Protection Security-Defender.exe - Infection Résolu/Fermé

Question

Bonjour à tous, 

Mon PC a attrapé le virus : security protection - defender.exe...  impossibilité d'ouvrir internet, d'ouvrir mon anti-vrius.... finalement, en insistant, ou est-ce mon anti-virus qui a finalement réagit... j'ai pu accéder  à internet. 

Bien que je n'ai plus d'alertes intempestives de ce virus, il est toujours présent, et je ne sais pas comment m'en débarrasser...

Je le vois à ce niveau :

-Panneau de configuration\Tous les Panneaux de configuration\Icônes de la zone de notification
Je lis à ce niveau : defender.exe
                              Security Protection


J'ai, alors, téléchargé deux choses.... :

Malwarebytes : j ai lancé, le scan et supprimé les éléments infectés
Roguekiller... : pas sûr de l'avoir utiliser correctement, mais j'ai fait les manipulations conseillés.
J'ai aussi utilisé C Cleaner...

Bon, j'ai téléchargé Hijackthis... ci-dessous le scan... par contre là, ça devient trop compliqué pour moi... et je me retourne vers vous afin d'avoir une aide... :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:18, on 18/07/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16800)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files (x86)\Launch Manager\LManager.EXE
C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\E-Book Systems\FlipViewer\FlipViewerLibrary.exe
C:\Program Files (x86)\Common Files\Real\Update_OBealsched.exe
C:\Program Files (x86)\Athan\Athan.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\AMT Media Manager\AMTDeviceService.exe
C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
C:\Program Files (x86)\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE
C:\Users\Monia\Downloads\HiJackThis.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_mh36&r=273612096606l0303z1h5f47i1928n
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_mh36&r=273612096606l0303z1h5f47i1928n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_mh36&r=273612096606l0303z1h5f47i1928n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_mh36&r=273612096606l0303z1h5f47i1928n
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files (x86)\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program Files (x86)\E-Book Systems\FlipViewer\fplaunch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [FlipViewer Library] "C:\Program Files (x86)\E-Book Systems\FlipViewer\FlipViewerLibrary.exe" /showmode=hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Athan] C:\Program Files (x86)\Athan\Athan.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AMTDeviceService] "C:\Program Files (x86)\AMT Media Manager\AMTDeviceService.exe"
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [BlackBerryAutoUpdate] C:\Program Files (x86)\Common Files\Research In Motion\Auto Update\RIMAutoUpdate.exe /background
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10k_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-691649783-2593488968-4126600860-1000\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime (User 'Monia')
O4 - S-1-5-21-691649783-2593488968-4126600860-1000 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE (User 'Monia')
O4 - S-1-5-21-691649783-2593488968-4126600860-1000 User Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE (User 'Monia')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - (no file)
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - c:\Program Files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

anthony5151 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Avant de commencer la procédure, peux-tu faire ceci : le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus.

Pour cela, télécharge IE History View ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : https://forum.malekal.com/viewtopic.php?t=33301&start=
Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
Enregistre le fichier url.txt sur ton bureau.
Pour le transmettre :
* Soit copier/coller ici si ça te gène pas.
* Soit en message privé.
* Soit Envoie url.txt sur http://upload.malekal.com


Ensuite, utilise ce logiciel de diagnostic, il est plus compelt que Hijackthis :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum


D'autre part, il faudrait que tu postes les rapports des outils que tu as utilisés précédemment (RKreport.txt pour RogueKiller + le rapport dans l'onglet "rapports/logs" de Malwarebytes)

