> Tous les forums > Forum Sécurité
 Supprimer System Progressive Protection
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Neozero
  Posté le 15/10/2012 @ 01:31 
Aller en bas de la page 
Nouvelle astucienne

Bonjour,

Avant tout merci d’avance pour votre aide et pour le super-boulot que vous faites !! {#}

Ma fille, qui est en séjour d’étude à l’Etranger, a infecté son ordinateur avec System Progressive Protection. Son PC est sous Vista. L’accès à internet était bloqué ainsi que l’accès à la plupart des programmes et fichiers. Comme nous ne sommes pas dans le même pays, j’ai essayé de l’aider à distance avec l’aide d’une amie. Voici ce que nous avons fait jusqu’ici :

1) Démarrage en mode sans échec : ce qui a rendu possible l’accès à certaines commandes et à internet.

2) Tentative de supprimer le virus via l’invite de commande, à deux reprises : échec. Dans le répertoire, plusieurs programmes se présentaient sous la forme d’une série de chiffres et de lettres, ce qui selon notre amie signifiait qu’il s’agissait de Virus. Nous avons tenté de supprimer le programme sous forme de chiffres et de lettres dont la date correspondait à l’apparition du virus. Echec. Après cette tentative, la date de ce programme avait changé : la date et l’heure correspondait au moment où nous avons tenté de supprimer le programme. Deuxième tentative : échec. Nous nous servons néanmoins de l’invite de commande pour vérifier si le virus est toujours présent dans le pc.

3) Tentative de supprimer le virus avec RogueKiller, toujours en mode sans échec, à deux reprises : échec. 1ère tentative : scan + supprimer + rapport ; le scan a été extrèmement rapide et nous avons vu dans l’invite de commande que le virus était toujours là. 2ème tentative : nous avons exécuté RogueKiller par clic droit, puis exécuter en tant qu’administrateur, puis scan, puis supprimer, puis rapport. Nous avons vu dans l’invite de commande que le virus était toujours là.

4) Nous avons tenté de désactiver le virus via exécuter / msconfig, toujours en mode sans echec : le virus n’était pas présent dans ce répertoire.

5) Nous avons télécharger Pre_Scan toujours en mode sans échec. Nous avons lancé un scan avec Pre_Scan. En début de scan Pré_Scan nous a proposé de supprimer un proxy. Dans le doute, ma fille a accepté.

1ER RAPPORT DE ROGUEKILLER :

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-1...ntees.html

Website: http://www.sur-la-toile.com/RogueKiller/

Blog: http://tigzyrk.blogspot.com/

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : marie-lu [Droits d'admin]

Mode : Suppression -- Date : 14/10/2012 19:26:49

¤¤¤ Processus malicieux : 1 ¤¤¤

[SVCHOST] svchost.exe -- C:\Windows\System32\svchost.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 1 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:58586) -> NON SUPPRIMÉ, UTILISER PROXY RAZ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-1236771797-2749721321-719092745-1000\$9c84af84e44c6c157270cc01f2a5e7c8\n --> SUPPRIMÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1236771797-2749721321-719092745-1000\$9c84af84e44c6c157270cc01f2a5e7c8\@ --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 ATA Device +++++

--- User ---

[MBR] 7b6149fb4480f97464b9f2a51af8f544

[BSP] 66daa8cc4877d14a19bed18ca62c6566 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 142381 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

2ème RAPPORT DE ROGUEKILLER :

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-1...ntees.html

Website: http://www.sur-la-toile.com/RogueKiller/

Blog: http://tigzyrk.blogspot.com/

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : marie-lu [Droits d'admin]

Mode : Suppression -- Date : 14/10/2012 19:41:14

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:58586) -> NON SUPPRIMÉ, UTILISER PROXY RAZ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 ATA Device +++++

--- User ---

[MBR] 7b6149fb4480f97464b9f2a51af8f544

[BSP] 66daa8cc4877d14a19bed18ca62c6566 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 142381 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

RAPPORT DE PRE_SCAN :

http://cjoint.com/data3/3JowBPGdZF8.htm

Nous avons refait un scan/suppression/rapport avec RogueKiller. Voici le rapport :

