System Progressive Protection Résolu/Fermé

Question

Bonjour,   

Mon ordinateur a été infecté par un virus, "System Progressive Protection", et je ne sais absolument pas quoi faire... Internet est bloqué, il a fermé tous mes fichiers ouverts (sera-t-il possible de les récupérer?), j'ai supprimé le programme dans AppData, mais il revient à la charge. J'ai vu qu'il fallait utiliser RogueKiller, mais je ne m'y connais absolument pas.   
Si quelqu'un veut bien me guider dans la démarche à suivre, je lui serai vraiment reconnaissante.... S'il-vous-plaît, aidez-moi!  

Configuration: Windows 7 / Internet Explorer 9.0

Smart91 · Accepted Answer

Bonjour,

Si tu n'as pas accès à internet, il faut que tu télécharges sur une clé USB depuis un autre PC RogueKiller.

* Télécharge sur la clé RogueKiller (par tigzy)
* Depuis la clé copie RogeKiller sur le bureau du PC infecté 
* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
 
Smart

kirichan · Answer

D'accord, merci de ta réponse.
Je n'ai touché à rien pour l'instant. Je redémarre mon ordinateur en mode sans échec avant de lancer RogueKiller? J'ai essayé tout à l'heure de le lancer (via clé usb), et ça n'a pas marché (problème de droits d'administrateur ou quelque chose comme ça).

Smart91 · Answer

Lance le en faisant clic droit lancer en tant qu'administrateur 
Si cela ne marche toujours pas, renomme RogueKiller.exe en Winlogon.exe

Smart

kirichan · Answer

C'est marqué "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément" (je suis administratrice pourtant).
Bon, j'essaie de le renommer!

kirichan · Answer

Bon... Windows ne m'affiche aucun message d'erreur, mais rien ne s'exécute. De plus, Systeme progressive protection m'affiche: "WARNING! Application cannot be executed. The file Winlogon.exe is infected"...

kirichan · Answer

J'y suis arrivée! Voilà le rapport: RogueKiller V8.1.1 [03/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Eva [Droits d'admin] Mode : Recherche -- Date : 09/10/2012 00:55:46 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] wgsdgsdgdsgsd.exe -- C:\Users\Eva\AppData\Local\Temp\wgsdgsdgdsgsd.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : tempHome (C:\Users\Eva\AppData\Local\Temp\racourci.vbe) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2799109158-2479221771-3380493085-1001[...]\Run : tempHome (C:\Users\Eva\AppData\Local\Temp\racourci.vbe) -> TROUVÉ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 232E3FC572E6DEDE00D7232D6977BDBC (C:\ProgramData\232E3FC572E6DEDE00D7232D6977BDBC\232E3FC572E6DEDE00D7232D6977BDBC.exe) -> TROUVÉ [RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-2799109158-2479221771-3380493085-1001[...]\RunOnce : 232E3FC572E6DEDE00D7232D6977BDBC (C:\ProgramData\232E3FC572E6DEDE00D7232D6977BDBC\232E3FC572E6DEDE00D7232D6977BDBC.exe) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK7559GSXP +++++ --- User --- [MBR] 5c8a57834595608329f37885566afb97 [BSP] 550ee27f1d9002a344352bb63bb8907f : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 700007 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1434023936 | Size: 15094 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 2bd0a39f08103eef69b771a62f668fdc [BSP] 550ee27f1d9002a344352bb63bb8907f : Windows 7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 77824 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 159793152 | Size: 400 Mo +++++ PhysicalDrive1: Generic USB 2.0 USB Device +++++ --- User --- [MBR] c02b6a25c67d0140a869c493b22a7a03 [BSP] b9d43aa392f0f341662c37394de4b387 : MBR Code unknown Partition table: 0 - [XXXXXX] UNKNOWN (0x69) [VISIBLE] Offset (sectors): 1869771365 | Size: 82367 Mo 1 - [XXXXXX] UNKNOWN (0x73) [VISIBLE] Offset (sectors): 1701519481 | Size: 913028 Mo 3 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 0 | Size: 1677301 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt

Smart91 · Answer

Tu as bien copié RK depuis la clé USB sur ton bureau

Si oui on va faire autrement:

Sur le PC sain:
Grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090

Tu démarres le PC infecté depuis le CD OTLPE. 

