Personal shield pro et roguekillerRésolu/Fermé

Question

Bonjour, je suis infecté depuis ce matin par personal shield pro. Voici ce que donne l'éxécution de roguekiller: RogueKiller V5.3.1 [06/08/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Dzo [Droits d'admin] Mode: Suppression -- Date : 12/08/2011 19:28:08 Processus malicieux: 0 Entrees de registre: 3 [SUSP PATH] HKCU\[...]\RunOnce : oI02323HcDmP02323 (C:\ProgramData\oI02323HcDmP02323\oI02323HcDmP02323.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: Termine : << RKreport[1].txt >> RKreport[1].txt Je suis sur Windows 7. Que dois-je faire pour détruire définitivement ce logiciel? Merci d'avance pour toute l'aide apportée Configuration: Windows 7 / Internet Explorer 9.0

Fish66 · Answer

Salut,

 * Télécharge Malwarebytes ici 

* installes + mise a jour 
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir 
* Lances--> Malwarebytes (MBAM) 
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet 
* puis "Rechercher" 
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport 
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection 
* S'il t' es demandé de redémarrer, clique sur "oui " 
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici 
!!! Ne pas vider la quarantaine de MBAM sans avis !!!

Dzo · Answer

Merci beaucoup de ton aide.

Après exécution du logiciel, j'ai eu 5 détections. J'ai tout placé en quarantaine et il m'a été demandé de redémarrer l'ordinateur.
Comme demandé, voici le log de Malwarebytes' Anti-Malware



Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7448

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

12/08/2011 22:10:10
mbam-log-2011-08-12 (22-09-52).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 303357
Temps écoulé: 2 heure(s), 4 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutoStart (Trojan.Agent) -> Value: AutoStart -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\oi02323hcdmp02323\oi02323hcdmp02323.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\Dzo\Desktop\rk_quarantine\oi02323hcdmp02323.exe.vir (Trojan.FakeAlert) -> No action taken.
c:\Users\Dzo\AppData\Roaming\728608181.exe (Trojan.Agent) -> No action taken.
c:\programdata\common.data (Malware.Trace) -> No action taken.


Y-a-t'il des actions complémentaires à réaliser ou puis-je me considérer comme enfin libéré de cette daube?
Merci d'avance.

Fish66 · Answer

Re,
1/
No action taken Les infections ne sont pas supprimées, relance Malwarebytes et  à la fin de l'analyse clique sur "Afficher le résultat" puis sur "Supprimer la sélection"

2/
Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 

http://ww38.toofiles.com/fr/documents-upload.html 

ou : 

https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

Dzo · Answer

Bonjour Fish,
concernant le premier point, je suis étonné de ce "no action taken". En effet, tout a bien été placé en quarantaine (je n'avais aucun autre choix proposé). Peut-être que ce log a été généré avant les actions et non après.
En effet, le logiciel protector semble avoir disparu, ce que confirme la nouvelle analyse de ce jour:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7448

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

13/08/2011 10:26:48
mbam-log-2011-08-13 (10-26-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 258006
Temps écoulé: 1 heure(s), 10 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

En effet, aucune menace n'est détectée.
Concernant le 2e point évoqué: je m'en occupe tout de suite.
Merci encore de ta patience.

Dzo · Answer

Re !

Voici le lien vers le rapport:

http://pjjoint.malekal.com/files.php?id=af7b550b48j7x12o7t15w13i14s9t9s8z9w11c14t14v10c6b7q9t14s14r10

Merci encore de ton aide.

Fish66 · Answer

Re,

* Télécharge OTM (OldTimer) sur ton Bureau 

ICI >> OTM (OldTimer) 
* Double clic "OTMoveIt3.exe" 
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer. 

- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 



:files 
C:\Users\Dzo\AppData\Local\Temp\log     

:Reg 

[-HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]     
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}]     

:commands 
[emptytemp] 
[Reboot]


- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. 
- Clique maintenant sur le bouton MoveIt! 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Dzo · Answer

Et voila !!!!!!!

All processes killed
========== FILES ==========
C:\Users\Dzo\AppData\Local\Temp\Log folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 121064 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 321 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Dzo
->Temp folder emptied: 142542886 bytes
->Temporary Internet Files folder emptied: 254843833 bytes
->Java cache emptied: 3974732 bytes
->FireFox cache emptied: 86945382 bytes
->Flash cache emptied: 100577 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 110708692 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 572.00 mb
 
 
OTM by OldTimer - Version 3.1.18.0 log created on 08132011_125207

Files moved on Reboot...
File move failed. C:\windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


Y-a-t'il des prochaines étapes ou tout est rentré dans l'ordre?
Merci de ta patience!

Fish66 · Answer

Re,

De rien  :)

Il nous reste pas beaucoup !

1/

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}]    
OPT:O4 - HKLM\..\Run: [EzPrint] . (.Lexmark International Inc. - Lexmark Fast Pics Application.) -- C:\Program Files\Lexmark 3600-4600 Series\ezprint.exe    => Lexmark®EZPrint
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe     


FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
Pourquoi tu n'as pas installé la dernière version d'avast ?

*Désinstallation Avast V5

Suis ces procédures pour désinstallation
-------------------------------------------------------------------------------------------

*Installation Avast V6

Télécharge Avast version 6
Exécute ce fichier pour installation

3/
Redémarre ton PC et prépare un nouveau rapport ZHPDiag

@+

Dzo · Answer

Re,

voici le nouveau rapport.
Je m'occupe à présent des étapes 2 et 3
Merci encore et à tout de suite.




