Personal Shield pro ordi infecté

[Résolu/Fermé]
Signaler
-
 yesno77 -
Bonjour,

J'ai chopé aujourd'hui le virus Personal Shield Pro.
Depuis, les messages du virus ne cessent d'apparaitrent. L'ordi lui même est beaucoup plus lent. Impossible également de démarrer des logiciels. Que faire? deplus je ne m'y connais pas beaucoup. merci d'avance pour votre aide.

47 réponses

Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
Bonjour

* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
alors, avant tout mon ordi est exceptionnellement lent ce qui rend la tâche extremement difficile.
ensuite jet tente de démarrer RogueKiller mais dès que je veux lancer l'execution, tout se stoppe. l'ordi vient même de se rebooter pour en revenir au même point...
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Si toujours bloqué éxécute rogue killer en mode sans echec
alors je l'ai renommé en winlogon.exe, toujours pareil, après plusieurs tentatives, c'est toujours bloqué.
question bête, et c'est là que tu vas comprendre mon niveau, comment éxecuter rogue killer en mode sans échec?
merci
petite précision je vois de facon très furtive lorsque je tente de lancer rogue killer une fenetre noire apparaitre, mais disparaitre quasi instantanément
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
* Redémarrer le PC.
* Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
* Ensuite à l'aide des flèches du clavier, sélectionner "Mode sans échec" et valider par Entrer
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
éxécutes roguekiller
c'est en cours. là bien sur j'écris d'un autre ordi.
j'ai une fenetre "restauration du systeme" qui vient de s'afficher.
du coup je l'ignore ou je fais quelque chose à partir de là?
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
Ignore la et lances roguekiller avec l'option 2 +postes le rapport.

Pour la suite de la procédure reste en mse
alors j'ai réussi à avoir le rapport mais
petit problème supplémentaire je n'ai plus l'accès au navigateur internet. (rapport avec le fait d'etre en mode sans échec?)
enfin qu'entends tu par "rester en mse"?
merci encore
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode sans echec
Utilisateur: rikos [Droits d'admin]
Mode: Recherche -- Date : 01/09/2011 18:26:19

Processus malicieux: 0

Entrees de registre: 5
[BLACKLIST DLL] HKCU\[...]\Run : Ayesoxazivazo (rundll32.exe "C:\WINDOWS\kilgpitr.dll",Startup) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-602162358-1993962763-1060284298-1003[...]\Run : Ayesoxazivazo (rundll32.exe "C:\WINDOWS\kilgpitr.dll",Startup) -> FOUND
[SUSP PATH] HKCU\[...]\RunOnce : mP04903OkIiN04903 (C:\Documents and Settings\All Users.WINDOWS\Application Data\mP04903OkIiN04903\mP04903OkIiN04903.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-602162358-1993962763-1060284298-1003[...]\RunOnce : mP04903OkIiN04903 (C:\Documents and Settings\All Users.WINDOWS\Application Data\mP04903OkIiN04903\mP04903OkIiN04903.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:
[FOLDER] plugs : c:\documents and settings\rikos\application data\adobe\plugs --> FOUND
[FOLDER] shed : c:\documents and settings\rikos\application data\adobe\shed --> FOUND

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
Toujours en mode sans echec mais cette fois tu choisis mode sans echec avec prise en charge reseau.

* lancer sRogueKiller.exe
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
=========================================================

* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: rikos [Droits d'admin]
Mode: Suppression -- Date : 01/09/2011 18:44:03

Processus malicieux: 0

Entrees de registre: 3
[BLACKLIST DLL] HKCU\[...]\Run : Ayesoxazivazo (rundll32.exe "C:\WINDOWS\kilgpitr.dll",Startup) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : mP04903OkIiN04903 (C:\Documents and Settings\All Users.WINDOWS\Application Data\mP04903OkIiN04903\mP04903OkIiN04903.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichiers / Dossiers particuliers:
[FILE] KB7205931 : c:\documents and settings\rikos\application data\adobe\plugs\KB7205931 --> REMOVED
[FILE] KB7206031 : c:\documents and settings\rikos\application data\adobe\plugs\KB7206031 --> REMOVED
[FILE] KB7214864.exe : c:\documents and settings\rikos\application data\adobe\plugs\KB7214864.exe --> REMOVED
[FILE] KB7215835.exe : c:\documents and settings\rikos\application data\adobe\plugs\KB7215835.exe --> REMOVED
[FILE] KB7215996.exe : c:\documents and settings\rikos\application data\adobe\plugs\KB7215996.exe --> REMOVED
[FOLDER] plugs : c:\documents and settings\rikos\application data\adobe\plugs --> REMOVED
[FOLDER] shed : c:\documents and settings\rikos\application data\adobe\shed --> REMOVED

Fichier HOSTS:


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
j'en suis au stade de l'analyse de malwarebytes mais il semble avoir planté. il ne réagit plus depuis plusieurs minutes
je confirme, à chaque lancement d'examen, malwarebytes semble planter.
que faire?
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
On va faire une analyse de ton systéme.


* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
alors j'ai bien le rapport mais aucun des sites mentionnés n'accepte de créer un lien.
je peux mettre le rapport direct dans le forum non?
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
je peux mettre le rapport direct dans le forum non?
Non le rapport est trop lond et il ne passera pas.


Pour l'acceptation du rapport par l'hebergeur tu dois compresser le fichier text
et je le compresse de quelle facon?
je sais c'est laborieux, mais je n'y connais que dalle
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
clic droit sur le rapport===>envoyer vers===>dossier compressé
http://pjjoint.malekal.com/files.php?id=v14u713d5b6r14f15e12e119t10x1313n14d6k5b15d12n7s11
Messages postés
11228
Date d'inscription
mardi 17 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
27 décembre 2015
834
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix