× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Security Shield Avertissement en permanenceSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
titihewson
  Posté le 25/12/2010 @ 11:10 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

depuis hier j'ai un message de Security Shield en permanence qui se vend en tant que Pare-Feu et Anti-Virus. Je n'ai rien demandé et je n'arrive pas à supprimer ce message. J'ai essayé de l'enlever en Mode Sans échec mais rien n'y fait. Est-ce que l'un d'ente-vous à la solution ?

Je vous remercie d'avance pour votre aide.

Publicité
Vrni
 Posté le 25/12/2010 à 12:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Fais les manips suivantes.
cela devrait si cela marche déjà nettoyé l'ordi d'une grande partie de l'infection.

---------------------------------------------------

1/ Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil./!\

  • Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
    ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
  • Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
  • Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un des autres liens ci-dessous et fais une nouvelle tentative d'exécution.

Lien 2 (rkill.com)
Lien 3 (rkill.exe)
Lien 4 (rkill renommé en eXplorer.exe)
Lien 5 (rkill renommé en iExplore.exe)

/!\ Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne continue pas le nettoyage, et préviens moi dans ton prochain message. /!\

2/ Utilise malwarebytes.
Si tu l'as déjà sur le PC, n'oublie pas de le mettre à jour avant de lancer un examen.

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam.php

  • Tu l'installes. Choisis les options par défaut.
  • A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter . Accepte.

  • Après la mise à jour, le logiciel va s'ouvrir.
    • Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
    • Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. Clique sur lancer l'examen.
    • A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    • Si des infections sont trouvées, clique sur Supprimer la sélection.

    Note : Dans certains cas, le logiciel demande de redémarrer l'ordinateur pour supprimer les fichiers. Accepte.

    Tu postes le rapport dans ton prochain message .
    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs . Il y est. Clique dessus et choisir ouvrir.

    A+

    titihewson
     Posté le 26/12/2010 à 12:10 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Merci pour ton aide.

    Je te transmets les résultats du rkill.log :

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 26/12/2010 at 11:26:47.
    Operating System: Microsoft Windows XP


    Processes terminated by Rkill or while it was running:

    C:\Documents and Settings\DAVIET\Application Data\Microsoft\conhost.exe
    C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe
    C:\DOCUME~1\DAVIET\LOCALS~1\APPLIC~1\loytcm.exe


    Rkill completed on 26/12/2010 at 11:26:50.

    Malwarebytes est en train de faire l'analyse du disque dur, je t'envoie les résultats à la fin. Est-ce lié à Security Shield que j'ai été obligé de décocher "Utiliser un serveur proxy pour votre réseau local" pour démarrer internet alors que je n'ai rien changé ?

    titihewson
     Posté le 26/12/2010 à 12:13 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voici le rapport de l'analyse:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5396

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    26/12/2010 12:12:14
    mbam-log-2010-12-26 (12-12-14).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 228348
    Temps écoulé: 29 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 9
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    c:\documents and settings\DAVIET\application data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe (Spyware.Passwords) -> 2216 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\NetPumper.AddUrl (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\NetPumperNNProxy.NetscapeInterface (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Spyware.Passwords.XGen) -> Value: conhost -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssend (Spyware.Passwords) -> Value: mssend -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe "C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe") Good: (Explorer.exe) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    c:\documents and settings\DAVIET\application data\netpumper (Adware.NetPumper) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\documents and settings\DAVIET\application data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\application data\microsoft\conhost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\application data\xssend2\svcnost.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\local settings\application data\loytcm.exe (Trojan.GBFE) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\local settings\Temp\6254954.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\menu démarrer\programmes\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\4dej4cr8.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\local settings\Temp\0.8105552729245349.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\application data\netpumper\DAVIET.ini (Adware.NetPumper) -> Quarantined and deleted successfully.

    Vrni
     Posté le 26/12/2010 à 12:22 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Depuis plusieurs mois, en effet , ces faux antivirus changent les paramètres de proxy d'un ou des navigateurs.

    Malwarebytes a déjà bien nettoyé le PC.
    As-tu toujours ces avertissements avec le security shield ?

    -------------------------------------------------------------

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

  • Double-clique sur OTL pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
  • Sélectionne l’option tous les utilisateurs.
  • Dans la partie Personnalisation, copie/colle la liste suivante.