Lalinaya · Answer

Anthony5151, merci pour ton aide. Tout d'abord, j'ai téléchargé le logiciel Mozilla History Vieux, mais je dois surement mal l'utiliser car il ne me met aucune historique ..... vais retenter, et chercher s'il n'y a pas en tuto en français... afin de poster cela. Puis, j'ai télécharger ZHP Diag, voici le lien transmis : http://cjoint.com/?AGstKjudExW Enfin, voici les différents rapports : De RogueKiller : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: ADM [Droits d'admin] Mode: Recherche -- Date : 18/07/2011 01:17:33 Processus malicieux: 0 Entrees de registre: 1 [SUSP PATH] HKUS\S-1-5-21-691649783-2593488968-4126600860-1000[...]\Run : Security Protection (C:\Users\Monia\AppData\Roaming\defender.exe) -> FOUND Fichier HOSTS: Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt Puis le second de RogueKiller : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: ADM [Droits d'admin] Mode: Suppression -- Date : 18/07/2011 01:18:25 Processus malicieux: 0 Entrees de registre: 1 [SUSP PATH] HKUS\S-1-5-21-691649783-2593488968-4126600860-1000[...]\Run : Security Protection (C:\Users\Monia\AppData\Roaming\defender.exe) -> DELETED Fichier HOSTS: Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt Voici le rapport de Malwarebytes : Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Version de la base de données: 7177 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 17/07/2011 23:46:26 mbam-log-2011-07-17 (23-46-26).txt Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 372040 Temps écoulé: 1 heure(s), 2 minute(s), 5 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 7 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\program files (x86)\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. c:\Users\Monia\AppData\Local\Temp\0.694785923780237.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Users\Monia\AppData\LocalLow\Sun\Java\deployment\cache\6.0\25\7c356119-57e2371d (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Users\Monia\AppData\Roaming\defender.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\Users\Monia\AppData\Roaming\Adobe\shed hr1.chm (Malware.Trace) -> Quarantined and deleted successfully. c:\Users\Monia\AppData\Roaming\Adobe\plugs\mmc27957173.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully. c:\Users\Monia\AppData\Roaming\Adobe\plugs\mmc99.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. En espérant, que cela soit claire... Merci.

Lalinaya · Answer

Je reviens vers toi pour l'utilisation de  Mozilla History View, le chemin d'accès pris par défaut est : C:\Users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\dn9a9zq7.default\places.sqlite

Le compte ADM, n'est pas utilisé pour surfer... par contre je ne vois pas quel chemin mettre... c'est sans doute pour cela que la recherche aboutit à néant...

Si tu peux me renseigner.... merci encore.

anthony5151 · Answer

Laisser tomber pour Mozilla History View, ce n'est pas grave si ça ne fonctionne pas ;)

Le rogue (= faux logiciel de sécurité) a bien été supprimé par RogueKiller et MalwareBytes. Par contre, ton ordinateur est encore infecté par un logiciel publicitaire... Pour éviter ce genre de problème :
- Ne télécharge pas n'importe quel programme gratuit
- Lis attentivement lorsque tu installes un programme gratuit, et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.


1) Ouvre le menu démarrer --> panneau de configuration --> désinstaller un programme --> Sélectionne "pdfforge Toolbar" et désinstalle cette barre d'outil.


2) Puis, utilise cet outil de désinfection spécifique aux logiciels publicitaires :

* Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log )


3) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur cjoint.com, comme le précédent).

lalinaya · Answer

Bonjour Anthony5151,

Je reviens vers toi :

Tout d'abord voici le rapport émanant du logiciel Ad Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:31:45 le 19/07/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
ADM@MONIA-PC (PACKARD BELL BV EasyNote MH36) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.12 (fr)] ****

HKLM_Extensions|{7BA52691-1876-45ce-9EE6-54BCB3B04BBC} - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\ (x)

-- C:\Users\ADM\AppData\Roaming\Mozilla\FireFox\Profiles\dn9a9zq7.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.12
Prefs.js - keyword.URL, hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=

-- C:\Users\AUTRE\AppData\Roaming\Mozilla\FireFox\Profiles\14s41q8j.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.10

-- C:\Users\Monia\AppData\Roaming\Mozilla\FireFox\Profiles\wgrj3f00.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{B922D405-6D13-4A2B-AE89-08A030DA4402} (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{2C3FAF69-6E33-483B-8291-BD917201109A} - C:\Program Files (x86)\Windows Live\Companion\companionuser.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{7BBC017F-5144-426C-85CD-20AF8F2FFAFE} - C:\Program Files (x86)\Windows Live\Installer\wlstartup.exe (x)
HKLM_ElevationPolicy\{a00068b1-1e4e-41c7-afa9-baeb9697e2b9} - C:\Program Files (x86)\Common Files\Research In Motion\AppLoader\Loader.exe (Research In Motion Limited)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - "FlpLauncher Class" (C:\Program Files (x86)\E-Book Systems\FlipViewer\fplaunch.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{9FDDE16B-836F-4806-AB1F-1455CBEFF289} (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

