supprimer sécurity shield Résolu/Fermé

Question

Bonjour à tous, 

Comme plusieurs d'entre vous, me voici " infecter " du virus sécurity shield . J'ai un second pc , ce qui me permet de venir m'informer sur la méthode pour supprimer ce virus. Je ne sais plus rien ouvrir, pas d'internet, pas de messagerie outlook, j'ai télécharger Adware et je l'ai installer mais je ne sais pas l'ouvrir, idem pour le ptit programme ZHPDiag .... pourriez vous me donner un ptit coup de main SVP .... 
Merci bcp 



<config>Windows XP /

Malekal_morte- · Accepted Answer

Salut,

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici  

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

amateur001 · Answer

Salut, 
je viens de telecharger sur une clé usb le ptit programme, puis j'essaye de l'installer sur mon pc je vais le rechercher sur ma clé, je dble clic dessus pour commencer l'installation et à chaque clic, un message de security shield apparait et je sais rien faire du tout .

Malekal_morte- · Answer

Mets le sur ton bureau et lance le en mode sans échec...
Voir fin du message.

amateur001 · Answer

J'ai renomer le fichier, mais je sais pas l'ouvrir car il me demande quel programme je veux utiler pour l'ouvrir ...

Malekal_morte- · Answer

Mets le sur ton bureau et lance le en mode sans échec... 
Voir fin du message.

amateur001 · Answer

J'ai lancé le mode sans échec, j'ai pu ouvrir combofix, voici le compte rendu !

ComboFix 10-12-26.01 - Propriétaire 27/12/2010  16:42:30.1.1 - x86 NETWORK
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.32.1036.18.511.360 [GMT 1:00]
Lancé depuis: F:\ComboFix.exe
AV: avast! Internet Security *Enabled/Up
FW: avast! Internet Security *Enabled
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Propriétaire\Application Data\ACD Systems\ACDSee\ImageDB.ddf
c:\documents and settings\Propriétaire\Application Data\Microsoft\conhost.exe
c:\documents and settings\Propriétaire\Application Dataktpsj
c:\documents and settings\Propriétaire\Application Dataktpsj\voqyx.exe
C:\LOG15.tmp
c:\program files\Search Settings
c:\program files\Search Settings\kb126\SearchSettings.dll
c:\program files\Search Settings\SearchSettings.exe
c:\windows\system32\Oeminfo.ini

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-11-27 au 2010-12-27  ))))))))))))))))))))))))))))))))))))
.

2010-12-27 14:09 . 2010-12-27 14:09	--------	d-----w-	C:\## aswSnx private storage
2010-12-27 14:00 . 2010-12-27 14:00	--------	d-----w-	c:\program files\Lavasoft
2010-12-27 14:00 . 2010-12-27 14:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2010-12-27 13:57 . 2010-12-27 14:08	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{589802B2-1BF3-4609-9ADE-CF6E6608D06D}
2010-12-26 23:03 . 2010-12-27 14:13	--------	d-----w-	c:\program files\ZHPDiag
2010-12-26 22:01 . 2010-12-26 22:01	138752	----a-w-	c:\documents and settings\Propriétaire\Application Data\dwm.exe
2010-12-26 22:00 . 2010-12-26 22:00	195072	----a-w-	c:\documents and settings\Propriétaire\Local Settings\Application Data\pvxkhhwymb.exe
2010-12-16 19:18 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache
dproxy.sys
2010-12-16 19:18 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-18 18:12 . 2008-01-15 09:08	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2004-08-05 13:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-05 13:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-05 13:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2004-08-05 13:00	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2004-08-05 13:00	40960	----a-w-	c:\windows\system32\drivers
dproxy.sys
2010-10-28 13:14 . 2004-08-05 13:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:07 . 2004-08-05 13:00	1853440	----a-w-	c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\snxPluginsShell]
@="{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}"
[HKEY_CLASSES_ROOT\CLSID\{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}]
2010-09-07 15:14	152160	----a-w-	c:\program files\Alwil Software\Avast5\snxPlugins.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-04 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-1-20 114688]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2009-6-6 40960]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfcCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxs08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqfxt08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgm.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgh.exe"=
"c:\Program Files\HP\HP Software Update\HPWUCli.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=

R0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\drivers\aswNdis.sys [28/02/2010 10:26 12112]
R0 aswNdis2;avast! Firewall Core Firewall Service;c:\windows\system32\drivers\aswNdis2.sys [28/02/2010 10:26 190416]
R1 aswFW;avast! TDI Firewall driver;c:\windows\system32\drivers\aswFW.sys [28/02/2010 10:26 99792]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [28/02/2010 10:26 340048]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [31/03/2008 19:08 165584]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [31/03/2008 19:08 17744]
S2 avast! Firewall;avast! Firewall;c:\program files\Alwil Software\Avast5\afwServ.exe [28/02/2010 10:26 119200]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/01/2010 17:36 135664]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys --> c:\windows\system32\Drivers\ANDROIDUSB.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 16:36]

2010-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 16:36]

2010-12-27 c:\windows\Tasks\User_Feed_Synchronization-{290386D5-AF8B-44B9-AE41-622C777E4F77}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.be/search?q=www.google.be&rls=com.microsoft:fr-be:IE-SearchBox&ie=UTF-8&oe=UTF-8&sourceid=ie7&rlz=1I7GGLL_fr
uInternet Settings,ProxyServer = http=127.0.0.1:60545
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/mygarmin/m/GarminAxControl.CAB
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
HKCU-Run-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe
HKLM-Run-conhost - c:\documents and settings\Propriétaire\Application Data\Microsoft\conhost.exe
SafeBoot-Lavasoft Ad-Aware Service
AddRemove-hp deskjet 5550 series - c:\program files\hp deskjet 5550 series\hpfiui.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-27 16:50
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2010-12-27  16:54:28
ComboFix-quarantined-files.txt  2010-12-27 15:54

Avant-CF: 16.948.781.056 octets libres
Après-CF: 19.353.403.392 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 828073D77CC487926EE267F30FB97071

Malekal_morte- · Answer

* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l'onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l'utilisation du proxy s'il est coché.

Supprime ces deux fichiers :
c:\documents and settings\Propriétaire\Application Data\dwm.exe 
c:\documents and settings\Propriétaire\Local Settings\Application Data\pvxkhhwymb.exe 

Tu peux faire une recherche sur les noms de fichiers, si tu les trouves pas.


Quand c'est fait, redémarre en mode normal et vois ce que cela donne.

amateur001 · Answer

je parviens pas a trouver les fichiers .... j'ai essayé aussi avec la recherche windows .... comment je peux faire pour les trouver ?

Malekal_morte- · Answer

Affiche les fichiers cachés/systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Poste de travail =>  disque C => Documents And Settings => Propriétaire => Application Data => clic droit supprimer sur dwm.exe

Poste de travail =>  disque C => Documents And Settings => Propriétaire => Local Setting => Application Data => clic droit supprimer sur  pvxkhhwymb.exe

amateur001 · Answer

Voilà, c'est fait ! je viens de redémarrer, apparemment, tout est ok ! 
Un tout grand merci d'avoir consacré un peu de temps pour m'aider ....

MERCI BCP

Malekal_morte- · Answer

:)

Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :

https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14

https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9

Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :

https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen

https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

amateur001 · Answer

Merci pour tes conseils...
Je vais aller faire un ptit tour sur les différents sites que tu me proposes.
Bonne soirée et encore merci.

Malekal_morte- · Answer

Bonne soirée :)

Supprimer sécurity shield

13 réponses

Discussions similaires

Newsletters