 2012 15:33:00

    Bonjour,

    On a gagné encore un peu sur la réparation des services.
    On va tenter encore autrement.

    Par contre, je constate que les outils sont exécutés depuis F:
    Peux-tu suivre les instructions telles qu'elles sont indiquées et d'enregistrer OTL et FSS sur le Bureau ?

    ----------------------------------------------------------------------------------------------

    Télécharge ce fichier BFE.reg sur ton Bureau
    Puis d'un clic-droit sur BFE.reg -> Fusionner et tu valides les différentes étapes de la fusion.
    Aide en images Fusionner un fichier reg

    ----------------------------------------------------------------------------------------------

    Télécharge ce fichier MpsSvc.reg sur ton Bureau
    Puis d'un clic-droit sur MpsSvc.reg -> Fusionner et tu valides les différentes étapes de la fusion.
    Aide en images Fusionner un fichier reg

    ----------------------------------------------------------------------------------------------

    Redémarre le PC et relance Farbar Service Scanner (FSS.exe) comme indiqué précédemment et poste le nouveau rapport.

    Est attendu le rapport :
    • FSS.txt


  • @+
    m
    0
    l
    a c 1009 8 Sécurité
    21 Septembre 2012 17:37:14

    Re,

    Ça ne s'arrange pas !
    On va refaire 2 analyses pour voir.

    ---------------------------------------------------------------------------------------------

    RogueKiller :

    • Enregistre RogueKiller sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Patiente le temps du Prescan, puis clique sur Scan

    • Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    ---------------------------------------------------------------------------------------------

    Malwarebyte's Anti-Malware :

    • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Lance une mise à jour dans l'onglet Mise à jour
    • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
    • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
    • Sélectionne ton disque dur, puis clique sur Lancer l'examen
    • A la fin du scan, clique sur Afficher les résultats
    • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
    • Si un redémarrage est demandé, clique sur Yes
    • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse


  • ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • RogueKiller
    • mbam-log[date-heure].txt


  • @+

    m
    0
    l
    a c 1009 8 Sécurité
    22 Septembre 2012 14:37:04

    Bonjour,

    Pour info, il est inutile (voire dangereux) de passer un outil en mode Suppression quand cela n'est pas demandé.
    En cas de Faux-Positif, le système peut être endommagé.

    Donc OK, je voulais m'assurer que le rootkit n'était pas revenu.
    Mais ce fichier détecté par Malwarebytes n'existait pas lors de nos précédentes analyses.
    Est-ce que ce PC est utilisé en parallèle de la procédure de désinfection ?

    Nous allons donc revérifier le système avec OTL, mais comme il existe une nouvelle version, commence par supprimer le fichier OTL.exe enregistré sur ton Bureau.

    OTL :

    • Télécharge OTL de OldTimer et enregistre le sur le Bureau
    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
    • Dans Registre approfondi, coche Avec liste blanche
    • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
      netsvcs
      msconfig
      activex
      drivers32
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      svchost.exe
      services.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\Tasks\*.* /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      nslookup http://www.google.fr /c
      CREATERESTOREPOINT

    • Clique ensuite sur Analyse et patiente le temps du scan

    • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
    • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
      Aide en images : Héberger son rapport d'analyse
      Les rapports sont sauvegardés sur le Bureau.


  • @+

    m
    0
    l
    a c 1009 8 Sécurité
    23 Septembre 2012 14:24:12

    Bonjour,

    Bien, on continue.
    Tu vas lancer le correctif OTL suivant :

    ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL)
      :OTL
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O7 - HKU\S-1-5-21-2788655842-517124476-2405431744-1000\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      [2012/09/18 18:25:55 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF9800097428F2850B7EE56C34C7
      [2012/09/16 01:34:10 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
      [2012/09/16 01:30:44 | 000,000,000 | ---D | C] -- C:\ProgramData\036DFF9800097428F2850B7EC2E33E28
      [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

      :files
      C:\ProgramData\036DFF9800097428F2850B7EE56C34C7
      C:\ProgramData\036DFF9800097428F2850B7EC2E33E28
      C:\Windows\System32\%APPDATA%
      ipconfig /flushdns /c

      :Commands
      [EMPTYTEMP]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Tu relanceras ensuite Farbar Service Scanner (FSS.exe) comme indiqué précédemment et poste le nouveau rapport.

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • FSS.txt


  • @+

    m
    0
    l
    a c 1009 8 Sécurité
    23 Septembre 2012 18:07:38

    Re,

    On reprend avec un autre correctif pour tenter de démarrer le Pare-feu.

    ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :files)
      :files
      Net Start bfe /c
      Net Start MpsSvc /c

      :Commands
      [EMPTYTEMP]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Relance ensuite Farbar Service Scanner (FSS.exe) comme indiqué précédemment et poste le nouveau rapport.

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • FSS.txt


  • D'autre part, peux-tu vérifier que ton antivirus Microsoft Security Essentials se met bien à jour ?

