PC infecté par "Privacy protection"

Question

Bonjour, 

Mon Pc est infecté par "Privacy protection" et peut-être plus...
En effet, en plus d'avoir la fenêtre de scan, et les autorisations administrateur refusées, j'ai aussi un problème quand je fais une recherche sur Google : j'ai des pages publicitaires qui envahissent l'écran, ou bien un message "la page est introuvable". Je ne sais pas si c'est lié, mais j'ai ces deux problèmes qui m'inquiètent, car je n'ai jamais de virus habituellement. J'ai prêté mon ordinateur et je le regrette amèrement...

Je communique ici grâce à un mac portable, mais l'ordinateur infecté est un PC sous windows 7.

Quelqu'un peut-il m'aider à nettoyer mon ordinateur? J'ai déjà fouillé un peu le forum et j'ai essayé de télécharger RogueKiller, mais je ne parviens pas à l'ouvrir sur mon bureau...

Merci pour votre aide, je suis vraiment désespérée...

Cynthia



Configuration: Mac OS X / Firefox 3.6.23

tant pis · Answer

salut change l'extension de roguekiller en .pif à la place de .exe

Utilisateur anonyme · Answer

Bonjour,

Télécharge Malwarebytes Anti-Malware.

Installe-le et puis lance-le...

Tu cliques sur la loupe, tu fais examen complet, tu patientes, tu ne bouges à rien pendant le test et après, tu cliques sur la disquette et tu enregistres ton rapport sur le bureau... 

Ensuite, héberge le rapport sur www.cijoint.fr.

Et colle-moi le lien dans ta prochaine réponse.

Merci.

Cynthia · Answer

Merci pour vos réponses rapides.
Je ne suis pas une experte alors excusez-moi si je semble un peu niaise parfois...
J'ai tenté de changer l'extension de Roguekiller mais je n'y suis pas autorisée (alors que je suis bien l'administrateur...).
Je continue avec Roguekiller ou je passe à l'autre méthode?

Cynthia · Answer

Je ne parviens pas à renommer Roguekiller. J'arrive à renommer son raccourci (je ne sais pas si cela sert à grand chose...), ce qui me permet de le lancer, mais la fenêtre s'ouvre et se referme immédiatement...

Cynthia · Answer

Le seul programme qui a pu se lancer et rester ouvert est ADWCleaner. Enfin!
Voici le résultat de la recherche :
http://www.cijoint.fr/cjlink.php?file=cj201111/cijFo61d6W.txt

Tigzy · Answer

Si rogueKiller ne se lance pas, le renommer en winlogon.exe

Cynthia · Answer

Roguekiller se lance, je tape 2 (j'ai aussi essayé avec 1), des codes commencent à s'afficher, et la fenêtre se ferme aussitôt. Je n'ai pas la possibilité de copier le résultat...

Cynthia · Answer

J'ai réussi au bout de quelques tentatives...
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201111/cijMHHny9A.txt

afideg · Answer

Cynthia 

Tigzy est le développeur de RogueKiller.
Il mérite ta confiance.
Tente de faire bien ce qu'il propose.

Hello Tigzy

Al.

icodu34 · Answer

Bonjour,
Je viens de trouver la solution.
Redemarrer pc en mode sans échec. F8 au demarrage
Faire restauration système - Demarrer - accessoires - outils système - restauration.
Puis mon ordi à redemarré normalement
J'espère que cela va t'aider
@+

Cynthia · Answer

J'allais justement demander si ce n'était pas risqué...
J'attends tes consignes Tigzy.

Tigzy · Answer

Bon je fais te prendre en charge pour la suite
Je te conseille de lire ceci : http://tigzyrk.blogspot.com/2011/09/rootkit-zeroaccess-max.html

voici la démarche:


Télécharger et enregistrer  sur le bureau 
 Combofix

=Desactiver l'antivirus
=Double-clic sur  Combofix 
= Presser  1 si  demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans  C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus

Cynthia · Answer

J'obtiens ce message : 
"Combofix a détecté la présence d'une activité de rootkit et a besoin de faire redémarrer le PC"
Je ne peux que cliquer sur OK ou fermer la fenêtre. Je fais quoi?

