Problème security shield

chamoisien Messages postés 30 Statut Membre -  
chamoisien Messages postés 30 Statut Membre -
Bonjour,

le pc de ma fille a été infecté par le virus security shield qui demande d'acheter l'antivirus du meme nom...
Après petite recherche, j'ai vu que le sujet a deja ete traité ici car d'autres en ont été "victime". Quelqu'un peut-il m'aider à essayer de rendre à ma fille son pc en état d'usage ?
Attention, mes connaissances informatiques sont limitées et il faudra sans doute me guider en mode "boulet" avec explications détaillées....
merci d'avance

58 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème posé : un ordinateur est infecté par le logiciel trompeur Security Shield qui demande l’achat d’un antivirus, et une assistance pas à pas est souhaitée pour remettre l’appareil en état. Pour répondre, il est préconisé d’utiliser Malwarebytes en analyse complète, de mettre à jour le logiciel, puis de redémarrer selon les instructions et de vérifier les résultats. D'autres conseils utiles incluent l’analyse de fichiers suspects via VirusTotal, la suppression éventuelle de composants comme Gettsrvc.dll et le redémarrage après nettoyage pour finaliser la réparation. Note: certains utilisateurs ont évoqué des relances et des scans répétés, ainsi que l’importance de documenter le rapport des analyses afin de guider les étapes suivantes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour,

    Ne cède pas !

    http://www.security-helpzone.com/Thread-Supprimer-les-rogues-SecurityShield-Antivirus-Protection-System-Check
    0
  2. Utilisateur anonyme
     
    Humm... il y a peut-être autre chose là dessous !

    ▶ Télécharge sur le bureau RogueKiller (merci à Tigzy).

    Quitte tous les programmes en cours !

    ▶ Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe.

    ▶ Clique sur Scan.

    ▶ Puis clique sur Rapport et copie/colle le sur le forum
    (le rapport est également sur le bureau).
    0
  3. chamoisien Messages postés 30 Statut Membre
     
    Voici le rapport obtenu :

    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Admin Parents [Droits d'admin]
    Mode : Recherche -- Date : 09/09/2012 17:28:21

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 10 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : (c:\users\adminp~1\appdata\local\temp\~!#c37.tmp) -> TROUVÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : Meoqteagny ("C:\Users\Admin Parents\AppData\Roaming\Ucyvup\zoez.exe") -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-587851288-542970392-1891882332-1001[...]\Run : (c:\users\adminp~1\appdata\local\temp\~!#c37.tmp) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-587851288-542970392-1891882332-1001[...]\Run : Meoqteagny ("C:\Users\Admin Parents\AppData\Roaming\Ucyvup\zoez.exe") -> TROUVÉ
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Admin Parents\AppData\Local\{8d0d6663-c8bf-0b26-7566-1d374c83243a}\n.) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    127.0.0.1 rad.msn.com
    127.0.0.1 rad.live.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9250315AS +++++
    --- User ---
    [MBR] 16f8cf5fb0a6dd9f6a287d86508e4d7f
    [BSP] ccc7405bdae5a5b6e7f16579f2e4cf4a : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Décoche ceci :

    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
    [SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

    Puis relance le logiciel en mode suppression, puis HostRAZ. Enfin, poste les rapports.
    0
  6. chamoisien Messages postés 30 Statut Membre
     
    Je dois "décocher" ça où ?
    (J'avais prévenu que je suis pas très doué...)

    Je dois sortir, je "décoche" et fais ce que tu m'as demandé dès mon retour.
    Ensuite, je suis là toute la soirée. SI tu es là aussi, ce sera parfait, sinon tant pis, on continuera demain soir
    Merci encore pour ton aide.
    0
  7. Utilisateur anonyme
     
    Oui, relance le logiciel, clique sur scan, décoche les éléments, puis suppression.

    De rien, à tout à l'heure je serai là.
    0
  8. chamoisien Messages postés 30 Statut Membre
     
    Je suis de retour...

