Virus personal shield

Résolu/Fermé
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020 - 22 juin 2011 à 14:54
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020 - 24 juin 2011 à 21:23
Bonjour,

je suis infecté par personal shield pro qui bloque..tout

j'ai réussi à arrêter provisoirement son action par ctrl+alt+sup et en étant plus rapide que lui pour cliquer sur application et fin de tache
en lisant d'autres posts sr ce pb j'ai vu de télécharger Pre_scan et de poster le rapport voici donc le rapport

http://www.cijoint.fr/cjlink.php?file=cj201106/cijgrI4wyv.txt

merci pour votre aide

A voir également:

14 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 juin 2011 à 14:57
Salut,

Télécharge ça : https://www.luanagames.com/index.fr.html
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.
1
Utilisateur anonyme
22 juin 2011 à 15:01
fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
file::
C:\Documents and Settings\All Users\Application Data\f6LHBmrf0fh.pspro
C:\WINDOWS\Ddawea.exe

folder::
C:\Program Files\Fichiers communs\Symantec Shared
C:\Documents and Settings\admin\Local Settings\Application Data\Conduit
C:\Documents and Settings\admin\Local Settings\Application Data\ConduitEngine
C:\Documents and Settings\All Users\Application Data\Symantec
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Norton
C:\Documents and Settings\All Users\Application Data\NortonInstaller
C:\Documents and Settings\admin\Application Data\Symantec

Driver::
SSHNAS

___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
22 juin 2011 à 15:15
merci pour ta réponse rapide
j'ai téléchargé roguekiller mais ne veux pas se lancer même renommé en winlogon ou iexplore (message: roguekiller a rencontré un problème et doit fermer...)
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
22 juin 2011 à 15:27
avec la manip de g3n (merci beaucoup) roguekiller s'ouvre
voici le rapport avec l'option 2 (merci malekal)

RogueKiller V5.2.3 [16/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: admin [Droits d'admin]
Mode: Suppression -- Date : 22/06/2011 15:25:21

Processus malicieux: 0

Entrees de registre: 4
[SUSP PATH] HKCU\[...]\Run : f6LHBmrf0fh.pspro (C:\Documents and Settings\All Users\Application Data\f6LHBmrf0fh.pspro --run) -> DELETED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED
[BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com


Termine : << RKreport[1].txt >>
RKreport[1].txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 juin 2011 à 15:28
ok :)

fais ça :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!


ETAPE 3:

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
22 juin 2011 à 16:03
voici les liens
https://pjjoint.malekal.com/files.php?id=fa1fb7782c141315
https://pjjoint.malekal.com/files.php?read=6f07044bd5797

et celui de malaware
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-06-22 15:59:31
mbam-log-2011-06-22 (15-59-31).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 147434
Temps écoulé: 21 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\admin\Local Settings\temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\admin\Bureau\Winlogon.pif (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juin 2011 à 09:18
Tu as d'abord fait OTL et après Malwarebyte alors qu'il fallait faire l'inverse car là on voit pas la prise en compte des suppressions de Malwarebyte sur OTL.

Malwarebyte est pas à jour aussi...

Bref... recommence et suis les instructions correctement et dans l'ordre.
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
23 juin 2011 à 10:10
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juin 2011 à 10:16
Malwarebyte n'est toujours pas à jour.
Tu as un souci pour le mettre à jour ? ça marche pas ?

fais ça :

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
PRC - [2008-11-17 20:35:59 | 000,069,632 | ---- | M] () -- C:\WINDOWS\system32\oopmagentts.exe
O4 - HKLM..\Run: [ooquickpdfv7] C:\WINDOWS\System32\oopmagentts.exe ()
[2011-06-22 14:26:09 | 000,234,496 | ---- | C] () -- C:\WINDOWS\Ddawec.exe


* redemarre le pc sous windows et poste le rapport ici


Ensuite tu mets à jour Malwarebyte (onglet mise à jour).
Et tu refais un scan rapide et tu donnes le rapport.
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
23 juin 2011 à 10:26
je recommence je pensais pourtant l'avoir fait
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
23 juin 2011 à 17:47
opérations effectuées (dans le bon ordre ;-) )
rapport olt
========== OTL ==========
Process oopmagentts.exe killed successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ooquickpdfv7 deleted successfully.
C:\WINDOWS\system32\oopmagentts.exe moved successfully.
File C:\WINDOWS\Ddawec.exe not found.

