> Tous les forums > Forum Sécurité
 Infection par Live Security PlatinumSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
brunelle
  Posté le 24/08/2012 @ 12:57 
Aller en bas de la page 
Nouvelle astucienne

Bonjour

Nous avons ce virus depuis hier. J'ai lu le post résolu sur live securité platinium, et cru comprendre que chaque cas est individuel.

Nous arrivons encore 1x sur 2 à acceder à Mozilla Firefox, mais le virus a effacé notre anti-virus Avira, et bloque l'acces au parametrage de nos programmes et à l'interface de sécurité de Windows.

SpyHunter détecte 6 infections: 4 "Live Security Platinium", 2 "Ransomware.FBI Moneypak", et 1 "DoubleClick"

Merci pour votre aide et vos réponses!

Publicité
nardino
 Posté le 24/08/2012 à 14:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour

Si tu peux accéder, télécharge ce programme, au besoin à partir d'un autre pc, et lance-le sur le pc malade.

image RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

image Quitte tous les programmes en cours
image Lance RogueKiller.exe en cliquant sur l'icône.

image

image Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

image Clique sur le bouton Suppression

image

image Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

image Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

image Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Puis tu enchaînes avec :

image tdsskiller.zip de Kaspersky

image Décompresse l'archive et place TDSSKiller.exe sur le Bureau.
Fais un double clic sur l'icône pour le lancer.

image

Cet écran s'affiche, clique sur Change parameters

image

L'écran Settings de TDSSKiller s'affiche

image Coche la case devant Loaded modules ce qui ouvre un message, clique sur le bouton Reboot now pour provoquer un redémarrage du PC .

image

TDSSKiller va se lancer automatiquement après ce redémarrage, et le PC peut alors sembler être très lent et inutilisable.
Attends que l''écran de TDSSKiller s'affiche.

image Clique sur image

image Coche toutes les cases, comme ceci :

image

image Clique sur le bouton OK et clique sur Start scan dans la page principale pour lancer l'analyse.

image

image Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes) :

1- Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer :

image

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip.
Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

2- Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laisse l'action à entreprendre sur Skip:

image

image Ensuite clique sur le bouton image, un redémarrage est nécessaire :

Clique sur Reboot computer image

Envoie le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:
Poste le plus récent, tu devrais en voir deux.

image

@+



Modifié par nardino le 24/08/2012 14:43
brunelle
 Posté le 24/08/2012 à 16:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Bonjour Nardino

Merci de ton aide!

Voici le rapport de roguekiller:

¤¤¤ Processus malicieux: 3 ¤¤¤
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED
[SVCHOST] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> KILLED [TermProc]
[ZeroAccess] n -- c:\windows\system32\n -> UNLOADED

¤¤¤ Entrees de registre: 7 ¤¤¤
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[ZeroAccess] HKCR\[...]\InprocServer32 :

(\\.\globalroot\systemroot\Installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\n.) -> REPLACED

(c:\windows\system32\wbem\wbemess.dll)
[ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Documents and Settings\Compaq_Propriétaire\Local

Settings\Application Data\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\n.) -> REPLACED

(c:\windows\system32\shell32.dll)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\n --> REMOVED

AT REBOOT
[ZeroAccess][FILE] @ : c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\@ --> REMOVED

AT REBOOT
[Del.Parent][FILE] 00000001.@ :

c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ :

c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ :

c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\U -->

REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\L -->

REMOVED
[ZeroAccess][FILE] n : c:\documents and settings\compaq_propriétaire\local settings\application

data\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\documents and settings\compaq_propriétaire\local settings\application

data\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\documents and settings\compaq_propriétaire\local settings\application

data\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\documents and settings\compaq_propriétaire\local settings\application

data\{30c5ee3c-0c98-1b19-fbf6-d36acc49ef83}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (\??\C:\Program Files\Enigma Software

Group\SpyHunter\esgiguard.sys @ 0xF7B34700)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3000JS-60PDB0 +++++
--- User ---
[MBR] e4e3bbf16ea205221651c28bb8f9182b
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 280450 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 574363440 | Size: 5714 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

brunelle
 Posté le 24/08/2012 à 16:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne
nardino
 Posté le 24/08/2012 à 18:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour

La bête est vaincue.

