Virus : Security Shield Avertissement

Résolu
Vince29 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je viens de choper un virus mais je ne sais pas trop comment étant donné que je fais super gaffe, enfin bon...

Je reçois un message d'alerte "Security Shield Avertissement" bidon sans arrêt, et je n'arrive pas à m'en débarrasser. Je n'ai jamais accepté leur proposition d'installer je ne sais trop quoi, donc je ne sais pas si je suis complètement infecté. Toujours est il que je reçois sans arrêt ce fameux message : "Security Shield a détecté les codes malveillants sur votre système. Il est fortement recommandé que vous enregistrez Security Shield et supprimer les menaces immédiatement".

J'ai tenté de le supprimer avec Spybot - Search & Destroy mais cela n'a pas fonctionné. Jusqu'à présent je ne m'étais jamais lancé sur les forums pour obtenir de l'aide voyant qu'il fallait installer pas mal de logiciels et envoyer tout un tas de rapports, mais là ça me gonfle tellement que je suis prêt à suivre les instructions pour me débarrasser de cette merde.

Merci d'avance pour votre aide.

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    (bien faire suppression à droite).

    ~~

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.
    0
  2. Vince29
     
    RogueKiller V7.6.3 [08/07/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Vincent [Droits d'admin]
    Mode: Suppression -- Date: 14/07/2012 00:10:58

    ¤¤¤ Processus malicieux: 1 ¤¤¤
    [WINDOW : Security Shield] godgrpu.exe -- C:\Users\Vincent\AppData\Local\godgrpu.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [SUSP PATH] ASUS InstallAll ReInst.job @ : C:\Users\Vincent\AppData\Local\Temp\\InstallAll\ReInst.exe -> DELETED
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤

    ¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9320325AS +++++
    --- User ---
    [MBR] 787276b1a288894e8e30e233fab584c1
    [BSP] 68a9a69bc00139773c4fa2984750dba9 : Windows Vista/7 MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 12001 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24580096 | Size: 293242 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  3. Vince29
     
    Malwarebytes Anti-Malware (Essai) 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.13.11

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Vincent :: PC-DE-VINCENT [administrateur]

    Protection: Activé

    14/07/2012 00:18:12
    mbam-log-2012-07-14 (00-18-12).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 192809
    Temps écoulé: 5 minute(s), 28 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Vincent\Local Settings\Application Data\godgrpu.exe (Trojan.Lameshield) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge https://www.malekal.com/download/OTL.exe sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Vince29
     
    # AdwCleaner v1.702 - Rapport créé le 14/07/2012 à 11:46:38
    # Mis à jour le 13/07/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Business Service Pack 2 (32 bits)
    # Nom d'utilisateur : Vincent - PC-DE-VINCENT
    # Exécuté depuis : C:\Users\Vincent\Documents\adwcleaner0.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v13.0.1 (fr)

    Nom du profil : default
    Fichier : C:\Users\Vincent\AppData\Roaming\Mozilla\Firefox\Profiles\l2lhjptb.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [910 octets] - [14/07/2012 11:46:38]

    ########## EOF - C:\AdwCleaner[S1].txt - [1037 octets] ##########
    0
  7. Vince29
     
    Et pour ce qui est d'OTL j'ai un souci, le programme "Ne répond plus" au bout d'un moment pendant l'analyse... Qu'est ce que j'dois faire ?

    Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu as Avast! ?
      Le programme n'est pas lancé dans la Sandbox ?
      0
    2. Vince29
       
      Non je n'ai pas Avast.
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Si tu fais le scan sans le script ça donne quoi ?
    0
    1. Vince29
       
      Idem, et au même moment. C'est à dire quand il y a écrit "Scanning modules" en dessous de la fenêtre de script.
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    essaye en mode sans échec :

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
    0
  10. Vince29
     
    Pour le fichier OTL.txt : http://pjjoint.malekal.com/files.php?id=20120714_y12g10g6o14u6

    Pour le fichier Extras.txt : http://pjjoint.malekal.com/files.php?id=20120714_v8u5r1311y8
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Désinstalle Spybot, sert à rien.
    Il est dépassé.

    ~~

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. Vince29
       
      D'accord, merci beaucoup pour ton aide. Je vais mettre à jour mes logiciels alors.

      Je peux supprimer les programmes que j'ai du installer pour éliminer ce virus maintenant ? Ou tu me conseil d'en garder quelques un pour la sécurité de mon ordi ?

      Enfin quel anti-virus me conseilles-tu pour remplacer Spybot Search & Destroy ?
      0
    2. Vince29
       
      Et aussi est-ce qu'il est réellement dangereux de désactiver le contrôle de compte d'utilisateur ?
      0