Infection personal shield pro

Résolu
The Muf -  
 The Muf -
Bonjour,

J'essaie de nettoyer un pc acer infecté par ce faux antivirus et je ne sais plus vraiment quoi faire .
Une autre personne etait déja intervenue et a essayé de virer le pgm via le gestionnaire de windows (curieusement il etait dans la liste).
Plus rien ne marchait : photos, vidéos,web, logiciels il etait quasi impossible de lancer quoi que ce soit.
Apres avoir lu differents posts j'ai essayé de passer anti malware et rogue killer. Bizarre. Je peux les lancer mais les rapports ne donnent rien (celui de RK est totalement vide). Impossible de lancer les maj de malm ou spydoctor because pas d'internet.
Concernant l'acces au web, la connection apparait mais n'est pas utilisable. J'ai trouvé un message d'erreur qui indique qu'il n'obtient pas d'ip.

J'avoue que je suis carrément sec là, quelqu'un peut il m'aider ?

Merci d'avance

25 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    tu as encore des problemes??

    Si oui peut tu les decrires.
    1
  2. Utilisateur anonyme
     
    Bonjour

    tu as essayé de lancer rogue killer en mode sans echec ou alors renommer en winlogon.exe??
    0
  3. The Muf
     
    Je viens d'essayer les 2... sans succès : le rapport est toujours aussi muet.
    Petite nouveauté : au moment du lancement de Rogue killer j'ai un pop up qui me dit que ce n'est pas la dernière version ( c'est la 5.2.8. il y en a une autre ??)
    0
    1. Utilisateur anonyme
       
      La derniere version ici

      * Télécharger sur le bureau RogueKiller
      * Quitter tous les programmes en cours
      * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
      * Sinon lancer simplement RogueKiller.exe
      * Lorsque demandé, taper 1 et valider
      * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
      * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
      0
  4. The Muf
     
    A toutes fins utiles, j'ai lancé un hijackthis sur le pc malade... Voici le résultat :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:17:04, on 31/07/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.17098)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\SysMonitor.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    C:\Program Files\Alwil Software\Avast5\avastUI.exe
    C:\Program Files\PC Tools Security\pctsGui.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Documents and Settings\MR OKTAY\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr.fr.acer.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
    O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKLM\..\Run: [ISTray] "C:\Program Files\PC Tools Security\pctsGui.exe" /hideGUI
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [AutoStart PC Studio] C:\Program Files\Samsung\Samsung New PC Studio\NewPCStudio.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Acer Empowering Technology.lnk = ?
    O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?9914e10565d24063912d41d7281eeadc
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?9914e10565d24063912d41d7281eeadc
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Unknown owner - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe (file missing)
    O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Tu as fait ===>https://forums.commentcamarche.net/forum/affich-22764054-infection-personal-shield-pro#3

    Si ca ne fonctionne pas fais===>téléchargez et enregistrez ceci sur votre bureau :

    Pre_Scan ici: http://dl.dropbox.com/u/21363431/Pre_scan.exe

    ou ici: http://www.archive-host.com

    s'il n'est pas sur votre bureau coupez-le de votre dossier telechargements et collez-le sur votre bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lancez-le , laissez faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilisez cette version : http://dl.dropbox.com/u/21363431/Pre_Scan.pif
    si l'outil detecte un proxy et que vous n'en avaiss pas installé cliquez sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renommez-le en winlogon , ou changez son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laissez-le travailler

    Post le rapport
    0
  7. The Muf
     
    Voici le résultat du Pré_scan ( qui s'est lancé correctement ) :
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijt7ErIAi.txt
    0
  8. Utilisateur anonyme
     
    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________

    Uninst::
    DAEMON Tools Toolbar
    uTorrentBar_FR
    ConduitEngine

    Registry::
    [-HKEY_CURRENT_USER\Software\Loaris]
    [-HKEY_CURRENT_USER\Software\PCTuto]

    file::
    C:\ProgramData\search_result.xml

    folder::
    C:\Documents and Settings\MR OKTAY\Application Data\Adobe\plugs C:\Documents and Settings\MR OKTAY\Application Data\Adobe\shed
    C:\Documents and Settings\MR OKTAY\Application Data\PCtuto
    C:\Documents and Settings\MR OKTAY\Application Data\PriceGong
    C:\Program Files\PCTuto

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  9. The Muf
     
    Voici le résultat du pré-script (vu que l'écran de désinstall de daemon toolbar était lancé je l'ai lancée une fois le fichier txt généré... et du coup je me demande si j'ai bien fait !)

