Personal Shield

gaetarm Messages postés 18 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à toutes et à tous,

J'ai depuis cette après-midi, un "virus" sur mon pc, qui est personal shield..
Une fenêtre s'est ouverte avec un son d'alarme me disant que j'étais infecté ect ect.
Cette fenêtre est resté en premier page longtemps avant de disparaitre..

J'ai vu que quelqu'un avait deja eu ce problème, et j'ai essayé de suivre les indications, mais il m'est impossible d'installer quoi que ce soit, car une petite fenêtre s'ouvre en bas (elle vient de personal shield) et m'indique que ce n'est pas possible (en anglais)

Pouvez vous m'aider ?

Merci beaucoup d'avance, Gaëtan

19 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    arf.

    1/
    Démarrer Windows en « mode sans échec »

    - Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec avec prise en charge réseau
    - Vous naviguez dans le menu jusqu'à l'option « Mode sans échec avec prise en charge réseau» grâce aux flèches de direction.
    - Validez avec la touche Entrée.
    Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.

    _____________________________

    2/
    ▶ Télécharge sur le bureau RogueKiller (par tigzy)

    ▶ ▶ Sous Windows XP, double clic gauche

    ▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur

    ▶ Quitte tous tes programmes en cours
    ▶ Lance RogueKiller.exe.
    ▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
    ▶ ▶ 1. Scan (écrit en vert)
    ▶ ▶ 2. Delete (écrit en rouge)
    ▶ ▶ 3. Hosts RAZ (écrit en rouge)
    ▶ ▶ 4. Proxy RAZ (écrit en rouge)
    ▶ ▶ 5. DNS RAZ (écrit en rouge)
    ▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
    A ce moment tape 2 et valide
    Note: s''il te demande de supprimer le proxy, tape 4
    ▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
    ▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
    Tape 6, valide, et poste RKReport2
    2
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Yop :)
    Met le rapport de pre_scan chez cijoint et donne moi le lien ;)
    1
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    wouaaaaaaaah me le faut ton security shiel, pinaize :D tu m'le loue ? \o/

    fais glisser une icone de ton bureau sur pre_scan, pre_script va apparaître
    copie ce texte (sans les lignes)
    __________________________________
    Processes::
    ApplicationUpdater.exe
    widestream6_air.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ""=-
    "SearchSettings"=-

    files::
    C:\ProgramData\oWwC3bqkHw.pspro
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
    C:\Users\Gaëtan\AppData\Local\iztffalg_navps.dat
    C:\Users\Gaëtan\AppData\Local\iztffalg.dat
    C:\Users\Gaëtan\AppData\Local\iztffalg_nav.dat
    C:\ProgramData\SPL48F8.tmp
    C:\ProgramData\SPL5E60.tmp

    folder::
    C:\Program Files\Common Files\Spigot\Search Settings
    C:\Users\Gaëtan\AppData\Roaming\OfferBox
    C:\Program Files\Widestream6
    C:\Users\Gaëtan\AppData\Roaming\live-player
    C:\Users\Gaëtan\AppData\Roaming\widestream
    C:\ProgramData\Trymedia
    C:\ProgramData\Viewpoint
    C:\Users\Gaëtan\AppData\Local\Conduit
    C:\Users\Gaëtan\AppData\Local\widestream6 Air
    C:\Program Files\Common Files\Spigot
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Internet Security

    Driver::
    Application Updater

    txt::
    C:\Users\Gaëtan\AppData\Local\AtStart.txt

    attrib::

    __________________________________
    Lance pre_script, colle le texte
    fichier>enregistrer
    ferme le fichier texte
    poste le résultat

    =================================================

    2/
    Ton pc présente diverses infections Adwares.
    CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/

    Télécharge de AD-Remover sur ton Bureau. (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Scanner »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l''outil.
    ▶ Quand il a fini, un rapport s'ouvrira : ferme le.

    ♦ Pour me transmettre le rapport

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    .::. Contributeur Sécurité .::.
    1
  4. gaetarm Messages postés 18 Statut Membre
     
    Personne pour m'aider ? Je ne peux ouvrir aucun logiciel.....

    merci, Gaetan
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. G-fusion Messages postés 102 Statut Membre
     
    j'ai précisément le même problème :-((
    0
  7. gaetarm Messages postés 18 Statut Membre
     
    Voici l'adresse du lien: http://www.cijoint.fr/cjlink.php?file=cj201106/cijtp64dEx.txt

    Merci :)
    0
  8. gaetarm Messages postés 18 Statut Membre
     
    Qu'entends tu par "faire glisser un icone sur pre_scan" ? Quel icone ? Et sur le pre_scan que l'on a renommé ?

