Spyware vista home security 2012 [Résolu/Fermé]

Messages postés
33
Date d'inscription
dimanche 26 décembre 2010
Statut
Membre
Dernière intervention
1 janvier 2014
- - Dernière réponse : Malekal_morte-
Messages postés
172783
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 décembre 2019
- 11 janv. 2012 à 13:22
Bonjour,

Malgré une plus grande vigilance, mon ordi a encore attrapé des spywares... En effet, ce matin, en allant sur un site de streaming, AVG a bloqué un site qu'il a jugé dangereux plusieurs fois, puis j'ai eu une fenêtre avec vista home security 2012 qui fait un scan, m'indique que le parefeu windows est désactivé et me conseille vivement d'acheter la version coplète de vista home security 2012. Suite à ça une icone du centre de sécurité wondows (l'écu) est apparue en bas à droite de ma barre d'outil, et sa fenêtre s'affiche régulièrement pour m'indiquer que des menaces ont été trouvées etc etc
Je ne peux même plus me connecter sur mon navigateur internet (j'écris de mon ordi portable) car le vista home security le bloque. En terme de protection, j'avais AVG et spybot search and destroy (qui est lui aussi bloqué par le spyware!!!)



J'ai effectué un scan avec malwarebytes:

"Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 912011003

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

10/01/2012 11:49:32
mbam-log-2012-01-10 (11-48-18).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 198713
Temps écoulé: 4 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Smad (Trojan.Agent) -> Value: Smad -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\.exe\(default) (PUM.HijackExefiles) -> Bad: (MI) Good: (exefile) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)"

J'ai essayé d'analyser avec combofix mais il ne veut pas marcher car il me dit que je dois carrément désinstaller avg (et non pas simlement le désactiver). Dois je tout de même supprimer AVG?

Désolé de vous embêter encore une fois!!! et merci d'avance pour votre aide.

Afficher la suite 

8 réponses

Messages postés
33
Date d'inscription
dimanche 26 décembre 2010
Statut
Membre
Dernière intervention
1 janvier 2014
0
Merci
pour info je suis sur Vista
Messages postés
172783
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 décembre 2019
18473
0
Merci
Salut,

Télécharge RogueKiller : http://www.sur-la-toile.com/RogueKiller/
Lances en option 2 (Suppression).
Poste le rapport ici.

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : http://www.commentcamarche.net/faq/825-afficher-les-extensions-et-les-fichiers-caches-sous-windows
Renomme RogueKiller.exe en RogueKiller.com

D'autres méthodes sont données, si le rogue bloque le lancement de RogueKiller sur cette page : http://forum.malekal.com/supprimer-les-rogues-scareware-t5472.html
Messages postés
33
Date d'inscription
dimanche 26 décembre 2010
Statut
Membre
Dernière intervention
1 janvier 2014
0
Merci
Hello Malekal,

Merci bcp pour ton aide. Voici le rapport de RK:

"RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Moulay [Droits d'admin]
Mode: Suppression -- Date : 11/01/2012 09:52:40

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Moulay\AppData\Local\inq.exe" -a "%1" %*) -> REPLACED ("%1" %*)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.8minutedating.com
127.0.0.1 whysohardx.com
127.0.0.1 protectyourpc-11.com
127.0.0.1 checkserverstatux.com
127.0.0.1 xinmin.cn
127.0.0.1 xy95.cn
127.0.0.1 koralda.com
127.0.0.1 weirden.com
127.0.0.1 nanocloudcontroller.com
127.0.0.1 coo0lnet.net


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] c57da8648929f5f0ab792b67ac92adec
[BSP] dd4d4db3abf560e5b3dc7d83beccac79 : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 17179 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 33556480 | Size: 149407 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 325367847 | Size: 153481 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt"

Petite question, mon antivirus AVG ne s'affiche plus en icone en bas à droite sur la barre? Est ce normal?
Merci encore
Messages postés
172783
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 décembre 2019
18473
0
Merci
Si plus AVG, désinstalle le et réinstalle le.

et :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Messages postés
33
Date d'inscription
dimanche 26 décembre 2010
Statut
Membre
Dernière intervention
1 janvier 2014
Messages postés
172783
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 décembre 2019
18473
0
Merci
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/01/10 10:06:20 | 000,000,000 | ---D | C] -- C:\Users\Moulay\AppData\Local\SanctionedMedia
[2012/01/10 12:06:41 | 000,011,696 | -HS- | M] () -- C:\ProgramData\767t3m7h5421
[2012/01/10 12:06:40 | 000,011,696 | -HS- | M] () -- C:\Users\Moulay\AppData\Local\767t3m7h5421
[2012/01/10 10:06:25 | 000,339,968 | ---- | M] () -- C:\Users\Moulay\AppData\Local\inq.exe
[2010/12/26 18:27:31 | 000,000,000 | ---D | M] -- C:\Users\Moulay\AppData\Roaming\945B8372AB246AB4605946B6527A3640


* redemarre le pc sous windows et poste le rapport ici

Messages postés
33
Date d'inscription
dimanche 26 décembre 2010
Statut
Membre
Dernière intervention
1 janvier 2014
0
Merci
voici le rapport de correction:

========== OTL ==========
C:\Users\Moulay\AppData\Local\SanctionedMedia\Smad folder moved successfully.
C:\Users\Moulay\AppData\Local\SanctionedMedia folder moved successfully.
C:\ProgramData\767t3m7h5421 moved successfully.
C:\Users\Moulay\AppData\Local\767t3m7h5421 moved successfully.
File C:\Users\Moulay\AppData\Local\inq.exe not found.
C:\Users\Moulay\AppData\Roaming\945B8372AB246AB4605946B6527A3640 folder moved successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 01112012_132036
Messages postés
172783
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 décembre 2019
18473
0
Merci
Mets à jour AVG.
Il a pas l'air à jour.

~~

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Passe le mot à tes amis !



~~


Fais plus attention à l'avenir....

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et http://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : http://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/
Exemple de ce qu'il ne faut pas faire :
http://www.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
http://www.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : http://www.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : http://www.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
http://www.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
http://www.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.