System progressive protection

pierre040269 Messages postés 10 Statut Membre -  
 pierre040269 -
Bonjour,

Voila,je suis infecté par system progressive protection, et je ne sais pas quoi faire
Je suis sous windows 7

merci de m'aider

Ps: je suis nul en informatique

21 réponses

  • 1
  • 2
  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    hello,

    je vais t'aider à résoudre ton problème !

    Quitte tous les programmes en cours !

    ---> Télécharge sur le bureau RogueKiller (créé par Tigzy)
    https://www.luanagames.com/index.fr.html

    ---> Clique sur [Scan]

    ---> Puis clique sur [Rapport] une fois le scan terminé, et copie/colle le rapport dans ta réponse.

    (le rapport est également sur le bureau)

    * Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe

    Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
    ====================
    Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/
    1
  2. docsteph Messages postés 8467 Date d'inscription   Statut Membre Dernière intervention   1 192
     
    va voir un réparateur
    0
  3. pierre040269 Messages postés 10 Statut Membre
     
    bonsoir,

    il n'y a rien d'autre a faire?
    il n'y pas de programme pour le désinstaller

    bien à toi
    0
  4. pierre040269 Messages postés 10 Statut Membre
     
    Bonsoir,

    voici le rapport

    RogueKiller V8.3.2 [Dec 7 2012] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : pierre et diana [Droits d'admin]
    Mode : Recherche -- Date : 09/12/2012 18:03:44

    ¤¤¤ Processus malicieux : 4 ¤¤¤
    [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]
    [SUSP PATH] wnijbdjj.exe -- C:\Users\pierre et diana\AppData\Local\wnijbdjj.exe -> TUÉ [TermProc]
    [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]
    [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 9 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Wahoo (C:\Users\pierre et diana\AppData\Local\WahOO\Wahoo.exe --autoLaunch) -> TROUVÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : awsagjgx ("C:\Users\pierre et diana\AppData\Local\eefgnjsu.exe") -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-762914072-925126021-651813925-1000[...]\Run : Wahoo (C:\Users\pierre et diana\AppData\Local\WahOO\Wahoo.exe --autoLaunch) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-762914072-925126021-651813925-1000[...]\Run : awsagjgx ("C:\Users\pierre et diana\AppData\Local\eefgnjsu.exe") -> TROUVÉ
    [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : C818E6B7D4A0009F0000C8181EAB0BF5 (C:\ProgramData\C818E6B7D4A0009F0000C8181EAB0BF5\C818E6B7D4A0009F0000C8181EAB0BF5.exe) -> TROUVÉ
    [RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-762914072-925126021-651813925-1000[...]\RunOnce : C818E6B7D4A0009F0000C8181EAB0BF5 (C:\ProgramData\C818E6B7D4A0009F0000C8181EAB0BF5\C818E6B7D4A0009F0000C8181EAB0BF5.exe) -> TROUVÉ
    [STARTUP][SUSP PATH] PowerReg Scheduler V3.exe @Common : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler V3.exe -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++
    --- User ---
    [MBR] 866e8ba49201cffeef35b3bf4eea897b
    [BSP] e571bad1fa6b043cd2cabaaa944a7e01 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 692590 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1418833920 | Size: 18551 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
    --- User ---
    [MBR] 8e1217173c95e89423d86ff88cc4768d
    [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 7430 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_09122012_180344.txt >>
    RKreport[1]_S_09122012_180344.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pierre040269 Messages postés 10 Statut Membre
     
    bonsoir,

    que dois je faire maintenant

    Bien à vous
    0
  7. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonsoir Pierre,

    Tu relance Roguekiller mais cette fois en mode [Suppression] et tu met le lien dans ta prochaine réponse.

    Ensuite :


    * Télécharge Malwaresbytes anti malware ici
    * Choisis la version -Download Now-
    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
    * Tu as un tuto si tu en as besoin : tuto

    * Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

    * /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
    * Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
    * Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
    * Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
    * Lorsque le scan est terminé clique sur "Afficher les résultats"
    * Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

    PS : Redémarre ta machine pour achever le nettoyage.

    * Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou pjoint ou FEC
    * Envoie-moi le lien fourni dans ta prochaine réponse.

    A+
    0
  8. pierre040269 Messages postés 10 Statut Membre
     
    Bonjour,

    Voici le lien plus le rapport RK

    https://www.cjoint.com/?0LkoDjIGaG1

    RogueKiller V8.3.2 [Dec 7 2012] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : pierre et diana [Droits d'admin]
    Mode : Suppression -- Date : 10/12/2012 12:09:43

    ¤¤¤ Processus malicieux : 2 ¤¤¤
    [SUSP PATH] Wahoo.exe -- C:\Users\pierre et diana\AppData\Local\WahOO\Wahoo.exe -> TUÉ [TermProc]
    [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Wahoo (C:\Users\pierre et diana\AppData\Local\WahOO\Wahoo.exe --autoLaunch) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : awsagjgx ("C:\Users\pierre et diana\AppData\Local\eefgnjsu.exe") -> SUPPRIMÉ
    [STARTUP][SUSP PATH] PowerReg Scheduler V3.exe @Common : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler V3.exe -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++
    --- User ---
    [MBR] 866e8ba49201cffeef35b3bf4eea897b
    [BSP] e571bad1fa6b043cd2cabaaa944a7e01 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 692590 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1418833920 | Size: 18551 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3]_D_10122012_120943.txt >>
    RKreport[1]_S_09122012_180344.txt ; RKreport[2]_S_10122012_120918.txt ; RKreport[3]_D_10122012_120943.txt

    merci d'avance pour la suite

    Pierre
    0
  9. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Pierre,

    on fait un scan complet :

    ATTENTION : Si ton Antivirus est Avast, désactive la sandbox sinon l'analyse risque d'être faussées.
    Voici comment faire ici

    * Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
    /!\Il est très important de l'enregistrer sur le bureau / !\
    * Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
    /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
    /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
    * Maintenant clique sur l'icône du "tournevis" et dans la fenêtre d'options qui apparait coche "Tous"
    * Clique sur la loupe pour « lancer le diagnostic » .
    * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
    * En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
    * Laisse l'outil travailler, il peut être assez long.
    * Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).
    * Transmets moi le lien du fichier.
    * Rappel des dépôts : cijoint ou pjoint ou FEC
    A+

    ----------Contributeur Sécurité-----------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  10. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonsoir Pierre,

    Ce script va cibler certains éléments à supprimer :

    * Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

    O43 - CFD: 10/12/2012 - 12:05:27 - [0,007] ----D C:\ProgramData\C818E6B7D4A0009F0000C8181EAB0BF5
    [HKCU\Software\arjsplsw]
    [HKCU\Software\dbbxpqtn]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
    O43 - CFD: 20/03/2012 - 15:25:36 - [0] ----D C:\ProgramData\Babylon
    O43 - CFD: 20/03/2012 - 15:25:36 - [0,001] ----D C:\Users\pierre et diana\AppData\Roaming\Babylon
    O43 - CFD: 20/03/2012 - 15:25:37 - [2,649] ----D C:\Users\pierre et diana\AppData\Local\Babylon
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}]
    [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}]
    C:\ProgramData\Babylon
    C:\Users\pierre et diana\AppData\Roaming\Babylon
    C:\Users\pierre et diana\AppData\Local\Babylon
    O2 - BHO: (no name) [64Bits] - {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} Clé orpheline
    O4 - Global Startup: C:\Users\pierre et diana\Desktop\Far Cry® 2.lnk - Clé orpheline
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
    [MD5.00000000000000000000000000000000] [APT] [{4B65E426-5167-4835-8453-1D933B613F76}] (...) -- C:\Program Files (x86)\Amiga Classix 4\AmigaClassix4.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{99F05ED8-6643-42B1-900E-71E651092A30}] (...) -- C:\Program Files (x86)\Amiga Classix 4\AmigaClassix4.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{A3EB1736-E97E-4EBC-9B26-A78F60B6915F}] (...) -- C:\Program Files (x86)\Amiga Classix 4\AmigaClassix4.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{BC6381ED-EF4B-4894-A807-EA357CC7A0AC}] (...) -- G:\AmigaClassix4.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{C26ECBC9-C627-419F-A5AE-0F4F609A5DEF}] (...) -- C:\Program Files (x86)\Amiga Classix 4\AmigaClassix4.exe (.not file.)
    O42 - Logiciel: Governor of Poker 2 Premium Edition - (.WildTangent.) [HKLM][64Bits] -- WTA-ac4295f1-5457-4c4c-b7d4-926c80dceced
    O42 - Logiciel: Slingo Deluxe - (.WildTangent.) [HKLM][64Bits] -- WTA-c7910ae4-229a-4080-8682-ea70d10f19c6
    O43 - CFD: 30/07/2011 - 06:17:36 - [9,609] ----D C:\Program Files (x86)\WildTangent Games
    [HKCU\Software\Softonic]
    [HKCU\Software\Softonic]
    EmptyTemp
    EmptyFlash
    EmptyCLSID
    FirewallRAZ



    * Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
    / !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
    * Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
    Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
    * Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
    * Clique sur le bouton «GO » pour lancer le nettoyage
    * Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
    * Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
    *Rappel des dépôts : cijoint ou pjoint ou FEC
    -------------------------------------------------------------
    Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
    Ton bureau apparaitra sans icones et sans barre des taches.
    Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
    Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

    A+
    0
    1. g3n-h@ckm@n
       
      salut attention ca sent le sality ^^
      0
    2. pierre040269 Messages postés 10 Statut Membre
       
      que veut tu dire par la g3n-h@ckm@n
      0
  11. pierre040269 Messages postés 10 Statut Membre
     
    Bonjour,

    voicile lien pour le rapport ZHPfix

    Bien à vous

    Pierre
    0
  12. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Hello Pierre,

    Ce n'est pas le bon lien ça !

    On va faire un scan en ligne :

    rends toi sur cette page et suis les instructions !

    https://forum.malekal.com/viewtopic.php?t=33710&start=

    A+

    ----------Contributeur Sécurité-----------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  13. pierre040269 Messages postés 10 Statut Membre
     
    Bonsoir Cabrier,

    merci de ta patience, je telecharge le programme et j'effectue le scan

    je suppose que je dois poster le rapport

    Bien à toi

    Pierre
    0
    1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      Oui bien sur !
      0
  14. pierre040269
     
    voici le lien

    http://cjoint.com/?0LpiyYqUgKA

    Bien à toi

    Pierre
    0
  15. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Pierre !

    Toujours là ?

    Désolé j'étais absent !

    0
  16. pierre040269
     
    oui toujours la j'attendais de tes nouvelles
    0
  17. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Hello Pierre,

    Refais un scan avec MBAM
    * Lorsque le scan est terminé clique sur "Afficher les résultats"
    * Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

    PS : Redémarre ta machine pour achever le nettoyage.

    Poste moi le rapport.
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Hello J-Cl.

      Ouf!
      Aurait dû être demandé, déjà le 10/12 ==> "aucune action entreprise" http://cjoint.com/data/0LkoDjIGaG1.htm

      Amicalement.
      Albert
      0
  18. pierre040269
     
    bonjour,

    voici le rapport

    Malwarebytes Anti-Malware (Essai) 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.12.17.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    pierre et diana :: PIERREETDIANA [administrateur]

    Protection: Activé

    18/12/2012 08:14:32
    mbam-log-2012-12-18 (08-14-32).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 423560
    Temps écoulé: 1 heure(s), 8 minute(s), 59 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  19. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    OK Pierre,

    Rien sur MBAM.

    Tu me refais un ZHPDiag pour vérification ?

    Poste moi le lien du rapport !

    A+
    0
  • 1
  • 2