Security shield vient de m'infecter...

cedbol Messages postés 4 Date d'inscription   Statut Membre Dernière intervention   -  
loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Est-ce que quelqu'un pourrait m'aider à me débarrasser de security shield ?

J'ai réussi à l'empêcher d'agir en arrêtant le processus rapidement à l'ouverture de mon ordi, mais je suis certain qu'il est encore là !!!

Il faudrait donc que quelqu'un me confirme qu'il est encore présent et me dise comment m'en débarasser.

Merci à l'avance

8 réponses

  1. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Bonjour,
    security shield est un rogue, c'est à dire un faux logiciel de sécurité annonçant la présence de fausses infections pour te faire peur et te pousser à acheter une fausse protection (plus d'infos ici)... Ignore les fausses alertes du rogue, et ne l'achète surtout pas, je vais t'aider à t'en débarrasser. Pour commencer, utilise cet outil :

    Télécharger sur le bureau RogueKiller (par tigzy)
    Quitter tous les programmes en cours
    Lancer RogueKiller.exe
    Attendre la fin du Prescan ...
    Cliquer sur Scan.
    A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
    0
  2. cedbol
     
    Voici pour Loumax91

    RogueKiller V7.0.2 [30/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: cedric.bolduc [Droits d'admin]
    Mode: Recherche -- Date : 03/02/2012 16:06:38

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 7 ¤¤¤
    [BLACKLIST DLL] HKCU\[...]\Run : WinWIlib (rundll32.exe "C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll",usrWebdsc EapMap90) -> FOUND
    [BLACKLIST DLL] HKUS\S-1-5-21-522984776-2350105140-2711751712-4915[...]\Run : WinWIlib (rundll32.exe "C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll",usrWebdsc EapMap90) -> FOUND
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
    [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS723232A7A364 +++++
    --- User ---
    [MBR] acd6744385443913529e9724af0cfd2c
    [BSP] 3cf03b0c2f8f63e7bb1da5c46956ead2 : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 269703 Mo
    2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 555425792 | Size: 21999 Mo
    3 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 600479744 | Size: 12042 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. g3n-h@ckm@n
       
      ok je vous laisse continuer:) salut loumax :)
      0
  3. cedbol
     
    Voici un rapport de MalwareBytes (j'ai pris un peu d'avance en lisant sur le forum).

    Est-ce que je fait la suppression des 5 items trouvés ?

    _____________
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.03.10

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    cedric.bolduc :: MTL-POR-18908 [administrateur]

    2012-02-03 16:11:05
    mbam-log-2012-02-03 (18-09-29).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 392109
    Temps écoulé: 1 heure(s), 29 minute(s), 13 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 1
    C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll (IPH.Trojan.Blueinit.W7) -> Aucune action effectuée.

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinWIlib (IPH.Trojan.Blueinit.W7) -> Données: rundll32.exe "C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll",usrWebdsc EapMap90 -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    C:\Users\cedric.bolduc\AppData\Local\SmartCommondb\WinWIlib.dll (IPH.Trojan.Blueinit.W7) -> Aucune action effectuée.
    C:\Users\cedric.bolduc\AppData\Local\hpvlttwfca.exe (Rogue.SecurityShield2011) -> Aucune action effectuée.
    C:\Users\cedric.bolduc\AppData\Local\qqvmyhjte.exe (Rogue.SecurityShield2011) -> Aucune action effectuée.

    (fin)
    0
  4. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Salut g3n ;)

    -Ok relance RogueKiller, clique sur Suppression. Ensuite clique sur Rapport et copier coller le contenu du notepad dans ta réponse

    -Pour Malwarebytes coche tout et supprime, tu referas les mises à jour et une analyse Rapide après le passage de RogueKiller et tu me dis s'il fait des détections.

    Ensuite, peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

    ¶ Télécharge ZHPDiag (de Nicolas Coolman)
    ¶ Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    ¶ Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
    ¶ Il se lancera automatiquement à la fin de l'installation
    ¶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    ¶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    ¶ Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cedbol
     
    Voici pour le repassage de Roguekiller...

