Security shield -malware-otl
Fermé
chardons12
Messages postés
60
Statut
Membre
-
^Abel^ Messages postés 22775 Statut Contributeur -
^Abel^ Messages postés 22775 Statut Contributeur -
Bonjour,
Bonjour,
Désolée, j'ai dû m'absenter hier soir. Pouvez-vous encore m'aider svp ?
Configuration: Windows XP / Firefox 13.0.1
Ce matin security shield s'est installé sur mon ordi.
J'ai téléchargé roguekiller et voici le rapport:
RogueKiller V7.6.0 [26/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: User [Droits d'admin]
Mode: Suppression -- Date: 27/06/2012 12:21:27
¤¤¤ Processus malicieux: 3 ¤¤¤
[WINDOW : Security Shield] fqsqjdcxwv.exe -- C:\Documents and Settings\User\Local Settings\Application Data\fqsqjdcxwv.exe -> KILLED [TermProc]
[SUSP PATH] IadHide4.dll -- C:\DOCUME~1\User\LOCALS~1\Temp\IadHide4.dll -> UNLOADED
[SUSP PATH] c2c_service.exe -- C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xEEDF07EC)
SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xEEDF07A6)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xEEDF07F6)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xEEDF079C)
SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xEEDF07AB)
SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xEEDF07B5)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xEEDF07E7)
SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xEEDF07BA)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xEEDF0788)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xEEDF078D)
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (Unknown @ 0xEEDF080F)
SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xEEDF07C4)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xEEDF0800)
SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xEEDF07BF)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xEEDF07FB)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xEEDF0805)
SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xEEDF07B0)
SSDT[255] : NtSystemDebugControl @ 0x80617FAA -> HOOKED (Unknown @ 0xEEDF080A)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xEEDF0797)
S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xEEDF081E)
S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xEEDF0823)
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST332061 3AS SCSI Disk Device +++++
--- User ---
[MBR] c9ec50baf8048e7cd57d963aa19ec852
[BSP] cf2b1f83070aacbba8a2d2926642deb3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Après le scan j'ai téléchargé Malwarebytes anti Malware et scanné, puis avira. est-ce que cela suffit ?
J'ai aussi téléchargé speedmax pc mais n'ai pas osé le laisser réparer les 1500 erreurs qu'il mentionnait, ne sachant si je pouvais lui fair confiance.
Qu'en pensez-vous?
Merci pour votre aide !
Malekal_morte- 27 juin 2012 à 19:34
Salut,
Speed Max PC = arnaque à désinstaller.
Malwarebyte a détecté des choses, tu peux poster le rapport ?
et :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and leftModifié par Malekal_morte- le 27/06/2012 à 19:35
Ajouter un commentaire - Site web - Permalink (#1)
Réponse
+0
chardons12 27 juin 2012 à 20:25
Merci beaucoup pour l'aide !
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.06.27.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: VAN-CBA8AD57AD4 [administrateur]
Protection: Activé
27/06/2012 12:19:12
mbam-log-2012-06-27 (12-19-12).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 348535
Temps écoulé: 2 heure(s), 38 minute(s), 11 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Documents and Settings\User\Mes documents\Téléchargements\freeopener.exe (PUP.BundleOffers.IIQ) -> Aucune action effectuée.
C:\System Volume Information\_restore{C7DB8851-CB07-4FAC-8E85-57E68C766FBD}\RP700\A0069887.exe (PUP.BundleOffers.IIQ) -> Aucune action effectuée.
C:\Documents and Settings\User\Bureau\RK_Quarantine\fqsqjdcxwv.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\User\Local Settings\Application Data\fqsqjdcxwv.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
(fin)
https://pjjoint.malekal.com/files.php?id=OTL_20120627_x12k5r14g14q15
Bonjour,
Désolée, j'ai dû m'absenter hier soir. Pouvez-vous encore m'aider svp ?
Configuration: Windows XP / Firefox 13.0.1
Ce matin security shield s'est installé sur mon ordi.
