Malware PirritSuggestor et PirritDesktop

Résolu
rzorzo Messages postés 24 Statut Membre -  
lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Depuis quelques jours je suis victime du Malware PirritSuggestor et PirritDesktop
Je n'arrive pas à m'en sortir.
J'ai vu que d'autres membres ont été victime du même malware et que vous en êtes arrivé à bout.
Pouvez-vous m'aider également.
Merci d'avance

24 réponses

  • 1
  • 2
Résumé de la discussion

La discussion porte sur une infection par les malwares PirritSuggestor et PirritDesktop et sur les difficultés rencontrées pour s'en débarrasser après plusieurs jours d'infection persistante. Parmi les solutions, on conseille d'exécuter ZHPDiag pour obtenir un rapport et, en cas d'infection persistante, d'utiliser DelFix ou SFTGC et de restaurer le système à une date antérieure, entre autres. Plusieurs messages suggèrent de consolider les résultats via des rapports ZHPDiag et d'autres outils, et certains indiquent que la suppression de composants indésirables (par exemple un proxy) a résolu le problème. En fin de fil, certains échanges portent sur le partage de rapports ZHPDiag via des services d'hébergement et sur l'importance de choisir une restauration avant les remises à zéro d'outils pour éviter une réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    * Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
    ftp://zebulon.fr/ZHPDiag2.exe

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    * Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
    https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

    * A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"

    * Cliques sur configurer

    * Tournevis puis tous

    * Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    * Pour héberger le rapport, rends toi sur cjoint.com
    * Clique sur choisissez un fichier va chercher le rapport dans ton PC.

    * Le rapport est hébergé:
    - Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
    - Depuis Vista : C:\Users\username\AppData\Roaming\ZHP

    * Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

    * Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)

    * Puis cliques sur créer le lien cjoint

    * Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

    * Pour t'aider https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Bonsoir lilidurhone,
      Merci pour ta réponse, ma machine est de plus en plus lente ce qui explique le délais.
      Enfin j'ai réussi à envoyer le rapport de l'outil ZHPDiag.
      https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140217_i8k10v11w10y6

      J'ai télécharger Rsthosts dont voici le rapport:

      -|x| RstHosts v2.0 - Rapport créé le 17/02/2014 à 21:20:28
      -|x| Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
      -|x| Nom d'utilisateur : Roberto - EVOW4000 (Administrateur)

      -|x|- Informations -|x|-

      Emplacement : C:\WINDOWS\System32\drivers\etc\hosts
      Attribut(s) : RASH
      Propriétaire : Roberto - EVOW4000
      Taille : 89 bytes
      Date de création : 04/08/2004 - 13:00:00
      Date de modification : 17/02/2014 - 21:20:13
      Date de dernier accès : 17/02/2014 - 21:20:13

      -|x|- Contenu du fichier -|x|-

      # Fichier Hosts créé par RstHosts

      127.0.0.1 localhost
      ::1 localhost

      -|x|- E.O.F - C:\RstHosts.txt - 618 bytes -|x|-
      0
  2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Tu as aussi un proxy !

    Sur ton rapport il y est on va l'enlever
    Tu as dû installer des logiciels potentiellement indésirables

    Pour éviter ce genre de problème :

    - Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.

    - Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

    Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires

    * Télécharge cet outil simple d'utilisation

    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (de Xplode) sur ton bureau.

    * Si problème avec le 1er lien prends le ici https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

    * Lance le (Sous vista/seven/8 clic droit dessus,et sur exécuter en tant qu'administrateur)si tu es sous xp double cliques dessus

    * Cliques sur scanner
    * Poste le rapport de recherche C:\Adwcleaner[R]

    * Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]

    Si problème il y a il existe toujours une solution
    ~~~~~~ Cs ~~~~~~
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Encore un grand merci pour cette aide.
      Voici le rapport de l'outil:

      # AdwCleaner v3.019 - Report created 17/02/2014 at 22:20:22
      # Updated 17/02/2014 by Xplode
      # Operating System : Microsoft Windows XP Service Pack 3 (32 bits)
      # Username : Roberto - EVOW4000
      # Running from : C:\Documents and Settings\Roberto\My Documents\Téléchargements\adwcleaner.exe
      # Option : Clean