    Merci beaucoup, je ne suis pas très doué en info...
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      tu prends par exemple l'icône d'internet explorer, tu la fais glisser sur le pre_Scan que tu as renommé oui et pre_script va s'installer :) magieeeeeeeeee :D
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      attends un peu je vais ajouter des choses au script :p
      0
    3. gaetarm Messages postés 18 Statut Membre
       
      J'ai essayé avant que tu me dises d'attendre, mais ca n'a rien fait... :(
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      voilà tu peux y aller :)
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      comment ça n'a rien fait ?
      0
  9. gaetarm Messages postés 18 Statut Membre
     
    RogueKiller V5.2.3 [16/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Gaëtan [Droits d'admin]
    Mode: Suppression -- Date : 22/06/2011 00:16:04

    Processus malicieux: 0

    Entrees de registre: 5
    [SUSP PATH] HKCU\[...]\Run : iztffalg ("c:\users\gaëtan\appdata\local\iztffalg.exe" iztffalg) -> DELETED
    [BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
    [SUSP PATH] HKCU\[...]\Run : oWwC3bqkHw.pspro (C:\ProgramData\oWwC3bqkHw.pspro --run) -> DELETED
    [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\nviwya.exe -> DELETED
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      option 6 désormais :)
      0
  10. gaetarm Messages postés 18 Statut Membre
     
    RogueKiller V5.2.3 [16/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Gaëtan [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 22/06/2011 00:24:07

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 19 / Fail 0
    Menu demarrer: Success 1 / Fail 0
    Dossier utilisateur: Success 125 / Fail 0
    Mes documents: Success 8 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 2 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 379 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [E:] \Device\CdRom0 -- 0x5 --> Skipped
    [F:] \Device\CdRom1 -- 0x5 --> Skipped

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    extra :)
    redémarre ta machine en mode normal, passe roguekiller en scan (option 1) voir si tout a été viré
    0
  12. gaetarm Messages postés 18 Statut Membre
     
    RogueKiller V5.2.3 [16/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Gaëtan [Droits d'admin]
    Mode: Recherche -- Date : 22/06/2011 00:33:29

    Processus malicieux: 1
    [SUSP PATH] Nviwya.exe -- c:\windows\nviwya.exe -> KILLED

    Entrees de registre: 1
    [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\nviwya.exe -> FOUND

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      relance le en mode 2 :)
      0
  13. gaetarm Messages postés 18 Statut Membre
     
    RogueKiller V5.2.3 [16/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Gaëtan [Droits d'admin]
    Mode: Suppression -- Date : 22/06/2011 00:46:45

    Processus malicieux: 0

    Entrees de registre: 1
    [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\nviwya.exe -> DELETED

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    parfait.

    ▶ Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ▶ Clique dans l'onglet du haut "Recherche"
    ▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ▶ Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ▶ Clique sur OK puis "Afficher les résultats"
    ▶ Choisis l'option "Supprimer la sélection"
    ▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ▶ Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message

    ▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
    0
  15. gaetarm Messages postés 18 Statut Membre
     
    Apparemment, la recherche est longue, donc je la ferai demain !

    Je te remercie énormément !! Et je t'envoies le rapport après l'analyse !

    Merci à toi ! Il en faudrait plus des personnes comme toi sur terre ! lol

    Merci encore, et bonne nuit !

    Gaëtan
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    mdr :) oui ça peut durer quelques heures ... bonne nuit à demain :)
    tu seras plus embêté pour l instant avec ce rogue (ses clés de démarrage ont sauté avec rogue killer) MAIS ta machine est toujours vérolé, donc reviens demain !!
    bonne nuit :))
    0
    1. gaetarm Messages postés 18 Statut Membre
       
      Salut :) L'analyse de malwarebytes est en court, je poste dès que fini.
      0
  17. gaetarm Messages postés 18 Statut Membre
     
    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6913

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    22/06/2011 21:51:20
    mbam-log-2011-06-22 (21-51-20).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
    Elément(s) analysé(s): 426606
    Temps écoulé: 2 heure(s), 21 minute(s), 45 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Trojan.WinTrim) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\W1WIWQ1NPG (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\live-player\live-player.exe (Adware.Dropper) -> Quarantined and deleted successfully.
    c:\program files\live-player\uninst.exe (Trojan.WinTrim) -> Quarantined and deleted successfully.
    c:\Users\Gaëtan\Desktop\rk_quarantine\nviwya.exe.vir (Malware.Gen) -> Quarantined and deleted successfully.
    c:\Users\Gaëtan\Desktop\rk_quarantine\owwc3bqkhw.pspro.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Gaëtan\Desktop\rk_quarantine\sshnas21.dll.vir (Malware.Gen) -> Quarantined and deleted successfully.
    c:\Users\Gaëtan\downloads\plugin_vlc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\Windows\System32\sshnas21.dll (Malware.Gen) -> Quarantined and deleted successfully.
    c:\Users\Gaëtan\Desktop\winlogon.pif (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok.

    Ton pc présente diverses infections Adwares.
    CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/

    Télécharge de AD-Remover sur ton Bureau. (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Scanner »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l''outil.
    ▶ Quand il a fini, un rapport s'ouvrira : ferme le.

    ♦ Pour me transmettre le rapport

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  19. gaetarm Messages postés 18 Statut Membre
     
    Voilà: http://www.cijoint.fr/cjlink.php?file=cj201106/cijWPzPMg7.txt

    Merci de ton aide !!!
    0
  20. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Avec plaisir :)

    Dossier trouvé: C:\Program Files\OfferBox -> OfferBox (adware)
    Fichier trouvé: C:\Users\Gaëtan\AppData\Local\iztffalg_nav.dat -> Navipromo (Adware)
    Dossier trouvé: C:\Program Files\ConduitEngine -> Conduit Toolbar
    Etc ...

    ▶ Relance AD-Remover, clique sur Nettoyer
    ▶ Laisse le pc redémarrer.
    ▶ Une fois revenu sur le bureau, héberge ce rapport: C:\AD-Report[CLEAN]1.txt

    Je m'absente, je reviens fin d'après-midi ,) bonne journée :-)
    0