vista security 2012

[mrtatou]

Voila, un ami m'a confié son pc pour que je le repare. Le pc est sous vista et le soucis vient d'un malware ou virus qui passe son temps à donner de fausses alertes de securité. Les alertes sont du genre "mémoire critique", "disque dur endommagé" et tous proviennent du faux anti virus "vista security 2012".

Je commence par passer un coup de malwarebyte's, qu'en pensez vous?

[pear]

Bonjour,

 

Oui mais avant Mbam:

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

 

Nettoyage du registre Passer en Mode 2

Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine

Pour supprimer un proxy[/b] Passer en Mode 4

Pour corriger les Dns Passer en Mode 5

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6[/color]

Lancez succesivement toutes les options

Copier/Coller le contenu des rapports dans la réponse

[mrtatou]

re,

j'ai donc exécuté Rogue killer. J'ai suis passer par chacun des modes d'analyse.

A noter que lorsque j'essayer de lancer un logiciel depuis un raccourci bureau j'ai un message d'erreur : "aucun programme n'est associé à ce fichier pour éxecuter cette action. Créez une association.....". Je suis donc obliger de faire un clic droit, puis "executer en tant qu'administrateur".

 

Qu'en pensez vous? :

 

1:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Acer [Droits d'admin]

Mode: Recherche -- Date : 28/06/2011 14:18:36

 

Processus malicieux: 0

 

Entrees de registre: 16

[ROGUE ST] HKCU\[...]\Run : 271719654 (C:\Users\Acer\AppData\Local\nvl.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> FOUND

[ROGUE ST] HKUS\S-1-5-21-2423929066-1557664297-3837097184-1000[...]\Run : 271719654 (C:\Users\Acer\AppData\Local\nvl.exe) -> FOUND

[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55616) -> FOUND

[FILEASSO] \ "C:\Users\Acer\AppData\Local\nvl.exe" -a "%1" %*: -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Acer\AppData\Local\nvl.exe" -a "%1" %*) -> FOUND

[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Acer\AppData\Local\nvl.exe" -a "%1" %*) -> FOUND

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

----------------------------------------------------------------------------------------------------

2:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Acer [Droits d'admin]

Mode: Suppression -- Date : 28/06/2011 14:18:41

 

Processus malicieux: 0

 

Entrees de registre: 14

[ROGUE ST] HKCU\[...]\Run : 271719654 (C:\Users\Acer\AppData\Local\nvl.exe) -> DELETED

[sUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> DELETED

[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55616) -> NOT REMOVED, USE PROXYFIX

[FILE ASSO] \ "C:\Users\Acer\AppData\Local\nvl.exe" -a "%1" %*: -> REPLACED : ("%1" %*)

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Acer\AppData\Local\nvl.exe" -a "%1" %*) -> REPLACED : ("%1" %*)

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

 

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

--------------------------------------------------------------------------------------------------------------------------

3:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Acer [Droits d'admin]

Mode: HOSTS RAZ -- Date : 28/06/2011 14:18:47

 

Processus malicieux: 0

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

 

 

Nouveau fichier HOSTS:

127.0.0.1 localhost

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

----------------------------------------------------------------------

4:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Acer [Droits d'admin]

Mode: Proxy RAZ -- Date : 28/06/2011 14:18:55

 

Processus malicieux: 0

 

Entrees de registre: 3

[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:55616) -> DELETED

[PROXY FF] 90p53inz.default\ 127.0.0.1:55616 -> DELETED

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

----------------------------------------------------------------------------------------------

5:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Acer [Droits d'admin]

Mode: DNS RAZ -- Date : 28/06/2011 14:19:00

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

-----------------------------------------------------------------------------------------

6:

RogueKiller V5.2.6 [27/06/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/30)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Acer [Droits d'admin]

Mode: Raccourcis RAZ -- Date : 28/06/2011 14:20:13

 

Processus malicieux: 0

 

Attributs de fichiers restaures:

Bureau: Success 3883 / Fail 1

Lancement rapide: Success 8 / Fail 0

Programmes: Success 12 / Fail 0

Menu demarrer: Success 53 / Fail 0

Dossier utilisateur: Success 8256 / Fail 3

Mes documents: Success 2126 / Fail 1

Mes favoris: Success 101 / Fail 0

Mes images: Success 87 / Fail 0

Ma musique: Success 3 / Fail 0

Mes videos: Success 19 / Fail 0

Disques locaux: Success 5585 / Fail 3

Sauvegarde: [FOUND] Success 20 / Fail 0

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[F:] \Device\CdRom0 -- 0x5 --> Skipped

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

Modifié le 28 juin 2011 par mrtatou

[pear]

Et le rapport de Mbam ?

[mrtatou]

voila:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Version de la base de données: 6705

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.19088

 

06/28/2011 03:59:32 ?

mbam-log-2011-06-28 (15-59-32).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 320172

Temps écoulé: 1 heure(s), 16 minute(s), 12 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Acer\AppData\Local\nvl.exe (Trojan.ExeShell.Gen) -> Quarantined and deleted successfully.

c:\Users\Acer\AppData\Roaming\Adobe\plugs\mmc662317.txt (Malware.Trace) -> Quarantined and deleted successfully.

c:\Users\Acer\AppData\Roaming\Adobe\plugs\mmc128.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Acer\AppData\Roaming\Adobe\plugs\mmc137.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[pear]

Bien.

 

Avez vous récupéré les associations(.exe, .com etc..) ?

[mrtatou]

oui c'est bon, les extensions fonctionnent.

Le pc est il sain d'apres vous?

[pear]

Oui, je le pense.

 

Si vous estimez votre problème résolu, éditez l'en tête de votre premier message en choisissant l'option "utiliser l'éditeur complet" et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.