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-1...ntees.html

Website: http://www.sur-la-toile.com/RogueKiller/

Blog: http://tigzyrk.blogspot.com/

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : marie-lu [Droits d'admin]

Mode : DNS RAZ -- Date : 14/10/2012 23:12:21

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

Termine : << RKreport[20].txt >>

RKreport[10].txt ; RKreport[11].txt ; RKreport[12].txt ; RKreport[13].txt ; RKreport[14].txt ;

RKreport[15].txt ; RKreport[16].txt ; RKreport[17].txt ; RKreport[18].txt ; RKreport[19].txt ;

RKreport[1].txt ; RKreport[20].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ;

RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt

Nous avons redémarré le pc en mode normal et ça semble fonctionner

Nous avons refait un scan/suppression/rapport avec RogueKiller, mais cette fois en mode normal. Voici le rapport :

RogueKiller V8.1.1 [03/10/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-1...ntees.html

Website: http://www.sur-la-toile.com/RogueKiller/

Blog: http://tigzyrk.blogspot.com/

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : marie-lu [Droits d'admin]

Mode : Suppression -- Date : 14/10/2012 23:25:25

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[75] : NtCreateSection @ 0x82278E35 -> HOOKED (Unknown @ 0x8B47E196)

SSDT[289] : NtSetContextThread @ 0x822DA10B -> HOOKED (Unknown @ 0x8B47E19B)

SSDT[334] : NtTerminateProcess @ 0x82238173 -> HOOKED (Unknown @ 0x8B47E137)

S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8B47E1A0)

S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8B47E1A5)

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 ATA Device +++++

--- User ---

[MBR] 7b6149fb4480f97464b9f2a51af8f544

[BSP] 66daa8cc4877d14a19bed18ca62c6566 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 142381 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[23].txt >>

RKreport[10].txt ; RKreport[11].txt ; RKreport[12].txt ; RKreport[13].txt ; RKreport[14].txt ;

RKreport[15].txt ; RKreport[16].txt ; RKreport[17].txt ; RKreport[18].txt ; RKreport[19].txt ;

RKreport[1].txt ; RKreport[20].txt ; RKreport[21].txt ; RKreport[22].txt ; RKreport[23].txt ;

RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ;

RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt

Ensuite nous avons tenté de nettoyer avec Slowin' Cleaner.

Plantage en cours de nettoyage. Il ne restait plus que la souris et le fond d'écran.

Nous avons éteint et redémarré en mode sans echec.

Nous avons tenté un nettoyage avec Slowin' Cleaner en mode sans echec : même bug : plus que la souris et le fond d'écran.

Nous avons redémarré en mode normal pour voir ce qui se passe. Tout semble fonctionner.

Redémarrage en mode sans échec. Nous avons tenté de supprimer le virus via l'invite de commande. Echec.

Nous avons fait un scan avec Malwarebytes Anti-Malware en mode sans echec. Voici le rapport :

Malwarebytes Anti-Malware 1.65.0.1400

http://www.malwarebytes.org

Version de la base de données: v2012.10.14.08

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 9.0.8112.16421

marie-lu
PC-DE-MARIE-LU [administrateur]

15/10/2012 00:33:45

mbam-log-2012-10-15 (00-33-45).txt

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 193568

Temps écoulé: 3 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1

HKLM\System\CurrentControlSet\Servises (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

(fin)

Dans l'invite de commande nous voyons que le virus est toujours là

Publicité
Neozero
 Posté le 15/10/2012 à 01:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Nous avons refait un scan – mais complet au lieu de rapide- avec Malwarebytes Anti-Malware en mode sans echec. Il a supprimé un accès trojan que Pre_Scan avait mis en quarantaine mais n’avait pas supprimé.

Rapport du scan complet de Malwarebytes Anti-Malware :

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org

Version de la base de données: v2012.10.14.08

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 9.0.8112.16421

marie-lu
PC-DE-MARIE-LU [administrateur]

15/10/2012 00:52:30

mbam-log-2012-10-15 (00-52-30).txt

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 321079

Temps écoulé: 47 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1

C:\Pre_Scan\Quarantine\C'_Users_marie-lu_AppData_Local_Temp_msimg32.dll.P_S (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.

