Security Sphere 2012 infection

[kamma]

Bonjour tout le monde,

 

Hier, j'ai été infecté par ce maudit Security Sphere 2012. Il s'est lancé tout seul et a bloqué Avast. Je ne sais pas comment cela s'est produit.

 

J'ai l'impression que tout est bloqué. J'ai essayé de chercher sur le net et j'ai suivi quelques recommandations d'ici sur zebulon. Mais, j'arrive pas à retrouver les rapports de rkill, ComboFix, OTL et RogueKiller. Ni bloc-notes, ni notepad++ ne veulent plus s'ouvrir aussi et le PC se redemarre tout seul.

 

Je suis vraiment dans l'impasse et je viens vers vous pour chercher de l'aide en vous remerciant enormement d'avance.

 

Je pense que c'est une chance de pouvoir se connecter sur Internet encore.

 

Please, I need some help.

 

Cordialement,

[kamma]

J'ai réussi à visualiser un rapport (.txt) sur IE:

 

 Results of screen317's Security Check version 0.99.24  
Windows XP Service Pack 3 x86   
[b]`````````````````````````````` 
[u]Antivirus/Firewall Check:[/u][/b] 
avast! Free Antivirus    
OneCare Advisor (Windows Live Toolbar)  
Antivirus up to date!  
[b]``````````````````````````````` 
[u]Anti-malware/Other Utilities Check:[/u][/b] 
SpyHunter     
CCleaner     
Java DB 10.5.3.0   
Java(TM) 6 Update 29  
Java(TM) SE Runtime Environment 6 
Java(TM) 6 Update 7  
Java(TM) SE Development Kit 6 Update 16 
Java(TM) SE Development Kit 6 Update 18 
[color=red][b]Out of date Java installed![/b][/color] 
Adobe Flash Player 	11.0.1.152  
Adobe Reader X (10.1.1) 
Mozilla Firefox (3.6.23) [color=red][b]Firefox Out of Date![/b][/color]  
Mozilla Thunderbird (2.0.0) [color=red][b]Thunderbird Out of Date![/b][/color]  
[b]```````````````````````````````` 
Process Check:  
[u]objlist.exe by Laurent[/u][/b] 
Alwil Software Avast5 AvastSvc.exe  
Alwil Software Avast5 avastUI.exe  
[b]``````````End of Log````````````[/b] 

 

Que signifie Out of Date ?

 

Je crois que je ne rajoute rien en signalant que le pc est hyper lent

 

Autre chose, un message warning provenant de security sphere me dit que: "Application cannot be executed. The file AvastSvc.exe is infected. Please activate your antivirus software."

 

Merci d'avance pour toute aide.

 

Cordialement,

[Tigzy]

Salut

 

Regarde bien ce billet: tigzy-RK: [Rogue] Security Sphere 2012

Poste les rapports ici stp pour vérif

[kamma]

Salut et merci,

 

J'ai fait la première étape et visuellement tout est revenu normal.

 

Est-ce necessaire de lancer le Malwarebytes ?

En redemarrant, j'ai le SpyHunter qui s'est lancé en scan directement après ouverture de session ? (Je l'ai télécharger en essayant de suivre d'autres pistes hier).

 

Dois-je laisser le SpyHunter terminer son analyse ou le stopper et telecharger le malwarebytes ?

 

Sinon, j'ai Avast comme antivirus, qu'en dois-je faire ?

 

Merci infiniment pour votre aide.

 

Cordialement,

[Tigzy]

Est ce que tu peux poster les rapports de RogueKiller stp?

 

----

 

Oui Malwarebytes est nécessaire, car les fichiers du rogues sont toujours présents (malgré que l'infection ait été stoppée)

Tu peux désinstaller SpyHunter, c'est un logiciel douteux provenant de faux blogs de sécurité.

 

Avast est bien, tu peux le garder.

[kamma]

Voici le rapport généré:

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [url=http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html][RogueKiller] Remontées (1/37)[/url]
Blog: [url=http://tigzyrk.blogspot.com]tigzy-RK[/url]

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Utilisateur [Droits d'admin]
Mode: Suppression -- Date : 08/11/2011 12:23:47

¤¤¤ Processus malicieux: 1 ¤¤¤
[sUSP PATH] iE21712LgBmO21712.exe -- C:\Documents and Settings\All Users\Application Data\iE21712LgBmO21712\iE21712LgBmO21712.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[sUSP PATH] HKCU\[...]\Run : Akamai NetSession Interface (C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Akamai\netsession_win.exe) -> DELETED
[sUSP PATH] HKCU\[...]\Run : iE21712LgBmO21712 (C:\Documents and Settings\All Users\Application Data\iE21712LgBmO21712\iE21712LgBmO21712.exe) -> DELETED
[sUSP PATH] HKLM\[...]\Run : Startup (C:\windows\startup.vbs) -> DELETED
[sUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\iE21712LgBmO21712\iE21712LgBmO21712.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


Termine : << RKreport[1].txt >>
RKreport[1].txt

 

Le lancement de Malwarebytes sera-t-il suffisant pour venir à bout ?

 

Merci encore,

 

Cordialement,

[Tigzy]

Le lancement de Malwarebytes sera-t-il suffisant pour venir à bout ?

 

S'il est bien à jour normalement oui

 

Tu connais ces fichiers?

 

- netsession_win.exe

- C:\windows\startup.vbs

 

Notemment le startup.vbs qui est forcément malicieux s'il n'est pas de toi.

[kamma]

Non, ceux la ne me disent rien !

 

Dois-je les supprimer ? Si oui, comment pourrai-je proceder ?

 

SInon, concernant Malwarebytes, est-ce normal que le scan dure plus de 2 heures ?

Actuellement, j'y suis à 2h35m.

 

Cordialement,

[Tigzy]

Oui c'est normal si le disque est grand.

Supprime le fichier .vbs s'il ne l'est pas déjà par MBAM.

 

Pour l'autre, visiblement c'est légitime, garde le on sait jamais.

sa clé de registre a été supprimée, donc il ne se relancera pas au démarrage de toute façon.

Modifié le 8 novembre 2011 par Tigzy

[kamma]

Après plus de 8 heures de scan, voici le résultat:

 

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8113

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/11/2011 00:09:44
mbam-log-2011-11-09 (00-09-44).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 380224
Temps écoulé: 8 heure(s), 45 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fractals World 1.0 (PUP.Perflogger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\ie21712lgbmo21712\ie21712lgbmo21712.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\application data\Sun\Java\deployment\cache\6.0\22\42670716-7bbf1b96 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\Bureau\rk_quarantine\ie21712lgbmo21712.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\local settings\Temp\64.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\program files\fractals world 1.0\uninstall.exe (PUP.Perflogger) -> Quarantined and deleted successfully.
e:\office pro 2007-fr\ms office 2007 enterprise keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
e:\ex_bureau\INSTALL\fractalsworld.exe (PUP.Perflogger) -> Quarantined and deleted successfully.
c:\documents and settings\utilisateur\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

 

 

Y a-t-il d'autres actions à faire ?

 

Merci encore,

 

Cordialement,

Modifié le 8 novembre 2011 par kamma