problème security shield

Question

Bonjour, 

le pc de ma fille a été infecté par le virus security shield qui demande d'acheter l'antivirus du meme nom...
Après petite recherche, j'ai vu que le sujet a deja ete traité ici car d'autres en ont été "victime". Quelqu'un peut-il m'aider à essayer de rendre à ma fille son pc en état d'usage ? 
Attention, mes connaissances informatiques sont limitées et il faudra sans doute me guider en mode "boulet" avec explications détaillées....
merci d'avance

Utilisateur anonyme · Answer

Bonjour,

Ne cède pas !

http://www.security-helpzone.com/Thread-Supprimer-les-rogues-SecurityShield-Antivirus-Protection-System-Check

chamoisien · Answer

J'ai utilisé Pré Scan et voici le lien du fichier obtenu

https://www.cjoint.com/?BIjrcVxW2Yd

Merci pour l'aide

Utilisateur anonyme · Answer

Humm... il y a peut-être autre chose là dessous !

&#9654 Télécharge sur le bureau RogueKiller (merci à Tigzy).

&#9654 Quitte tous les programmes en cours !

&#9654 Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe.

&#9654 Clique sur Scan.

&#9654 Puis clique sur Rapport et copie/colle le sur le forum
(le rapport est également sur le bureau).

chamoisien · Answer

Voici le rapport obtenu :

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Admin Parents [Droits d'admin]
Mode : Recherche -- Date : 09/09/2012 17:28:21

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 10 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : (c:\users\adminp~1\appdata\local\temp\~!#c37.tmp) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : Meoqteagny ("C:\Users\Admin Parents\AppData\Roaming\Ucyvup\zoez.exe") -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-587851288-542970392-1891882332-1001[...]\Run : (c:\users\adminp~1\appdata\local\temp\~!#c37.tmp) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-587851288-542970392-1891882332-1001[...]\Run : Meoqteagny ("C:\Users\Admin Parents\AppData\Roaming\Ucyvup\zoez.exe") -> TROUVÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Admin Parents\AppData\Local\{8d0d6663-c8bf-0b26-7566-1d374c83243a}\n.) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 16f8cf5fb0a6dd9f6a287d86508e4d7f
[BSP] ccc7405bdae5a5b6e7f16579f2e4cf4a : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Utilisateur anonyme · Answer

Décoche ceci :

[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ 
 [SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc] 


Puis relance le logiciel en mode suppression, puis HostRAZ. Enfin, poste les rapports.

chamoisien · Answer

Je dois "décocher" ça où ? 
(J'avais prévenu que je suis pas très doué...)

Je dois sortir, je "décoche" et fais ce que tu m'as demandé dès mon retour.
Ensuite, je suis là toute la soirée. SI tu es là aussi, ce sera parfait, sinon tant pis, on continuera demain soir
Merci encore pour ton aide.

Utilisateur anonyme · Answer

Oui, relance le logiciel, clique sur scan, décoche les éléments, puis suppression.

De rien, à tout à l'heure je serai là.

chamoisien · Answer

Je suis de retour...

Pour le dernier : msnotif ou il y a indiqué TUE, il est dans l'onglet processus et pas dans celui registre comme les autres et il n'y a pas de case à cocher ou decocher... Je le laisse comme ça et lance en "suppression" ?

Utilisateur anonyme · Answer

Au pire... Go !

chamoisien · Answer

Voici le rapport 3

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Admin Parents [Droits d'admin]
Mode : HOSTS RAZ -- Date : 09/09/2012 22:45:49

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]

¤¤¤ Nouveau fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Et le rapport 2

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Admin Parents [Droits d'admin]
Mode : Suppression -- Date : 09/09/2012 22:44:32

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : (c:\users\adminp~1\appdata\local\temp\~!#c37.tmp) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : Meoqteagny ("C:\Users\Admin Parents\AppData\Roaming\Ucyvup\zoez.exe") -> SUPPRIMÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> NON SELECTIONNÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> NON SELECTIONNÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Admin Parents\AppData\Local\{8d0d6663-c8bf-0b26-7566-1d374c83243a}\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 16f8cf5fb0a6dd9f6a287d86508e4d7f
[BSP] ccc7405bdae5a5b6e7f16579f2e4cf4a : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Utilisateur anonyme · Answer

Bien !

Redémarre le pc puis refais un scan.

chamoisien · Answer

Avec Roguekiller ou winlogon ?

chamoisien · Answer

Après reflexion j'ai relancé Roguekiller

Voici le rapport

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Admin Parents [Droits d'admin]
Mode : Recherche -- Date : 09/09/2012 23:23:32

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 16f8cf5fb0a6dd9f6a287d86508e4d7f
[BSP] ccc7405bdae5a5b6e7f16579f2e4cf4a : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Utilisateur anonyme · Answer

Bien.

Peux-tu faire ceci :

http://www.security-helpzone.com/Thread-ZHPDiag-Generer-un-rapport

chamoisien · Answer

C'est fait . Le rapport est ici

https://www.cjoint.com/?BIjxIJbkh8h

Utilisateur anonyme · Answer

Bonjour,

&#9654 Lance de ton bureau l'outil de scripting ZHPFix (de Nicolas Coolman), (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Copie-colle le texte ci-dessous (en gras) grâce au bouton [H] :

O43 - CFD: 09/09/2012 - 15:17:46 - [0] ----D C:\Users\Admin Parents\AppData\Roaming\Ucyvup
[MD5.278B48F05100FEB4A8AD28D8676142A3] [SPRF][09/09/2012] (...) -- C:\Users\Admin Parents\AppData\Local\iqudoo.exe   [312320]

&#9654 Clique sur Nettoyer / GO, et héberge le rapport ZHPFix.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page :

Autres hébergeurs en ligne

chamoisien · Answer

Je ne peux pas lancer le logiciel...
Security shield le bloque en disant qu'il est infecté...

Utilisateur anonyme · Answer

Y'a un truc qui le réinstalle... c'est pas normal !

Relance pre_scan et clique sur KILL, puis poste le rapport.

chamoisien · Answer

Je me suis absenté pendant le Pré scan et l'ordinateur était éteint quand je suis revenu. Ne trouvant pas de rapport, j'ai relancé Pré scan mais en fait, il y en avait un..
Je te mets les liens des deux rapports

https://www.cjoint.com/?BIkwIvRaWq9

https://www.cjoint.com/?BIkwKla6xqN

g3n-h@ckm@n · Answer

salut pour avancer

relance pre_scan clique sur "Diag" puis heberge le rapport obtenu

chamoisien · Answer

voici lerapport en question

https://www.cjoint.com/?BIkx4jUQiyu

g3n-h@ckm@n · Answer

desinstalle tout Java
desinstalle adobe reader

=============

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\system32\Gettsrvc.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

chamoisien · Answer

voici le lien obtenu

https://www.virustotal.com/en/file/2d01b11344151e9082d0d6a4410c569352e1b839e8df1787ecc78d47f66d9533/confirmation/?ajax=false&detection-ratio=23/35&blob=AMIfv97QXuZvj9R7eR442crTDYRFLX7Y6bahhHi1BZmQ6uygpzi1VGbMBa35cVoV8p5OUhXHAm9WkglH_ngVzzJnZcQkQlqvf5qQjguS0x3s6gsoznxTG-wHtJVXyFKb_Y5b9eVk6JDthZskw3g22Jrc0j59EAxsUJk9nLFQkBTAkIQnZik7r60&last-analysis=1346928264&filename=Gettsrvc.dll

g3n-h@ckm@n · Answer

desinstalle spybot search and destroy rien du tout

===========

 Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BIlaULHFXd6

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

chamoisien · Answer

Il n'y a aucune page qui se soit ouverte me demandant de coller le texte dont tu me parlais...

Après redémarrage de l'ordi, j'ai obtenu un pre script que voici 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0909 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Admin Parents : Windows 7 Professional (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 00:54:33

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-587851288-542970392-1891882332-1001\Software\Safer Networking Limited
Key Deleted : HKLM\Software\BrowserChoice    

¤

Impossible to move File : |A| - C:\Windows\system32\Gettsrvc.dll 
File Deleted :  |A| - C:\Windows\À÷" 
File Deleted :  |A| - C:\Users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk 
File Deleted :  |A| - C:\Users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk 
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Opwaod 
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Tyokv
Folder Deleted : |D| - C:\Users\Admin Parents\AppData\Roaming\Ucyvup 
Folder Deleted : |D| - C:\ProgramData\036DFF6665365A8E887DAB4EF875EF7E 
File Deleted :  |A| - C:\Users\Admin Parents\AppData\Local\iqudoo.exe 
File Deleted :  |A| - C:\Users\Admin Parents\AppData\Local\hwfnsrbpl.exe 

¤¤¤¤¤¤¤¤¤¤ | MBR


¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 00:57:34

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

grrrrR....!!!!

selectionne ces lignes puis relance l option script :

Kill::

Replace::
"C:\Windows\system32\Gettsrvc.dll" "C:\Pre_scan\Quarantine\gettsrvc.dll.P_S"

Reboot::

chamoisien · Answer

c'est fait

le rapport pre script me donne ça : 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0909 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Admin Parents : Windows 7 Professional (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 01:35:13

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤


Fin : 01:35:17

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

verifie que tu n'aies plus ce fichier :

C:\Windows\system32\Gettsrvc.dll

chamoisien · Answer

non il n'est plus là...

Merci d'etre encore dispo a cette heure ci... Tu es aussi un oiseau de nuit visiblement...

g3n-h@ckm@n · Answer

ok supprime pre_scan , retelecharge-le puis refais un passage avec l option kill stp

chamoisien · Answer

pre_scan a planté pendant son passage avec kill...
je recommence ?

g3n-h@ckm@n · Answer

je m'y attendais.

il a cessé de fonctionner je presume ?

chamoisien · Answer

oui et j'ai du eteindre le pc et le ralllumer pour débloquer

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

chamoisien · Answer

deux trois précisions avant de lancer tout ça qui m'a l'air assez périlleux...

AVG je ne sais meme pas ce que c'est mais je ne pense pas l'avoir sur le pc... je ne le vois pas dans la liste des programmes 

si j'ai bien compris, quand je telecharge combofix, je dois l'appeler christophe.exe (je l'enregistre sur le bureau ?)

ma fille n'avait pas d'antivirus... donc je ne le désactive pas...
quant aux antispywares... je ne sais meme pas ce que c'est...

g3n-h@ckm@n · Answer

ok renomme combofix en christophe ou jeanclaude ^^ puis lance-le dans ce cas si tu n'as pas d'antivirus passe outre ces recommandations

chamoisien · Answer

Je ne peux plus ouvrir Firefox ni IE sur le pc de ma fille...
J'ai passé le rapport de combofix sur un autre pc avec ma cle usb

Voici le rapport

ComboFix 12-09-10.04 - Admin Parents 11/09/2012   3:21.1.2 - x86
Microsoft Windows 7 Professionnel   6.1.7601.1.1252.33.1036.18.1911.1145 [GMT 2:00]
Lancé depuis: c:\users\Admin Parents\Desktop\Christophe.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BF5CEBDC-F2D3-7540-343C-F0CE11FD6E66}
SP: Microsoft Security Essentials *Disabled/Updated* {043D0A38-D4E9-7ACE-0E8C-CBBC6A7A24DB}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Admin Parents\AppData\Local	wcqg.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-08-11 au 2012-09-11  ))))))))))))))))))))))))))))))))))))
.
.
2012-09-11 01:29 . 2012-09-11 01:32	--------	d-----w-	c:\users\Admin Parents\AppData\Local	emp
2012-09-11 01:29 . 2012-09-11 01:29	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-09-11 01:29 . 2012-09-11 01:29	--------	d-----w-	c:\users\Collégien\AppData\Local	emp
2012-09-09 21:30 . 2012-09-10 17:26	--------	d-----w-	C:\ZHP
2012-09-09 21:30 . 2012-09-10 17:25	--------	d-----w-	c:\program files\ZHPDiag
2012-09-09 21:10 . 2012-09-09 21:10	--------	d-----w-	c:\users\Admin Parents\AppData\Local\VirtualStore
2012-09-09 14:25 . 2009-07-14 01:14	259072	----a-w-	c:\windows\system32\services.exe
2012-09-09 13:09 . 2012-09-11 00:25	--------	d-----w-	C:\Pre_Scan
2012-08-21 17:34 . 2012-08-22 06:59	--------	d-----w-	c:\users\Collégien\AppData\Local\{63C194BB-2242-4F3B-8FDF-B7EFFD696C90}
2012-08-21 12:54 . 2012-08-01 22:51	7023536	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A9595D22-ABE7-4038-AAC4-63BA1E779ACB}\mpengine.dll
2012-08-20 12:06 . 2012-08-20 12:06	--------	d-----w-	c:\users\Collégien\AppData\Local\{F2378E56-7CB7-4B4E-B592-5C0E63A5DDCB}
2012-08-19 10:57 . 2012-08-19 10:57	--------	d-----w-	c:\users\Collégien\AppData\Local\{6F2253C8-451F-4FFA-BFD7-F2655BA147B6}
2012-08-18 10:13 . 2012-08-18 10:13	--------	d-----w-	c:\users\Collégien\AppData\Local\{C0822902-6FF0-450B-A414-DCBF81AEDC26}
2012-08-18 10:13 . 2012-08-18 10:13	--------	d-----w-	c:\users\Collégien\AppData\Local\{3DC45695-FA99-442A-B5B3-932CE484F99B}
2012-08-17 09:08 . 2012-08-17 09:08	--------	d-----w-	c:\users\Collégien\AppData\Local\{888F5622-1001-4A40-B7C5-79DD11A819F9}
2012-08-16 16:53 . 2012-08-17 09:08	--------	d-----w-	c:\users\Collégien\AppData\Local\{931B2CFD-A928-4C5F-A1EA-B7103D9F5192}
2012-08-16 08:43 . 2012-08-16 08:43	--------	d-----w-	c:\users\Collégien\AppData\Local\{FCF9D209-9039-4114-8532-E121CD18783A}
2012-08-15 17:54 . 2012-08-15 17:54	--------	d-----w-	c:\users\Admin Parents\AppData\Local\Macromedia
2012-08-15 16:42 . 2012-08-15 16:52	--------	d-----w-	c:\users\Admin Parents\AppData\Local\Microsoft Games
2012-08-15 09:34 . 2012-08-15 09:34	--------	d-----w-	c:\users\Collégien\AppData\Local\{D4AE2196-BE6E-4347-8432-E88A16C802E6}
2012-08-15 09:33 . 2012-08-15 09:34	--------	d-----w-	c:\users\Collégien\AppData\Local\{B94A508F-FCE5-4C0F-A46D-AC56A99265DA}
2012-08-14 18:45 . 2012-08-14 18:45	--------	d-----w-	c:\users\Collégien\AppData\Local\Macromedia
2012-08-14 18:34 . 2012-05-05 07:46	400896	----a-w-	c:\windows\system32\srcore.dll
2012-08-14 18:34 . 2012-07-18 17:47	2345984	----a-w-	c:\windows\system32\win32k.sys
2012-08-14 18:34 . 2012-02-11 05:43	492032	----a-w-	c:\windows\system32\win32spl.dll
2012-08-14 18:34 . 2012-02-11 05:37	317440	----a-w-	c:\windows\system32\spoolsv.exe
2012-08-14 18:34 . 2012-07-04 21:14	41984	----a-w-	c:\windows\system32\browcli.dll
2012-08-14 18:34 . 2012-07-04 21:14	102912	----a-w-	c:\windows\system32\browser.dll
2012-08-14 18:34 . 2012-05-14 04:33	769024	----a-w-	c:\windows\system32\localspl.dll
2012-08-14 18:20 . 2012-08-14 18:21	--------	d-----w-	c:\users\Collégien\AppData\Local\{1B41CE26-CF70-4DCE-9060-8E7F17C73808}
2012-08-14 18:20 . 2012-08-14 18:20	--------	d-----w-	c:\users\Collégien\AppData\Local\{10BBC6CA-3A2D-44A1-A80D-3BB0C317E891}
2012-08-13 11:35 . 2012-08-13 11:35	5115584	----a-w-	c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-14 20:38 . 2012-07-19 13:39	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-14 20:38 . 2012-07-19 13:39	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-08 11:09 . 2009-07-14 02:05	152576	----a-w-	c:\windows\system32\msclmd.dll
2012-06-29 08:44 . 2010-08-12 14:13	6891424	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2003-03-21 11:45 . 2010-08-14 12:30	250544	----a-w-	c:\program files\Common Files\keyhelp.ocx
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]
"Steam"="c:\program files\Steam\steam.exe" [2012-08-15 1353080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-03-10 1697064]
"Teco"="c:\program files\TOSHIBA\TECO\Teco.exe" [2010-03-17 1328480]
"TosWaitSrv"="c:\program files\TOSHIBA\TPHM\TosWaitSrv.exe" [2010-02-23 611672]
"TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 22840]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 611672]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-08-21 476512]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-08-13 521528]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-08-05 738616]
"TOSDCR"="c:\program files\TOSHIBA\PasswordUtility\TOSDCR.exe" [2007-08-28 169296]
"LAUNCHER_FILTER"="c:\program files\Profil Parental Filter\LaunchAppEpcp2.exe" [2012-04-24 13712]
"LOGGING_FILTER"="c:\program files\Profil Parental Filter\LoggingEpcp2.exe" [2012-04-24 193984]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
.
c:\users\Collégien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
.
c:\users\Admin Parents\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Bienvenue - Raccourci.lnk - c:\program files\Oise\Graphique\Ordi60\Bienvenue.exe [2010-9-24 928367]
TestAdmin.lnk - c:\windows\System32\sysprep\TestAdmin.bat [2010-9-27 484]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentProgForNewUserInStartMenu"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Hyperappel de 'Tout sur les verbes Français'.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Hyperappel de 'Tout sur les verbes Français'.lnk
backup=c:\windows\pss\Hyperappel de 'Tout sur les verbes Français'.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TWebCamera]
2010-02-23 23:54	2454840	----a-w-	c:\program files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 ServiceFilterEpcp2;Profil Parental Filter;c:\program files\Profil Parental Filter\ServiceEpcp2.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 AlfaFF;Alfa File System Mini-Filter;c:\windows\System32\Drivers\AlfaFF.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [x]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [x]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERStl8192se.sys [x]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [x]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-09-11 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-19 20:38]
.
2012-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-19 13:39]
.
2012-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-07-19 13:39]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
LSP: c:\program files\Profil Parental Filter\hooklib.dll
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Admin Parents\AppData\Roaming\Mozilla\Firefox\Profiles\qp9e3fio.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=IE0004&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-MsMpSvc
SafeBoot-SRService
AddRemove-Atelier de géométrie (V 2.0)_is1 - c:\program files\ATELIERS\geom2D\unins000.exe
AddRemove-Atelier de géométrie 3D (V 1.01)_is1 - c:\program files\ATELIERS\geom3D\unins000.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(4072)
c:\program files\RocketDock\RocketDock.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\atieclxx.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\system32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32	askhost.exe
c:\windows\system32\conhost.exe
c:\windows\System32undll32.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\sppsvc.exe
c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSENotify.exe
c:\program files\TOSHIBA\TPHM\TPCHWMsg.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2012-09-11  03:40:22 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-09-11 01:40
.
Avant-CF: 58 798 247 936 octets libres
Après-CF: 58 925 428 736 octets libres
.
- - End Of File - - 7581FAECA1620F1CA11B988A0637FD30


VUl'heure, je vais me coucher....je dois me lever à 7 h demain... ou ce matin plus précisément
Merci en tout cas pour tout le mal que tu te donnes pour me débarrasser de cette ........ 
Je passerai demain matin avant de partir au travail voir s'il y a une manip à faire, sinon je rentre en fin d'après midi seulement
Merci encore

g3n-h@ckm@n · Answer

precise les soucis que tu as pour te connecter message d'erreur , etc...

chamoisien · Answer

Salut
Non en fait ça y est j'ai pu me connecter à l'instant.
Après que l'ordi ait été éteint, Firefox est à nouveau accessible

g3n-h@ckm@n · Answer

<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

chamoisien · Answer

Voila c'est fait il n'y avait qu'un seul rapport
le voici

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.11.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin Parents :: WIN-VHA6MUA6Q66 [administrateur]

11/09/2012 19:06:13
mbam-log-2012-09-11 (19-06-13).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 380352
Temps écoulé: 1 heure(s), 16 minute(s), 42 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Pre_Scan\Quarantine\9E62.tmp.P_S (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\CB2FE00E67A304B2.exe.P_S (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\gettsrvc.dll.P_S (Trojan.Steppa) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine	amk2.exe.P_S (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\~!#C37.tmp.P_S (Trojan.Reza) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\6.0.P_S\27\629a9a1b-1d6d47f5 (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\{8d0d6663-c8bf-0b26-7566-1d374c83243a}.P_S\U\80000000.@ (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\{8d0d6663-c8bf-0b26-7566-1d374c83243a}.P_S\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Qoobox\Quarantine\C\Users\Admin Parents\AppData\Local	wcqg.exe.vir (Trojan.LameShield) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Admin Parents\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\services.exe 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

chamoisien · Answer

Salut
voici le lien de la page obtenue
https://www.virustotal.com/gui/file/d7bc4ed605b32274b45328fd9914fb0e7b90d869a38f0e6f94fb1bf4e9e2b407

g3n-h@ckm@n · Answer

bien des soucis persistent ?