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.55 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Mise à jour : 25/07/2011 | 17.30 Par g3n-h@ckm@n
    Utilisateur : MR OKTAY (Administrateurs)
    Ordinateur : OKTAY
    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 7.0.5730.13
    Mozilla Firefox : 3.6.10 (fr)

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    attrib:: | txt:: | Host:: | NsLook::
    list:: | IP::

    Script : 15:33:09

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Programme : DAEMON Tools Toolbar : Désinstalleur trouvé ! -> C:\Program Files\DAEMON Tools Toolbar\uninst.exe
    Programme : DAEMON Tools Toolbar : Désinstallation...
    Programme : DAEMON Tools Toolbar : Non Désinstallé !
    Programme : uTorrentBar_FR : Désinstalleur introuvable !
    Programme : ConduitEngine : Désinstalleur introuvable !

    ¤

    Modification du registre effectuéé

    ¤

    Absent : C:\ProgramData\search_result.xml

    ¤

    Absent : C:\Documents and Settings\MR OKTAY\Application Data\Adobe\plugs C:\Documents and Settings\MR OKTAY\Application Data\Adobe\shed
    Supprimé : C:\Documents and Settings\MR OKTAY\Application Data\PCtuto
    Supprimé : C:\Documents and Settings\MR OKTAY\Application Data\PriceGong
    Supprimé : C:\Program Files\PCTuto

    ¤

    Disques externes : 86 Objets réattribués
    Disque Local : 7 Objets réattribués
    Utilisateurs : 0 Objets réattribués
    ProgramFiles : 0 Objets réattribués
    Music : 0 Objets réattribués
    Pictures : 0 Objets réattribués
    Videos : 0 Objets réattribués
    Downloads : 0 Objets réattribués
    Desktop : 0 Objets réattribués
    Links : 0 Objets réattribués
    Searches : 0 Objets réattribués
    Contacts : 0 Objets réattribués
    Saved Games : 0 Objets réattribués
    Favorites : 0 Objets réattribués
    Documents : 0 Objets réattribués
    Windows : 7 Objets réattribués
    StartMenu : 0 Objets réattribués
    Librairies : 0 Objets réattribués
    Quick Launch : 0 Objets réattribués
    %AppData% : 2 Objets réattribués

    ¤

    Fin : 15:36:02
    0
  10. Utilisateur anonyme
     
    * Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

    http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

    * Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
    * L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
    * Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
    * Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
    * A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

    0
  11. The Muf
     
    Merci encore pour ton aide, mais j'ai 2 pbs :
    tdss se plante à l'extraction (tdsskiller.exe introuvable) et ouvre une page bloc notes.
    et le pc ne peut plus se connecter à internet donc pour la mise à jour ça va être compliqué !
    j'ai tenté un rename en winlogon... sans succès
    je vais voir si je peux dézipper tdss sur mon autre ordi...
    0
  12. The Muf
     
    EDit !!

    J'ai réussi à "préparer" tdsskiller sur mon pc et à la lancer sur le malade ;-)
    Le résultat est un malicieux et un suspect mais pas de fichier de rapport.
    Par contre j'ai eu le message suivant :

    c:\windows\system32\drivers\sptd.sys - copied to quarantine
    \device\Harddisk0\DR0 (rootkit.win32.tdss.tdl4) - will be cured after reboot
    \device\Harddisk0\DR0 OK

    2 répertoires tdsskiller sont apparus sur C:/ ( un pour la quarantaine, et l'autre qui contient un fichier zip invalide).
    0
  13. The Muf
     
    la log de tdsskiller !!
    désolé je suis un peu un boulet !!!
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijLDBxB5c.txt
    0
  14. Utilisateur anonyme
     
    tu as utilisé l'action cure pour tdsskiller??

    Si non relances tdsskiller et post le rapport
    0
  15. The Muf
     
    Oui.
    Le rapport après reboot c'est ça :

    TDSSKiller.2.5.13.0_31.07.2011_16.32.12_log.txt
    0
    1. Utilisateur anonyme
       
      le lien ne fonctionne pas .
      Relances tdsskiller et postes le rapport.
      0
  16. The Muf
     
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijpnLS8vt.txt

    c'est mieux là je pense !
    0
  17. Utilisateur anonyme
     
    On va faire une analyse de ton systéme.

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag
    ou
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  18. The Muf
     
    Voilà le diag
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijiWU0j3w.txt
    0
  19. Utilisateur anonyme
     
    A faire dans l''ordre.

    1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1
    O42 - Logiciel: UpdatePCTuto 2.0 - (.PCtuto.) [HKLM] -- UpdatePCTuto_is1
    [HKCU\Software\PCTuto]
    [HKLM\Software\PCTuto]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdatePCTuto_is1]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:PCTuto
    C:\Documents and Settings\MR OKTAY\Application Data\Adobe\plugs
    C:\Documents and Settings\MR OKTAY\Application Data\Adobe\shed
    R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} . (...) (No version) -- (.not file.)
    O4 - HKLM\..\Run: [LaunchApp] Clé orpheline
    O4 - HKLM\..\Run: [IMEKRMIG6.1] . (.Microsoft Corporation - Microsoft Korean IME 2002.) -- C:\WINDOWS\ime\imkr6_1\IMEKRMIG.exe
    O4 - HKLM\..\Run: [PCTuto] Clé orpheline
    O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\\favorites.live.com\quickadd.aspx
    [HKCU\Software\Conduit]
    [HKLM\Software\Conduit]
    O43 - CFD: 12/12/2010 - 18:33:42 - [14184] ----D- C:\Program Files\ConduitEngine
    O43 - CFD: 31/07/2011 - 15:36:48 - [683] ----D- C:\Program Files\DAEMON Tools Toolbar
    O43 - CFD: 12/12/2010 - 18:33:42 - [25711] ----D- C:\Program Files\uTorrentBar_FR
    O43 - CFD: 12/12/2010 - 14:17:14 - [16026] ----D- C:\Documents and Settings\MR OKTAY\Local Settings\Application Data\Conduit
    O43 - CFD: 12/12/2010 - 18:33:42 - [34586] ----D- C:\Documents and Settings\MR OKTAY\Local Settings\Application Data\ConduitEngine
    O43 - CFD: 12/12/2010 - 18:33:42 - [551668] ----D- C:\Documents and Settings\MR OKTAY\Local Settings\Application Data\uTorrentBar_FR
    [HKCU\Software\Conduit]
    [HKLM\Software\Conduit]
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
    C:\Program Files\ConduitEngine
    C:\Program Files\DAEMON Tools Toolbar
    C:\Program Files\uTorrentBar_FR
    C:\Documents and Settings\MR OKTAY\Local Settings\Application Data\Conduit
    C:\Documents and Settings\MR OKTAY\Local Settings\Application Data\ConduitEngine
    C:\Documents and Settings\MR OKTAY\Local Settings\Application Data\uTorrentBar_FR
    EmptyTemp
    FirewallRaz

    --------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    0
  20. The Muf
     
    Alors, voici le rapport de ZHPFIx :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijrT5ieDW.txt

    et j'ai refait un petit scan dans la foulée :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijGV6xSSw.txt
    0
  21. The Muf
     
    Bonjour,
    Il me reste effectivementquelques problèmes : impossible de se connecter au net.
    Le témoin de connexion me voit connectémais aucune appli ne peut ouvrir de connexion.
    Le diagnostic obtenu quand je lance une cxion via msn est que l'adresse ip est invalide. Je tente la réparation et obtiens le code erreur 8007ee7.
    Il est impossible de démarrer le fire wall windows et le service de partage de connexion.

    Je vois aussi apparaitre une erreur sur le process memcheck.exe dont le propriétaire du pc me dit qu'il est 'normal' ( disons habituel,quoi !)
    0
  • 1
  • 2