Pour êre certain qu'il n'y a pas d'autres invités.

image AdwCleaner de Xplode sur ton bureau

image Lance l'outil en cliquant sur adwcleaner.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
image Clique sur le bouton Suppression

image

image Poste le rapport qui s'ouvre en fin de nettoyage après avoir redémarré l'ordinateur.
Il sera enregistré sous C:\AdwCleaner[S1].txt

(Si tu as choisis Recherche le rapport sera C:\AdwCleaner[R1].txt
Chaque nouvelle utilisation de l'outil implémentera la numérotation des rapports [S2] [S3] [R2] [R3], etc.
R= Recherche, S=Suppression.
)

image Malwarebytes Anti-Malware
Clique sur Télécharger maintenant et installe-le une fois sur ton ordinateur.

image Double-clique sur le fichier mbam-setup-1.60.0.1800.exe
(Sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware

image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche image, clique sur le bouton image

image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Pour supprimer les programmes potentiellement dangereux, PUP, règle comme indiqué sur l'image ci-dessous, avant de faire le scan.

image


TRES IMPORTANT : Change tous tes mots de passe important et veille à ne pas mettre le même partout.

Ce malware à été conçu pour pisquer ceux qui sont sur le pc.

@+

brunelle
 Posté le 24/08/2012 à 20:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Merci de t'occuper de notre cas.

Je n'ai pas encore fait ce que tu viens de me conseiller, mais quelque chose me préoccupe: tu dis que la bête est vaincue, mais "Live Security Platinium" apparait toujours dans la liste de mes programmes, il squate tranquillement dans "C:\Documents and Settings\All Users\Application Data\ sous le nom de "036E18EA8CE47A42000915767B07D329.exe", entre autres endroits je suppose

et "SpyHunter 4" détecte encore:

"Rogue.Live Security Platinium" (3 infections)

"Ransomware.FBI Moneypak" (1 infections)

Dois-je effacer ces dossiers ou ne pas y toucher?

Une autre question : comme "Live Security Platinium" a supprimé notre anti-virus, que me conseilles-tu d'installer comme logiciel libre pour être mieux protégé?

Merci!


brunelle
 Posté le 24/08/2012 à 20:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Fichier joint : AdwCleaner[S1].txt

brunelle
 Posté le 24/08/2012 à 22:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne
brunelle
 Posté le 24/08/2012 à 22:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Bonsoir Nardino,

Alors que dis le rapport, qu'en penses-tu?

Cette fois il ne s'affiche plus nul par ce satané programme, Malwarebytes a l'air de l'avoir supprimé.

Si c'est Ok, peux-tu me conseiller un anti-virus à réinstaller?

Merci beaucoup pour ton aide!

Publicité
nardino
 Posté le 24/08/2012 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Je me répète mais c'est important pour toi :

TRES IMPORTANT : Change tous tes mots de passe important et veille à ne pas mettre le même partout.

Ce malware à été conçu pour pisquer ceux qui sont sur le pc.

Rogue killer tue le, programme actif de l'infection mais ne supprimes pas tout.

C'est pourquoi il faut passer Malwarebytes derrière et souvent AdwCleaner pour les invités qui s'installent avec cette merde.