\Ad-Report-CLEAN[1].txt - 19/07/2011 21:33:29 (3625 Octet(s)) 

Fin à: 21:35:49, 19/07/2011 
 
============== E.O.F ============== 


Puis voici, le lien du diagnostic de ZHPdiag : http://cjoint.com/?AGtwg2F23sF  

Par contre à ce niveau : http://cjoint.com/?AGtwi54izCF  Je vois toujours apparaître  le nom de ce virus. Est-normal ? Est-il en train de "dormir" pour me réserver une surprise dans quelques temps... ? :-O 

Merci encore pour ton aide.

anthony5151 · Answer

La capture d'écran correspond aux réglages de la barre des tâches. Ces réglages gardent en mémoire toutes les icones que tu as déjà pu avoir près de l'horloge, mais ça ne veut pas dire qu'elles reviendront ;)


Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse


Puis fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (ce sera sans doute le dernier, on devrait pouvoir passer à la finition après ça).

Lalinaya · Answer

Re,

Voici le rapport de ZHPFix :

Rapport de ZHPFix 1.12.3341 par Nicolas Coolman, Update du 17/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2011-21-12-15.txt
Run by ADM at 20/07/2011 21:12:15
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {18455581-E099-4BA8-BC6B-F34B2F06600C}
ABSENT Software Key: {2318C2B1-4965-11d4-9B18-009027A5CD4F}
ABSENT Software Key: {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}
SUPPRIME Key: CLSID BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
ABSENT Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
ABSENT Key: CLSID BHO: {9FDDE16B-836F-4806-AB1F-1455CBEFF289}
SUPPRIME Key: Service: gupdate

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402}
SUPPRIME Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}
ABSENT [HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{B922D405-6D13-4A2B-AE89-08A030DA4402}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 70

========== Fichier(s) ==========
SUPPRIME c:\program files (x86)\google\google toolbar\googletoolbar_64.dll
SUPPRIME c:\program files\google\googletoolbarnotifier\5.7.6406.1642\swg64.dll
ABSENT File: c:\program files (x86)\google\google toolbar\googletoolbar_64.dll
SUPPRIME c:\windows	asks\googleupdatetaskmachinecore.job
SUPPRIME c:\windows	asks\googleupdatetaskmachineua.job
ABSENT Folder/File: c:\program files (x86)\google\update\googleupdate.exe
SUPPRIME Temporaires Windows: : 5

========== Tache planifiée ==========
SUPPRIME Task: GoogleUpdateTaskMachineCore
SUPPRIME Task: GoogleUpdateTaskMachineUA


========== Récapitulatif ==========
5 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Dossier(s)
7 : Fichier(s)
3 : Logiciel(s)
2 : Tache planifiée


========== Chemin du fichier rapport ==========
C:\Users\Monia\Desktop\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 16s



Enfin, ci-dessous le lien du rapport avec ZHPDiag fait après redémarrage : 

http://cjoint.com/?AGuvMoEm2Wv  

Merci à toi.

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté :)
Voici les conseils de finition :


1) Sécurise ton ordinateur 

* Logiciels de protection : 
Garde un antivirus (AntiVir dans ton cas, que je te conseille de configurer comme ça) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes : 
- WOT 
- AdBlock 

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.

* Vaccine tes disques amovibles à l'aide de MKV (de ElDesaparecido et C_XX) : il suffit de brancher tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3, cartes mémoire...) sans les ouvrir, puis de lancer MKV et cliquer sur "Vacciner".



2) Optimisation : 

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / RtHDVCpl / Skytel / IgfxTray / Persistence / swg / Lmanager / RemoteControl8 / PDVD8LanguageShortcut / TkBellExe / QuickTime Task / iTunesHelper 

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Panique · Answer

Bonjour, 

j'ai moi aussi était infecté par ce virus sécurity defender. J'ai essayé de réaliser moi même les instructions qui ont été données ci-dessus mais elles ne fonctionnent pas. Une personne pourrait-elle m'aider? 

Je vous remercie par avance et vous en serez éternellement reconnaissante.

Protection Security-Defender.exe - Infection

9 réponses

Discussions similaires