      ***** [ Services ] *****

      [#] Service Deleted : PirritUpdater

      ***** [ Files / Folders ] *****

      Folder Deleted : C:\Program Files\Mobogenie
      Folder Deleted : C:\Program Files\Pirrit
      Folder Deleted : C:\WINDOWS\system32\AI_RecycleBin
      Folder Deleted : C:\Documents and Settings\NetworkService\Local Settings\Application Data\Pirrit Suggestor
      Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\genienext
      Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\Mobogenie
      Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\Pirrit Suggestor
      Folder Deleted : C:\Documents and Settings\Roberto\Application Data\Pirrit
      Folder Deleted : C:\Documents and Settings\Roberto\My Documents\Mobogenie
      File Deleted : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\Extensions\suggestor@suggestor.pirrit.com.xpi
      File Deleted : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\searchplugins\eseeky-search.xml

      ***** [ Shortcuts ] *****


      ***** [ Registry ] *****

      Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
      Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
      Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
      Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9}
      Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{B4E90801-B83C-11D0-8B40-00C0F00AE35A}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
      Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
      Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
      Key Deleted : HKCU\Software\Pirrit
      Key Deleted : HKLM\Software\Pirrit

      ***** [ Browsers ] *****

      -\\ Internet Explorer v8.0.6001.18702


      -\\ Mozilla Firefox v27.0.1 (fr)

      [ File : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\prefs.js ]


      [ File : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\gxgy8aas.default-1388320599390\prefs.js ]


      *************************

      AdwCleaner[R0].txt - [4119 octets] - [17/02/2014 18:23:56]
      AdwCleaner[R1].txt - [1088 octets] - [17/02/2014 21:36:15]
      AdwCleaner[R2].txt - [3010 octets] - [17/02/2014 22:15:26]
      AdwCleaner[S0].txt - [4258 octets] - [17/02/2014 18:27:14]
      AdwCleaner[S1].txt - [1150 octets] - [17/02/2014 21:37:35]
      AdwCleaner[S2].txt - [2997 octets] - [17/02/2014 22:20:22]

      ########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [3057 octets] ##########

      Malheureusement je vois encore PirritDekstop.exe, PirritService.exe et pdesk.exe dans le gestionnaire de tâche.
      Ce foutu virus à la peu dure.
      0
  3. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Oui rassure toi

    Pour le proxy est ce volontaire ?
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Non je ne pense pas que le proxy soit volontaire, il a été configuré dans mon dos.
      0
  4. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Ok passe Roguekiller

    https://www.commentcamarche.net/faq/30719-utiliser-roguekiller
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Voici le rapport de RogueKiller:
      Il a bien supprimer les deux process.

      Operating System : Windows XP (5.1.2600 Service Pack 3) 32 bits version
      Started in : Normal mode
      User : Roberto [Admin rights]
      Mode : ProxyFix -- Date : 02/17/2014 23:02:06
      | ARK || FAK || MBR |

      ¤¤¤ Bad processes : 2 ¤¤¤
      [SUSP PATH] PirritService.exe -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe [7] -> KILLED [TermProc]
      [SUSP PATH] PirritDesktop.exe -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritDesktop.exe [7] -> KILLED [TermProc]

      ¤¤¤ Registry Entries : 2 ¤¤¤
      [PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (hxxp=hxxp://127.0.0.1:9880 [Country: , City: ]) -> DELETED
      [PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

      ¤¤¤ Web browsers : 0 ¤¤¤

      ¤¤¤ Driver : [LOADED] ¤¤¤

      ¤¤¤ External Hives: ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      Finished : << RKreport[0]_PR_02172014_230206.txt >>
      RKreport[0]_D_02172014_230111.txt;RKreport[0]_H_02172014_230204.txt;RKreport[0]_S_02172014_225551.txt

      J'ai rebooté mon PC.
      Après reboot les deux process sont réapparu.
      J'ai donc relancé RogueKiller.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Il a surtout supprimé le proxy :)
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Bonjour,