Je ne conseille aucun antivirus depuis pas mal de temps mais je vais te donner quelques conseils qui expliquent que la sécurité d'un pc ne repose pas que sur un antivirus.

image TFC de OldTimer
Sous Vista et Windows 7, il faut être sous un compte administrateur

image Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
image Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

image DelFix sur ton bureau en cliquant sur Télécharger.
Il ne nécessite pas d'installation
Il va supprimer les outils utilisés pour cette désinfection.

image Clique sur le fichier delfix.exe pour lancer l'outil

image Clique sur le bouton Suppression puis sur le bouton Désinstallation
Copie/colle le contenu du rapport sauvegardé sous C:\DelFixSuppr.txt

image

**Création d'un point sain de restauration système**
Sous Vista/7
Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK
Décocher la case Désactiver ... afin de réactiver la restauration système. Un nouveau point de restauration propre sera créé.
Sous XP
Clique droit sur le poste de travail et sur Propriétés.
Dans l'onglet Restauration du système, coche Désactiver la restauration du système puis clique sur OK.
Décoche la case pour créer un nouveau point.

**Passe la question en résolu**
Clique surimage Marquer comme résolu en dessous du dernier message du topic.

CONSEILS POUR SECURISER UN ORDINATEUR.

Tenir à jour le système d'exploitation
En activant les mises à jour automatiques de Windows.
Il est possible de choisir le moment où elles seront installées.

Tenir à jour la suite bureautique
Microsoft Office - Open Office - Star Office - Libre Office
Faire un clic sur le nom de la suite pour ouvrir la page de téléchargement.

Tenir à jour le ou les navigateurs
Internet Explorer 9 - Mozilla Firefox - Opéra - Chrome - Safari , etc.
Faire un clic sur le nom du navigateur pour ouvrir la page de téléchargement.
Pour Windows XP Internet Explorer version 8 est la dernière disponible. Choisir la langue du système et cliquer sur Télécharger
Firefox présente l'avantage de disposer de pas mal d'extensions qui le sécurise davantage. Mais ne pas en abuser sous peine de ralentissement.
Deux parmi les plus importantes voire essentielles :
Adblock+ qui masquera les publicités envahissantes. Existe aussi pour Internet Explorer
Noscript plus délicat à employer qui bloquera par défaut tous les scripts. Il sera donc possible de les accorder au coup par coup.

Tenir à jour les programmes antivirus et antimalwares
En activant les mises à jour automatique ou en lançant régulièrement une recherche pour les logiciels comme Malwarebytes en version gratuite.

Tenir à jour les programmes suivants

Java Runtime Environment
image Ouvre cette page
En bas dans Java SE Update 33, clique sur JRE > Download à droite.
Coche Accept License Agreement dans la nouvelle page.
Clique sur Windows x86 Offline - 16.2 MB -imagejre-6u33-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Désinstalle toutes les autres versions existantes sur ton pc dans Ajout/Suppression des programmes ou Programmes et fonctionnalités selon le système.
Si tu ne modifies pas les paramètres, les nouvelles versions te seront proposées au téléchargement automatiquement.
Il existe une version pour les programmes 64bits du système.

Acrobat Reader X
image Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.3
Décoche image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur imageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader10_fr_mssd_aih.exe
Ce fichier s'auto détruira.

Adobe Flash Player+
image Ouvre cette page
Décoche image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur imageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_flashplayer11x64_mssa_aih.exe
Ce fichier s'auto détruira.

Procéder à des sauvegardes rrégulières
Les données se copient facilement sur un disque externe ou interne, différent de la source, voire sur DVD en dernier recours mais l'opération est plus fastidieuse.
Il est recommandé lorsque l'on dispose d'un système sain d'en faire un backup avec un programme adapté.
EasyTodoBackup, Acronis True Image Western Digital ou Disk Wizard Seagte-Maxtor-Samsung, Backup & Recovery Free Paragon sont gratuits mais souvent moins complets que les versions commerciales.
Vérifier la compatibilité avec votre système d'exploitation.

