> Tous les forums > Forum Sécurité
 Infection par system progressive ProtectionSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
lenfumeur
  Posté le 24/09/2012 @ 12:49 
Aller en bas de la page 
Petit astucien

Bonjour,

je crois, je me suis fait infecté sur un ordi par un Malware "System Progressive Protection".

Ce petit malin, bloque l'acces à internet, sauf la page d'acceuil, google, à priori il a pris le dessus sur l'antivirus et m'annonce royalement 64 fichiers pollués.

Une recherche sur Google par un autre ordi le présente comme un escroquerie, mais les solutions de réparations me semblent pas très claires.

Pour le moment j'ai déconnectè le malade du réseau et j'attend un conseil, sachant que je dois soit effectuer le nettoyage manuellement ou d'un clè USB si ne la bloque pas.

Merci pour vos conseils.

Publicité
nardino
 Posté le 24/09/2012 à 12:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

image RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

image Quitte tous les programmes en cours
image Lance RogueKiller.exe en cliquant sur l'icône.

image

image Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

image Clique sur le bouton Suppression

image

image Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

image Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

image Si l'affichage des icônes du bureau ne se fait pas correctement, seulement dans ce cas, clique sur le bouton Racc. RAZ

image Malwarebytes Anti-Malware
Clique sur Télécharger maintenant et installe-le une fois sur ton ordinateur.

image Double-clique sur le fichier mbam-setup-1.60.0.1800.exe
(Sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware

image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche image, clique sur le bouton image

image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Pour supprimer les programmes potentiellement dangereux, PUP, règle comme indiqué sur l'image ci-dessous, avant de faire le scan.

image


@+

lenfumeur
 Posté le 24/09/2012 à 15:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nardino, bonjour.

Merci pour ta réponse, je vais me lancer dans la procédure, je te tiens au courant.

lenfumeur
 Posté le 24/09/2012 à 15:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nardino, bonjour,

Petit problème, j'ai téléchargé le programme Roguekiller sur une clè, quand je veux l'éxècuter sur le PC infecté, il est bloquè par le Malware, programme infecté.

J'ai essayé de l'exécuter directement de la clé en tant qu'administrateur, idem.

Je coince un peu

nardino
 Posté le 24/09/2012 à 15:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour

Essaie en mode sans échec.

Après la fermeture de la première fenêtre du BIOS, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.
Il faut choisir la même session qu'en mode normal et non pas la session Administrateur qui n'apparaît que sous ce mode (Sous XP).

@+

lenfumeur
 Posté le 24/09/2012 à 17:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nardino,

Voila, j'ai pu réaliser la première phase après un démarrage sans echec.

Scan, suppression et rapport

RogueKiller V8.0.5 [23/09/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec Utilisateur : 7 [Droits d'admin] Mode : Suppression -- Date : 24/09/2012 17:23:41

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : DWWIPlay (rundll32 "C:\Users\7\AppData\Local\Temp\ReAgkeng.dll",CreateProcessNotify) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : charfpmp (rundll32 "C:\Users\7\AppData\Local\Temp\ReAgkeng64.dll",CreateProcessNotify) -> SUPPRIMÉ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 15EE5EFDFC31F513001D15EE4204EA26 (C:\ProgramData\15EE5EFDFC31F513001D15EE4204EA26\15EE5EFDFC31F513001D15EE4204EA26.exe) -> SUPPRIMÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST1000DM 005 HD103SJ SCSI Disk Device +++++ --- User --- [MBR] 93e6278988a0b521fac739fe6218dedc [BSP] 63a3371674c568c2714399935fae1638 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo User = LL1 ... OK! Error reading LL2 MBR!

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++ --- User --- [MBR] 4d186890a9c0a2908bc144420aab001c [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3810 Mo User = LL1 ... OK! Error reading LL2 MBR!

Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Qu'en pensez vous

lenfumeur
 Posté le 24/09/2012 à 18:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nardino, bonsoir.

J'ai téléchargé et exécuté Malwarebits avec le fichier 1400

voici les rapport avant:

Malwarebytes Anti-Malware (Essai) 1.65.0.1400 www.malwarebytes.org

Version de la base de données: v2012.09.24.08

Windows 7 x64 NTFS Internet Explorer 9.0.8112.16421 7
SECRETARIAT2 [administrateur]

Protection: Activé

24/09/2012 17:44:42 mbam-log-2012-09-24 (17-46-59).txt

Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 196819 Temps écoulé: 1 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection (Trojan.LameShield) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1 C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.

Fichier(s) détecté(s): 4 C:\ProgramData\15EE5EFDFC31F513001D15EE4204EA26\15EE5EFDFC31F513001D15EE4204EA26.exe (Trojan.LameShield) -> Aucune action effectuée. C:\Users\7\AppData\Local\Temp\ReAgkeng.dll (Backdoor.Papras) -> Aucune action effectuée. C:\Users\7\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Aucune action effectuée. C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Aucune action effectuée.