chamoisien · Answer

non, là depuis hier soir, aucun message de security shield.....

chamoisien · Answer

dans le dossier system32 il y avait un autre fichier "service" mais qui n'était pas en .exe...  je n'ai testé que le .exe avec virustotal
il ne fallait pas tester l'autre aussi ?

chamoisien · Answer

si le problème est résolu (sinon, on continue le traitement...) 
déjà je t'en remercie infiniment car j'aurais bien sur été incapable de gérer ça moi même, 
ensuite, penses tu qu'un antivirus gratuit genre Avast soit suffisant pour se protéger de ce genre d'intrusion ?

chamoisien · Answer

Dans la barre du bas de l'écran, j'ai une icône qui m'indique que l'ordinateur est en danger car Microsoft Security Essentials ne le surveille pas car il a été arrêté. 
Dans cette fenêtre, on me demande de le redémarrer. Dois je le faire ?

Utilisateur anonyme · Answer

Bonjour,

Oui il faut le redémarrer.

Comment va le pc ?

chamoisien · Answer

Le pc ne reçoit plus de messages de security shield, mais il me dit que je ne peut pas demarrer le service Microsoft security essentials car "le service spécifié n'existe pas en tant que service installé"... Que puis-je faire pour le débloquer ? 
PS J'ai un code erreur : 0x80070424

Utilisateur anonyme · Answer

Réinstalle-le depuis :

https://support.microsoft.com/en-us/windows/what-is-microsoft-security-essentials-c25ad47a-7d15-8072-1438-b07dffcbbb20

chamoisien · Answer

ok c'est fait 
par rapport à la question que je posais sur l'antivirus, tu penses qu'Avast est suffisant pour protéger le pc contre ce genre d'intrusion ? 
Est ce que je peux désinstaller tous les programmes installés : combofix, roguekiller, malwarebytes, ZHP.... ? 
J'ai dans un message précédent remercié Gene Hackman, je te remercie aussi pour ton aide c'est vraiment sympa de venir en aide aux non initiés aux choses de l'informatique dans mon genre.

g3n-h@ckm@n · Answer

si ce n est fait :

 
 https://gen-hackman.kanak.fr/#1037

chamoisien · Answer

Salut, je suis en train de procéder au nettoyage indiqué,

Le rapport de Delfix est le suivant : 

# DelFix v8.9 - Rapport créé le 13/09/2012 à 18:17:48
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)
# Nom d'utilisateur : Admin Parents - WIN-VHA6MUA6Q66 (Administrateur)
# Exécuté depuis : C:\Users\Admin Parents\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Admin Parents\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Admin Parents\Desktop\Christophe.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\Admin Parents\Desktop\Pre_Scan_09_09_2012_15_10_15.txt
Supprimé : C:\Users\Admin Parents\Desktop\Pre_Scan_10_09_2012_21_33_09.txt
Supprimé : C:\Users\Admin Parents\Desktop\Pre_Scan_10_09_2012_22_10_34.txt
Supprimé : C:\Users\Admin Parents\Desktop\Pre_script.txt
Supprimé : C:\Users\Admin Parents\Desktop\RKreport[1].txt
Supprimé : C:\Users\Admin Parents\Desktop\RKreport[2].txt
Supprimé : C:\Users\Admin Parents\Desktop\RKreport[3].txt
Supprimé : C:\Users\Admin Parents\Desktop\RKreport[4].txt
Supprimé : C:\Users\Admin Parents\Desktop\RogueKiller.exe
Supprimé : C:\Users\Admin Parents\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Admin Parents\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Admin Parents\Desktop\ZHPFix.exe
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2285 octets] - [13/09/2012 18:17:48]

########## EOF - C:\DelFix[S1].txt - [2409 octets] ##########

g3n-h@ckm@n · Answer

ok :)

chamoisien · Answer

Après Purera, j'obtiens ça : 


Total space cleaned: 250.59 MB

g3n-h@ckm@n · Answer

magnifique ^^

chamoisien · Answer

n'est ce pas ? 
je suis super content en effet... :)

Pour CCleaner, une fois tous les éléments cochés comme indiqué dans les écrans que tu as donnés, je dois faire d'abord l'analyse puis le nettoyage dans "Nettoyeur" et "Registre" ou Nettoyer directement ?

Problème security shield

58 réponses

Votre réponse

Discussions similaires

Newsletters