Comment supprimer Live Security Platinium ?

[BrunoPou]

Bonjour a tous.

 

Je viens d’être infecté par le virus ''Live Security Platinium'' qui m’empêche toute manipulation avec mon ordinateur, comme ouvrir le moindre logiciel, ou meme eteindre ''normalement'' l'ordi.

 

Je suis tombé sur d'excellentes explications sur ce forum (avec, en lien, ce bon tuto : http://www.sur-la-toile.com/discussion-223746-1--RogueKiller-V7-Tutorial-officiel.html), mais j'aimerais savoir si quelqu'un peut me donner un petit coup de main si je poste les rapports de mes avancées ?

J'ai commencé par démarrer mon ordinateur en mode sans échec, et j'ai installé le logiciel ''RogueKiller''.

 

Merci beaucoup d'avance.

Bruno.

Modifié le 21 septembre 2012 par BrunoPou

[BrunoPou]

Voici le rapport à l'issue du premier scan de RogueKiller. Merci d'avance.

 

----

 

RogueKiller V8.0.4 [19/09/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec

Utilisateur : Utilisateur [Droits d'admin]

Mode : Recherche -- Date : 21/09/2012 12:07:08

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 8 ¤¤¤

[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 036DFF85E8B041E3AEC458A22F3B707C (C:\ProgramData\036DFF85E8B041E3AEC458A22F3B707C\036DFF85E8B041E3AEC458A22F3B707C.exe) -> TROUVÉ

[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-3521082942-709116498-3131233977-1000[...]\RunOnce : 036DFF85E8B041E3AEC458A22F3B707C (C:\ProgramData\036DFF85E8B041E3AEC458A22F3B707C\036DFF85E8B041E3AEC458A22F3B707C.exe) -> TROUVÉ

[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST950032 5AS SCSI Disk Device +++++

--- User ---

[MBR] 23393005d95c1feb1e90f4406eba1821

[bSP] 68a9a69bc00139773c4fa2984750dba9 : Windows Vista/7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 12001 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24579450 | Size: 238464 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 512955450 | Size: 226471 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[Apollo]

Bonjour,

 

Relance Rogue Killer et clique sur Suppression >> poste le rapport.

 

Si le bouton suppression n'est pas accessible, refais SCAN puis passe à suppression juste après.

 

Clique ensuite sur Host Raz > poste son rapport également.

 

@++

[pear]

Bonjour,

 

Poursuivez la procédure Rogue Killer:

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des indexes)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à poster

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[Apollo]

Bonjour Pear,

 

Je vous laisse volontiers le sujet.

 

 

@++

[BrunoPou]

J'ai commencé par suivre l'explication de Apollo. Voici donc le premier rapport, après la première suppression.

 

Je ne vois pas comment, ensuite, décocher quelque chose dans registre ? Je vous avoue ne pas être le plus doué non plus.

 

Du coup, j'enchaîne les suppressions avec le rapport de Host RAZ ?

 

----

 

Le premier rapport :

 

RogueKiller V8.0.4 [19/09/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Utilisateur [Droits d'admin]

Mode : Suppression -- Date : 21/09/2012 13:31:30

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 036DFF85E8B041E3AEC458A22F3B707C (C:\ProgramData\036DFF85E8B041E3AEC458A22F3B707C\036DFF85E8B041E3AEC458A22F3B707C.exe) -> SUPPRIMÉ

[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST950032 5AS SCSI Disk Device +++++

--- User ---

[MBR] 23393005d95c1feb1e90f4406eba1821

[bSP] 68a9a69bc00139773c4fa2984750dba9 : Windows Vista/7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 12001 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24579450 | Size: 238464 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 512955450 | Size: 226471 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

[BrunoPou]

J'ai cliqué sur Host RAZ. Il n'apparaît plus rien dans l'onglet registre... Je vais tenter de relancer la machine alors !

 

 

Voici le rapport :

 

RogueKiller V8.0.4 [19/09/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Utilisateur [Droits d'admin]

Mode : HOSTS RAZ -- Date : 21/09/2012 13:40:04

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Modifié le 21 septembre 2012 par BrunoPou

[pear]

Merci Apollo.

 

J'ai cliqué sur Host RAZ. Il n'apparaît plus rien dans l'onglet registre... Je vais tenter de relancer la machine alors !

 

 

Mais non, vous poursuivez:Proxy, Dns etc..

Modifié le 21 septembre 2012 par pear

[BrunoPou]

L'ordi a l'air de fonctionner. Faut-il malgre tout poursuivre ? Plus rien n'apparaissait dans les differents onglets a cote de processus...

Merci d'avance.

[pear]

Faut-il malgre tout poursuivre ?

 

Sans le moindre doute.

Il vaut mieux faire une procédure qui vous parait superflue que risquer la présence d'un malware.