  • netsvcs
    Drivers32
    %UserProfile%\Recent\*.* /s
    c:\documents and settings\DAVIET\application data\xssend2\*.* /s
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s

    %appdata%\*.exe /s
    %APPDATA%\*.
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    CREATERESTOREPOINT

  • clique sur le bouton Analyse rapide
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt.
    Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
  • Poste les sur le forum.

    Pour cela, utilise le lien en bas de la page Inserer le rapport .

    A+



    Modifié par Vrni le 26/12/2010 12:24
    titihewson
     Posté le 26/12/2010 à 12:28 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Je n'ai plus de messages de Security Shield, dois-je quand-même lancer l'OTL ?

    Vrni
     Posté le 26/12/2010 à 12:37 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Oui, Il reste encore des traces de cette infection et il faut que je vérifie si il n'y a pas autre chose.

    titihewson
     Posté le 26/12/2010 à 12:42 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : OTL.Txt

    titihewson
     Posté le 26/12/2010 à 12:42 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : Extras.Txt

    Publicité
    titihewson
     Posté le 26/12/2010 à 12:43 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voilà je t'ai transmis les 2 fichiers.

    Merci pour le complément d'enquête.

    {#}

    Vrni
     Posté le 26/12/2010 à 13:16 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    titihewsom,

    Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier
    http://www.virustotal.com/fr/

    • Copier le chemin indiqué ci-dessous et le coller dans la zone à analyser

    Chemin : C:\Documents and Settings\DAVIET\Application Data\960A.1DD

    • Tu cliques ensuite sur envoyer le fichier.
    • Après analyse et affichage des résultats, copie l'adresse de la page des résultats.

    Indique moi le lien dans ta prochaine réponse.

    Même manip avec C:\Documents and Settings\DAVIET\Local Settings\Application Data\opqsa.exe

    -------------------------------------------------

    Relance OTL.

    • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

    :OTL
    IE - HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:54202
    FF - prefs.js..network.proxy.http: "127.0.0.1"
    FF - prefs.js..network.proxy.http_port: 54202
    FF - prefs.js..network.proxy.type: 1
    [2010/12/25 10:58:42 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\DAVIET\Recent
    [2010/12/24 23:57:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DAVIET\Application Data\xssend2
    [2010/12/24 23:56:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2
    [2010/12/24 23:47:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr

    :Files
    C:\WINDOWS\tasks\At??.job

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe"=-
    "C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe"=-

    :Commands
    [EMPTYTEMP]
    [EMPTYFLASH]


    • Puis clique sur le bouton Correction en haut de la fenêtre.
    • Laisse le programme travailler, le PC va redémarrer.


    Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
    Sauvegarde-le sur ton Bureau et poste-le.

    Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles

    Regarde suivant la date : 12262009_xxxxxxxx.log

    A+

    titihewson
     Posté le 26/12/2010 à 13:45 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voici le 1er rapport de Virus Toltal concernant le 1er fichier:

    <table id="filescan">
    <tr>
    <th>Antivirus</th>
    <th>Version</th>
    <th>Last update</th>
    <th>Result</th>
    </tr>
    <tr>
    <td>AhnLab-V3</td>
    <td>2010.12.26.01</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>AntiVir</td>
    <td>7.11.0.177</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Antiy-AVL</td>
    <td>2.0.3.7</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Avast</td>
    <td>4.8.1351.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Avast5</td>
    <td>5.0.677.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>AVG</td>
    <td>9.0.0.851</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>BitDefender</td>
    <td>7.2</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>CAT-QuickHeal</td>
    <td>11.00</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>ClamAV</td>
    <td>0.96.4.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Command</td>
    <td>5.2.11.5</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Comodo</td>
    <td>7194</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>DrWeb</td>
    <td>5.0.2.03300</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Emsisoft</td>
    <td>5.1.0.1</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>eSafe</td>
    <td>7.0.17.0</td>
    <td>2010.12.22</td>
    <td>-</td>
    </tr>
    <tr>
    <td>eTrust-Vet</td>
    <td>36.1.8060</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>F-Prot</td>
    <td>4.6.2.117</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>F-Secure</td>
    <td>9.0.16160.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Fortinet</td>
    <td>4.2.254.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>GData</td>
    <td>21</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Ikarus</td>
    <td>T3.1.1.90.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Jiangmin</td>
    <td>13.0.900</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>K7AntiVirus</td>
    <td>9.74.3335</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Kaspersky</td>
    <td>7.0.0.125</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>McAfee</td>
    <td>5.400.0.1158</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>McAfee-GW-Edition</td>
    <td>2010.1C</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Microsoft</td>
    <td>1.6402</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>NOD32</td>
    <td>5733</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Norman</td>
    <td>6.06.12</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>nProtect</td>
    <td>2010-12-26.01</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Panda</td>
    <td>10.0.2.7</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>PCTools</td>
    <td>7.0.3.5</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Prevx</td>
    <td>3.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Rising</td>
    <td>22.79.05.01</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Sophos</td>
    <td>4.60.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>SUPERAntiSpyware</td>
    <td>4.40.0.1006</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Symantec</td>
    <td>20101.3.0.103</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>TheHacker</td>
    <td>6.7.0.1.105</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>TrendMicro</td>
    <td>9.120.0.1004</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>TrendMicro-HouseCall</td>
    <td>9.120.0.1004</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>VBA32</td>
    <td>3.12.14.2</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>VIPRE</td>
    <td>7830</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>ViRobot</td>
    <td>2010.12.25.4220</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>VirusBuster</td>
    <td>13.6.112.0</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <table>

