Bonjour à tous !


je ne connaissais même pas l'existence de ce forum il y a une heure en arrière mais je cherche une solution suite à une attaque virale de "système protection progressive" qui a eu lieu hier soir alors que j'étais sur internet. Je pensais pouvoir aller sur internet en toute sécurité car j'ai installé un logiciel "powerbundle" comprenant entre autres un anti-virus nommé adavanced system protector....que je pensais efficace . bref, j'ai lu sur le forum quelques expériences d'autres personnes et j'avoue que mon cas semble parfaitement similaire.....c'est pourquoi je me suis inscrit car je ne suis pas spécialement porté sur l'informatique (mon métier c'est les cheminées, les poêles à bois, à granules, etc ! si quelqu'un a besoin de conseil....je serais heureux de pouvoir aider à mon tour !) et je peine à résoudre complètement ce type de problème.

Voici ce que j'ai réalisé : comme j'ai un second PC, j'ai mis sur une clé USB Roguekiller 8.3.2 que j'ai ensuite installé sur mon pc infecté , ce qui m'a permis de récupérer la plupart des fonctions du PC. J'ai ensuite fait une analyse rapide avec Malwarebytes anti-malware 1.65.1.1000 qui a trouvé une petite dizaine de virus, que j'ai bien sûr supprimé. voici le rapport :
Malwarebytes Anti-Malware 1.65.1.1000
http://www.malwarebytes.org

Version de la base de données: v2012.12.11.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
utilisateur :: PC-DE-UTILISATE [administrateur]

11/12/2012 10:14:21
mbam-log-2012-12-11 (10-14-21).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 201512
Temps écoulé: 4 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Savings Sidekick (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 2
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 11
C:\ProgramData\643FA82DEC5F3EC50000643F43F94966\643FA82DEC5F3EC50000643F43F94966.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\Savings SidekickInstaller.log (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\ButtonUtil.dll (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\Savings Sidekick-bg.exe (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\Savings Sidekick.exe (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\Savings Sidekick.ico (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\Savings Sidekick.ini (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Savings Sidekick\Uninstall.exe (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisateur\Local Settings\Application Data\Savings Sidekick\Chrome\Savings Sidekick.crx (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\utilisateur\AppData\Local\Savings Sidekick\Chrome\Savings Sidekick.crx (PUP.CrossRider.SSK) -> Mis en quarantaine et supprimé avec succès.

(fin)

j'ai ensuite fait une analyse complète, et il a trouvé encore un virus que j'ai également supprimé. voici le rapport de cette analyse complète :
Malwarebytes Anti-Malware 1.65.1.1000
http://www.malwarebytes.org

Version de la base de données: v2012.12.11.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
utilisateur :: PC-DE-UTILISATE [administrateur]

11/12/2012 15:08:13
mbam-log-2012-12-11 (15-08-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 327737
Temps écoulé: 46 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\utilisateur\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\611383cb-54b5a30f (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.

(fin)
Enfin j'ai téléchargé le fichier ZHPDIAG et vous trouver le rapport sur le lien http://cjoint.com/?3Lls2pZyQoL

voici les problèmes qui persistente sur mon PC :

1 - mon antivirus se retouve à présent dans les programmes de démarage bloqués et ne se lance plus automatiquement
2- quand je vais sur internet, la page google s'affiche correctement mais lorsque je vais ensuite sur un site l'ordinateur se met à ramer et ne se connecte pas.

merci de votre aide

Bonjour malfidron et bienvenue sur libellules.ch

Je vais prendre ton sujet en charge, la désinfection devra être suivie jusqu'à ce que le PC soit propre.

Pour plus de lisibilité sur le forum les rapports demandés devront être postés (si il y a plusieurs) en lien et dans la même réponse en utilisant cet hébergeur de fichiers

Avant de faire quoi que ce soit on va faire un audit de ton PC

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

• Télécharge ZHPDiag (de Nicolas coolman)
  
  
  
• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Trois icônes seront crées sur le bureau lors de son installation
  
  
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur le bouton Tournevis (Options)
• Coche toutes les cases sauf celle devant :
  
  
  • Derniers fichiers créés dans Windows Prefetcher (045)
  • Derniers fichiers modifiés ou crées (Utilsateur) (061)
  • Alternate Data Stream File (062)
• Clique en haut à gauche sur la loupe
  
  
  
• Laisse le scan se dérouler.
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien dans ta réponse utilise cet hébergeur de fichiers :

• Clique sur Parcourir et va jusqu'au rapport qui a été sauvegardé
  
  
  
  
  
• Clic gauche dessus clique ensuite sur Ouvrir
• Limite le temps de téléchargement à quatre jours
• Clique ensuite sur Créer le lien joint
• Une fois l'upload fini un lien apparaît clic droit dessus choisis Copier dans le menu
  
  
  
• Colle le lien dans ta prochaine réponse

Poste aussi le rapport de RogueKiller en lien

Note : Tu as deux rapports à poster

bonjour Lenapache,

merci de prendre en charge mon dossier.

Le fichier transmis hier zhpdiag est-il incorrect : http://cjoint.com/?3Lls2pZyQoL

Pour ce qui est du rapport Roguekiller, est ce que je dois essayer de retrouver le 1er rapportsuite à la

fausse manipulation....je termine ma phrase : Pour ce qui est du rapport Roguekiller, est ce que je dois essayer de retrouver le 1er rapport suite à la désinfection (je pense que je ne l'ai pas conservé) ou bien puis-je refaire un nouveau scan avec roguekiller et vous le transmettre ?

merci

j'ai retrouvé le 1er rapport roguekiller : http://cjoint.com/?BLmjZy6kmti

voici celui effectué ce matin : http://cjoint.com/?3Lmj03pqSva

merci encore de ton aide

Bonjour malfidron

Le rapport de RogueKiller posté ce matin ne montre plus de traces d'infection par le rootik ZeroAccess par contre il a encore une sacrée rougeole.