    RogueKiller V7.0.2 [30/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: cedric.bolduc [Droits d'admin]
    Mode: Recherche -- Date : 05/02/2012 21:47:44

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS723232A7A364 +++++
    --- User ---
    [MBR] acd6744385443913529e9724af0cfd2c
    [BSP] 3cf03b0c2f8f63e7bb1da5c46956ead2 : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 269703 Mo
    2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 555425792 | Size: 21999 Mo
    3 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 600479744 | Size: 12042 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    _________________________________-
    et pour Mawarebytes, RIEN

    et pour ZHP

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120206_i8s15i910n10
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      bonjour vous deux , pour info : Spybot gêne la désinfection
      bonne journée loumax91 ;)
      0
  7. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Bonjour

    C'est un rapport de recherche, apparemment tu as dû passer la suppression, si tu retrouve ce rapport de suppression poste le ;)

    *A désinstaller via > menu démarrer > panneau de configuration > programmes et fonctionnalités :
    -Spybot - Search & Destroy (obsolète)
    -Java

    *Ensuite télécharge et installe la nouvelle version de Java ici

    *Vérifier si tu dispose de la dernière version d'Adobe Reader 10.1.2 ICI
    (désinstaller ancienne version avant d'installer la nouvelle)
    *Lire ceci : L'importance de maintenir à jour son PC

    *Je te conseil d'utiliser Firefox (déjà sur ton PC), qui est bien plus sécurisés que IE et pour encore plus de sécurité, installe ces deux extensions :
    -Adblock plus
    -Wot > Firefox > Internet Explorer

    *Relance Malwarebytes, fais les mises à jour et lance une "analyse rapide"
    (pour faire plaisir à sherred :))

    *Refais une analyse ZHPDiag pour contrôle, stp (pense à héberger le rapport sur pjjoint).

    0
  8. cedbol
     
    merci pour tout

    malwarebytes....RIEN

    et voici le rapport ZHPDiag demandé...

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120208_w14x15z6h13d14

    Laisse-moi savoir si je m'en suis sorti...je crois bien que oui !
    Si tu as d'autres conseils, n'hésite pas (sur comment gérer le PC)..

    Bonne journée

    Ced
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      O43 - CFD: 2012-02-07 - 20:09:06 - [0] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
      [MD5.00000000000000000000000000000000] [APT] [{61AD84E2-9FF1-42BC-BCC3-5139EE1C5C6D}] (...) -- D:\SETUP.exe (.not file.) => Existe aussi en malware DELF-CA.Troj
      0
    2. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      @ sherred
      Ne "brûlons" pas les étapes, stp ;)

      @ cedbol
      Pour la suite, je te réponds ce soir, là je suis au boulot.
      0
    3. g3n-h@ckm@n
       
      salut @sherred :

      C:\Users\g3n-h@ckm@n\Downloads\SETUP.exe => Existe aussi en malware DELF-CA.Troj

      le fichier en question c'est l'installeur de Findykill.....ZHPH est plein de FPs , faut pas tout prendre au pied de la lettre ce qui est ecrit , regarde , il prend photoshop pour du LOP possible
      0
    4. sherred Messages postés 8605 Statut Membre 351
       
      Findykill ? pas vu :)

      mais c'est vrai "faut pas tout prendre au pied de la lettre "
      là on a un setup a la racine , donc je reste méfiant

      mais laissons loumax , désolé pour l'intru
      0
  9. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    1) Ce script va cibler certains éléments à supprimer :

    O4 - HKLM\..\Run: [ThpSrv] Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [{61AD84E2-9FF1-42BC-BCC3-5139EE1C5C6D}] (...) -- D:\SETUP.exe (.not file.)
    O43 - CFD: 2011-06-02 - 06:55:08 - [0.000] ----D- C:\ProgramData\Partner
    O43 - CFD: 2012-02-07 - 20:09:06 - [0] ----D- C:\ProgramData\Spybot - Search & Destroy
    O43 - CFD: 2012-02-07 - 20:09:06 - [1.100] ----D- C:\Program Files (x86)\Spybot - Search & Destroy
    EmptyFlash
    EmptyTemp
    FirewallRAZ


    ¶ Sélectionne le script en entier (lignes en gras) et copie le (Edition --> Copier)
    ¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
    ¶ Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    ¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    ¶ Clique sur le bouton « GO » pour lancer le nettoyage,
    ¶ Copie/colle la totalité du rapport dans ta prochaine réponse

    *************

    *Refais une analyse ZHPDiag stp (pense à héberger le rapport sur pjjoint).

    0