CONSEILS SUR LE COMPORTEMENT

Un travail collectif à lire attentivement pour une bonne sensibilisation aux problèmes posés sur Internet.
image Prévention et sécurité

Les comportements à risque
Les dangers du P2P
Le P2P et ses conséquences
Le danger des cracks
Le danger des cracks

Les programmes d'optimisation et nettoyeurs de registre
Article de Mikiemoes
Article de Stephane Ruscher
Article de Malekal
Généralités
Les nettoyages du registre sont-ils nécessaires ? (Microsoft)
Et bien d'autres en cherchant sur Internet.

Les programmes d'installation et les "sponsors"
Il n'est pas nécessaire à de rares exceptions près d'installer les sponsors avec un logiciel gratuit, d'essai ou commercial.
Dans la grande majorité où l'installation est pré-cochée, il suffit de décocher et pour cela de bien lire toutes les pages qui se succédent lors de l'installation.
Lire le CLUF (Contrat de licence à l'utilisateur final) est hautement conseillé afin d'éviter certains désagréments.
Exemple de CLUF
Liste des programmes et de leurs sponsors

Nettoyage des caches des navigateurs
Quand la navigation commence à rencontrer des difficultés, le premier réflexe est de nettoyer le cache du navigateur.
Voici une page qui recense toutes les solutions en fonction de chacun d'entre eux.
Comment vider le cache de votre navigateur

Quand ça rame
En corollaire du paragraphe précédent, un ordinateur qui rame n'es pas nécéssairement infecté.
Lire cette page


@+

brunelle
 Posté le 25/08/2012 à 08:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Bonjour Nardino

Rogue killer tue le, programme actif de l'infection mais ne supprimes pas tout.

Comment tuer Rogue killer? J'ai effacé le programme d'installation de RogueKiller que tu m'avais demandé d'installer, mais après y a t-il autre chose à faire?

Je ne trouve pas le rapport Delfix dans C: , se peut-il que Delfix l'ai effacé en se déinstallant?

Merci pour tout tes conseils pour assurer une meilleure protection de l'ordi! Je viens de découvrir pas mal de vocabulaire: P2P, cracks,...

Et merci du temps que tu m'as consacré.

@+

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
64,99 €Alimentation PC Corsair CV650 650W à 64,99 €
Valable jusqu'au 18 Janvier

Boulanger fait une promotion sur l'alimentation PC Corsair CV650 650W à 64,99 € au lieu de 80 € ailleurs. Cette alimentation certifiée 80+ Bronze dispose d'un ventilateur thermorégulé de 120 mm qui assure le refroidissement silencieux de votre système, tandis que son format compact s’adapte facilement à presque tous les boîtiers PC modernes avec une longueur de seulement 125mm.


> Voir l'offre
109,99 €Disque dur Seagate NAS Iron Wolf 4 To à 109,99 €
Valable jusqu'au 18 Janvier

Cdiscount propose le disque dur Seagate IronWolf 4 To à 109,99 €. Ce disque dur 3.5 pouces SATA III est adapté aux NAS et ordinateurs qui fonctionnent 24h/24. On le trouve ailleurs autour de 130 €. 


> Voir l'offre
329,99 €Console Nintendo Switch édition limitée Mario 329,99 €
Valable jusqu'au 19 Janvier

Cdiscount propose la nouvelle version de la console Nintendo Switch en édition limitée Mario (avec manettes et bases personnalisées) à 329,99 € livrée gratuitement. Une pochette de transport est également fournie.


> Voir l'offre

Sujets relatifs
Infection Live security Platinum
Virus Live Security Platinum & pc démarre plus
virus live security platinum non supprimable
live sécurity platinum
Live Security Platinum aussi
Rogue Live Security Platinum...
Virus Live Security Platinum
Rootkit ZeroAccess, Rogue Live Security Platinum
infection rogue win 7 internet security 2013
Live Security Premium ne peut demarrer sans echec
Plus de sujets relatifs à Infection par Live Security Platinum
 > Tous les forums > Forum Sécurité