      Encore un grand merci pour l'assistance, je me demandais si tu prenais le temps de dormir.
      En effet le proxy est supprimé, j'imagine que tu parles du proxy du browser, peux-tu me dire à quel endroit je peux voir cette configuration (FireFox et IE).
      Si tu veux-bien nous pourrons continuer ce soir après le boulot
      Merci encore.
      0
  7. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Mais oui rassure toi juste que j'ai été réveillé tôt
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      (Re)-Bonjour Lilidurhone,
      Je suis de nouveau prêt à suivre tes précieuses instructions, si bien-sure tu es toujours disposé à m'en donner.
      A bientôt je l'espère.
      0
  8. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Après manger ;)
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Merci,
      Bon appétit, fais à ton aise, à toute à l'heure
      0
  9. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    * Télécharge Junkware Removal Tool à cette adresse (ne clique pas sur télécharger, le téléchargement va débuter automatiquement) : https://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/

    * Enregistre-le sur ton bureau.

    * Ferme toutes les applications en cours.

    * Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur.

    * Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.

    * À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse.

    Tutoriel : http://www.forum-entraide-informatique.com/t8260
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Voici le rapport, il semble un peu vide:

      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Junkware Removal Tool (JRT) by Thisisu
      Version: 6.1.1 (02.04.2014:1)
      OS: Microsoft Windows XP x86
      Ran by Roberto on mar. 18/02/2014 at 22:31:52,48
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




      ~~~ Services



      ~~~ Registry Values



      ~~~ Registry Keys



      ~~~ Files



      ~~~ Folders





      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      Scan was completed on mar. 18/02/2014 at 22:39:40,64
      End of JRT log
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    * Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier soit le bloc note(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin soit sysrestore)

    Script ZHPFix
    O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\PCRegistryShield_Popup.job [320]
    [MD5.00000000000000000000000000000000] [APT] [PCRegistryShield_Popup] (...) -- C:\Program Files\PC Registry Shield\Splash.exe (.not file.) [0] =>Rogue.PCRegistryShield
    [HKCU\Software\PCRegistryShieldLanguage]
    [HKCU\Software\ViewPassword] =>PUP.ViewPassword
    O43 - CFD: 15/02/2014 - 23:54:18 - [0] ----D C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield
    O43 - CFD: 15/02/2014 - 23:34:43 - [0] ----D C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
    O45 - LFCP:[MD5.E92AB21B5056B4D25D3ABDBF0C05FD6A] - 17/02/2014 - 23:17:46 ---A- - C:\WINDOWS\Prefetch\PIRRITDESKTOP.EXE-2F5A9C37.pf
    O47 - AAKE:Key Export SP - "C:\Java\eclipse\eclipse.exe" [Enabled] .(...) -- C:\Java\eclipse\eclipse.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe" [Enabled] .(...) -- C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Google\Google Talk\googletalk.exe" [Enabled] .(...) -- C:\Program Files\Google\Google Talk\googletalk.exe (.not file.)
    O61 - LFC: 15/02/2014 - 22:02:28 ---A- . (...) -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield\PcRegistryShield.exe_Url_bpsxinkggvyaufuidtyurwwbkqjv5sk3\2.4.7.0\user.config [455]
    O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\errors [258]
    O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\errors_data [57685]
    O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\fileerrors [247]
    O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\fileerrors_data [1277]
    O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\log.txt [74528]
    O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\logerror.txt [10214]
    O61 - LFC: 15/02/2014 - 22:02:46 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\registry.reg [107732984]
    O61 - LFC: 15/02/2014 - 22:02:48 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\registry0.reg [107727138]
    O61 - LFC: 15/02/2014 - 22:03:03 ---A- . (.ShieldApps.) -- C:\Documents and Settings\Roberto\My Documents\Téléchargements\PCRegistryShieldSetup.exe [5350912]
    O69 - SBI: SearchScopes [HKCU] {A8105727-97B2-4B68-8BA5-57150A17B1B3} - (eseeky) - http://eseeky.com =>Hijacker.Eseeky
    SS - | Auto 14/02/2014 52568 | (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
    sysrestore


    * Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue puis clique sur OK pour continuer.

    * Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)

    * Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

    * Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

    * Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non

    * Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt
    0
    1. rzorzo
       
      Bonsoir lilidurhone,
      Je viens de suivre les étapes que tu m'as détaillés, CA MARCHE, plus de virus pirritService, pirritDesktop ni viewpassword. UN GRAND MERCI, je te dois une fière chandelle, seul j'y serai jamais arrivé. Merci encore pour ta disponibilité. Toi et tes collègues vous représentez une aide vraiment appréciable pour la communauté. BRAVO!