OTL by OldTimer - Version 3.2.24.1 log created on 06232011_172750


rapport Malware


========== OTL ==========
Process oopmagentts.exe killed successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ooquickpdfv7 deleted successfully.
C:\WINDOWS\system32\oopmagentts.exe moved successfully.
File C:\WINDOWS\Ddawec.exe not found.

OTL by OldTimer - Version 3.2.24.1 log created on 06232011_172750
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
23 juin 2011 à 17:49
oups erreur voici le rapport malware

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6927

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-06-23 17:46:37
mbam-log-2011-06-23 (17-46-37).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 196740
Temps écoulé: 9 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
24 juin 2011 à 09:12
Ca doit être OK :)


Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

0
Utilisateur anonyme
24 juin 2011 à 13:34
salut

java n'est pas à jour
il reste des restes de produit "conduit" dans les BHO
il reste ceci comme infections :

C:\WINDOWS\_delis32.ini

tu perds l'oeil Mak ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
24 juin 2011 à 13:56
java n'est pas à jour
d'où le :
Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire



il reste des restes de produit "conduit" dans les BHO

oui des restes pas actifs...


il reste ceci comme infections :

C:\WINDOWS\_delis32.ini


C'est pas malicieux...
0
Utilisateur anonyme
24 juin 2011 à 14:06
C'est pas malicieux...

zhph dit le contraire
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 24/06/2011 à 14:28
et alors ?
ZHP est pas infaillible.

Vu le nom, y a de grande chance que ce soit un fichier ini créé par un installeur, alors si c'est un installer pour une m*rde c'est ajouté en malicieux alors que ça peux être créé par qq chose de légitime.
Et encore faut voir ce que vous appelez malicieux.

Tout n'est pas malicieux : https://www.symantec.com?find=_delis32.ini+&x=0&y=0
Exemple c'est mis par les drivers chipset VIA : https://www.symantec.com?md5=35bc485c55c1a48561b8e5d003fa331d

De plus regarde les dates dans le rapport OTL. Ca ne concorde pas.

Dans tous les cas, c'est un simple fichier INI...
Parce que pour info, quand t'as une ch*er de Bot qui créé des .dat pour stocker des informations ou lors du droppage, je doute que tu cours après les virer hein...

~~

En plus, t'es gentil de me faire la remarque sur les clefs orphelines Conduit alros que tout en haut, tu balances comme un bourrain un script PreScan qui vire du Norton et Spybot...sans passer par des uninstaller qui suppriment les clefs qui restent.
Elle est où la logique là dedans ?

~~

Bref c'est pas la première fois que tu viens poster en fin de désinfection "pour rien" en disant que je laisse des trucs qui n'en sont pas.
C'est pas constructif à part me faire perdre mon temps à me justifier et c'est pénible.
Tu veux que je m'amuse à relire tes désinfections aussi ?
0
sans passer par des uninstaller qui suppriment les clefs qui restent.

bien sur !!

je ne supprime pas les dossiers principaux vu que je ne liste que les differents %appdata% et non %programFiles% donc le desinstalleur je n"y touche pas

==============================

de plus avec le menage final que j'envoie , les clés orphelines sautent
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
24 juin 2011 à 14:43
Je te parle dans la logique.
Tu me reproches de laisser des BHO orphelines alors que tu vires des dossiers Norton/Spybot, s'il reste des dossiers, il peux rester des clefs...
Vaut mieux passer par les uninstaller qui vont les virer que de virer directement les dossiers.

Mais bon si tu dis que PreScan vire les clefs orphelines ... soit ...
Me demande pourquoi il reste des BHO orphelines alors..

Bref, c'est vraiment faire perdre son temps pour rien.
0
si tu dis que PreScan vire les clefs orphelines ..

je n'ai jamais dit une telle chose et puis ca serait ecrit dans le rapport tu ne crois pas ?

alors que tu vires des dossiers Norton/Spybot, s'il reste des dossiers, il peux rester des clefs...

avec le menage final que j'envoie , les clés orphelines sautent
0
miczfr Messages postés 201 Date d'inscription mardi 9 janvier 2007 Statut Membre Dernière intervention 9 janvier 2020
24 juin 2011 à 21:23
Merci beaucoup Malekal pour ton aide
0