Reste de rogue.security schield ? [Résolu/Fermé]

Signaler
-
 Bigood23 -
Bonjour,

Ayant été infecté par rogue security schield, de la vrai m...de ce truc. Enfin après avoir

mis toute une nuit à l'effacer (pas complètement à croire) de mon système. Voila que à la

fin de tout ce remue ménage, il a contaminé teatimer.exe de spybot (fichier endommagé

ou illisible). Donc j'ai voulu le réinstaller mais c'est là que ça devient flippant. J'ai installé

spybot mais après l'installation il parvient pas à installé ses mise à jour.

J'ai avira comme anti-virus. J'ai fait un scan d'avira ainsi que malwares bit et spybot,

tout cela en mode sans échec. Rien de détecter.Aprés cela un coup de ccleaner pour les

"restes" mais rien ne fait il doit rester quelque chose de cette pourritures pour que spybot

puissent pas intaller ses mise à jour. Nouveauté à cet instant mon "nouveau" tea timer et

spybot destroy est endommagé et illisible. Je sais vraiment pas quoi faire. J'ai comme

l'impression qu'avira est une vrai daube, il n'a pas détecté ce rogue au départ puis là il

bloque pas les reste de cette m...de. :(

Si vous pouviez m'aidez je vous en serez reconnaissant.

Cordialement


8 réponses

Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 611
bonjour, je suis pas d'accord avec toi c'est pas antivir la daube mais plustôt spybot qui est lourd et ne protége pas très bien le pc !!!

si tu pouvais nous poster un zhpdiag pour voir si on y trouve des reste ??

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

et si problème : http://www.premiumorange.com/zeb-help-process/zhpdiag.html

tu vas en bas de la page et tu télécharges le premier tu et tu dézippes

ou lien direct http://www.moncompteur.com/compteurclick.php?idLink=18026

tu décompresses et tu lances !!


Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 611
bigood23 je viens de regarder ton rapport de zhpdiag il y a du travail pour nettoyer mais si tu fais ce qui sera demander on y arrivera !!

dans un premier temps tu fais zhpfix comme expliqué , tu passera ad-remover mode nettoyer , et puis tu posteras un nouveau zhpdiag de contrôle , merci

1) déactives la protection résidente de spybot pour pas qu'il nous bloque le fixe
quand tu le réactiveras possible qu'il te demande d'accepter ou pas les modifications il faudra les accepter toutes
pour t'aider au cas ou : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924



2) fais zhpfix comme expliqué

. Copie les lignes suivantes en GRAS


[MD5.B2E8C475FEE3ADA1120DE48010F41C27] - (.Freetvradio - Interest Recognizer for Freetvradio.) -- C:\Program Files (x86)\freeTVRadio\spointer\freetvradio_air.exe [1281696]
M2 - MFEP: prefs.js [toshiba - cu2zsk6t.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.9 (.http://www.cacaoweb.org/
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\toshiba\AppData\Roaming\cacaoweb\cacaoweb.exe
O4 - HKUS\S-1-5-21-824344259-3067612259-2740030525-1000\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\toshiba\AppData\Roaming\cacaoweb\cacaoweb.exe
[HKCU\Software\AppDataLow\AskToolbarInfo]
[HKCU\Software\AppDataLow\Software\AskToolbar]
[HKCU\Software\Ask.com]
[HKCU\Software\AskToolbar]
[HKCU\Software\Spointer]
[HKCU\Software\cacaoweb]
[HKCU\Software\freeTVRadio]
O43 - CFD: 29/11/2010 - 00:53:02 ----D- C:\Program Files (x86)\Ask.com
O43 - CFD: 21/10/2010 - 23:23:16 ----D- C:\Program Files (x86)\freeTVRadio
O43 - CFD: 24/10/2010 - 18:01:38 ----D- C:\Program Files (x86)\OfferBox
O44 - LFC:[MD5.5B43F0CF831FFDF1B223F65E11AB875E] - 28/12/2010 - 14:19:48 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\SysNative\rpcnetp.exe [17920]
O44 - LFC:[MD5.5B43F0CF831FFDF1B223F65E11AB875E] - 27/12/2010 - 07:03:55 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\rpcnetp.exe [17920]
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.cbid", "3O");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.crumb", "2010.11.29+06.43.28-toolbar005iad-FR-TGEgUm9jaGVsbGUsRnJhbmNl");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&o={o}&l={l}&qsrc={qsrc}");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.dtid", "VIN009YYFR");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.fresh-install", false);
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.l", "dis");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.last-config-req", "1293578737242");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.locale", "fr_FR");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.o", "16795");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.options-lang", "fr");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.options-locale", "UK");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.qsrc", "2871");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.r", "4");
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.to", "16795T");
O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Bing) - https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
MBRFix




. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport




3) passes AD-remover mode NETTOYER


Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )




4) poste un nouveau zhpdiag

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

bon, alors :

Voila le rapport ZHPFixReport :

Rapport de ZHPFix 1.12.3231 par Nicolas Coolman, Update du 27/12/2010
Fichier d'export Registre :
Run by toshiba at 29/12/2010 12:19:14
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Program Files (x86)\freeTVRadio\spointer\freetvradio_air.exe [1281696] => Fichier supprimé au reboot