    <table id="fileinfo">
    <tr>
    <th>Additional information</th>
    </tr>
    <tr>
    <td><strong>MD5:</strong> ad39eff5fdbe04faa729cec0b276068b</td>
    </tr>
    <tr>
    <td><strong>SHA1:</strong> 41439d727f6bb9ec986b32e268e598f35b4fe61d</td>
    </tr>
    <tr>
    <td><strong>SHA256:</strong> 5a8b7d30806a844b249d0444ad4c4e14323082d88c5d270978e142ac676d458d</td>
    </tr>
    <tr>
    <td><strong>File size:</strong> 9835 bytes</td>
    </tr>
    <tr>
    <td><strong>Scan date:</strong> 2010-12-26 12:38:49 (UTC)</td>
    </tr>
    </table>

    Par contre je ne trouve pas le 2ème.

    titihewson
     Posté le 26/12/2010 à 13:52 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    All processes killed
    ========== OTL ==========
    HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
    Prefs.js: "127.0.0.1" removed from network.proxy.http
    Prefs.js: 54202 removed from network.proxy.http_port
    Prefs.js: 1 removed from network.proxy.type
    C:\Documents and Settings\DAVIET\Recent folder moved successfully.
    C:\Documents and Settings\DAVIET\Application Data\xssend2 folder moved successfully.
    C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2 folder moved successfully.
    C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr folder moved successfully.
    ========== FILES ==========
    C:\WINDOWS\tasks\At1.job moved successfully.
    C:\WINDOWS\tasks\At10.job moved successfully.
    C:\WINDOWS\tasks\At11.job moved successfully.
    C:\WINDOWS\tasks\At12.job moved successfully.
    C:\WINDOWS\tasks\At13.job moved successfully.
    C:\WINDOWS\tasks\At14.job moved successfully.
    C:\WINDOWS\tasks\At15.job moved successfully.
    C:\WINDOWS\tasks\At16.job moved successfully.
    C:\WINDOWS\tasks\At17.job moved successfully.
    C:\WINDOWS\tasks\At18.job moved successfully.
    C:\WINDOWS\tasks\At19.job moved successfully.
    C:\WINDOWS\tasks\At2.job moved successfully.
    C:\WINDOWS\tasks\At20.job moved successfully.
    C:\WINDOWS\tasks\At21.job moved successfully.
    C:\WINDOWS\tasks\At22.job moved successfully.
    C:\WINDOWS\tasks\At23.job moved successfully.
    C:\WINDOWS\tasks\At24.job moved successfully.
    C:\WINDOWS\tasks\At3.job moved successfully.
    C:\WINDOWS\tasks\At4.job moved successfully.
    C:\WINDOWS\tasks\At5.job moved successfully.
    C:\WINDOWS\tasks\At6.job moved successfully.
    C:\WINDOWS\tasks\At7.job moved successfully.
    C:\WINDOWS\tasks\At8.job moved successfully.
    C:\WINDOWS\tasks\At9.job moved successfully.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe deleted successfully.
    ========== COMMANDS ==========
    [EMPTYTEMP]
    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 376966 bytes
    ->FireFox cache emptied: 865187 bytes
    ->Flash cache emptied: 487 bytes
    User: All Users
    User: DAVIET
    ->Temp folder emptied: 6742520 bytes
    ->Temporary Internet Files folder emptied: 4515609 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 742882 bytes
    ->Google Chrome cache emptied: 38004863 bytes
    ->Flash cache emptied: 8841 bytes
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 376966 bytes
    ->FireFox cache emptied: 865187 bytes
    ->Flash cache emptied: 487 bytes
    User: LocalService
    ->Temp folder emptied: 115168 bytes
    ->Temporary Internet Files folder emptied: 49554 bytes
    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    User: Propriétaire
    User: TEMP
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 3225117 bytes
    %systemroot%\System32 .tmp files removed: 68056640 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 66795 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91317790 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 2342454 bytes
    Total Files Cleaned = 208.00 mb
    [EMPTYFLASH]
    User: Administrateur
    ->Flash cache emptied: 0 bytes
    User: All Users
    User: DAVIET
    ->Flash cache emptied: 0 bytes
    User: Default User
    ->Flash cache emptied: 0 bytes
    User: LocalService
    User: NetworkService
    User: Propriétaire
    User: TEMP
    Total Flash Files Cleaned = 0.00 mb
    OTL by OldTimer - Version 3.2.18.0 log created on 12262010_134655
    Files\Folders moved on Reboot...
    Registry entries deleted on Reboot...

    Voilà le rapport de l'OTL

    All processes killed

    ========== OTL ==========

    HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

    Prefs.js: "127.0.0.1" removed from network.proxy.http

    Prefs.js: 54202 removed from network.proxy.http_port

    Prefs.js: 1 removed from network.proxy.type

    C:\Documents and Settings\DAVIET\Recent folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\xssend2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr folder moved successfully.

    ========== FILES ==========

    C:\WINDOWS\tasks\At1.job moved successfully.

    C:\WINDOWS\tasks\At10.job moved successfully.

    C:\WINDOWS\tasks\At11.job moved successfully.

    C:\WINDOWS\tasks\At12.job moved successfully.

    C:\WINDOWS\tasks\At13.job moved successfully.

    C:\WINDOWS\tasks\At14.job moved successfully.

    C:\WINDOWS\tasks\At15.job moved successfully.

    C:\WINDOWS\tasks\At16.job moved successfully.

    C:\WINDOWS\tasks\At17.job moved successfully.

    C:\WINDOWS\tasks\At18.job moved successfully.

    C:\WINDOWS\tasks\At19.job moved successfully.

    C:\WINDOWS\tasks\At2.job moved successfully.

    C:\WINDOWS\tasks\At20.job moved successfully.

    C:\WINDOWS\tasks\At21.job moved successfully.

    C:\WINDOWS\tasks\At22.job moved successfully.

    C:\WINDOWS\tasks\At23.job moved successfully.

    C:\WINDOWS\tasks\At24.job moved successfully.

    C:\WINDOWS\tasks\At3.job moved successfully.

    C:\WINDOWS\tasks\At4.job moved successfully.

    C:\WINDOWS\tasks\At5.job moved successfully.

    C:\WINDOWS\tasks\At6.job moved successfully.

    C:\WINDOWS\tasks\At7.job moved successfully.

    C:\WINDOWS\tasks\At8.job moved successfully.

    C:\WINDOWS\tasks\At9.job moved successfully.

    ========== REGISTRY ==========

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe deleted successfully.

    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: All Users

    User: DAVIET

    ->Temp folder emptied: 6742520 bytes

    ->Temporary Internet Files folder emptied: 4515609 bytes

    ->Java cache emptied: 0 bytes

    ->FireFox cache emptied: 742882 bytes

    ->Google Chrome cache emptied: 38004863 bytes

    ->Flash cache emptied: 8841 bytes

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: LocalService

    ->Temp folder emptied: 115168 bytes

    ->Temporary Internet Files folder emptied: 49554 bytes

    User: NetworkService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Propriétaire

    User: TEMP

    %systemdrive% .tmp files removed: 0 bytes

    %systemroot% .tmp files removed: 3225117 bytes

    %systemroot%\System32 .tmp files removed: 68056640 bytes

    %systemroot%\System32\dllcache .tmp files removed: 0 bytes

    %systemroot%\System32\drivers .tmp files removed: 0 bytes

    Windows Temp folder emptied: 66795 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91317790 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    RecycleBin emptied: 2342454 bytes