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    23 Septembre 2012 21:12:18

    Re,

    Cela n'a pas fonctionné. On va faire autrement.

    Démarrer --> Tous les programmes --> Accessoires --> Clic-droit sur Invite de commandes --> Exécuter en tant qu'administrateur --> tape ou copie-colle
    sc start bfe
    valide par Entrée
    puis tape ou copie-colle
    sc start MpsSvc
    valide par Entrée

    Referme l'invite de commandes.

    Relance ensuite Farbar Service Scan et poste le nouveau rapport.

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    24 Septembre 2012 09:02:15

    Bonjour,

    Décidément ! Je ne sais pas si on va y arriver !

    Exécute ce Fix It Microsoft
    http://support.microsoft.com/mats/windows_firewall_diag...

    Tu donnes le résultat du Fix It si le correctif l'indique, notamment tout message d'erreur.

    Puis tu relances FSS et tu postes le nouveau rapport.

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    24 Septembre 2012 16:54:27

    Re,

    Bon, le Fix It n'a bien entendu rien arrangé.

    Normalement ton système n'a pas besoin de Windows Defender, puisque Microsoft Security Essentials le désactive automatiquement, mais on va néanmoins reconstruire ce service détruit par l'infection.

    ----------------------------------------------------------------------------------------------

    Télécharge ce fichier WinDefend.reg sur ton Bureau
    Puis d'un clic-droit sur WinDefend.reg -> Fusionner et tu valides les différentes étapes de la fusion.
    Aide en images Fusionner un fichier reg

    ----------------------------------------------------------------------------------------------

    Tu redémarres le système, puis tu retentes le Fix It Microsoft.
    Ensuite, tu relances FSS et tu postes le nouveau rapport.

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    26 Septembre 2012 16:05:05

    Bonjour,

    Le site pjjoint semble avoir quelques soucis en ce moment, ton lien n'est donc pas accessible pour l'instant.

    Peux-tu copier-coller le contenu de ce rapport FSS dans ta prochaine réponse s'il te plaît ?

    Merci
    m
    0
    l
    26 Septembre 2012 18:12:36

    Re,
    voici le rapport :
    Farbar Service Scanner Version: 19-09-2012
    Ran by Cécé (administrator) on 26-09-2012 at 14:28:57
    Running from "C:\Users\Cécé\Desktop"
    Microsoft® Windows Vista™ Édition Familiale Premium (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============
    MpsSvc Service is not running. Checking service configuration:
    The start type of MpsSvc service is OK.
    The ImagePath of MpsSvc service is OK.
    The ServiceDll of MpsSvc service is OK.

    bfe Service is not running. Checking service configuration:
    The start type of bfe service is OK.
    The ImagePath of bfe service is OK.
    The ServiceDll of bfe service is OK.


    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Security Center:
    ============

    Windows Update:
    ============
    wuauserv Service is not running. Checking service configuration:
    The start type of wuauserv service is OK.
    The ImagePath of wuauserv service is OK.
    The ServiceDll of wuauserv: "C:\Windows\system32\wuaueng.dll".


    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============
    WinDefend Service is not running. Checking service configuration:
    The start type of WinDefend service is OK.
    The ImagePath of WinDefend service is OK.
    The ServiceDll of WinDefend service is OK.


    Windows Defender Disabled Policy:
    ==========================
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
    "DisableAntiSpyware"=DWORD:1


    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\system32\nsisvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\afd.sys => MD5 is legit
    C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
    C:\Windows\system32\Drivers\tcpip.sys
    [2010-04-14 09:29] - [2010-02-18 13:51] - 0818688 ____A (Microsoft Corporation) 2C1F7005AA3B62721BFDB307BD5F5010

    C:\Windows\system32\dnsrslvr.dll => MD5 is legit
    C:\Windows\system32\mpssvc.dll => MD5 is legit
    C:\Windows\system32\bfe.dll
    [2010-04-14 09:29] - [2010-02-18 15:55] - 0317440 ____A (Microsoft Corporation) 96B73CC64BD905EA6CC4E44384ABD8C9

    C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\system32\SDRSVC.dll => MD5 is legit
    C:\Windows\system32\vssvc.exe => MD5 is legit
    C:\Windows\system32\wscsvc.dll => MD5 is legit
    C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\system32\wuaueng.dll => MD5 is legit
    C:\Windows\system32\qmgr.dll => MD5 is legit
    C:\Windows\system32\es.dll => MD5 is legit
    C:\Windows\system32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll
    [2007-12-06 11:48] - [2007-12-06 11:48] - 0265912 ____A (Microsoft Corporation) 0D5AD0E71FF5DDAC5DD2F443B499ABD0

    C:\Windows\system32\ipnathlp.dll => MD5 is legit
    C:\Windows\system32\svchost.exe => MD5 is legit
    C:\Windows\system32\rpcss.dll => MD5 is legit


    **** End of log ****


    @+
    m
    0
    l
    a c 1009 8 Sécurité
    26 Septembre 2012 18:15:34

    Re,

    C'est bon, j'ai pu ouvrir le lien pjjoint.

