Virus:Personal Security

[zebulonette33]

Bonjour,

j'ai ce virus: Personal security qui vient d'effacer tout ce qu'il y avait sur mon bureau et ne me laisse pas ouvrir Avast.J'ai essayé de mettre le ComboFix comme indiqué sur le bureau mais rien ne s'y installe et quand j'essaie de l'ouvrir à partir d'une fenêtre "poste de travail>bureau" ça ne marche pas non plus. J'ai essayé d'installer Rkill.pif, qui ne s'affichait pas sur le bureau, alors j'ai essayé de l'ouvrir à partir du logo de la petite fenêtre "téléchargement" et une fenêtre noir apparaissait rapidement comme je ne savais pas si s'était bon j'ai essayé ensuite d'installer Malware mais pareil il ne s'installe pas sur le bureau et quand j'essaie de l'ouvrir rien de s'ouvre

J'ai bien peur que le virus ait dejà fait des dégats..ou c'est moi qui m'y prend mal..j'espère!

Merci pour votre aide

[Apollo]

Bonsoir,

 

N'utilise jamais comboFix sans qu'un membre du groupe sécurité ne t'en fasse personnellement la demande.

C'est loin d'être un outil tout public et peut se révéler dangereux; il est arrivé que par de rares faux-positifs, cet outil vire des répertoires légitimes entiers... donc il vaut mieux attendre l'avis d'une personne formée et au courant de l'évolution du dit outil.

 

Télécharge TDSSKiller.zip de Kaspersky et enregistre le sur ton bureau. NB: tu peux exceptionnellement l'enregistrer dans "mes documents" si rien ne s'affiche sur le bureau. (mais ne pas l'exécuter depuis le net!)

 

• Clique droit sur le fichier et choisis Extraire tout.
  Un dossier va s'ouvrir à l'écran contenant le fichier TDSSkiller.exe.
  
• Double-clique sur tdsskiller.exe pour le lancer.
  
• Une fenêtre noire va s'ouvrir et le scan va commencer. Laisse le faire sans l'interrompre.
  
• A la fin il te sera demandé d'appuyer sur une touche pour continuer.
  Appuie sur une touche du clavier et la fenêtre noire va se fermer.
  
• Double-clique sur Ordinateur ou Poste de travail puis sur C: et recherche un fichier dont le nom commence par TDSSKiller...
  Double-clique dessus pour l'ouvrir et copie-colle l'intégralité de son contenu dans ta prochaine réponse.
   
  NB: Pendant la procédure, si TDSSKiller fait apparaître ce message:

  Hidden service detected: H8SRTd.sys
  Type "delete" (without quotes) to delete it: 14:30:08:000 0256

  , tape delete et valide.
   
  
  

 

@ + tard

[zebulonette33]

Merci..mais ne n'arrive pas à ouvrir le winRAR dsskiller que ça soit :double clic, "extraire les fichiers", "extraire ici"...rien ne s'ouvre, rien ne ce passe

D'ailleur j'ai l'impression que je ne plus rien ouvrir à part l'internet parce que pour tester je viens d'essayé de lancer une chanson dans "ma musique" est ça m'a mis un message comme quoi:"windows ne trouve pas"

Ah et de temps en temps une fenêtre rouge que je n'avais jamais vu s'affiche:"Active infection found.."un paragraphe de lettres superposées et " Trojan.Desktopblocker.cd, recommended action:remove virus" et 2 options: ignore ou remove et comme je coyais que c'est une fenêtre de virus à chaque fois je clic "ignore"

Que faire pour tout ça?!ah!

Merci en tout cas

a+

[Apollo]

Humhum, c'est nouveau ça...

 

On va essayer autrement; j'ai décompressé le fichier et hébergé.

 

Télécharge TDSS Killer de Kaspersky. http://senduit.com/94a793 Enregistrer sur le bureau.

 

Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous:

 

"%userprofile%\bureau\TDSSKiller.exe" -l TDSSlog.txt -v

 

A la fin de l'exécution, appuie sur une touche comme demandé pour fermer la fenêtre.

Un fichier TDSSlog.txt va apparaitre sur ton bureau.

Ouvre le et poste l'intégralité de son contenu dans ta prochaine réponse.

 

NB: Si l'outil demande un reboot, accepte en tapant Y (yes).

