Personal shield pro

[Résolu/Fermé]
Signaler
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011
-
 Utilisateur anonyme -
Bonjour,

comme beaucoup , apparement , mon PC est infecté depuis hier par personal shield pro !

j'ai lu pas mal de sujets ici parlant de cette infection , et ai essayé de me dépanner , sans succés !

je l'ai stoppé avec roguekiller5 comme indiqué , mais ZHPDiag "bute" sur le dossier "driver" dans windows/system32/drivers , impossible de continuer le scan !

mon antivirus (avast) refuse de scanner , et bute lui aussi sur ce dossier "drivers" !

merci a vous pour toute l'aide que vous saurez m'apporter !



49 réponses

Messages postés
51
Date d'inscription
lundi 25 juillet 2011
Statut
Membre
Dernière intervention
3 août 2011

Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

j'ai installé OTL comme dis a la fin du topic que tu cite , mais il plante aussi , sur le driver nommé "hohxcweb.sys" toujours le méme !
Messages postés
51
Date d'inscription
lundi 25 juillet 2011
Statut
Membre
Dernière intervention
3 août 2011

ça ne fonctionne pas , l'antivirus plante aussi , AVG comme avast !

pas moyen de mettre "hohxcweb.sys" en quarantaine !

HELP !


rapport roguekiller5=>

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: TOF [Droits d'admin]
Mode: Suppression -- Date : 03/08/2011 22:04:01

Processus malicieux: 0

Entrees de registre: 4
[SUSP PATH] HKCU\[...]\Run : sqoXnmCuXYw (C:\Documents and Settings\All Users\Application Data\sqoXnmCuXYw.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : SMSERIAL (C:\WINDOWS\sm56hlpr.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

au cas ou ça pourrait servir !
l'astuce de totoff 74410 ne fonctionne pas , personne pour m'aider ?

HELP !
Messages postés
51
Date d'inscription
lundi 25 juillet 2011
Statut
Membre
Dernière intervention
3 août 2011

Je sais pas si ca peut t'aider, mais mon PC était relativement propre . Pas de traces visibles détectées par les antivirus Panda, Avast, Kaspersky( KRD).
Eset Nod 32 en scan en ligne m'en a trouvé. Derrière, j'ai installé AVG, ca a fonctionné.
Malwarebytes a plus ou moins controlé l'infection puisqu'il rejetait les requètes IP sortantes et mettait en quarantaine les divers Ttrojans. Sauf que de temps à autre, c'est consigné dans les logs, il autorisait les trojans, sans aucune action de ma part.
Pas simple en tout cas, ca à l'air de fonctionner normalement depuis cet aprem
j'ai installé AVG , mais comme avast il bute sur mon fichier "hohxc.sys" dans le dossier drivers !

et impossible de le mettre en quarantaine , comme avec avast !

on n'as pas le méme probléme apparement , merci quand méme ! ;)
j'ai reussi a scanner les drivers , en mode selectif , et scan au démarrage , rien n'est infecté !

je change de rubrique , mon probléme n'ayant plus rien a voir avec virus/sécurité !

salut deja tu as deux antivirus d'installés donc conflit + plantages

ensuite pourrais-tu fournir les rapports que tu as eu ?
je n'ai que avast d'installé , je l'avais désinstallé pour essayer AVG , mais vu que ça ne fonctionnait pas je l'ai désinstaller , et remis avast !

je n'ai que le rapport de roguekiller5 posté plus haut , vaut mieux reprendre a zero , je suis paumé !

merci a toi !

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

il as stoppé lui aussi sur "hohxcweb.sys" !

le rapport :

