[Résolu] Security Sphere 2012 / Infection

[Brylama]

Bonjour,

 

 

je suis embêtée avec ce spyware semble-t-il que s'en est un... et je ne sais pas du tout quoi faire!!

Il m'envoie des messages d'alerte toutes les trois minutes...et de plus m'a éteint mon ordi tout à l'heure!!

 

Quelqu'un peut-il m'aider sur la marche à suivre??

J'ai tenté de le trouver dans le panneau de configuration pour le supprimer tout simplement, mais je ne l'ai pas trouvé!!

Help!!!!!

 

Merci pour ce que vous ferez

 

Cordialement, Brylama

Modifié le 21 octobre 2011 par Brylama

[lance_yien]

Bonjour Brylama ,

 

---

Très Important!

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

 

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

 

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

 

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• ComboFix© (par sUBs) depuis ici ou ici
• Security Check (par screen317) depuis ici ou ici.

 

>>> ComboFix/Analyse: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer sur ComboFix.exe (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur"). Suivre les instructions.

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). copier/coller son contenu dans la prochaine réponse.

 

 

>>> Utiliser SecurityCheck: Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur SecurityCheck.exe (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.

Le Rapport "checkup.txt" s'ouvre à la fin. copier/coller son contenu dans la prochaine réponse.

 

>>> Rapports demandés:

• ComboFix.txt
• checkup.txt

Un changement quelconque?

[Brylama]

Bonsoir,

 

merci pour votre réponse...

 

Hélas, je ne peux même pas éxécuter combofix!!!! Je ne peux pas non plus ouvrir antivir, MBM, ... en faite, dès que j'essaie de faire appel à un système de nettoyage ou de sécurité, les pages ne s'ouvrent pas correctement, du type, j'ai des pages non demandées, ...

 

ça me paraît grâve tout ça!! je ne sais même pas comment j'ai contracté cette m....!

 

On peut toujours m'aider??

 

Cordialement, Brylama

[lance_yien]

Bonjour,

 

On est là pour t'aider, ne t'inquiètes pas

Supprimer les fichiers téléchargé auparavant (ComBoFix et Securitycheck) par un clic-droit => "Supprimer".

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

 

Redémarrer le PC et tapoter la touche F8 sans interruption, juste avant que Windows commence à se charger. Dans le menu qui apparait choisir (avec les flèches HAUT/ BAS) le Mode sans échec avec prise en charge réseau.

 

 

>>>> Télécharger sur le Bureau:

• ComboFix© (par sUBs) depuis ici ou ici
  
• Rkill (par Grinler) depuis l'un de ces liens:
  
  • Rkill.exe
    
  • Rkill.com
    
  • Rkill.scr

 

>>> Utiliser Rkill: Double-cliquer sur le fichier Rkill (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur"). Son seul rôle est de désactiver (jusqu'au nouveau démarrage du PC) certains processus de malware pour débloquer l'utilisation des programmes de désinfection.

- Si le 1er fichier télécharger ne fonctionne pas en essayer un autre.

- Si pour une raison quelconque le PC doit être redémarré avant la fin de ces étapes, accepter et relancer RKill de nouveau.

- Je n'ai pas besoin de voir le rapport qu'il produit.

 

 

>>> Utiliser Malwarebytes' Anti-Malware (MBAM): J'ai dû comprendre que tu as MBAM installé sur ta machine.

Fermer toutes les applications et fenêtres ouvertes et lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher". Patienter jusqu'à la fin (affichage de "L'examen s'est terminé normalement...") et cliquer sur "OK", pour fermer ce message.

- Cliquer sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet "Rapport/Logs" de la fenêtre principale de "MBAM". Copier/ coller son contenu dans la prochaine réponse.

 

 

>>> Utiliser ComboFix (CF): Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer ComboFix.exe (Vista/W7, cliquer-droit => "Exécuter en tant qu'administrateur"). Suivre les instructions.

Accepter l'Agrément de la licence et l'installation de la Console de Récupération (proposée sous XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\)

Copier/ coller son contenu dans la prochaine réponse.

 

 

>>> Rapports demandés:

• Malwarebytes Anti-Malware log
• ComboFix.txt

Est-ce mieux?

[Brylama]

Bonsoir,

 

 

merci pour votre aide...qui m'est très précieuse!

 

Voici donc le Rapport de MBM. Je cours de ce pas chercher le deuxième; celui de combofix!!

 

En tous cas, merci encore!Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 7917

 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702

 

10/10/2011 18:49:48

mbam-log-2011-10-10 (18-49-48).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 221254

Temps écoulé: 6 minute(s), 22 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\oA21703OnNaA21703 (Trojan.FakeAV) -> Value: oA21703OnNaA21703 -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\all users\application data\oa21703onnaa21703\oa21703onnaa21703.exe (Trojan.FakeAV) -> Quarantined and deleted successfully.

[Brylama]

Bouh...cela marchait trop bien...je ne peux ouvrir ComboFix et voici le message qui s'affiche: This operating system is not supported! ComboFix only run : Windows 2000, XP (32 bit), Vista ( 32/64 bit) et Windows 7 ( 32/64 bit)

 

Ma version à moi est bien une XP, familiale certes

 

J'ai évidemment bien essayé les deux liens donnés pour comboFix

 

Que dois-je faire maintenant?

 

Encore merci pour votre soutien

 

Cordialement Brylama

Modifié le 10 octobre 2011 par Brylama

[lance_yien]

Ce qu'il faut vérifier:

- Si ta machine avait redémarré après MBAM, tu dois relancer RKill, dans le doute essayer de nouveau.

- ComboFix (CF) doit être sur le Bureau avant de le lancer (pas de raccourci).

- La version de Windows doit être légale.

- Si c'est OK pour les trois points cités essayer en divers mode de démarrage: Normal, sans échec etc...

 

Si toujours pas de succès,

 

>>> Analyse en ligne: Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment, brancher/ allumer tous les médias amovibles disponibles (DD externe, clés USB etc) susceptibles d'avoir été infecté et désactiver antivirus/ pare-feu et antispyware.Utiliser Internet Explorer pour aller ici, cliquer sur le bouton "ESET Online Scanner", cocher la case "YES, I accept the Terms of Use" et cliquer sur Start.

Accepter l'installation de l'ActiveX et cocher "Scan archives" puis cliquer Start.

Eset téléchargera la base de données et commencera le scan. NE PAS utiliser la machine tant que l'analyse n'est pas finie (peut durer très longtemps).

Ensuite, cliquer sur "List of found threats" => "Export to text file..." et sauvegarder les résultats sur le Bureau comme "scan-results" pour les copier/coller dans la prochaine réponse.

Cliquer sur "<< Back" et cocher la case "Uninstall application on close" pour supprimer ESET Online Scanner de la machine. Cliquer sur "Finish" pour fermer le programme et copier/ coller le contenu du rapport dans la prochaine réponse.

 

 

>>> Utiliser SecurityCheck: Télécharger, sur le Bureau Security Check (par screen317) depuis ici ou ici.

Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur SecurityCheck.exe pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.

Le Rapport "checkup.txt" s'ouvre à la fin. copier/ coller le contenu du rapport dans la prochaine réponse.

[Brylama]

Bonsoir,

 

 

j'ai revu les trois conditions pour que ComboFix fonctionne; sans succès!

 

Je me lance donc dans la prochaine aventure en suivant à la lettre toutes les étapes indiquées!

 

Toutefois, je remarque que les messages intempestifs du spyware n'apparaîssent plus...et l'icône sur la barre en bas de l'ordi n'est plus là non plus. Je suppose que c'est parce que l'on a mis en quarantaine le vilain! Alors à quoi correspondent les étapes à venir alors? C'est pour évaluer les dégâts?

 

Merci à vous et bonne soirée

 

Cordialement, Brylama

[Brylama]

Bonsoir,

 

j'ai eu quelques problèmes pour faire ce scann!

J'ai dû recommencer trois fois pour faire la manoeuvre finale; en effet, le temps de scann est long par conséquent je l'ai laissé courrir sans surveillance...seulement à chaque fois, je retrouvais mon ordi éteint!!! à la troisième fois, j'ai surveillé de près!! Bref, voici le rapport en question:

 

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\35\63583a23-2a6fe7ab Java/Agent.DU cheval de troie supprimé - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\43\78a7dab-145e7acb une variante de Java/Agent.DT cheval de troie nettoyé par suppression - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\43\78a7dab-19392488 une variante de Java/Agent.DT cheval de troie nettoyé par suppression - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\43\78a7dab-3c031765 une variante de Java/Agent.DT cheval de troie nettoyé par suppression - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\43\78a7dab-42b46774 une variante de Java/Agent.DT cheval de troie nettoyé par suppression - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\43\78a7dab-46c128b2 une variante de Java/Agent.DT cheval de troie nettoyé par suppression - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Application Data\Sun\Java\Deployment\cache\6.0\43\78a7dab-7346be08 une variante de Java/Agent.DT cheval de troie nettoyé par suppression - mis en quarantaine

C:\Documents and Settings\Sylvie Roussin\Local Settings\Temp\jar_cache2408491650995526302.tmp une variante de Win32/Kryptik.TRK cheval de troie nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP161\A0025562.exe une variante de Win32/Kryptik.TRK cheval de troie nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP161\A0027575.exe une variante probable de Win32/Agent.BZLXWAF cheval de troie nettoyé par suppression - mis en quarantaine

C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP161\A0027576.exe une variante probable de Win32/Agent.BZLXWAF cheval de troie nettoyé par suppression - mis en quarantaine

 

Pas reluisant je crois bien! Quelles sont concrètement les conséquences sur ma machine?

 

Je passe à l'étape suivante: Security check

 

Merci

 

Cordialement, Brylama

:

[Brylama]

Re bonsoir,

 

 

voici le rapport de Security check:

 

 

Results of screen317's Security Check version 0.99.24

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

CCleaner

Java 6 Update 22

Out of date Java installed!

Adobe Flash Player ( 10.2.159.1) Flash Player Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avguard.exe

``````````End of Log````````````

 

 

Qu'est-ce que signifie ce charabia pour moi?

 

Que dois-je faire maintenant?

 

Merci pour tout!

 

Cordialement, Brylama