Pour cela, au démarrage de ton PC, tu dois accéder au bios (en appuyant sur une touche qui doit t'être indiquée, bien souvent F2 ou F6). Là, tu dois trouver un paramètre qui détermine l'ordre de boot. Il faut que tu fasses passer le lecteur de CD en premier 

Le système démarre depuis le CD et tu arrives sur un écran Reatogo

ATTENTION: Le clavier est QWERTY pour passer en AZERTY appuie sur ces touches ALT +Maj
 
Une fois que tu es sur le bureau Reatogo:
RogueKiller doit se trouver (si tu l'avais mis sur le bureau) dans ce dossier
C:\users	on nom de session\desktop
Sinon récupère le depuis la clé USB et mets le sur le bureau Reatogo
Lance le et poste ensuite le rapport

Smart

kirichan · Answer

Désolée, à cause du "triple" post, tu n'as pas dû voir mon précédent message. J'y suis bien arrivée, c'est Avast qui me bloquait le programme en fait! Mon rapport est juste au-dessus.
Je n'ai pas osé encore fermer RogueKiller puisqu'il me dit de "regarder les onglets et de supprimer les éléments" avec un gros "ROOT.MBR" qui clignote....

Merci de ta sollicitude en tous cas!

Que dois-je faire maintenant?

Smart91 · Answer

OK.C'est mieux comme cela

Si tu n'as pas fermé RK. Fais ceci:
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

Ensuite tu fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
 
 Smart

kirichan · Answer

Ok! Voilà le rapport de RogueKiller: RogueKiller V8.1.1 [03/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Eva [Droits d'admin] Mode : Suppression -- Date : 09/10/2012 01:55:52 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] wgsdgsdgdsgsd.exe -- C:\Users\Eva\AppData\Local\Temp\wgsdgsdgdsgsd.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : tempHome (C:\Users\Eva\AppData\Local\Temp\racourci.vbe) -> SUPPRIMÉ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 232E3FC572E6DEDE00D7232D6977BDBC (C:\ProgramData\232E3FC572E6DEDE00D7232D6977BDBC\232E3FC572E6DEDE00D7232D6977BDBC.exe) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK7559GSXP +++++ --- User --- [MBR] 5c8a57834595608329f37885566afb97 [BSP] 550ee27f1d9002a344352bb63bb8907f : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 700007 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1434023936 | Size: 15094 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 2bd0a39f08103eef69b771a62f668fdc [BSP] 550ee27f1d9002a344352bb63bb8907f : Windows 7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 77824 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 159793152 | Size: 400 Mo Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt --------------------------------------------- Par contre, j'ai certes cliqué sur "suppression", mais il y a des fichiers (qui ne ressemblent pas du tout à des virus d'ailleurs: dans le genre "Software/Microsoft/Windows/CurrentVersion....") qui ont été "remplacés"... Bon, je télécharge l'autre programme et je t'envoie le rapport!

kirichan · Answer

Petit problème...
J'avais "coupé" Internet pour plus de précautions, et je l'ai réactivé pour télécharger les mises à jour. Cependant, elles ne veulent pas se télécharger car: "Malwarebytes Anti-Malware a détecté qu'un processus malicieux essaie de démarrer et a bloqué la tentative d'exécution. Choisissez une option: désactiver la protection, ignorer, quarantaine". 
Le nom du processus malicieux correspond au dossier qui contenait le virus ("wgsdgs...").
J'ai de nouveau coupé Internet, j'ai un peu peur....