      Un conseil encore, je serai plus prudent à l'avenir mais je ne me souviens pas comment ce virus est arrivé. Alors comment m'en prémunir, y-a-t-il un ou plusieurs anti virus, malware que je pourrais activer?

      Voici le rapport que tu m'as demandé:

      Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
      Fichier d'export Registre :
      Run by Roberto at 19/02/2014 18:39:26
      High Elevated Privileges : OK
      Windows XP Professional Service Pack 3 (Build 2600)

      Corbeille vidée (00mn 48s)

      ========== Clés du Registre ==========
      SUPPRIMÉ: Service: PirritDesktop
      SUPPRIMÉ: HKCU\Software\PCRegistryShieldLanguage
      SUPPRIMÉ: HKCU\Software\ViewPassword
      SUPPRIMÉ: SearchScopes :{A8105727-97B2-4B68-8BA5-57150A17B1B3}

      ========== Valeurs du Registre ==========
      SUPPRIMÉ RunValue: ctfmon.exe
      SUPPRIMÉ AAKE KeyValue: C:\Java\eclipse\eclipse.exe
      SUPPRIMÉ AAKE KeyValue: C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe
      SUPPRIMÉ AAKE KeyValue: C:\Program Files\Google\Google Talk\googletalk.exe

      ========== Dossiers ==========
      SUPPRIMÉ: C:\Program Files\PC Registry Shield
      SUPPRIMÉ: C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield

      ========== Fichiers ==========
      SUPPRIMÉ Redémarrage: c:\windows\system32\ctfmon.exe
      SUPPRIMÉ: c:\documents and settings\roberto\local settings\application data\pirritsuggestor\pirritservice.exe
      SUPPRIMÉ: c:\windows\tasks\pcregistryshield_popup.job
      SUPPRIMÉ: c:\windows\prefetch\pirritdesktop.exe-2f5a9c37.pf
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\errors
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\errors_data
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\fileerrors
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\fileerrors_data
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\log.txt
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\logerror.txt
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\registry.reg
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\registry0.reg
      SUPPRIMÉ: c:\documents and settings\roberto\my documents\téléchargements\pcregistryshieldsetup.exe

      ========== Tache planifiée ==========
      SUPPRIMÉ: PCRegistryShield_Popup

      ========== Restauration Système ==========
      Point de restauration du système créé avec succès


      ========== Récapitulatif ==========
      4 : Clés du Registre
      4 : Valeurs du Registre
      2 : Dossiers
      13 : Fichiers
      1 : Tache planifiée
      1 : Restauration Système


      End of clean in 01mn 03s

      ========== Chemin de fichier rapport ==========
      0
  11. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Je crois avoir fait une erreur

    Pourrais tu restaurer les lignes suivantes via zhpfix

    O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Je viens de comparer ces deux lignes avec celles du document d'origine, elles sont identiques!
      Veux-tu que je remplace les deux lignes originales par ces nouvelles et relancer le script en entier via zhpfix ?
      0
  12. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Prends pas de risque

    Restaure d'avant zhpfix (à une date antérieure)

    J'ai foiré dans la commande :/
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Voila c'est fait:

      Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
      Fichier d'export Registre :
      Run by Roberto at 19/02/2014 20:03:16
      High Elevated Privileges : OK
      Windows XP Professional Service Pack 3 (Build 2600)

      Corbeille vidée (00mn 02s)

      ========== Valeurs du Registre ==========
      SUPPRIMÉ RunValue: ctfmon.exe

      ========== Fichiers ==========
      SUPPRIMÉ Redémarrage: c:\windows\system32\ctfmon.exe

      ========== Restauration Système ==========
      Point de restauration du système créé avec succès


      ========== Récapitulatif ==========
      1 : Valeurs du Registre
      1 : Fichiers
      1 : Restauration Système


      End of clean in 00mn 14s

      ========== Chemin de fichier rapport ==========
      C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R1].txt - 19/02/2014 18:40:14 [2591]
      C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R2].txt - 19/02/2014 20:03:18 [804]
      0
  13. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Non

