Security sphere.... comment s'en débarasser ?

Niobée2011 Messages postés 8 Statut Membre -  
Niobée2011 Messages postés 8 Statut Membre -
Bonjour,

Mon PC est a priori infecté depuis ce matin par ce virus. J'ai eu de nombreux messages d'alerte, mon fond d'écran est devenu tout bleu, il rame...
Bref, après quelques recherches, j'ai téléchargé un fichier sur trojan-killer.net/download/pkiller.exe. J'ai suivi les consignes (renommer le fichier et l'exécuter) et effectivement, les alertes ont cessé et les deux icônes de security sphere ont disparu.

Mais,, l'étape suivante m'a semblé suspecte : on me demandait de télécharger le logiciel Trojan Killer Grindinsoft. Il a effectué un scan, a bien détecté plein d'infections, puis me demandait de payer pour tout supprimer... suspect, j'ai donc préféré ne pas l'acheter.
Idem pour SpyHunter qui m'a l'air tout aussi dangereux.

je suis très loin d'être une spécialiste, toutes les procédures ont l'air très complexes, sans compter les arnaques qui prétendent supprimer le virus. Quelqu'un peut-il m'aider ?

Mon PC est un toshiba sous Vista 2007. J'utilise Firefox et Avira Antivir (qui ne semble pas d'une grande aide puisqu'il n'a rien détecté lui...).

Merci infiniment !!!

12 réponses

  1. Utilisateur anonyme
     
    Bonjour

    * Télécharger sur le bureau RogueKiller(par Tigzy)
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 2 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    * Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    @+
    0
  2. Niobée2011 Messages postés 8 Statut Membre
     
    Quelle réactivité ! merci
    Voici le rapport reçu :

    RogueKiller V6.1.12 [02/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Manou [Droits d'admin]
    Mode: Suppression -- Date : 11/12/2011 16:19:18

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : dF21712HlCcA21712 (C:\ProgramData\dF21712HlCcA21712\dF21712HlCcA21712.exe) -> DELETED
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:50370) -> NOT REMOVED, USE PROXYFIX
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Utilisateur anonyme
     
    Re

    Relance Roguekiller option 4

    Poste moi ce rapport ;merci.

    @+
    0
  4. Niobée2011 Messages postés 8 Statut Membre
     
    RogueKiller V6.1.12 [02/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Manou [Droits d'admin]
    Mode: Proxy RAZ -- Date : 11/12/2011 16:24:50

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:50370) -> DELETED

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    As tu retrouvé ton bureau?

    Si cela est le cas:

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
    @+
    0
  7. Niobée2011 Messages postés 8 Statut Membre
     
    Ok, je vais me lancer ;-)
    Cela dit, je n'ai pas récupéré mon fond d'écran si c'est ce que tu voulais dire.
    j'y vais quand même ? désolée, c'est peut être idiot comme question mais je ne voudrais pas faire de boulette !
    Merci pour ton aide
    0
    1. Utilisateur anonyme
       
      Re

      Lances toi ;-)
      0
  8. Niobée2011 Messages postés 8 Statut Membre
     
    Me revoilà !

    Voici le rapport, j'espère que c'est bon. Il y a encore les fichiers qui apparaissent dans l'onglet "quarantaine".

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8351

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    11/12/2011 18:32:04
    mbam-log-2011-12-11 (18-32-04).txt

    Type d'examen: Examen complet (C:\|E:\|)
    Elément(s) analysé(s): 314657
    Temps écoulé: 1 heure(s), 40 minute(s), 6 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 28
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    e:\program files\escapefromparadisesetup-dm.exe (Adware.TryMedia) -> Quarantined and deleted successfully.
    c:\Users\Manou\AppData\Roaming\microsoft\stor.cfg (Malware.Trace) -> Quarantined and deleted successfully.
    0
  9. Utilisateur anonyme
     
    Re

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://pjjoint.malekal.com/

    https://www.cjoint.com/

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  10. Niobée2011 Messages postés 8 Statut Membre
     
    Hello,
    je reviens aux nouvelles. Est-ce que tu as pu jeter un coup d'oeil au dernier rapport envoyé ? tu penses que mon PC est sorti d'affaires ?
    Merci !!
    0
  11. Utilisateur anonyme
     
    Bonsoir

    1)
    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


    2)
    Poste ensuite un nouveau rapport ZHPDiag;merci

    @+

    0
  12. Niobée2011 Messages postés 8 Statut Membre
     
    Bonsoir
    Voilà le rapport AdwCleaner :
    # AdwCleaner v1.402 - Rapport créé le 14/12/2011 à 21:25:23
    # Mis à jour le 11/12/11 à 19h par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
    # Nom d'utilisateur : Manou - PC-DE-MANOU (Administrateur)
    # Exécuté depuis : C:\Users\Manou\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Manou\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
    Dossier Supprimé : C:\Users\Manou\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\Manou\AppData\LocalLow\FunWebProducts
    Dossier Supprimé : C:\Users\Manou\AppData\LocalLow\MyWebSearch
    Dossier Supprimé : C:\Program Files\Conduit
    Fichier Supprimé : C:\Users\Manou\AppData\Roaming\Mozilla\Firefox\Profiles\n3n1kp16.default\searchplugins\mywebsearch.xml

    ***** [Registre] *****

    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2456781
    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2545112
    Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Fun Web Products
    Clé Supprimée : HKCU\Software\AppDataLow\Software\FunWebProducts
    Clé Supprimée : HKCU\Software\AppDataLow\Software\MyWebSearch
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Software
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v7.0.6001.18000

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v8.0 (fr)

    Profil : n3n1kp16.default
    Fichier : C:\Users\Manou\AppData\Roaming\Mozilla\Firefox\Profiles\n3n1kp16.default\prefs.js

    C:\Users\Manou\AppData\Roaming\Mozilla\Firefox\Profiles\n3n1kp16.default\user.js ... Supprimé !

    Supprimée : user_pref("extensions.m3ffxtbr@mywebsearch.com.install-event-fired", true);
    Supprimée : user_pref("extensions.mywebsearch.openSearchURL", "hxxp://search.mywebsearch.com/mywebsearch/opensea[...]

    -\\ Google Chrome v0.0.0.0

    Fichier : C:\Users\Manou\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [2870 octets] - [14/12/2011 21:25:23]

    *************************

    Dossier Temporaire : 6 dossier(s)et 16 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [3090 octets] ##########

    Et celui de ZHPDiag :
    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111214_d9e7z7t13r6

    Merci,
    A+
    0