    Dans Démarrer -> Rechercher, tu tapes Services et tu valides par Entrée.

    Pour le service Windows Update, double-clique sur la ligne :
    • sélectionne Automatique (début différé) dans Type de Démarrage
    • clique sur Démarrer puis sur Appliquer


  • Puis pour le service Moteur de filtrage de base, double-clique sur la ligne :
    • sélectionne Automatique dans Type de Démarrage
    • clique sur Démarrer puis sur Appliquer


  • Puis pour le service Pare-feu Windows, double-clique sur la ligne :
    • sélectionne Automatique dans Type de Démarrage
    • clique sur Démarrer puis sur Appliquer


  • Si un message d'erreur apparaît merci d'indiquer son contenu.

    Puis relance FSS pour un nouveau rapport.

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    26 Septembre 2012 19:11:36

    Re,

    Nous allons tenter de réparer ces services du Pare-Feu avec un autre outil (merci Hyunkel30).

    Services Repair :

    • Télécharge Services Repair de Eset et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur ServicesRepair.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Valide par Yes pour confirmer le lancement de l'outil
    • Laisse l'outil travailler (cela peut prendre quelques minutes)
    • Valide par Yes pour redémarrer le PC
    • Au redémarrage, le dossier CC Support a été crée sur ton bureau
    • Poste le rapport SvcRepair.txt, qui se trouve dans CC Support\Logs dans ta prochaine réponse


  • ---------------------------------------------------------------------------------------------

    Relance ensuite FSS pour générer un autre rapport que tu postes aussi.

    @+
    m
    0
    l
    26 Septembre 2012 19:34:05

    Re,
    le lien que tu m'as donné pour services repair n'est pas bon en aurais tu un autre
    merci @+
    m
    0
    l
    a c 1009 8 Sécurité
    26 Septembre 2012 21:17:19

    Re,

    Super

    Nous allons donc maintenant mettre à jour les extensions/plugins vulnérables.

    ---------------------------------------------------------------------------------------------

    Désinstalle Java(TM) 6 Update 29 via Panneau de configuration -> Programmes et fonctionnalités.

    Installe la dernière version Java 7 Update 7
    http://www.java.com/fr/download/

    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport SX Check&Update

    @+
    m
    0
    l
    27 Septembre 2012 09:41:22

    Bonjour, Voici le rapport SX :

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Aucun Service Pack
    UserName : Cécé
    27/09/2012
    09:37:58
    version = v0.2.5
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.4.402.278
    Flash Player ActiveX est à jour

    Java Information :
    Nom : Java 7 Update 7
    Version : 7.0.70
    Java 7 Update 7 est à jour

    Name : Adobe Reader 9.5.2 - Français
    Version : 9.5.2
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 8.0.6001.18904


    Merci @+
    m
    0
    l

    Meilleure solution

    a c 1009 8 Sécurité
    27 Septembre 2012 14:33:39

    Bonjour,

    C'est parfait pour le rapport SXCU.

    Nous allons finaliser la procédure de désinfection, et mettre à jour Windows.

    ---------------------------------------------------------------------------------------------

    Purge points de restauration :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous

      :Commands
      [CLEARALLRESTOREPOINTS]
      [EMPTYTEMP]

    • Colle l'intégralité du code dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction
    • Si l'outil te demande de redémarrer le PC, tu acceptes


  • ---------------------------------------------------------------------------------------------

    Désinstallation des outils utilisés :

    Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
    Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Purge d'outils

    • Valide l'avertissement par OK et laisse le pc redémarrer


    • Désinstalle Windows Repair et Services Repair
    • Supprime SXCU et FSS de ton Bureau
    • Supprime tous les rapports générés restants


  • ---------------------------------------------------------------------------------------------

    Mets à jour ton système via Windows Update

    Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP1 le SP2 et IE9
    Il faut lancer une recherche de mises à jour à plusieurs reprises, jusqu'à ce que Windows se déclare à jour.

    En cas de souci via Windows Update, voici les liens de téléchargement pour le SP1 et le SP2 :
    https://www.microsoft.com/fr-fr/download/details.aspx?i...
    https://www.microsoft.com/fr-fr/download/details.aspx?i...

    ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :


    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu

      /!\ Par précaution, change tous tes mots de passe


    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut l'installer Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    Encore une fois, n'hésite pas si tu rencontres quelques difficultés sur une des procédures indiquées.

    @+
    partage
    a c 1009 8 Sécurité
    27 Septembre 2012 18:17:46

    Re,

    Il nous a donné du fil à retordre, mais on y est arrivé :) 

    N'oublie de marquer en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses).

    Bonne continuation,

    @+
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS