× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Mon PC est infecté par Sphere 2012Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Miss_Leïla
  Posté le 13/12/2011 @ 12:13 
Aller en bas de la page 
Petite astucienne

Bonjour,

Je vous écris depuis mon PC en mode sans échec.

Il vient d'être infecté par Sphère 2012 (un faux antivirus, qui lance un scan ... )

J'ai téléchargé Rogue Killer, mais je n'ai pas l'impression qu'il détecte le virus, il est écrit : chargement du driver : error.

Pouvez-vous m'aider ?

Merci d'avance ... !

Publicité
clbugnot
 Posté le 13/12/2011 à 12:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Miss_Leila

Fais ce qui est demandé dans cette procédure et attends qu'un membre du Groupe Sécurité te prennne en charge.

Cordialement.

Miss_Leïla
 Posté le 13/12/2011 à 13:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re,

J'avais lancé MalwareBytes, voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8364

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

13/12/2011 12:16:23
mbam-log-2011-12-13 (12-16-23).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 351751
Temps écoulé: 38 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen.A) -> Bad: (Explorer.exe, C:\ProgramData\nH37001NbIoF37001\nH37001NbIoF37001.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Laurie\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\3IR19W42\17[1].exe (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\Users\Laurie\AppData\Local\temp\1078.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Laurie\AppData\Local\temp\setup1905729072.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Laurie\downloads\plugin-vlc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\Laurie\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

Miss_Leïla
 Posté le 13/12/2011 à 13:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je viens de redémarrer. Il est toujours là.

Je suis repassée en mode sans échec.

pear
 Posté le 13/12/2011 à 13:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Télécharger TDSSKILLER
- Télécharger le .zip sur le Bureau.
- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;
- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse
image
Lorsque l'outil a terminé son travail d'inspection
image
si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .
Cliquer sur"Continue"

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)
Cliquer sur"Continue"

S'il vous est demandé de redémarrer:
Cliquer Reboot Now
Sinon cliquer sur Report
Envoyer en réponse:
*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Miss_Leïla
 Posté le 13/12/2011 à 13:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Miss_Leïla
 Posté le 13/12/2011 à 13:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : RKreport[1].txt

Miss_Leïla
 Posté le 13/12/2011 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je viens de lancer TDSSKILLER, j'ai obtenu : "No threat found"

Miss_Leïla
 Posté le 13/12/2011 à 14:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je viens de redémarrer, je suis en mode normal.

En bas, à droite, j'ai une icone qui m'indique : "programmes de démarrage bloqués" et quand je clique dessus "afficher les programmes bloqués", j'ai la fenêtre suivante :

http://imageshack.us/photo/my-images/440/problemer.jpg/



Modifié par Miss_Leïla le 13/12/2011 14:04
Publicité
pear
 Posté le 13/12/2011 à 14:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

On nettoye d'abord.

1)Télécharger AdwCleaner
Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt
image

Nettoyage
Relancez AdwCleaner avec droits administrateur
Cliquez sur Suppression et postez le rapport C:\AdwCleaner[S1].txt


Téléchargez MBAM
ICI
ou LA
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
image
Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


2) Rogue Killer voit un Mbr inconnu.

Cela peut signifier un pc "exotique" ou une infection.


Télécharger GMER
clic sur "Download EXE" et télécharger le fichier sur le bureau.

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :
Show All
Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"
Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

image

Lorsque le scan est terminé, clic sur "Copy"

Il peut arriver que GMER plante sans raison apparente.
Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;
si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , Les éléments détectés comme rootkit apparaissent en rougel dans chaque section.
image
Signalez les dans votre réponse ou ,mieux ,postez en l'image



Découverte d’une infection Rootkit.Win32. TDSS de la troisième génération (TDL3) par Gmer,
qui détecte le remplacement de l’objet « périphérique » du pilote atapi.sys.
image




Miss_Leïla
 Posté le 13/12/2011 à 15:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : AdwCleaner[R1].txt

Miss_Leïla
 Posté le 13/12/2011 à 15:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : AdwCleaner[S1].txt

Miss_Leïla
 Posté le 13/12/2011 à 15:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Miss_Leïla
 Posté le 13/12/2011 à 15:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je ne réussis pas à poster le rapport GMER , un message d'erreur 'interne au serveur' apparait.



Modifié par Miss_Leïla le 13/12/2011 15:27
pear
 Posté le 13/12/2011 à 15:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Avez vous essayé ceci ?

Il peut arriver que GMER plante sans raison apparente.
Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;
si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.



Modifié par pear le 13/12/2011 15:43
Miss_Leïla
 Posté le 13/12/2011 à 15:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je pense qu'il a fait planté mon ordi ... qui a redémarré.

je l'ai lancé puis j'ai obtenu :" ... any system modification"

Cependant, Antivir a bipé pendant que je lançais le scan .... il fallait peut-être que je le désactive ?



Modifié par Miss_Leïla le 13/12/2011 16:16
Br_Fr
 Posté le 13/12/2011 à 15:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Miss_Leïla a écrit :

Je ne réussis pas à poster le rapport GMER , un message d'erreur 'interne au serveur' apparait.

Bonjour!

ça arrive parce que le rapport est trop long donc poste-le en 2 fois ou plus

Publicité
Miss_Leïla
 Posté le 13/12/2011 à 16:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je viens de désinstaller Antivir pour mettre AVAST.

AVAST m'a détecté un 'rootkit' :

http://imageshack.us/photo/my-images/853/rootkit.jpg/

http://imageshack.us/photo/my-images/266/avasta.jpg/

pear
 Posté le 13/12/2011 à 17:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Relancez Rogue Killer que l'on sache ce qu'il en dit.



Modifié par pear le 13/12/2011 17:40
Miss_Leïla
 Posté le 13/12/2011 à 17:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Laurie [Droits d'admin]
Mode: Suppression -- Date : 13/12/2011 16:42:02

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[SUSP PATH] 763b37f0.job : C:\Users\Laurie\AppData\Local\Temp\\setup442712432.exe -> DELETED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 13115c21045a23d53bee837cbb11b8cc
[BSP] 6c01db2248efedada85cccdc522ce42a : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 148670 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 290373632 | Size: 11366 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

pear
 Posté le 13/12/2011 à 17:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs
et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.

Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt

Miss_Leïla
 Posté le 13/12/2011 à 18:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai essayé de redémarrer 2 fois en mode sans échec, mais Combo Fix n'apparait pas sur le bureau !

Alors qu'il y est en mode normal ....

pear
 Posté le 14/12/2011 à 09:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Essayez comme ceci:

Démarrez en mode sans échec avec option réseau

Installez Combofix sur clé usb et lancez le.

Si cela ne fonctionnait pas:

Téléchargez Dr.Web CureIt


Installez les mises à jour..
Redémarrez en mode sans échec.
Pour cela:
Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionnez "Mode sans échec" et validez.
Choisir votre compte usuel,.


Double cliquez drweb-cureit. puis sur Analyse
Cliquez Ok à l'invite de l'analyse rapide.
Ce scan analyse les processus chargés en mémoire ;
Si des processus infectés sont trouvés, cliquez sur Oui pour tout".
une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"
Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;
Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"
De retour à la fenêtre principale : cliquez pour activer Analyse complète;
Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.
A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.
Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiers détectés:image
puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable
Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv
Sauvegardez le rapport sur le Bureau.
Fermez Dr.Web Cureit
Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.
Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.

Miss_Leïla
 Posté le 14/12/2011 à 09:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour

Pensez-vous que je doive effectuer d'autre 'scan' ?

Une fois que tout cela sera terminé, dois-je désinstaller tous les programmes télécharger ou simplement les jeter dans la corbeille ? Merci .

Bonne journée

pear
 Posté le 14/12/2011 à 10:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Chaque chose en son temps.

On y reviendra après Dr Web.

Pour l'instant, si j'ai bien suivi, vous êtes coincée en mode sans échec , non ?

Il faut donc, dans ce cas, remettre la machine d'aplomb.

Miss_Leïla
 Posté le 14/12/2011 à 10:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Oh non, pardon, je me suis mal exprimée.

Je suis de nouveau en mode normal, tout semble être ok ! Plus de virus en vue ... !

Simplement, pour l'utilisation de Combo Fix, en mode sans échec, je ne le trouvais pas ... donc je ne l'ai pas utilisé.

Merci pour votre patience.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
26,99 €Souris sans fil Microsoft Sculpt Comfort bluetooth à 26,99 €
Valable jusqu'au 04 Décembre

Amazon fait une promotion sur la souris sans fil Microsoft Sculpt Comfort bluetooth qui passe à 26,99 € livrée gratuitement au lieu de 34 €. Elégante, performante et ergonomique, cette souris sans fil Bluetooth vous offre la liberté dont vous avez besoin pour le travail et/ou le divertissement. Le ruban tactile latéral vous permettra d'accéder rapidement à vos fonctionnalités préférées de Windows (8 et 10).


> Voir l'offre
38,90 €Lego Technic 42107 Ducati Panigale V4 R à 38,90 €
Valable jusqu'au 04 Décembre

Amazon fait une superbe promotion sur le Lego Technic 42107 Ducati Panigale V4 R qui passe à 38,90 € livrée gratuitement. On la trouve ailleurs à 59,90 €. Une représentation de la célèbre Ducati Panigale V4 R à construire, explorer et exposer. Les fans de LEGO Technic et les amateurs de motos vont adorer ce superbe défi de construction.


> Voir l'offre
599,99 €Portable Dell Inspiron G3 (15 pouces, FullHD, Core i5, 8Go, SSD 512Go, GTX 1650) à 599,99 € (odr)
Valable jusqu'au 06 Décembre

RueDuCommerce fait une belle promotion sur l'ordinateur portable Dell Inspiron G3 3500-1317 qui passe à 699,99 € alors qu'on le trouve ailleurs à partir de 899 €. Or Dell rembourse actuellement 100 € pour l'achat de cet ordinateur qui vous reviendra à 599,99 € après remboursement. Cet ordinateur possède un écran 15 pouces Full HD IPS, un processeur Intel Core i5-10300H, 8 Go de RAM et un SSD de 512 Go ainsi qu'une une carte graphique dédiée GeForce GTX 1650 4 Go. Le tout tourne sous Linux mais vous pouvez installer Windows 10 si vous le voulez. Une très belle machine qui vous permettra de tout faire, même les jeux, en déplacement.


> Voir l'offre

Sujets relatifs
XP infecté par "security sphere 2012"
Laptop infecté par Security Shield 2012
pc infecté par xp antispyware 2012
Virus SECURITY SPHERE 2012 sur XP
Skype devenu fou ou pc infecté ?
Pc infécté, mot depasse volé. svp besoin d'aide.
PC infecté
PC infecté
A l'aide - PC infecté
Avira ou infecté ?
Plus de sujets relatifs à Mon PC est infecté par Sphere 2012
 > Tous les forums > Forum Sécurité