Smart91 · Answer

Juste avant que j'aille me coucher (il se fait tard et je bosse demain :-)

Redémarre le PC normalement (sans le CD OTLPE) et relance MBAM (Malwarebytes) comme j'ai indiqué et poste le rapport
 
Smart

kirichan · Answer

Le CD OTLPE?
Je vais faire ça tout de suite... Quoique, est-ce que cela peut attendre demain ou il faut le faire dans l'immédiat?
Je tombe de sommeil et moi aussi je travaille demain... é_è 
En tous cas, merci d'être resté et de m'avoir aidée!

Smart91 · Answer

Désolé l pour le CD OTLPE, j'ai fait une confusion avec une autre désinfection. 
Cela ne change rien
Si tu as toujours le pb pour les mises à jour MBAM.
Relance RK en mode suppression

Smart

kirichan · Answer

Ce n'est pas grave pour la confusion! 

Après une journée d'analyses, voilà les résultats (j'ai eu un premier rapport après l'analyse complète de MBAM, avec un fichier "infecté" qui a priori ne correspond pas à System Progressive Protection; j'ai redémarré mon PC en faisant un scan au démarrage par Avast -qui ne m'a rien détecté-):  
Par contre, quand je suis allée dans "rapports/logs" de MBAM, j'ai trouvé deux rapports, donc je te poste les deux:  

1er rapport:  
Malwarebytes Anti-Malware (Essai) 1.65.0.1400  
www.malwarebytes.org  

Version de la base de données: v2012.10.09.07  

Windows 7 Service Pack 1 x64 NTFS  
Internet Explorer 9.0.8112.16421  
Eva :: EVA-HP [administrateur]  

Protection: Activé  

09/10/2012 15:25:24  
mbam-log-2012-10-09 (15-25-24).txt  

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|)  
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM  
Options d'examen désactivées: P2P  
Elément(s) analysé(s): 443274  
Temps écoulé: 1 heure(s), 39 minute(s), 53 seconde(s)  

Processus mémoire détecté(s): 0  
(Aucun élément nuisible détecté)  

Module(s) mémoire détecté(s): 0  
(Aucun élément nuisible détecté)  

Clé(s) du Registre détectée(s): 0  
(Aucun élément nuisible détecté)  

Valeur(s) du Registre détectée(s): 0  
(Aucun élément nuisible détecté)  

Elément(s) de données du Registre détecté(s): 0  
(Aucun élément nuisible détecté)  

Dossier(s) détecté(s): 0  
(Aucun élément nuisible détecté)  

Fichier(s) détecté(s): 1  
C:\Users\Eva\A ranger\Logiciels\SoftonicDownloader_pour_express-scribe.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.  

------------------------------------------------------------------------------------  

2ème rapport:  