D'ailleurs, applique tout ce qu'il propose.

 

 

NB: si ça ne marche pas avec la commande, enregistre TDSSKiller.exe où tu pourras le voir et double-clique dessus (ou clic droit/exécuter en temps qu'administrateur si Vista/seven).

 

Le rapport devrait être sur le C.

 

@++

[wifi2]

Bonsoir,

 

as-tu essayer de faire ces manip en mode sans echec ?

 

Pour le "calmer" essaye de purger les fichiers temporaires par exemple avec Tfc

(il ferme tous les résidents, supprime les temps de tous les profils et redémarre en fin de travail en cliquant sur Ok

 

 

Bonne soirée

[Apollo]

wifi2, je te saurais gré de ne pas intervenir sur cette partie du forum qui a ses règles particulières.

 

De plus, si j'ai besoin de renseignements, j'ai mes sources personnelles et particulières.

 

Je t'invite à consulter le fonctionnement de cette section et à ne plus poster dans les sujets de désinfections.

 

http://forum.zebulon.fr/index.php?s=&s...t&p=1341286

 

Merci.

[zebulonette33]

Enfin!Merci c'est bon!En fait j'ai essayer mais ça n'a pas marcher (ça ne s'ouvrait toujours pas)Puis j'ai tenté d'ouvrir averc démarrer/exécuter un autre dossier "Kill" que j'avais pris avant et il s'est ouvert: fenêtre noire, puis mes dossiers et icones de mon bureau sont revenus, l'icone de "Personal Security" a disparu et j'ai enfin pu installer le Malwarebyte anti malware et lancer le scan

Merci!

ps: le scan:

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3674

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

01/02/2010 22:58:09

mbam-log-2010-02-01 (22-58-09).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 207108

Temps écoulé: 35 minute(s), 23 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 7

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 3

Fichier(s) infecté(s): 14

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{d34d56e9-b37b-4c37-a854-1ac144592d5c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d34d56e9-b37b-4c37-a854-1ac144592d5c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PersonalSec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\personalsec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\PersonalSec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Program Files\Fichiers communs\PersonalSecUninstall (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\win32extension.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Paola\Local Settings\Temp\D7.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\Paola\Local Settings\Temporary Internet Files\Content.IE5\IRSSI4GE\setup[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Program Files\PersonalSec\psecurity.exe (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Personal Security.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Computer Scan.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Update.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Settings.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Help.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Registration.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Security Center.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Program Files\Fichiers communs\PersonalSecUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\Paola\Bureau\Personal Security.lnk (Rogue.PSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\Paola\Application Data\Microsoft\Internet Explorer\Quick Launch\PersonalSec.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

 

 

 

J'espère que c'est bon

[Apollo]

Re!

 

Je suis heureux pour toi que tu y sois parvenue, ouf. Bravo

 

Ils deviennent sacrément vicieux ces rogues/rootkits!

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Sous VISTA: clic droit/exécuter en temps qu'administrateur.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

Pour Info.txt, héberge-le ici en lui donnant une "vie" d'1 week stp: http://www.senduit.com/ (Expire in --> change en 1 week) , copie/colle le lien généré sur le forum.

 

@++

Modifié le 1 février 2010 par Apollo

[Drumerboy]

Bonjour,

 

Je viens de lire ce post car mon ordi est infecté par Personal security et je ne parviens pas à l'éliminer...je commence à désespérer.

J'aimerais avoir enfin la bonne solution & pouvoir sauver mon ordi mais, ne voulant pas faire de bétise, je ne sais pas si je peux m'appliquer les réponses apportées à Zébulonette33.

Pouvez-vous m'éclairer et m'apporter des réponses, sachant que j'ai téléchargé un logiciel s'appelant "spyware-doctor" mais il m'est impossible de le lancer...Que faire?

Merci d'avance pour votre aide.

 

Drumerboy

[Mark]

Bonjour Drumerboy ;

 

Je te prie de lancer ton propre sujet, s'il te plait. C'est tout simple : clique sur "Nouveau" juste au bas, à droite et tu auras une fenêtre de rédaction. Mets un titre et remets la description de ton problème. Ton sujet sera ainsi inscrit à l'index du forum de désinfection (ici-même). Les bénévoles ne suivent ainsi qu'un seul membre par sujet et c'est bien plus efficace.

 

Merci