(fin)

Après suppression

Malwarebytes Anti-Malware (Essai) 1.65.0.1400 www.malwarebytes.org

Version de la base de données: v2012.09.24.08

Windows 7 x64 NTFS Internet Explorer 9.0.8112.16421 7
SECRETARIAT2 [administrateur]

Protection: Activé

24/09/2012 17:52:28 mbam-log-2012-09-24 (17-52-28).txt

Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 196424 Temps écoulé: 1 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté)

(fin)

A priori, il semble que nous soyons parvenu à neutraliser la bête.

Un très grand MERCI.

Je reste à l'écoute si un controle est nècessaire.

nardino
 Posté le 24/09/2012 à 18:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Pour contrôle, image ZHPDiag de Nicolas Coolman sur ton bureau.
Clique sur ce lien

image

Lien direct du créateur de l'outil

image Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Coche Installer une icône sur le bureau quand cela te sera proposé.

image Lance ZHPDiag en cliquant sur l'icône ZHPDiag affichée sur le bureau
image
image Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :
1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous
3 : Clique sur L'icône Loupe pour lancer le scan

image

Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%. Ce message aura disparu.

image

image Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau.
image
image Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?
Tu me communiques le lien obtenu dans ta réponse.
Explications pour Cjoint


@+

lenfumeur
 Posté le 24/09/2012 à 23:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nardino, bonsoir.

Je finaliserai l'analyse demain matin.

Merci pour l'aide.


Publicité
lenfumeur
 Posté le 25/09/2012 à 10:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Nardino,bonjour.

J'ai terminé le diagnostique avec Zdiag,

Voici le lien.

http://cjoint.com/?3IzkbBuWz9j

Je reste à l'écoute un grand merci

Mg

nardino
 Posté le 25/09/2012 à 18:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Merci pour le rapport.

image TFC de OldTimer
Sous Vista et Windows 7, il faut être sous un compte administrateur

image Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
image Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

image DelFix sur ton bureau en cliquant sur Télécharger.
Il ne nécessite pas d'installation
Il va supprimer les outils utilisés pour cette désinfection.

image Clique sur le fichier delfix.exe pour lancer l'outil

image Clique sur le bouton Suppression puis sur le bouton Désinstallation
Copie/colle le contenu du rapport sauvegardé sous C:\DelFixSuppr.txt

image

**Création d'un point sain de restauration système**
Sous Vista/7
Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK
Décocher la case Désactiver ... afin de réactiver la restauration système. Un nouveau point de restauration propre sera créé.
Sous XP
Clique droit sur le poste de travail et sur Propriétés.
Dans l'onglet Restauration du système, coche Désactiver la restauration du système puis clique sur OK.
Décoche la case pour créer un nouveau point.

**Passe la question en résolu**
Clique surimage Marquer comme résolu en dessous du dernier message du topic.

CONSEILS POUR SECURISER UN ORDINATEUR.

Tenir à jour le système d'exploitation
En activant les mises à jour automatiques de Windows.
Il est possible de choisir le moment où elles seront installées.

Tenir à jour la suite bureautique
Microsoft Office - Open Office - Star Office - Libre Office
Faire un clic sur le nom de la suite pour ouvrir la page de téléchargement.

Tenir à jour le ou les navigateurs
Internet Explorer 9 - Mozilla Firefox - Opéra - Chrome - Safari , etc.
Faire un clic sur le nom du navigateur pour ouvrir la page de téléchargement.
Pour Windows XP Internet Explorer version 8 est la dernière disponible. Choisir la langue du système et cliquer sur Télécharger
Firefox présente l'avantage de disposer de pas mal d'extensions qui le sécurise davantage. Mais ne pas en abuser sous peine de ralentissement.
Deux parmi les plus importantes voire essentielles :
Adblock+ qui masquera les publicités envahissantes. Existe aussi pour Internet Explorer
Noscript plus délicat à employer qui bloquera par défaut tous les scripts. Il sera donc possible de les accorder au coup par coup.

Tenir à jour les programmes antivirus et antimalwares
En activant les mises à jour automatique ou en lançant régulièrement une recherche pour les logiciels comme Malwarebytes en version gratuite.

Tenir à jour les programmes suivants

Java Runtime Environment
image Ouvre cette page
En bas, à droite, dans Java SE Update 35, clique sur JRE > Download.
Coche Accept License Agreement dans la nouvelle page.
Clique sur Windows x86 Offline - 16.2 MB -imagejre-6u35-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Désinstalle toutes les autres versions existantes sur ton pc dans Ajout/Suppression des programmes ou Programmes et fonctionnalités selon le système.
Si tu ne modifies pas les paramètres, les nouvelles versions te seront proposées au téléchargement automatiquement.
Remarques
Il existe aussi une version 7u6.
Elle se trouve dans le cadre au-dessus de celui de la version JRE6u35.
Ne pas l'utiliser actuellement pour cause de faille de sécurité non comblée.
A noter que Java n'est pas indispensable.

Acrobat Reader X
image Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.3
Décoche image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur imageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader10_fr_mssd_aih.exe
Ce fichier s'auto détruira.

Adobe Flash Player+
image Ouvre cette page
Décoche image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur imageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_flashplayer11x64_mssa_aih.exe
Ce fichier s'auto détruira.

Procéder à des sauvegardes rrégulières
Les données se copient facilement sur un disque externe ou interne, différent de la source, voire sur DVD en dernier recours mais l'opération est plus fastidieuse.
Il est recommandé lorsque l'on dispose d'un système sain d'en faire un backup avec un programme adapté.
EasyTodoBackup, Acronis True Image Western Digital ou Disk Wizard Seagte-Maxtor-Samsung, Backup & Recovery Free Paragon sont gratuits mais souvent moins complets que les versions commerciales.
Vérifier la compatibilité avec votre système d'exploitation.

CONSEILS SUR LE COMPORTEMENT

Un travail collectif à lire attentivement pour une bonne sensibilisation aux problèmes posés sur Internet.
image Prévention et sécurité

Les comportements à risque
Les dangers du P2P
Le P2P et ses conséquences
Le danger des cracks
Le danger des cracks

Les programmes d'optimisation et nettoyeurs de registre
Article de Mikiemoes
Article de Stephane Ruscher
Article de Malekal
Généralités
Les nettoyages du registre sont-ils nécessaires ? (Microsoft)
Et bien d'autres en cherchant sur Internet.

Les programmes d'installation et les "sponsors"
Il n'est pas nécessaire à de rares exceptions près d'installer les sponsors avec un logiciel gratuit, d'essai ou commercial.
Dans la grande majorité où l'installation est pré-cochée, il suffit de décocher et pour cela de bien lire toutes les pages qui se succédent lors de l'installation.
Lire le CLUF (Contrat de licence à l'utilisateur final) est hautement conseillé afin d'éviter certains désagréments.
Exemple de CLUF
Liste des programmes et de leurs sponsors

Nettoyage des caches des navigateurs
Quand la navigation commence à rencontrer des difficultés, le premier réflexe est de nettoyer le cache du navigateur.
Voici une page qui recense toutes les solutions en fonction de chacun d'entre eux.
Comment vider le cache de votre navigateur

Les risques légaux d'Internet, vol de données privées
Les cinq piliers de l'espionnage par Pierre Pinard de Assiste.

Quand ça rame
En corollaire du paragraphe précédent, un ordinateur qui rame n'es pas nécéssairement infecté.
Lire cette page


@+

Arcanod
 Posté le 04/10/2012 à 00:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour Nardino,

Je viens à mon tour de faire les frais de cette saleté. Quelle panique, bon sang ! Même si après quelque temps, avec les notifications revenant en boucle, j'ai fini par supposer que son but était de coller la trouille plutôt que de provoquer des dégâts directs.

Tous les logiciels (navigateurs compris) étant bloqués, j'ai finalement localisé le malware en le recherchant par son titre ("progressive") dans l'explorateur Windows. J'ai supprimé les 3 éléments trouvés (2 raccourcis, je crois, et un dossier) sans trop y croire et il semble que ça ait fonctionné.

Mais apparemment, d'après ce que je viens de lire, la désinstallation n'est pas propre et il resterait une inscription dans le registre ?

Est-ce que c'est grave ?

Par ailleurs, dois-je changer tous les mots de passe stockés sur mon navigateur ? J'imagine que non, vu que ce n'est pas un trojan, mais sait-on jamais.

En te remerciant,

-Arcanod

clbugnot
 Posté le 04/10/2012 à 09:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Arcanod, bienvenue sur PCA !

Crée ton propre sujet plutôt que de te greffer sur celui-ci. Va sur la page d'accueil du forum Sécurité, clique sur Poser une question, en haut à droite, et expose ton problème.

Cordialement.



Modifié par clbugnot le 04/10/2012 09:14
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Infection par System Progressive Protection
infection system protective protection
System Progressive Protection
VIRUS SYSTEM PROGRESSIVE PROTECTION
Rogue system progressive Protection
System Progressive Protection
system progressive protection
System Progressive Protection : comment supprimer?
Supprimer System Progressive Protection
Systeme progressive protection
Plus de sujets relatifs à Infection par system progressive Protection
 > Tous les forums > Forum Sécurité