Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Security Sphere 2012 infection


kamma
 Share

Messages recommandés

Bonjour tout le monde,

 

Hier, j'ai été infecté par ce maudit Security Sphere 2012. Il s'est lancé tout seul et a bloqué Avast. Je ne sais pas comment cela s'est produit.

 

J'ai l'impression que tout est bloqué. J'ai essayé de chercher sur le net et j'ai suivi quelques recommandations d'ici sur zebulon. Mais, j'arrive pas à retrouver les rapports de rkill, ComboFix, OTL et RogueKiller. Ni bloc-notes, ni notepad++ ne veulent plus s'ouvrir aussi et le PC se redemarre tout seul.

 

Je suis vraiment dans l'impasse et je viens vers vous pour chercher de l'aide en vous remerciant enormement d'avance.

 

Je pense que c'est une chance de pouvoir se connecter sur Internet encore.

 

Please, I need some help.

 

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

J'ai réussi à visualiser un rapport (.txt) sur IE:

 

 Results of screen317's Security Check version 0.99.24  
Windows XP Service Pack 3 x86   
[b]`````````````````````````````` 
[u]Antivirus/Firewall Check:[/u][/b] 
avast! Free Antivirus    
OneCare Advisor (Windows Live Toolbar)  
Antivirus up to date!  
[b]``````````````````````````````` 
[u]Anti-malware/Other Utilities Check:[/u][/b] 
SpyHunter     
CCleaner     
Java DB 10.5.3.0   
Java(TM) 6 Update 29  
Java(TM) SE Runtime Environment 6 
Java(TM) 6 Update 7  
Java(TM) SE Development Kit 6 Update 16 
Java(TM) SE Development Kit 6 Update 18 
[color=red][b]Out of date Java installed![/b][/color] 
Adobe Flash Player 	11.0.1.152  
Adobe Reader X (10.1.1) 
Mozilla Firefox (3.6.23) [color=red][b]Firefox Out of Date![/b][/color]  
Mozilla Thunderbird (2.0.0) [color=red][b]Thunderbird Out of Date![/b][/color]  
[b]```````````````````````````````` 
Process Check:  
[u]objlist.exe by Laurent[/u][/b] 
Alwil Software Avast5 AvastSvc.exe  
Alwil Software Avast5 avastUI.exe  
[b]``````````End of Log````````````[/b] 

 

Que signifie Out of Date ?

 

Je crois que je ne rajoute rien en signalant que le pc est hyper lent :(

 

Autre chose, un message warning provenant de security sphere me dit que: "Application cannot be executed. The file AvastSvc.exe is infected. Please activate your antivirus software."

 

Merci d'avance pour toute aide.

 

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

Salut et merci,

 

J'ai fait la première étape et visuellement tout est revenu normal.

 

Est-ce necessaire de lancer le Malwarebytes ?

En redemarrant, j'ai le SpyHunter qui s'est lancé en scan directement après ouverture de session ? (Je l'ai télécharger en essayant de suivre d'autres pistes hier).

 

Dois-je laisser le SpyHunter terminer son analyse ou le stopper et telecharger le malwarebytes ?

 

Sinon, j'ai Avast comme antivirus, qu'en dois-je faire ?

 

Merci infiniment pour votre aide.

 

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

Est ce que tu peux poster les rapports de RogueKiller stp?

 

----

 

Oui Malwarebytes est nécessaire, car les fichiers du rogues sont toujours présents (malgré que l'infection ait été stoppée)

Tu peux désinstaller SpyHunter, c'est un logiciel douteux provenant de faux blogs de sécurité.

 

Avast est bien, tu peux le garder.

Lien vers le commentaire
Partager sur d’autres sites

Voici le rapport généré:

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [url=http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html][RogueKiller] Remontées (1/37)[/url]
Blog: [url=http://tigzyrk.blogspot.com]tigzy-RK[/url]

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Utilisateur [Droits d'admin]
Mode: Suppression -- Date : 08/11/2011 12:23:47

¤¤¤ Processus malicieux: 1 ¤¤¤
[sUSP PATH] iE21712LgBmO21712.exe -- C:\Documents and Settings\All Users\Application Data\iE21712LgBmO21712\iE21712LgBmO21712.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[sUSP PATH] HKCU\[...]\Run : Akamai NetSession Interface (C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Akamai\netsession_win.exe) -> DELETED
[sUSP PATH] HKCU\[...]\Run : iE21712LgBmO21712 (C:\Documents and Settings\All Users\Application Data\iE21712LgBmO21712\iE21712LgBmO21712.exe) -> DELETED
[sUSP PATH] HKLM\[...]\Run : Startup (C:\windows\startup.vbs) -> DELETED
[sUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\iE21712LgBmO21712\iE21712LgBmO21712.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


Termine : << RKreport[1].txt >>
RKreport[1].txt



 

Le lancement de Malwarebytes sera-t-il suffisant pour venir à bout ?

 

Merci encore,

 

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

Le lancement de Malwarebytes sera-t-il suffisant pour venir à bout ?

 

S'il est bien à jour normalement oui

 

Tu connais ces fichiers?

 

- netsession_win.exe

- C:\windows\startup.vbs

 

Notemment le startup.vbs qui est forcément malicieux s'il n'est pas de toi.

Lien vers le commentaire
Partager sur d’autres sites

Non, ceux la ne me disent rien !

 

Dois-je les supprimer ? Si oui, comment pourrai-je proceder ?

 

SInon, concernant Malwarebytes, est-ce normal que le scan dure plus de 2 heures ?

Actuellement, j'y suis à 2h35m.

 

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

Oui c'est normal si le disque est grand.

Supprime le fichier .vbs s'il ne l'est pas déjà par MBAM.

 

Pour l'autre, visiblement c'est légitime, garde le on sait jamais.

sa clé de registre a été supprimée, donc il ne se relancera pas au démarrage de toute façon.

Modifié par Tigzy
Lien vers le commentaire
Partager sur d’autres sites

Après plus de 8 heures de scan, voici le résultat:

 

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8113

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/11/2011 00:09:44
mbam-log-2011-11-09 (00-09-44).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 380224
Temps écoulé: 8 heure(s), 45 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fractals World 1.0 (PUP.Perflogger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\ie21712lgbmo21712\ie21712lgbmo21712.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\application data\Sun\Java\deployment\cache\6.0\22\42670716-7bbf1b96 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\Bureau\rk_quarantine\ie21712lgbmo21712.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\64.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\program files\fractals world 1.0\uninstall.exe (PUP.Perflogger) -> Quarantined and deleted successfully.
e:\office pro 2007-fr\ms office 2007 enterprise keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
e:\ex_bureau\INSTALL\fractalsworld.exe (PUP.Perflogger) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

 

 

Y a-t-il d'autres actions à faire ?

 

Merci encore,

 

Cordialement,

Modifié par kamma
Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...