Procédure à suivre en entier

Tous les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers


AdwCleaner Suppression

Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs

• Double clique sur AdwCleaner.exe qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  Clique sur Suppression
  
  
• Laisse l'outil travailler
• Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
• Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Nouveau scan ZHPDiag

Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as deux rapports à poster

merci lepanache

voici les deux rapports : http://cjoint.com/?3LmooCWT9p4

et


http://cjoint.com/?3Lmopt7RD2B

je constate ce jour une amélioration de mes acces internet, mais j'ai toujours le problème résiduel que mon anti virus "advanced system protection" reste bloquer au démarage. cela affiche le message "echec de l'initialisation de l'application : 0x80070006. descripteur non valide" lorsque je veux afficher les programmes bloqués au démarage.

Dis moi si la rougeole va mieux ?

Elle va mieux la rougeole mais il y a encore des séquelles.

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
• Sur la page qui s'ouvre clic droit et Tout sélectionner
• Refais un clic droit et Copier
• Double clique sur qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
• Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
  
  
  
• Clique sur Go
• Confirme le nettoyage des données si demandé
  
  
  
• Patiente le temps du traitement
• Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

Nouveau scan ZHPDiag

Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as deux rapports à poster

Bonjour Lepanache,

merci encore de ton aide. voici les 2 rapports :

http://cjoint.com/?3Lnl7nBFCeT POUR LE RAPPORT ZHPFix

http://cjoint.com/?3Lnl46IyIki POUR LE RAPPORT ZHPDiag

Lepanache,

Je viens de m'apercevoir que mon logiciel "Powerbundle" ne fonctionne plus et que mon anti virus "advanced system protection" n'existe plus depuis l'exécution de ZHPFix. Seul reste actif Regclean pro.....Dois je procéder à la réinstallation des logiciels Powerbundle et advanced system protection ?

merci

Bonjour malfidron

Reglclean pro c'est un Rogue désinstalle le quant à advanced system protection ce n'est pas un antivirus c'est un fake on en installera un véritable.

Je vais te faire passer un autre scan pour vérifier l'état de certains services.

Farbar Service Scanner

Télécharge Farbar Service Scanner Farbar Service Scanner sur le bureau

• Vérifie que les options ci-dessous sont cochées:
  
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center
  • Windows Update
  • Windows Defender
• Clique sur Scan
  
  
  
• Un rapport d'analyse (FSS.txt) va etre généré dans le dossier où se trouve FSS.exe.
• Fait un copier/coller de ce rapport d'analyse dans ta prochaine réponse réponse.

Bonjour Lepanache,

je tombe de haut en lmisant ton message ....

Je viens donc de désinstaller reg pro et voici le rapport de FSS :

Farbar Service Scanner Version: 10-12-2012
Ran by utilisateur (administrator) on 14-12-2012 at 13:34:27
Running from "C:\Users\utilisateur\Desktop"
Windows Vista (TM) Business Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking LEGACY_MpsSvc: ATTENTION!=====> Unable to open LEGACY_MpsSvc\0000 registry key. The key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking LEGACY_bfe: ATTENTION!=====> Unable to open LEGACY_bfe\0000 registry key. The key does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\windows\system32\nsisvc.dll => MD5 is legit
C:\windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\windows\system32\dhcpcsvc.dll => MD5 is legit
C:\windows\system32\Drivers\afd.sys => MD5 is legit
C:\windows\system32\Drivers\tdx.sys => MD5 is legit
C:\windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\windows\system32\dnsrslvr.dll => MD5 is legit
C:\windows\system32\mpssvc.dll => MD5 is legit
C:\windows\system32\bfe.dll => MD5 is legit
C:\windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\windows\system32\SDRSVC.dll => MD5 is legit
C:\windows\system32\vssvc.exe => MD5 is legit
C:\windows\system32\wscsvc.dll => MD5 is legit
C:\windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\windows\system32\wuaueng.dll => MD5 is legit
C:\windows\system32\qmgr.dll => MD5 is legit
C:\windows\system32\es.dll => MD5 is legit
C:\windows\system32\cryptsvc.dll
[2012-10-10 02:32] - [2012-06-02 01:02] - 0133120 ____A (Microsoft Corporation) F1E8C34892336D33EDDCDFE44E474F64

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\windows\system32\svchost.exe => MD5 is legit
C:\windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

Bonjour malfidron

Il y avait un rootkit ZeroAccess sur ce PC et il a fait du dégât en supprimmant certains services mais, avant de les réparer refais un scan avec RogueKiller poste ensuite son rapport. Je veux être certain qu'il n'y aie plus de traces du rootkit

Bonjour Lepanache,

en espérant qu'on s'en est débarassé....

voici le lien pour le rapport : http://cjoint.com/?3LqsnxIvNwF

à bientôt,

Bonjour Lepanache,

je n'ai pas eu de réponse de ta part à mon dernier envoi.....peut-être es-tu en congés pendant ces fêtes de fin d'années ? si c'est le cas, passe de bonnes fêtes et j'attends ton contact en début d'année 2013 pour savoir si on en a fini avec la santé de mon PC.

merci encore le travail déjà réalisé !

à bientôt.