(fin)

Mais dans l’invite de commande, le virus apparaît toujours…

eliot3
 Posté le 15/10/2012 à 06:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour Neozero,

Il est préférable d'attendre qu'un helper vous prenne en charge car ZeroAccess est particulièrement virulent. Ne prenez plus d'initiatives personnelles sinon que de faire ceci :

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Si vous avez ouvert un sujet sur autre forum, merci de le préciser au helper.

Neozero
 Posté le 15/10/2012 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Bonjour Eliot !

Merci pour ta réponse

Ok, on attend l'aide d'un helpeur.

Avant d'ouvrir un sujet ici nous avions ouvert un sujet sur un autre forum d'entr'aide, mais pas encore de réponses pour l'instant. C'est ici :

http://www.security-helpzone.com/Thread-System-Progressive-Protection-Tentatives-de-suppression?pid=6452#pid6452

Neozero
 Posté le 15/10/2012 à 17:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Re-bonjour !

Alors nous avons suivi les recommandations d'Eliot et avons fait toutes les étapes figurant sur son lien que nous n'avions pas encore faites :

Adcleaner n'a rien trouvé. Malheureusement ma fille l'a supprimé ensuite et nous n'avons pas le rapport.

Rapport de ZHPDiag ici :

http://cjoint.com/data3/3JprcbwGUep.htm

Il a trouvé des "Trojan Driver Search Data" c'est inquiétant ?

Sinon sur le forum de Securuty HelpZone Saachaa pense que nous sommes débarassées du virus. Comme il ne nous demande pas de faire les dernières étapes diagnostic que vous recommandez, je vous demande votre avis pour confirmation -mais sans remettre en cause les compétences de Saachaa qui nous a bien aidé bien sur- c'est juste que nous sommes un peu traumatisées par cette infection qui a causé bien des soucis

Pouvez-vous nous dire si tout est ok ?

Merci d'avance pour votre aide !!!

nardino
 Posté le 15/10/2012 à 17:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

image tdsskiller.zip de Kaspersky

image Décompresse l'archive et place TDSSKiller.exe sur le Bureau.
Fais un double clic sur l'icône pour le lancer.

image

Cet écran s'affiche, clique sur Change parameters

image

L'écran Settings de TDSSKiller s'affiche

image Coche la case devant Loaded modules ce qui ouvre un message, clique sur le bouton Reboot now pour provoquer un redémarrage du PC .

image

TDSSKiller va se lancer automatiquement après ce redémarrage, et le PC peut alors sembler être très lent et inutilisable.
Attends que l''écran de TDSSKiller s'affiche.

image Clique sur image

image Coche toutes les cases, comme ceci :

image

image Clique sur le bouton OK et clique sur Start scan dans la page principale pour lancer l'analyse.

image

image Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes) :

1- Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer :

image

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip.
Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

2- Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laisse l'action à entreprendre sur Skip:

image

image Ensuite clique sur le bouton image, un redémarrage est nécessaire :

Clique sur Reboot computer image

Envoie le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:
Poste le plus récent, tu devrais en voir deux.

image

@+

Marie-lu
 Posté le 15/10/2012 à 20:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Je suis la fille en détresse ! Alors j'ai fait le scan avec TDSSKiller, c'est allé très vite et il a rien trouvé. Voilà le rapport : http://cjoint.com/data3/3JpukI4fkAW.htm

nardino
 Posté le 15/10/2012 à 23:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir

Pourquoi ne pas continuer avec Saacha sur l'autre forum ?

@+

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
System Progressive Protection : comment supprimer?
System Progressive Protection
VIRUS SYSTEM PROGRESSIVE PROTECTION
Rogue system progressive Protection
Infection par System Progressive Protection
System Progressive Protection
system progressive protection
Infection par system progressive Protection
supprimer proprement "advance system protector"
supprimer advanced system protector
Plus de sujets relatifs à Supprimer System Progressive Protection
 > Tous les forums > Forum Sécurité