    Restaure à une date antérieure s'il te plait
    0
  14. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Up

    Restaure d'avant le 1er zhpfix

    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Si je comprend bien tu veux que je fasse un "système restore" d'avant l'application du script zhpfix que tu m'as envoyé ce matin. Je reviendrais dans les conditions où le virus est encore actif?
      0
  15. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Oui :)

    Car j'ai supprimé une que j'aurais pas du :/
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Voilâ, je suis revu dans la situation avant l'application du script zhpfix.
      Veux-tu que j'applique le script sans les deux lignes [04]?
      0
  16. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    C'est bon

    Même procédure (mais tu verras pourquoi je t'ai fait restaurer :) )

    Script ZHPFix
    OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    OPT:O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
    [HKCU\Software\PCRegistryShieldLanguage]
    [HKCU\Software\ViewPassword] =>PUP.ViewPassword
    O43 - CFD: 19/02/2014 - 20:45:28 - [0] ----D C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield
    O43 - CFD: 19/02/2014 - 20:45:28 - [0] ----D C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
    O43 - CFD: 19/02/2014 - 20:45:46 - [0,004] ----D C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter
    O45 - LFCP:[MD5.CF777EB08BCE68D88AA4B5EDAB451EFD] - 19/02/2014 - 7:43:48 ---A- - C:\WINDOWS\Prefetch\SPYHUNTER-INSTALLER.EXE-08FBC472.pf =>Crapware.SpyHunter
    O45 - LFCP:[MD5.921CB472D12547BF7D77B552035EABFA] - 19/02/2014 - 7:45:48 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA17.EXE-078A1D92.pf =>Crapware.SpyHunter
    O45 - LFCP:[MD5.E73F47EBDBFB947D7488A94A587B99C0] - 19/02/2014 - 7:45:53 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA19.EXE-2DF19827.pf =>Crapware.SpyHunter
    O45 - LFCP:[MD5.8D8D2CF4E4807FB1C6C937458B1AB763] - 19/02/2014 - 7:45:55 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA20.EXE-22596EA9.pf =>Crapware.SpyHunter
    O45 - LFCP:[MD5.C043A16206744975C24CED1B50370AD9] - 19/02/2014 - 7:46:32 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA22.EXE-378CBE1B.pf =>Crapware.SpyHunter
    O45 - LFCP:[MD5.C0E236DE4827A779519C9002CCD41733] - 19/02/2014 - 7:47:13 ---A- - C:\WINDOWS\Prefetch\SPYHUNTER4.EXE-07468672.pf =>Crapware.SpyHunter
    O47 - AAKE:Key Export SP - "C:\Java\eclipse\eclipse.exe" [Enabled] .(...) -- C:\Java\eclipse\eclipse.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe" [Enabled] .(...) -- C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Google\Google Talk\googletalk.exe" [Enabled] .(...) -- C:\Program Files\Google\Google Talk\googletalk.exe (.not file.)
    O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk [1705] =>Crapware.SpyHunter
    O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\SpyHunter.lnk [1989] =>Crapware.SpyHunter
    O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk [727] =>Crapware.SpyHunter
    O69 - SBI: SearchScopes [HKCU] {A8105727-97B2-4B68-8BA5-57150A17B1B3} - (eseeky) - http://eseeky.com =>Hijacker.Eseeky
    SS - | Auto 14/02/2014 52568 | (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
    [HKLM\SYSTEM\CurrentControlSet\Services\PirritDesktop] =>PUP.PirritSuggestor^
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F} =>Toolbar.Google^
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg =>Toolbar.Google^
    C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield^
    C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter^
    [HKCU\Software\ViewPassword] =>PUP.ViewPassword^
    C:\Windows\Installer\77734.msi =>Toolbar.Google^
    C:\Documents and Settings\Roberto\Desktop\SpyHunter.lnk =>Crapware.SpyHunter
    sysrestore
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      OK c'est fait, le système est à nouveau opérationnel.
      Un grand merci, j'ai comparé les script la commande "OPT" ne se trouvait pas devant les deux lignes 04.