TDSS rootkit removing tool 2.5.13.0 Jul 29 2011 17:24:11
2011/08/04 12:28:50.0750 3560 ================================================================================
2011/08/04 12:28:50.0750 3560 SystemInfo:
2011/08/04 12:28:50.0750 3560
2011/08/04 12:28:50.0750 3560 OS Version: 5.1.2600 ServicePack: 3.0
2011/08/04 12:28:50.0750 3560 Product type: Workstation
2011/08/04 12:28:50.0750 3560 ComputerName: SN012345678912
2011/08/04 12:28:50.0750 3560 UserName: TOF
2011/08/04 12:28:50.0750 3560 Windows directory: C:\WINDOWS
2011/08/04 12:28:50.0750 3560 System windows directory: C:\WINDOWS
2011/08/04 12:28:50.0750 3560 Processor architecture: Intel x86
2011/08/04 12:28:50.0750 3560 Number of processors: 2
2011/08/04 12:28:50.0750 3560 Page size: 0x1000
2011/08/04 12:28:50.0750 3560 Boot type: Normal boot
2011/08/04 12:28:50.0750 3560 ================================================================================
2011/08/04 12:28:52.0078 3560 Initialize success
2011/08/04 12:29:04.0609 0476 ================================================================================
2011/08/04 12:29:04.0609 0476 Scan started
2011/08/04 12:29:04.0609 0476 Mode: Manual;
2011/08/04 12:29:04.0609 0476 ================================================================================
2011/08/04 12:29:04.0890 0476 Aavmker4 (dfcdd5936cad0138775d5a105d4c7716) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/08/04 12:29:05.0046 0476 abp480n5 (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS
2011/08/04 12:29:05.0125 0476 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/08/04 12:29:05.0171 0476 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/08/04 12:29:05.0281 0476 ADIHdAudAddService (be1423364bb05a6b1751a1e9515e6cac) C:\WINDOWS\system32\drivers\ADIHdAud.sys
2011/08/04 12:29:05.0375 0476 adpu160m (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys
2011/08/04 12:29:05.0500 0476 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/08/04 12:29:05.0562 0476 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/08/04 12:29:05.0656 0476 agpCPQ (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
2011/08/04 12:29:05.0750 0476 Aha154x (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys
2011/08/04 12:29:05.0828 0476 aic78u2 (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys
2011/08/04 12:29:05.0906 0476 aic78xx (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys
2011/08/04 12:29:05.0968 0476 AliIde (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys
2011/08/04 12:29:06.0062 0476 alim1541 (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys
2011/08/04 12:29:06.0156 0476 amdagp (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys
2011/08/04 12:29:06.0203 0476 amsint (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys
2011/08/04 12:29:06.0281 0476 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/08/04 12:29:06.0359 0476 asc (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys
2011/08/04 12:29:06.0375 0476 asc3350p (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys
2011/08/04 12:29:06.0437 0476 asc3550 (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys
2011/08/04 12:29:06.0531 0476 aswFsBlk (861cb512e4e850e87dd2316f88d69330) C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011/08/04 12:29:06.0671 0476 aswMon2 (7857e0b4c817f69ff463eea2c63e56f9) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/08/04 12:29:06.0750 0476 aswRdr (8db043bf96bb6d334e5b4888e709e1c7) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/08/04 12:29:06.0906 0476 aswSnx (17230708a2028cd995656df455f2e303) C:\WINDOWS\system32\drivers\aswSnx.sys
2011/08/04 12:29:07.0031 0476 aswSP (dbedd9d43b00630966ef05d2d8d04cee) C:\WINDOWS\system32\drivers\aswSP.sys
2011/08/04 12:29:07.0140 0476 aswTdi (984cfce2168286c2511695c2f9621475) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/08/04 12:29:07.0250 0476 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/08/04 12:29:07.0390 0476 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/08/04 12:29:07.0468 0476 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/08/04 12:29:07.0578 0476 BlueletAudio (31ff5b87c1dd907613cc613224b8e303) C:\WINDOWS\system32\DRIVERS\blueletaudio.sys
2011/08/04 12:29:07.0703 0476 BTHidEnum (0448968ba21acde511c19f3c0296e23b) C:\WINDOWS\system32\DRIVERS\vbtenum.sys
2011/08/04 12:29:07.0796 0476 BTHidMgr (f408264f6ad1dc7e7bdd4837440f115d) C:\WINDOWS\system32\Drivers\BTHidMgr.sys
2011/08/04 12:29:07.0859 0476 cbidf (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys
2011/08/04 12:29:07.0953 0476 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/08/04 12:29:08.0015 0476 cd20xrnt (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys
2011/08/04 12:29:08.0078 0476 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/08/04 12:29:08.0171 0476 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/08/04 12:29:08.0265 0476 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/08/04 12:29:08.0312 0476 CmdIde (e3726ad522d0bdae090671048c991ab3) C:\WINDOWS\system32\DRIVERS\cmdide.sys
2011/08/04 12:29:08.0375 0476 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/08/04 12:29:08.0453 0476 Cpqarray (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys
2011/08/04 12:29:08.0515 0476 dac2w2k (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
2011/08/04 12:29:08.0578 0476 dac960nt (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys
2011/08/04 12:29:08.0703 0476 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/08/04 12:29:08.0812 0476 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/08/04 12:29:08.0921 0476 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/08/04 12:29:09.0000 0476 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/08/04 12:29:09.0093 0476 dpti2o (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys
2011/08/04 12:29:09.0265 0476 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/08/04 12:29:09.0343 0476 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/08/04 12:29:09.0437 0476 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/08/04 12:29:09.0531 0476 fssfltr (c6ee3a87fe609d3e1db9dbd072a248de) C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
2011/08/04 12:29:09.0671 0476 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/08/04 12:29:09.0750 0476 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/08/04 12:29:09.0843 0476 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/08/04 12:29:09.0984 0476 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/08/04 12:29:10.0109 0476 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/08/04 12:29:10.0203 0476 hohxcweb (30840962969ad1fc9c89c0de47ed3ae0) C:\WINDOWS\system32\drivers\hohxcweb.sys
2011/08/04 12:30:17.0812 0564 Deinitialize success




je suis en demarrage normal , faut-il le faire en mode sans echec ?