Cynthia · Answer

Le rapport combofix:

http://www.toofiles.com/fr/oip/documents/txt/combofix.html

(cijoint ne fonctionnait pas)

Tigzy · Answer

ok, le rootkit a sauté.
Tu peux maintenant tester RogueKiller avec le dernier fichier que je t'ai mis?  https://forums.commentcamarche.net/forum/affich-23595383-pc-infecte-par-privacy-protection#47

Cynthia · Answer

Oui! Ça a été jusqu'au bout :D Voici le résultat: RogueKiller V6.1.7 [05/11/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Cynthia [Droits d'admin] Mode: Suppression -- Date : 08/11/2011 13:32:48 *** DEBUG ON *** ******* Var env ******* [isX64] 0 [APPDATA] c:\users\cynthia\appdata oaming [DESKTOP] c:\users\cynthia\desktop [CAPPDATA] c:\programdata [CDESKTOP] c:\users\public\desktop [CDOCS] c:\users\public\documents [CPROG] c:\programdata\microsoft\windows\start menu\programs [CSTARTMENU] c:\programdata\microsoft\windows\start menu [DOCS] c:\users\cynthia\documents [FAVS] c:\users\cynthia\favorites [LAPPDATA] c:\users\cynthia\appdata\local [MUSIC] c:\users\cynthia\music [PICTS] c:\users\cynthia\pictures [PROG] c:\program files [PROGX86] c:\program files [QUICKLNCH] c:\users\cynthia\appdata oaming\microsoft\internet explorer\quick launch [STARTMENU] c:\users\cynthia\appdata oaming\microsoft\windows\start menu [SYS32] c:\windows\system32 [SYSWOW64] c:\windows\system32 [TMP] c:\users\cynthia\appdata\local emp [USER] c:\users\cynthia [VIDEOS] c:\users\cynthia\videos [WINDOWS] c:\windows [STARTUP FOLDER] c:\users\cynthia\appdata oaming\microsoft\windows\start menu\programs\startup *********************** §§§ Processus malicieux: 0 §§§ §§§ Entrees de registre: 4 §§§ [SUSP PATH] {7672CAF6-D66C-4FEC-9587-435805EAB9F0}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED [SUSP PATH] {D7616B19-4258-4809-AC1E-68FC020B3D0E}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED [SUSP PATH] {E1D8FF2D-5D55-409A-950C-3206E911F034}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED [SUSP PATH] {F3893751-5268-40A3-8D56-6F9453CB3A25}.job : C:\Users\Cynthia\Desktop\RogueKiller.exe -> DELETED §§§ Fichiers / Dossiers particuliers: §§§ §§§ Driver: [LOADED] §§§ §§§ Infection : §§§ §§§ Fichier HOSTS: §§§ 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

Cynthia · Answer

Avec cette version, j'obtiens cela : RogueKiller V6.1.7 [05/11/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Cynthia [Droits d'admin] Mode: Suppression -- Date : 08/11/2011 13:50:37 §§§ Processus malicieux: 0 §§§ §§§ Entrees de registre: 0 §§§ §§§ Fichiers / Dossiers particuliers: §§§ §§§ Driver: [LOADED] §§§ §§§ Infection : §§§ §§§ Fichier HOSTS: §§§ 127.0.0.1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Tigzy · Answer

Télécharger  sur le bureau  Malwarebyte's Anti-Malware

= double-clic sur mbam-setup pour lancer l'installation
= Installer simplement sans rien modifier
= Ne pas décocher "Faire la mise à jour"
= si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
= Quand le programme lancé ==> cocher Exécuter un examen complet 
= Clic Rechercher
= Eventuellement décocher les disque à ne pas analyser
= Clic Lancer l'examen 
= En fin de scan ( 1h environ), si infection trouvée
==> Clic Afficher résultat
= Fermer vos applications en cours
= Vérifier si tout est coché et clic Supprimer la sélection

un rapport s'ouvre le copier et le coller dans la réponse

Cynthia · Answer

Ce message s'est affiché:
"L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté"

Le rapport est celui-ci :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de donnÈes: 7622

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

08/11/2011 14:40:01
mbam-log-2011-11-08 (14-40-01).txt

Type d'examen: Examen complet (C:\|E:\|F:\|)
ElÈment(s) analysÈ(s): 353088
Temps ÈcoulÈ: 26 minute(s), 50 seconde(s)

Processus mÈmoire infectÈ(s): 0
Module(s) mÈmoire infectÈ(s): 0
ClÈ(s) du Registre infectÈe(s): 0
Valeur(s) du Registre infectÈe(s): 0
ElÈment(s) de donnÈes du Registre infectÈ(s): 0
Dossier(s) infectÈ(s): 0
Fichier(s) infectÈ(s): 0

Processus mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Module(s) mÈmoire infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ClÈ(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Valeur(s) du Registre infectÈe(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

ElÈment(s) de donnÈes du Registre infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Dossier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Fichier(s) infectÈ(s):
(Aucun ÈlÈment nuisible dÈtectÈ)

Je n'ai pas eu à faire les étapes après le scan.