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\AskToolbarInfo => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\AskToolbar => Clé supprimée avec succès
HKCU\Software\Ask.com => Clé supprimée avec succès
HKCU\Software\AskToolbar => Clé supprimée avec succès
HKCU\Software\Spointer => Clé supprimée avec succès
HKCU\Software\cacaoweb => Clé supprimée avec succès
HKCU\Software\freeTVRadio => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\toshiba\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-824344259-3067612259-2740030525-1000\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\toshiba\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Bing) - https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src=IE-SearchBox&FORM=IE8SRC => Donnée remplacée avec succès

========== Préférences navigateur ==========
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.cbid", "3O"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.crumb", "2010.11.29+06.43.28-toolbar005iad-FR-TGEgUm9jaGVsbGUsRnJhbmNl"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&o={o}&l={l}&qsrc={qsrc}"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.dtid", "VIN009YYFR"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.fresh-install", false); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.l", "dis"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.last-config-req", "1293578737242"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.locale", "fr_FR"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.o", "16795"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.options-lang", "fr"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.options-locale", "UK"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.qsrc", "2871"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.r", "4"); => Valeur supprimée avec succès
O69 - SBI: prefs.js [toshiba - cu2zsk6t.default] user_pref("extensions.asktb.to", "16795T"); => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\toshiba\Application Data\Mozilla\Firefox\Profiles\cu2zsk6t.default\extensions\cacaoweb@cacaoweb.org => Supprimé et mis en quarantaine
C:\Program Files (x86)\Ask.com => Fichier supprimé au reboot
C:\Program Files (x86)\freeTVRadio => Fichier supprimé au reboot
C:\Program Files (x86)\OfferBox => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\toshiba\appdata\roaming\cacaoweb\cacaoweb.exe => Supprimé et mis en quarantaine
c:\windows\sysnative\rpcnetp.exe => Fichier supprimé au reboot
c:\windows\system32\rpcnetp.exe => Fichier supprimé au reboot

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR

Disk trace:
error: Read Descripteur non valide
kernel: error reading MBR

Resultat après le fix :
Master Boot Record non infecté


========== Récapitulatif ==========
1 : Processus mémoire
7 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Dossier(s)
3 : Fichier(s)
15 : Préférences navigateur
1 : Master Boot Record


End of the scan


J'ai redémarrer le pc :

Scann avec ad-remover :

Il a rien trouvé.

Rapport ZHPDiag 2ème :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijm7XnUX1.txt
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

jacques.gache ? ensuite...
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 611
jacques.gache ? ensuite...


Hé HO !! ici c'est pas un super marché ,nous somme des bénévoles ok on est ici pour vous aider , mais nous avons une vie en dehors ce CCM donc pas la peinne de relancer , si on répond pas c'est que l'on est pas derrière le pc mais pas de problème dès que l'on revient nous avons les alertes comme quoi tu as répondu !!!
bon je regarde le nouveau zhpdiag et je reviens

ps notre amis run ferait mieux de s'occuper e son pc que de venir ici nous faire ch!!r !!!
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 611
bizare que ad-remover n'est rien trouvé pourrais tu me le posté , car vue le nouveau zhpdiag c'est comme si tu ne l'avais pas passé , je te delmandais le rapport dans la procédure , si tu veux de l'aide ok mais commence par faire ce qui est demandé sans plus ni moins , si tu veux faire joujou comme run et te promener avec tes problème OK tu le dis et tu cherches une autre personne pour te faire tourner en rond §§
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 611
bigood23, tu me postes le rapport de ad-remover, et puis tu posteras un nouveau zhpdiag , mais comme me le signalait nicolas coolman la version est pas bonne un petit bug dessus ?? mmdonc tu lances zhpdiag et puis tu cliques sur la flèche verte à gauche du tournevis , tu installes la dernière version , et tu le lances en cliquand sur la loupe , merci
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 611
ok comme tu veux si tu ne veux pas suivre ce que nous de donnons comme procédure , tu as raison formates mais le problème est que si tu formate dès le moindre problème tu risques de le faire souvant
perso j'attendais cela https://forums.commentcamarche.net/forum/affich-20324239-reste-de-rogue-security-schield#37
ps : formater (rire), j'achèterai un nouveau pc dés que je vois quelque chose de

suspect sur mon écran.

Bonne année.
Et voilou comme promis :)

http://www.cijoint.fr/cjlink.php?file=cj201012/cijCozYP9o.txt
"Hé HO !! ici c'est pas un super marché ,nous somme des bénévoles ok on est ici
pour vous aider , mais nous avons une vie en dehors ce CCM donc pas la peine
de relancer , si on répond pas c'est que l'on est pas derrière le pc mais pas de
problème dès que l'on revient nous avons les alertes comme quoi tu as répondu !!! "

"si tu veux de l'aide ok mais commence par faire ce qui est demandé sans plus ni moins , si tu veux faire joujou comme run et te promener avec tes problème OK tu le dis et tu cherches une autre personne pour te faire tourner en rond §§"

....whaa comment tu prend la mouche si vite, pas de soucis, il est vrai que

j'aurais dû formuler ça comme ça :

jacques.gache c'est quand tu veux que tu réponds , tu saoules j'attends comme un kon, mon problème n'est toujours pas résolu, tu t'y connais en informatique ou quoi ?

enfin... (ironique hein)

le "jacques.gache ? ensuite..."

comme quoi un mot fait assez mal.Tu aurais pû répondre même dans une

semaine , cela ne m'aurait pas déranger. Je suis patient.Ça n'avait rien de

méchant mais bon.

Merci pour ton aide au début, pour le reste, je vais me débrouiller tout seul.

Sur ce bonne soirée à toi.

Cordialement.