TDSS killer est maintenant dans la liste des processus , et impossible de l'arreter !
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

UP !
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 782
hello pour avancer

Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique.

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu


Télécharge Pre_scan (de gen-hackman)

♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau

▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy"

▶ Une fois qu'il aura fini, un rapport s'ouvrira.

♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
Utilisateur anonyme
oui fais ca
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 782
salut gen ^^ bah il a up, il avait l'air pressé, et maintenant il ne répond plus ^^
Utilisateur anonyme
mdr
bonjour ,

non , je ne suis pas super pressé , mais je ne sais pas comment vous gérez les sujets , et je le voyait sombrer dans les abysses du forum !

vraiment merci a vous deux de gérer mon cas !

alors le rapport Pre_scan => http://www.cijoint.fr/cjlink.php?file=cj201108/cijRpNbPuq.txt

j'ai désactivé avast et le pare-feu windows , et j'avais désinstallé windows defender hier !

Pre_scan m'as trouvé un proxy au demarrage du logiciel , que j'ai supprimé !

desinstalle daemon tools toolbar
desinstalle spybot
desinstalle Adobe Reader 7.0.9


====================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"nwiz"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"QuickTime Task"=-
[-HKEY_CLASSES_ROOT\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BCF81A72-6E39-3B7A-9E07-55E2D1961184}]
[-HKEY_CURRENT_USER\Software\Dynamic Toolbar]
[-HKEY_CURRENT_USER\Software\Grand Virtual]
[-HKEY_LOCAL_MACHINE\Software\Viewpoint]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-

file::
C:\Documents and Settings\TOF\Application Data\avdrn.dat
C:\Documents and Settings\All Users\Application Data\common.data

folder::
C:\Documents and Settings\All Users\Application Data\aC02300FbFfA02300
C:\Documents and Settings\All Users\Application Data\aM02300JeOhI02300
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Viewpoint
C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\Spybot - Search & Destroy
C:\Program Files\Viewpoint

attrib::

___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

j'ai desinstallé adobe et spybot , mais impossible de trouver daemon tools !

je lance quand méme Pre_script ?

oui
bon , ça as été long , personal shield pro as refait son apparition pendant le processus !

je l'ai stoppé avec roguekiller5 option 2 , mais il est encore la apparement !

le rapport Pre_script => http://www.cijoint.fr/cjlink.php?file=cj201108/cijg0TfvkW.txt

dois-je recommencer cette procédure => http://www.commentcamarche.net/faq/32202-desinstaller-personal-shield-pro-rogue pour annihiler personal shield pro ?
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

j'ai essayé la procedure pour eradiquer personal shield pro !

rapport roguekiller option 2 =>

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: TOF [Droits d'admin]
Mode: Suppression -- Date : 05/08/2011 17:38:18

Processus malicieux: 1
[SUSP PATH] gF02300PeDdN02300.exe -- c:\documents and settings\all users\application data\gf02300peddn02300\gf02300peddn02300.exe -> KILLED

Entrees de registre: 1
[SUSP PATH] HKCU\[...]\RunOnce : gF02300PeDdN02300 (C:\Documents and Settings\All Users\Application Data\gF02300PeDdN02300\gF02300PeDdN02300.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt
------------------------------------------------------------------

j'ai ensuite lancé malwarebyte's , qui as planté sur le dossier windows/system32/drivers , comme tous les autres logiciels utilisés !

avast refuse de faire un scan (bloqué) , et impossible de lancer une défragmentation aussi !

le processus de malwarebyte's est bloqué , impossible de terminer le processus , et de relancer une analyse (il m'as trouvé 6 fichiers infectés) , je vais donc redemarrer le PC , et relancer une analyse en excluant le fichier windows/system32/drivers , pour pouvoir eradiquer les fichiers infectés !
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

voila , j'ai reussi a scanner avec malwarebyte's , et supprimer les fichiers infectés ! malwarebyte's m'as demandé de redemarrer le PC pour finaliser , ce que j'ai fait !

le rapport =>

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7387

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/08/2011 20:13:11
mbam-log-2011-08-05 (20-12-58).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 174168
Temps écoulé: 5 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\ntsdhare.dll (Trojan.Clicker) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\ntsdhare.dll (Trojan.Clicker) -> No action taken.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
c:\documents and settings\TOF\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
--------------------------------------------------------------------

j'ai effectué un deuxieme scan , pour étre sur , et il me trouve encore quelque chose !

2eme rapport =>

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7387

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/08/2011 20:29:40
mbam-log-2011-08-05 (20-29-33).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 174038
Temps écoulé: 6 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
-----------------------------------------------

j'ai scanné c:\documents and settings\all users\application data avec avast , qui ne trouve rien !

comment faire pour supprimer ce virus ?

pourquoi il n'est pas entier le rapport pre_script ?
Messages postés
29
Date d'inscription
mercredi 3 août 2011
Statut
Membre
Dernière intervention
9 août 2011

ah , il est pas entier ?

je le relance de suite , et posterai le rapport ensuite !