Security shield vient de m'infecter...

Fermé
cedbol Messages postés 4 Date d'inscription samedi 23 octobre 2010 Statut Membre Dernière intervention 3 février 2012 - 3 févr. 2012 à 20:36
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 - 8 févr. 2012 à 19:30
Bonjour,
Est-ce que quelqu'un pourrait m'aider à me débarrasser de security shield ?

J'ai réussi à l'empêcher d'agir en arrêtant le processus rapidement à l'ouverture de mon ordi, mais je suis certain qu'il est encore là !!!

Il faudrait donc que quelqu'un me confirme qu'il est encore présent et me dise comment m'en débarasser.

Merci à l'avance


8 réponses

loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 478
3 févr. 2012 à 21:09
Bonjour,
security shield est un rogue, c'est à dire un faux logiciel de sécurité annonçant la présence de fausses infections pour te faire peur et te pousser à acheter une fausse protection (plus d'infos ici)... Ignore les fausses alertes du rogue, et ne l'achète surtout pas, je vais t'aider à t'en débarrasser. Pour commencer, utilise cet outil :

Télécharger sur le bureau RogueKiller (par tigzy)
Quitter tous les programmes en cours
Lancer RogueKiller.exe
Attendre la fin du Prescan ...
Cliquer sur Scan.
A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
0
Voici pour Loumax91

RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: cedric.bolduc [Droits d'admin]
Mode: Recherche -- Date : 03/02/2012 16:06:38

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[BLACKLIST DLL] HKCU\[...]\Run : WinWIlib (rundll32.exe "C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll",usrWebdsc EapMap90) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-522984776-2350105140-2711751712-4915[...]\Run : WinWIlib (rundll32.exe "C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll",usrWebdsc EapMap90) -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS723232A7A364 +++++
--- User ---
[MBR] acd6744385443913529e9724af0cfd2c
[BSP] 3cf03b0c2f8f63e7bb1da5c46956ead2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 269703 Mo
2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 555425792 | Size: 21999 Mo
3 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 600479744 | Size: 12042 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Utilisateur anonyme
3 févr. 2012 à 22:36
ok je vous laisse continuer:) salut loumax :)
0
Voici un rapport de MalwareBytes (j'ai pris un peu d'avance en lisant sur le forum).

Est-ce que je fait la suppression des 5 items trouvés ?

_____________
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.03.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
cedric.bolduc :: MTL-POR-18908 [administrateur]

2012-02-03 16:11:05
mbam-log-2012-02-03 (18-09-29).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 392109
Temps écoulé: 1 heure(s), 29 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 1
C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll (IPH.Trojan.Blueinit.W7) -> Aucune action effectuée.

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinWIlib (IPH.Trojan.Blueinit.W7) -> Données: rundll32.exe "C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll",usrWebdsc EapMap90 -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll (IPH.Trojan.Blueinit.W7) -> Aucune action effectuée.
C:\Users\cedric.bolduc\AppData\Local\hpvlttwfca.exe (Rogue.SecurityShield2011) -> Aucune action effectuée.
C:\Users\cedric.bolduc\AppData\Local\qqvmyhjte.exe (Rogue.SecurityShield2011) -> Aucune action effectuée.

(fin)
0
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 478
4 févr. 2012 à 10:48
Salut g3n ;)

-Ok relance RogueKiller, clique sur Suppression. Ensuite clique sur Rapport et copier coller le contenu du notepad dans ta réponse

-Pour Malwarebytes coche tout et supprime, tu referas les mises à jour et une analyse Rapide après le passage de RogueKiller et tu me dis s'il fait des détections.

Ensuite, peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

¶ Télécharge ZHPDiag (de Nicolas Coolman)
¶ Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
¶ Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
¶ Il se lancera automatiquement à la fin de l'installation
¶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¶ Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Voici pour le repassage de Roguekiller...

RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: cedric.bolduc [Droits d'admin]
Mode: Recherche -- Date : 05/02/2012 21:47:44

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS723232A7A364 +++++
--- User ---
[MBR] acd6744385443913529e9724af0cfd2c
[BSP] 3cf03b0c2f8f63e7bb1da5c46956ead2 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 269703 Mo
2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 555425792 | Size: 21999 Mo
3 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 600479744 | Size: 12042 Mo
User = LL1 ... OK!
Error reading LL2 MBR!


_________________________________-
et pour Mawarebytes, RIEN

et pour ZHP

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120206_i8s15i910n10
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
6 févr. 2012 à 07:09
bonjour vous deux , pour info : Spybot gêne la désinfection
bonne journée loumax91 ;)
0
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 478
6 févr. 2012 à 09:32
Bonjour

C'est un rapport de recherche, apparemment tu as dû passer la suppression, si tu retrouve ce rapport de suppression poste le ;)

*A désinstaller via > menu démarrer > panneau de configuration > programmes et fonctionnalités :
-Spybot - Search & Destroy (obsolète)
-Java

*Ensuite télécharge et installe la nouvelle version de Java ici

*Vérifier si tu dispose de la dernière version d'Adobe Reader 10.1.2 ICI
(désinstaller ancienne version avant d'installer la nouvelle)
*Lire ceci : L'importance de maintenir à jour son PC

*Je te conseil d'utiliser Firefox (déjà sur ton PC), qui est bien plus sécurisés que IE et pour encore plus de sécurité, installe ces deux extensions :
-Adblock plus
-Wot > Firefox > Internet Explorer

*Relance Malwarebytes, fais les mises à jour et lance une "analyse rapide"
(pour faire plaisir à sherred :))

*Refais une analyse ZHPDiag pour contrôle, stp (pense à héberger le rapport sur pjjoint).

0
merci pour tout

malwarebytes....RIEN

et voici le rapport ZHPDiag demandé...

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120208_w14x15z6h13d14

Laisse-moi savoir si je m'en suis sorti...je crois bien que oui !
Si tu as d'autres conseils, n'hésite pas (sur comment gérer le PC)..

Bonne journée

Ced
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
8 févr. 2012 à 07:15
O43 - CFD: 2012-02-07 - 20:09:06 - [0] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
[MD5.00000000000000000000000000000000] [APT] [{61AD84E2-9FF1-42BC-BCC3-5139EE1C5C6D}] (...) -- D:\SETUP.exe (.not file.) => Existe aussi en malware DELF-CA.Troj
0
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 478
8 févr. 2012 à 08:50
@ sherred
Ne "brûlons" pas les étapes, stp ;)

@ cedbol
Pour la suite, je te réponds ce soir, là je suis au boulot.
0
salut @sherred :

C:\Users\g3n-h@ckm@n\Downloads\SETUP.exe => Existe aussi en malware DELF-CA.Troj

le fichier en question c'est l'installeur de Findykill.....ZHPH est plein de FPs , faut pas tout prendre au pied de la lettre ce qui est ecrit , regarde , il prend photoshop pour du LOP possible
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 8/02/2012 à 12:55
Findykill ? pas vu :)

mais c'est vrai "faut pas tout prendre au pied de la lettre "
là on a un setup a la racine , donc je reste méfiant

mais laissons loumax , désolé pour l'intru
0
loumax91 Messages postés 3183 Date d'inscription mardi 14 juin 2011 Statut Contributeur sécurité Dernière intervention 14 avril 2019 478
8 févr. 2012 à 19:30
1) Ce script va cibler certains éléments à supprimer :

O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{61AD84E2-9FF1-42BC-BCC3-5139EE1C5C6D}] (...) -- D:\SETUP.exe (.not file.)
O43 - CFD: 2011-06-02 - 06:55:08 - [0.000] ----D- C:\ProgramData\Partner
O43 - CFD: 2012-02-07 - 20:09:06 - [0] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 2012-02-07 - 20:09:06 - [1.100] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
EmptyFlash
EmptyTemp
FirewallRAZ


¶ Sélectionne le script en entier (lignes en gras) et copie le (Edition --> Copier)
¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
¶ Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse

*************

*Refais une analyse ZHPDiag stp (pense à héberger le rapport sur pjjoint).

0