Rapport de ZHPFix 1.12.3349 par Nicolas Coolman, Update du 11/08/2011
Fichier d'export Registre : 
Run by Dzo at 13/08/2011 15:04:21
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: EzPrint
SUPPRIME RunValue: QuickTime Task
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (None) : {CB74E03F-1815-4BD4-ACF9-86336B56983B}
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (Private) : {ECE6DA55-2FAE-437D-9891-F384993DDD3A}
SUPPRIME FirewallRaz (Private) : {32E7E8EE-EC57-4548-87B6-2351A39C436A}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 6
SUPPRIME Flash Cookies: 3

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 4
SUPPRIME Flash Cookies: 2


========== Récapitulatif ==========
1 : Clé(s) du Registre
13 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)


End of the scan in 00mn 09s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt

Dzo · Answer

Pour avast, je viens de vérifier: je suis déjà en 6.0.1203.
Là aussi je dois encore corriger quelque chose? Une désinstallation s'est mal passée?
Je redémarre et je poste un nouveau rapport... Dans 2 heures je pense vu le rythme de la machine!
Merci

Dzo · Answer

Re!
Alors si j'ai bien tout suivi et si possible dans l'ordre:
- Avast 5 a été correctement désinstallé via ton lien
- Avast 6 a été réinstallé
- J'ai relancé une analyse
Voici le lien vers le nouveau rapport:
http://pjjoint.malekal.com/files.php?id=923ded061cf6l12r12f7e7h12v13g5h9q14u7z14k5l13c9j11n12d12k7e12

Avec un peu de chance, tout sera ENFIN rentré dans l'ordre!
Merci encore du temps passé sur mon "cas" !

Fish66 · Answer

Re,  

Ton rapport est propre maintenant, il manque quelques  

procédures à effectuer 

----------------------------------------------------------------------------------------  


Pour finir :  

1/     

IMPORTANT     

Purger les points de restauration système:     

Télécharge OneClick2RestorePoint     

http://www.multifa7.be/Laddy/OneClick2RP.exe     

Mirroirs si non accessible :     
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe     
https://app.box.com/s/cqcsz5m0oz     

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)     
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir     
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...     
* Rends toi dans l'onglet "Autres options"     
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.     
* Les points de restauration système seront purgés sauf le dernier créé.     


Ensuite avec le même outil     
Créer un nouveau point de restauration reconnaissable     

Aide ICI  
2/     

Télécharge DelFix  sur  ton  bureau.      
* Lance le, tape suppression puis valide     

Patiente pendant le scan jusqu'à l'ouverture du rapport.     

* Copie/Colle le contenu du rapport dans ta prochaine réponse.     

Note : Le rapport se trouve également sous C:\DelFix.txt     

tu peux le desinstaller     

3/     
Mise à jour Java  
* Tu peux vérifier ta Console Java  :   

Installer la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version).   

voici pour desinstaller :   

JavaRa   

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).   
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.   
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).   
* Choisis Français puis clique sur Select.   
* Clique sur Recherche de mises à jour.   
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.   
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.   
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.   
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.   
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.   
* Ferme l'application.   

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.   
4/  
Télécharge et installe :     

CCleaner version Slim     

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis     

Avancé et décoche la case Effacer uniquement les fichiers etc....     

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.     

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare     

toutes les erreurs tant de fois qu il en trouve a l analyse .     

**************** Aide ICI ******************     

Tu peux utiliser Ccleaner une fois par semaine     

5/     

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour     

Fais la mise à jour surtout d'adobe reader   



6/     

Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.     

7/     

Je te conseille d'utiliser le navigateur Firefox et d'installer les modules     

complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...    
 8/   
Un peu de lecture :   
* Les dangers du Peer-To-Peer, Emule etc..    
* Comment Sécuriser son ordinateur...   


J'attend les rapports ...    


@+  

_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dzo · Answer

Re,

Dans l'ordre:

1/ Fait
2/ Fait une première fois mais souci lors du copier coller dans ce message. J'ai ensuite désinstallé delfix donc pas de rapport... Désolé.
J'ai donc réinstallé delfix et voici le rapport
# DelFix v8.3 - Rapport créé le 13/08/2011 à 21:39
# Mis à jour le 04/08/11 à 11h par Xplode
# Système d'exploitation : Windows 7 Home Premium (32 bits) [version 6.1.7601] Service Pack 1
# Nom d'utilisateur : Dzo - DZO-PC (Administrateur)
# Exécuté depuis : C:\Users\Dzo\Downloads\delfix0.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~


~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [568 octets] ##########
J'ai à nouveau désinstallé delfix ensuite.
3/ J'ai la version recommandée de java: (Version 6 Update 26)
4/ Je n'ai pas l'option: "décoche la case Effacer uniquement les fichiers etc" dans l'onglet avancé. J'ai poursuivi sans décocher. 435 erreurs corrigées. RAS
5/ Fait! Entre autres, Acrobat reader nécessitait une MAJ. J'ai tout mis à jour sauf les beta.
6/ ok
7/ Modules ajoutés! Merci!
8/ Inutile, c'est plutôt n'ouvre pas la PJ du mail douteux...

Merci encore de ton aide. J'espère que tout est désormais plus sain!
Bonne soirée et tiens-moi au courant.
D'avance merci!

Fish66 · Answer

Bonjour,

De rien  :)

Est ce que tu as fait la mise à jour d'adobe reader ?

Bon surf et si tu n'as pas de souci pense à mettre ton sujet comme résolu

@+

Personal shield pro et roguekiller

14 réponses

Discussions similaires

Newsletters