2012/10/09 02:08:03 +0200 EVA-HP Eva MESSAGE Starting protection  
2012/10/09 02:08:03 +0200 EVA-HP Eva MESSAGE Protection started successfully  
2012/10/09 02:08:03 +0200 EVA-HP Eva MESSAGE Starting IP protection  
2012/10/09 02:08:08 +0200 EVA-HP Eva MESSAGE IP Protection started successfully  
2012/10/09 10:37:51 +0200 EVA-HP Eva MESSAGE Executing scheduled update:  Daily  
2012/10/09 10:37:53 +0200 EVA-HP Eva ERROR Scheduled update failed:  No address found failed with error code 0  
2012/10/09 15:23:03 +0200 EVA-HP Eva DETECTION C:\Users\Eva\AppData\Local\Temp\wgsdgsdgdsgsd.exe Exploit.Dropper QUARANTINE  
2012/10/09 15:23:03 +0200 EVA-HP Eva DETECTION c:\users\eva\appdata\local	emp\wgsdgsdgdsgsd.exe Exploit.Dropper DENY  
2012/10/09 15:23:03 +0200 EVA-HP Eva ERROR Quarantine failed:  SDKQuarantine failed with error code 2  
2012/10/09 15:23:47 +0200 EVA-HP Eva MESSAGE Starting database refresh  
2012/10/09 15:23:48 +0200 EVA-HP Eva MESSAGE Stopping IP protection  
2012/10/09 15:23:48 +0200 EVA-HP Eva MESSAGE IP Protection stopped successfully  
2012/10/09 15:23:52 +0200 EVA-HP Eva MESSAGE Database refreshed successfully  
2012/10/09 15:23:52 +0200 EVA-HP Eva MESSAGE Starting IP protection  
2012/10/09 15:23:58 +0200 EVA-HP Eva MESSAGE IP Protection started successfully  
2012/10/09 19:37:29 +0200 EVA-HP Eva MESSAGE Starting protection  
2012/10/09 19:37:30 +0200 EVA-HP Eva MESSAGE Protection started successfully  
2012/10/09 19:37:30 +0200 EVA-HP Eva MESSAGE Starting IP protection  
2012/10/09 19:37:35 +0200 EVA-HP Eva MESSAGE IP Protection started successfully  
--------------------------------------------------------------------------------------  

Est-ce que tout est en ordre? Dois-je installer un logiciel pour "nettoyer" mon ordinateur? (ADW Cleaner ou autre).

Edit: je suppose que je dois supprimer le fameux fichier resté en quarantaine?

Smart91 · Answer

Je crois avoir compris 

Relance RogueKiller en mode suppression cela va tuer le processus malicieux 
Poste le rapport 

Ne redémarre pas le PC

Relance MBAM fais un scan complet. 
A la fin du scan, coche tous les éléments détectés puis clique sur "Supprimer la sélection"  

et poste le rapport 

Smart   
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

kirichan · Answer

Voilà les deux rapports... Par contre, dans RogueKiller, il n'y avait rien dans le registre, donc aucun élément n'a été supprimé. De même, MBAM n'a rien détecté (j'ai seulement supprimé le fichier Software-quelque chose (qui était un logiciel infecté) que j'avais laissé en quarantaine). Sinon, mon ordinateur fonctionne correctement, et je n'ai pas eu un signe de System Progressive Protection depuis hier. Par contre, je me permets de renouveler ma question... Dois-je installer un logiciel de nettoyage comme ADW Cleaner? J'ai également vu qu'il était conseillé de changer ses mots de passe, est-ce obligatoire? RogueKiller V8.1.1 [03/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Eva [Droits d'admin] Mode : Suppression -- Date : 10/10/2012 00:01:38 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK7559GSXP +++++ --- User --- [MBR] 5c8a57834595608329f37885566afb97 [BSP] 550ee27f1d9002a344352bb63bb8907f : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 700007 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1434023936 | Size: 15094 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 2bd0a39f08103eef69b771a62f668fdc [BSP] 550ee27f1d9002a344352bb63bb8907f : Windows 7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 77824 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 159793152 | Size: 400 Mo Termine : << RKreport[6].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt -------------------------------------------------------------------------------- Malwarebytes Anti-Malware (Essai) 1.65.0.1400 www.malwarebytes.org Version de la base de données: v2012.10.09.07 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Eva :: EVA-HP [administrateur] Protection: Activé 10/10/2012 00:03:11 mbam-log-2012-10-10 (00-03-11).txt Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 444447 Temps écoulé: 1 heure(s), 49 minute(s), 46 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin) ----------------------------

Smart91 · Answer

Il semble qu'il n'y ait plus rien. Comment se comporte le PC ? 
 
Smart

kirichan · Answer

Bien, je n'ai aucun problème depuis hier! MBAM m'a plusieurs fois bloqué des sites sur Internet (pourtant connus et sécurisés), mais à part cela, rien d'anormal.
Par contre, j'ai moins d'icones sur ma barre d'outils du menu démarrer, j'ai un dossier portant mon nom qui est apparu subitement sur mon bureau (dossier qui comprend images, documents, etc. Bref, mon dossier personnel).
Je sais que ce virus n'était là que pour me faire peur, mais il n'a rien supprimé ni rien modifié, n'est-ce pas...?

Smart91 · Answer

On va quand même faire un diagnostic

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 

Smart

kirichan · Answer

J'ai essayé comme tu l'as dit mais SmartScreen ne veut même pas le télécharger, il le bloque automatiquement...
Tant pis sinon, mon ordinateur a l'air d'aller bien!

Smart91 · Answer

Il faut terminer la désinfection pour être sûr que le PC soit sain
Désactive Smartscreen et recommence la procédure

Smart

kirichan · Answer

Désolée d'avoir mis tant de temps à répondre, j'ai eu une semaine plus que chargée donc l'analyse a dû attendre.
Voilà donc le lien: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121022_t6m13k15w15u14

En tous cas, encore un grand merci de m'avoir assistée dans les démarches à suivre, cela m'a été d'une grande aide.

Smart91 · Answer

Le souci c'est que maintenant ta version de ZHPDiag n'est plus à jour.
Relance ZHPDiag clique sur la flèche verte pour installer la mise à jour. Refais un scan et poste le rapport via pjjoint 
 
Smart

jnb130 · Answer

J'ai également été infecté par ce rogue, je l'ai supprimé, mais je n'ai toujours plus accès à Internet! j'ai le message suivant : "Windows ne peut pas communiquer avec le périphérique ou la ressource (serveur DNS principal)".
Je n'arrive toujours pas non plus à redémarrer en mode sans échec.

Quelqu'un à t'il une idée?

kirichan · Answer

J'ai bien essayé de cliquer sur la flèche verte, mais aucune mise à niveau n'a été installée puisque ZHPDiag me disait que la version était à jour...
Enfin, j'ai quand même refait une analyse, que voici:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121023_j13n10n8r10y9

Smart91 · Answer

Non il n'est toujours pas à jour.

Désinstalle ZHPDig en lançant ce programme:
C:\Program Files\ZHPDiag\unins000.exe  ( l'icône représente une seringue)

Ensuite tu télécharges ZHPDiag depuis ce lien:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Et refais un scan et poste le rapport via pjjoint

Smart

kirichan · Answer

Voilà:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121023_f14p8u6i9v11

Smart91 · Answer

Quelques remarques:

1. Tu as 3 antivirus : Avast,  Norton et  F-Secure, cela ne sert à rien sinon d'avoir des conflits et de ralentir ton PC

2. Peux-tu me dire quel est ton fournisseur d'accès à internet ? Connais-tu Sinet qui est un domaine japonais ? Connais-tu ce domaine btoa06.dellswdlb.com  

3. Tu est infecté par des adwares que tu as attrapé en téléchargeant gratuitement un un ou des logiciels. Cette gratuité se fait en contrepartie de recevoir des pubilicités afin de se rémunérer.Il faut  surtout  bien lire les Conditions Générales d'utilisation qui indiquent justement que tu acceptes de recevoir ces pubs en téléchargeant le logiciel.
Je te conseille de lire cet article concernant ces pratiques:
https://forum.malekal.com/viewtopic.php?t=33439&start=

Tu as plusieurs barre d'outils uinutiles que tu as dû installer en même temps qu'un autre programme gratuit ou payant d'ailleurs. Fais attention de bien décocher une case avant de cliquer sur suivant pour ne pas installer ces barres d'outils. 
Ces barres modifient les navigateurs WEB. D'une façon générale, installer une barre d'outils est inutile et cela ne fait que ralentir ton PC. Pour étayer mes propos lis bien ce dossier ci-dessous:
[url=https://forum.malekal.com/viewtopic.php?t=6173&start=] Les Toolbars ce n'est pas obligatoires[/url]

Tu vas donc faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur [Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le  contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart

kirichan · Answer

1) Concernant les antivirus, je n'ai installé qu'Avast pourtant (Norton était pré-installé, impossible de le supprimer...), et F-secure, je n'ai jamais su d'où il sortait.