Tigzy · Answer

ok

on voit le bout

* Télécharge ZHPDiag
Capture 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: http://pjjoint.malekal.com/ et colle le lien dans la réponse

Cynthia · Answer

Volià le rapport

http://pjjoint.malekal.com/files.php?id=ZHPDiag_c14s10n5g12z7p12v14p1014k7i10p6b9t14t9o7m11s9s15u13

J'espère que tu as raison, et qu'on en vient à bout de ce truc! Merci pour tout.

Tigzy · Answer

ça ira , plus de soucis?

Tigzy · Answer

pour finaliser:

* Télécharge DELFix de Xplode
* Lance le.
* A l'invite, tape 2 (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

----------

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------

Tu peux garder Malwarebytes pour un scan de temps à autres


-----

Pense à marquer le fil comme résolu

Cynthia · Answer

Pardon mais le rapport est en trois parties car j'avais mis une partie des programmes dans un dossier sur le bureau...

Oui je suis une galérienne jusqu'au bout!! :D

Merci pour tous les conseils. Je vais lire attentivement ces sujets.


1)

# DelFix v8.6 - Rapport créé le 08/11/2011 à 18:13:59
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Cynthia - CYNTHIA-PC (Administrateur)
# Exécuté depuis : E:\PROG\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Users\Cynthia\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Cynthia\Desktop\adwcleaner0.exe
Supprimé : C:\Users\Cynthia\Desktop\AdwCleaner[R1].txt
Supprimé : C:\Users\Cynthia\Desktop\ComboFix.exe - Raccourci (2).lnk
Supprimé : C:\Users\Cynthia\Desktop\ComboFix.exe - Raccourci.lnk
Supprimé : C:\Users\Cynthia\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Cynthia\Desktop\RKreport[1] (2).txt
Supprimé : C:\Users\Cynthia\Desktop\RKreport[1].txt
Supprimé : C:\Users\Cynthia\Desktop\RKreport[2] (2).txt
Supprimé : C:\Users\Cynthia\Desktop\RKreport[2].txt
Supprimé : C:\Users\Cynthia\Desktop\RKreport[2]b.txt
Supprimé : C:\Users\Cynthia\Desktop\RogueKiller_DEBUG.exe
Supprimé : C:\Users\Cynthia\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Cynthia\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Cynthia\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Cynthia\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~


~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1564 octets] - [08/11/2011 18:12:37]
DelFix[S1].txt - [1664 octets] - [08/11/2011 18:12:45]
DelFix[S2].txt - [813 octets] - [08/11/2011 18:13:36]
DelFix[S3].txt - [1506 octets] - [08/11/2011 18:13:59]

########## EOF - C:\DelFix[S3].txt - [1630 octets] ##########


2)

# DelFix v8.6 - Rapport créé le 08/11/2011 à 18:13:36
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Cynthia - CYNTHIA-PC (Administrateur)
# Exécuté depuis : E:\PROG\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Cynthia\Desktop\RogueKiller(2).exe
Supprimé : C:\Users\Cynthia\Desktop\RogueKiller_DEBUG(6).exe

~~~~~~ Registre ~~~~~~


~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1564 octets] - [08/11/2011 18:12:37]
DelFix[S1].txt - [1664 octets] - [08/11/2011 18:12:45]
DelFix[S2].txt - [694 octets] - [08/11/2011 18:13:36]

########## EOF - C:\DelFix[S2].txt - [817 octets] ##########


3)

# DelFix v8.6 - Rapport créé le 08/11/2011 à 18:12:45
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Cynthia - CYNTHIA-PC (Administrateur)
# Exécuté depuis : E:\PROG\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.6.16.0_08.11.2011_12.25.56_log.txt
Supprimé : C:\Users\Cynthia\Desktop\ComboFix.exe
Supprimé : C:\Users\Cynthia\Downloads\DOSSIER DE CANDIDATURE  Novembre 2011-1.doc
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1564 octets] - [08/11/2011 18:12:37]
DelFix[S1].txt - [1543 octets] - [08/11/2011 18:12:45]

########## EOF - C:\DelFix[S1].txt - [1667 octets] ##########

PC infecté par "Privacy protection"

24 réponses

Votre réponse

Newsletters