      Voici le rapport::

      Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
      Fichier d'export Registre :
      Run by Roberto at 19/02/2014 21:38:37
      High Elevated Privileges : OK
      Windows XP Professional Service Pack 3 (Build 2600)

      Corbeille vidée (00mn 02s)

      ========== Clés du Registre ==========
      SUPPRIMÉ: Service: PirritDesktop
      SUPPRIMÉ: HKCU\Software\PCRegistryShieldLanguage
      SUPPRIMÉ: HKCU\Software\ViewPassword
      SUPPRIMÉ: SearchScopes :{A8105727-97B2-4B68-8BA5-57150A17B1B3}

      ========== Valeurs du Registre ==========
      SUPPRIMÉ RunValue: ctfmon.exe
      SUPPRIMÉ AAKE KeyValue: C:\Java\eclipse\eclipse.exe
      SUPPRIMÉ AAKE KeyValue: C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe
      SUPPRIMÉ AAKE KeyValue: C:\Program Files\Google\Google Talk\googletalk.exe
      SUPPRIMÉ [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F}
      SUPPRIMÉ [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg

      ========== Dossiers ==========
      SUPPRIMÉ: C:\Program Files\PC Registry Shield
      SUPPRIMÉ: C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
      SUPPRIMÉ: C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter

      ========== Fichiers ==========
      SUPPRIMÉ: c:\documents and settings\roberto\local settings\application data\pirritsuggestor\pirritservice.exe
      SUPPRIMÉ: c:\windows\prefetch\spyhunter-installer.exe-08fbc472.pf
      SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla17.exe-078a1d92.pf
      SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla19.exe-2df19827.pf
      SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla20.exe-22596ea9.pf
      SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla22.exe-378cbe1b.pf
      SUPPRIMÉ: c:\windows\prefetch\spyhunter4.exe-07468672.pf
      SUPPRIMÉ: C:\Windows\Installer\77734.msi
      SUPPRIMÉ: C:\Documents and Settings\Roberto\Desktop\SpyHunter.lnk

      ========== Restauration Système ==========
      Point de restauration du système créé avec succès


      ========== Récapitulatif ==========
      4 : Clés du Registre
      6 : Valeurs du Registre
      3 : Dossiers
      9 : Fichiers
      1 : Restauration Système


      End of clean in 00mn 14s

      ========== Chemin de fichier rapport ==========
      C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R1].txt - 19/02/2014 18:40:14 [2591]
      C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R2].txt - 19/02/2014 20:03:18 [903]
      C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R3].txt - 19/02/2014 21:38:39 [2366]
      0
  17. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    :)

    ¨Tu as vu mon erreur mais j'ai su la réparer :)

    Refais un zhpdiag
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      Voici le rapport:

      https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140219_r10y14o13g7l11

      A la fin du rapport j'ai vu ceci:
      ---\\ Récapitulatif des détections trouvées sur votre station
      ~ http://nicolascoolman.webs.com/apps/blog/show/26609241-crapware-spyhunter =>Crapware.SpyHunter
      ~ http://nicolascoolman.webs.com/apps/blog/show/35740148-pup-viewpassword =>PUP.ViewPassword
      ~ MSI: 2 link(s) detected in 00mn 52s

      Dois-je m'en préoccuper ?
      0
  18. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Non :)

    Il t'informe juste

    Tout est ok

    Par contre

    MSE pas à jour
    Adobe reader aussi

    Désinstalles McAfee Security Scan Plus v3.8.141.11
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      OK, j'ai désinstallé McAfee Security (mais en principe il devrait me protéger non ?).
      Il reste le McAfee SiteAdvisor
      Il n'y pas de mise à jour disponble pour l'Adobe reader, ce n'est pas important.
      Encore une fois un grand merci, j'espère être débarrassé pour de bon.

      Quelles sont test suggestions pour un anti virus ?
      0
  19. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Si si

    Adobe reader

    https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/

    Pour MSE

    Tu le trouveras ici même :)

    Demain le final
    0
    1. rzorzo Messages postés 24 Statut Membre
       
      OK, merci et bonne nuit à demain
      0
    2. rzorzo Messages postés 24 Statut Membre
       
      Bonsoir lilidurhone,

      J'ai mis à jour Adobe reader et Microsft Security Essentials.

      Je suis prêt pour le final, c'est quand tu veux.
      0
  • 1
  • 2