2) Je suis chez Orange. Je ne connais absolument pas les domaines que tu as évoqués...

3) Je te remercie pour les liens, je vais lire les articles et essayer de faire plus attention, même si parfois, le téléchargement de certains logiciels s'avèrent vraiment indispensable...

Voici enfin le rapport:

# AdwCleaner v2.005 - Rapport créé le 30/10/2012 à 22:09:02
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Eva - EVA-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Eva\A ranger\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Ask.com
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\Veoh_Web_Player
Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\ProgramData\Premium
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Eva\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Eva\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\Eva\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Eva\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Eva\AppData\LocalLow\Veoh_Web_Player
Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Supprimé : C:\user.js
Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\AskToolbarInfo
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\Veoh_Web_Player
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\Iminent
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CD90BF73-20F6-44EF-993D-BB920303BD2E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{70B1205F-FF04-4C46-B4E9-519F01A3C13B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CD90BF73-20F6-44EF-993D-BB920303BD2E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2653012
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{70B1205F-FF04-4C46-B4E9-519F01A3C13B}
Clé Supprimée : HKLM\Software\Veoh_Web_Player
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{70B1205F-FF04-4C46-B4E9-519F01A3C13B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CD90BF73-20F6-44EF-993D-BB920303BD2E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{22184D9A-E1F0-47DD-8709-858187C91DBA}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D87AA1ED-316A-4F0E-BDCD-6ACAFBA43F32}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CD90BF73-20F6-44EF-993D-BB920303BD2E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Veoh_Web_Player Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{CD90BF73-20F6-44EF-993D-BB920303BD2E}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{CD90BF73-20F6-44EF-993D-BB920303BD2E}]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [lan]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{CD90BF73-20F6-44EF-993D-BB920303BD2E}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{CD90BF73-20F6-44EF-993D-BB920303BD2E}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v13.0.782.215

Fichier : C:\Users\Eva\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.23] : icon_url = "hxxp://www.babylon.com/favicon.ico",
Supprimée [l.26] : keyword = "babylon.com",
Supprimée [l.29] : search_url = "hxxp://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=d64cdede000000000000402cf407950e",

*************************

AdwCleaner[S1].txt - [303 octets] - [15/01/2012 00:57:58]
AdwCleaner[S2].txt - [9679 octets] - [15/01/2012 01:05:11]
AdwCleaner[R1].txt - [1797 octets] - [05/02/2012 15:04:45]
AdwCleaner[S3].txt - [1602 octets] - [05/02/2012 15:04:57]
AdwCleaner[S5].txt - [7657 octets] - [30/10/2012 22:09:02]

########## EOF - C:\AdwCleaner[S5].txt - [7717 octets] ##########

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport via pjjoint 

Smart

kirichan · Answer

Voilà:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121031_k6l14r14q6l13

Smart91 · Answer

Pour supprimer Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

On va supprimer les restes:

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\Software\Wow6432Node\Trymedia Systems]
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3C0E73E-4772-41E1-9AC0-EC0A25B2AE02}: DhcpDomain = btoa06.dellswdlb.com
O42 - Logiciel: Online Backup - (.F-Secure Corporation.) [HKLM][64Bits] -- {8F18E154-3E15-4B1D-B02D-DDC2517BA2EB}
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)
O69 - SBI: SearchScopes [HKCU] {38A03271-0254-4D2B-927E-9388E63AABF6} - (Veoh Web Player Customized Web Search) - http://search.conduit.com
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar
EmptyTEmp
EmptyFlash
EmptyCLSID
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

 Smart

System Progressive Protection

33 réponses

Discussions similaires