    Pour le dernier : msnotif ou il y a indiqué TUE, il est dans l'onglet processus et pas dans celui registre comme les autres et il n'y a pas de case à cocher ou decocher... Je le laisse comme ça et lance en "suppression" ?
    0
  9. chamoisien Messages postés 30 Statut Membre
     
    Voici le rapport 3

    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Admin Parents [Droits d'admin]
    Mode : HOSTS RAZ -- Date : 09/09/2012 22:45:49

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    127.0.0.1 rad.msn.com
    127.0.0.1 rad.live.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    ¤¤¤ Nouveau fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    Et le rapport 2

    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Admin Parents [Droits d'admin]
    Mode : Suppression -- Date : 09/09/2012 22:44:32

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 8 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : (c:\users\adminp~1\appdata\local\temp\~!#c37.tmp) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : Meoqteagny ("C:\Users\Admin Parents\AppData\Roaming\Ucyvup\zoez.exe") -> SUPPRIMÉ
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> NON SELECTIONNÉ
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> NON SELECTIONNÉ
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Admin Parents\AppData\Local\{8d0d6663-c8bf-0b26-7566-1d374c83243a}\n.) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    127.0.0.1 rad.msn.com
    127.0.0.1 rad.live.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9250315AS +++++
    --- User ---
    [MBR] 16f8cf5fb0a6dd9f6a287d86508e4d7f
    [BSP] ccc7405bdae5a5b6e7f16579f2e4cf4a : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  10. Utilisateur anonyme
     
    Bien !

    Redémarre le pc puis refais un scan.
    0
  11. chamoisien Messages postés 30 Statut Membre
     
    Avec Roguekiller ou winlogon ?
    0
  12. chamoisien Messages postés 30 Statut Membre
     
    Après reflexion j'ai relancé Roguekiller

    Voici le rapport

    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Admin Parents [Droits d'admin]
    Mode : Recherche -- Date : 09/09/2012 23:23:32

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH] msnotif.exe -- C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Admin Parents : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ
    [STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Collégien : C:\Users\Admin Parents\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9250315AS +++++
    --- User ---
    [MBR] 16f8cf5fb0a6dd9f6a287d86508e4d7f
    [BSP] ccc7405bdae5a5b6e7f16579f2e4cf4a : Windows Vista MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
  13. Utilisateur anonyme
     
    Bien.

    Peux-tu faire ceci :

    http://www.security-helpzone.com/Thread-ZHPDiag-Generer-un-rapport
    0
  14. Utilisateur anonyme
     
    Bonjour,

    ▶ Lance de ton bureau l'outil de scripting ZHPFix (de Nicolas Coolman), (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

    ▶ Copie-colle le texte ci-dessous (en gras) grâce au bouton [H] :

    O43 - CFD: 09/09/2012 - 15:17:46 - [0] ----D C:\Users\Admin Parents\AppData\Roaming\Ucyvup
    [MD5.278B48F05100FEB4A8AD28D8676142A3] [SPRF][09/09/2012] (...) -- C:\Users\Admin Parents\AppData\Local\iqudoo.exe [312320]

    ▶ Clique sur Nettoyer / GO, et héberge le rapport ZHPFix.txt de ton bureau sur :

    https://www.cjoint.com/

    ▶ Si le site ne fonctionne pas, consulte cette page :

    Autres hébergeurs en ligne
    0
  15. chamoisien Messages postés 30 Statut Membre
     
    Je ne peux pas lancer le logiciel...
    Security shield le bloque en disant qu'il est infecté...
    0
  16. Utilisateur anonyme
     
    Y'a un truc qui le réinstalle... c'est pas normal !

    Relance pre_scan et clique sur KILL, puis poste le rapport.
    0
  17. g3n-h@ckm@n
     
    salut pour avancer

    relance pre_scan clique sur "Diag" puis heberge le rapport obtenu
    0
  • 1
  • 2
  • 3