Virus Internet Security 2012 [Résolu]

Salut,

Télécharge RogueKiller : http://www.sur-la-toile.com/RogueKiller/
Lances en option 2 (Suppression).
Poste le rapport ici.

affiche les extensions de fichiers : http://www.commentcamarche.net/faq/825-afficher-les-extensions-et-les-fichiers-caches-sous-windows
Renomme RogueKiller.exe en RogueKiller.com

D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : http://forum.malekal.com/supprimer-les-rogues-scareware-t5472.html

Désolée pour le retard et merci pour ta réponse.
Je ne peux pas accéder à internet donc aucune possibilité pour moi de télécharger Roguekiller. Est-ce que tu me conseilles de le faire depuis un autre ordinateur à l'aide d'une clé usb ?

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Passe le mot à tes amis !

Merci pour l'info je fais ça de suite.

Je viens d'afficher les extensions comme indiqué.
Qu'est-ce que je peux faire maintenant ?

Plus besoin pour les extensions maintenant que le faux antivirus a été enlevé.

Fais ça aussi pour voir :

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
nslookup www.google.fr /c
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

OLT.text > http://pjjoint.malekal.com/files.php?id=OTL_20120121_o8k11n13v12p14

Extra.text > http://pjjoint.malekal.com/files.php?id=OTL_Extras_20120121_w7j5g7x6r10

Merci

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

:OTL
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: http://search.babylon.com/?babsrc=toolbar2&q=
[2011/10/20 21:29:24 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
File not found (No name found) -- C:\USERS\CéCILE TESSON\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S3BC9FH0.DEFAULT\EXTENSIONS\{EEE6C361-6118-11DC-9C72-001320C79847}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
[2012/01/16 20:13:34 | 000,007,996 | ---- | C] () -- C:\ProgramData\27108c45

* redemarre le pc sous windows et poste le rapport ici

~~

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Passe le mot à tes amis !

========== OTL ==========
Prefs.js: http://search.babylon.com/?babsrc=toolbar2&q= removed from sweetim.toolbar.previous.keyword.URL
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\META-INF folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\components folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\skin folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale\nl-NL folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale\it-IT folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale\fr-FR folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale\es-ES folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale\en-US folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale\de-DE folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\locale folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar\content folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome\sweetim-toolbar folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}\chrome folder moved successfully.
C:\Users\Cécile Tesson\AppData\Roaming\mozilla\Firefox\Profiles\s3bc9fh0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} folder moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.
C:\ProgramData\27108c45 moved successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 01212012_145208

Il se passe quelque chose de curieux (j'avais aussi ce pb avec le virus). Quand je veux aller sur une page internet, parfois mon navigateur me renvoie vers une page dont l'adresse comme par Hooot.com... (je ne sais pas si c'est lié) à l'instant, je suis inscapable d'accéder à une page qui me permettrait d'installer un antivirus...

Sauvegarde tes documents importants.
A lire en entier.


Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Ok, si je sauvegarde sur un disque externe, est-ce que je risque de l'infecter ?

Bonsoir,

Ayant été victime de ce virus je l'ai rapidement éliminé de la façon suivante(il faut un autre PC pour cette méthode car tout est bloqué surl'infecté): j'ai créé un .bat dans lequel j'ai écrit la commande "taskkill /f /im isecurity.exe" et l'a mis sur l'ordinateur infecté. Je l'exécute: le processus du virus est tué. Ensuite on doit cherché l'exe coupable dans la machine la plupart du temps dans Users/../AppData/Roaming/isecurity.exe (accessible en console grace à "cd nom_du_dossier")
Et je le supprime une fois dans le dossier en question grâce à "del isecurity.exe"... j'ai regardé s'il était planifié ou en exécution automatique à chaque démarrage après ça mais non.
J'ai également supprimé tout ce qui porte le nom de isecurity coté registre (Executer >> regedit >> F3 (et tapez ensuite isecurity: une seule clé noramlement à supprimer) et tout remarche nikel.

Bonne chance.

et en mode sans échec ?

La même...

Alors restauration depuis le CD
ou réparation.

Mais comment je fais pour lancer le CD du coup ? Car même quand je le mets depuis el démarrage, je ne peux pas le démarrer à cause de cette hsitoire de mot de passe :(

salut !! ;)


@ Malekal_morte-

conseil lui update checker file hippo ;)

juste un ptit coup de main et non un reproche

merci et bon week end a tous ! ;)

J'ai téléchargé Secunia qui a l'air pas mal du tout !