J'ai téléchargé roguekiller et voici le rapport:
RogueKiller V7.6.0 [26/06/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: User [Droits d'admin]
Mode: Suppression -- Date: 27/06/2012 12:21:27
¤¤¤ Processus malicieux: 3 ¤¤¤
[WINDOW : Security Shield] fqsqjdcxwv.exe -- C:\Documents and Settings\User\Local Settings\Application Data\fqsqjdcxwv.exe -> KILLED [TermProc]
[SUSP PATH] IadHide4.dll -- C:\DOCUME~1\User\LOCALS~1\Temp\IadHide4.dll -> UNLOADED
[SUSP PATH] c2c_service.exe -- C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805BC538 -> HOOKED (Unknown @ 0xEEDF07EC)
SSDT[41] : NtCreateKey @ 0x80623FD6 -> HOOKED (Unknown @ 0xEEDF07A6)
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xEEDF07F6)
SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xEEDF079C)
SSDT[63] : NtDeleteKey @ 0x80624472 -> HOOKED (Unknown @ 0xEEDF07AB)
SSDT[65] : NtDeleteValueKey @ 0x80624642 -> HOOKED (Unknown @ 0xEEDF07B5)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xEEDF07E7)
SSDT[98] : NtLoadKey @ 0x806261FA -> HOOKED (Unknown @ 0xEEDF07BA)
SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xEEDF0788)
SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xEEDF078D)
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (Unknown @ 0xEEDF080F)
SSDT[193] : NtReplaceKey @ 0x806260AA -> HOOKED (Unknown @ 0xEEDF07C4)
SSDT[200] : NtRequestWaitReplyPort @ 0x805A2D7E -> HOOKED (Unknown @ 0xEEDF0800)
SSDT[204] : NtRestoreKey @ 0x806259B6 -> HOOKED (Unknown @ 0xEEDF07BF)
SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xEEDF07FB)
SSDT[237] : NtSetSecurityObject @ 0x805C0636 -> HOOKED (Unknown @ 0xEEDF0805)
SSDT[247] : NtSetValueKey @ 0x80622548 -> HOOKED (Unknown @ 0xEEDF07B0)
SSDT[255] : NtSystemDebugControl @ 0x80617FAA -> HOOKED (Unknown @ 0xEEDF080A)
SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xEEDF0797)
S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xEEDF081E)
S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xEEDF0823)
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST332061 3AS SCSI Disk Device +++++
--- User ---
[MBR] c9ec50baf8048e7cd57d963aa19ec852
[BSP] cf2b1f83070aacbba8a2d2926642deb3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Après le scan j'ai téléchargé Malwarebytes anti Malware et scanné, puis avira. est-ce que cela suffit ?
J'ai aussi téléchargé speedmax pc mais n'ai pas osé le laisser réparer les 1500 erreurs qu'il mentionnait, ne sachant si je pouvais lui fair confiance.
Qu'en pensez-vous?
Merci pour votre aide !
Malekal_morte- 27 juin 2012 à 19:34
Salut,
Speed Max PC = arnaque à désinstaller.
Malwarebyte a détecté des choses, tu peux poster le rapport ?
et :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and leftModifié par Malekal_morte- le 27/06/2012 à 19:35
Ajouter un commentaire - Site web - Permalink (#1)
Réponse
+0
chardons12 27 juin 2012 à 20:25
Merci beaucoup pour l'aide !
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.06.27.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: VAN-CBA8AD57AD4 [administrateur]
Protection: Activé
27/06/2012 12:19:12
mbam-log-2012-06-27 (12-19-12).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 348535
Temps écoulé: 2 heure(s), 38 minute(s), 11 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Documents and Settings\User\Mes documents\Téléchargements\freeopener.exe (PUP.BundleOffers.IIQ) -> Aucune action effectuée.
C:\System Volume Information\_restore{C7DB8851-CB07-4FAC-8E85-57E68C766FBD}\RP700\A0069887.exe (PUP.BundleOffers.IIQ) -> Aucune action effectuée.
C:\Documents and Settings\User\Bureau\RK_Quarantine\fqsqjdcxwv.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\User\Local Settings\Application Data\fqsqjdcxwv.exe (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
(fin)
https://pjjoint.malekal.com/files.php?id=OTL_20120627_x12k5r14g14q15
A voir également:
- Security shield -malware-otl
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Pc privacy shield ✓ - Forum Virus
- Account-security-noreply@ accountprotection.microsoft.com spam ✓ - Forum Hotmail / Outlook.com
- Security health systray - Forum Antivirus