    Total Files Cleaned = 208.00 mb

    [EMPTYFLASH]

    User: Administrateur

    ->Flash cache emptied: 0 bytes

    User: All Users

    User: DAVIET

    ->Flash cache emptied: 0 bytes

    User: Default User

    ->Flash cache emptied: 0 bytes

    User: LocalService

    User: NetworkService

    All processes killed

    ========== OTL ==========

    HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

    Prefs.js: "127.0.0.1" removed from network.proxy.http

    Prefs.js: 54202 removed from network.proxy.http_port

    Prefs.js: 1 removed from network.proxy.type

    C:\Documents and Settings\DAVIET\Recent folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\xssend2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr folder moved successfully.

    ========== FILES ==========

    C:\WINDOWS\tasks\At1.job moved successfully.

    C:\WINDOWS\tasks\At10.job moved successfully.

    C:\WINDOWS\tasks\At11.job moved successfully.

    C:\WINDOWS\tasks\At12.job moved successfully.

    C:\WINDOWS\tasks\At13.job moved successfully.

    C:\WINDOWS\tasks\At14.job moved successfully.

    C:\WINDOWS\tasks\At15.job moved successfully.

    C:\WINDOWS\tasks\At16.job moved successfully.

    C:\WINDOWS\tasks\At17.job moved successfully.

    C:\WINDOWS\tasks\At18.job moved successfully.

    C:\WINDOWS\tasks\At19.job moved successfully.

    C:\WINDOWS\tasks\At2.job moved successfully.

    C:\WINDOWS\tasks\At20.job moved successfully.

    C:\WINDOWS\tasks\At21.job moved successfully.

    C:\WINDOWS\tasks\At22.job moved successfully.

    C:\WINDOWS\tasks\At23.job moved successfully.

    C:\WINDOWS\tasks\At24.job moved successfully.

    C:\WINDOWS\tasks\At3.job moved successfully.

    C:\WINDOWS\tasks\At4.job moved successfully.

    C:\WINDOWS\tasks\At5.job moved successfully.

    C:\WINDOWS\tasks\At6.job moved successfully.

    C:\WINDOWS\tasks\At7.job moved successfully.

    C:\WINDOWS\tasks\At8.job moved successfully.

    C:\WINDOWS\tasks\At9.job moved successfully.

    ========== REGISTRY ==========

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe deleted successfully.

    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: All Users

    User: DAVIET

    ->Temp folder emptied: 6742520 bytes

    ->Temporary Internet Files folder emptied: 4515609 bytes

    ->Java cache emptied: 0 bytes

    ->FireFox cache emptied: 742882 bytes

    ->Google Chrome cache emptied: 38004863 bytes

    ->Flash cache emptied: 8841 bytes

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: LocalService

    ->Temp folder emptied: 115168 bytes

    ->Temporary Internet Files folder emptied: 49554 bytes

    User: NetworkService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Propriétaire

    User: TEMP

    %systemdrive% .tmp files removed: 0 bytes

    %systemroot% .tmp files removed: 3225117 bytes

    %systemroot%\System32 .tmp files removed: 68056640 bytes

    %systemroot%\System32\dllcache .tmp files removed: 0 bytes

    %systemroot%\System32\drivers .tmp files removed: 0 bytes

    Windows Temp folder emptied: 66795 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91317790 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    RecycleBin emptied: 2342454 bytes

    Total Files Cleaned = 208.00 mb

    [EMPTYFLASH]

    User: Administrateur

    ->Flash cache emptied: 0 bytes

    User: All Users

    User: DAVIET

    ->Flash cache emptied: 0 bytes

    User: Default User

    ->Flash cache emptied: 0 bytes

    User: LocalService

    User: NetworkService

    User: Propriétaire

    User: TEMP

    Total Flash Files Cleaned = 0.00 mb

    OTL by OldTimer - Version 3.2.18.0 log created on 12262010_134655

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...

    Vrni
     Posté le 26/12/2010 à 14:37 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Pour le deuxième fichier, vérifie en naviguant dans le disque dur.
    Attention, c'est dans un dossier caché.
    Il te faudra donc les faire apparaitre.

    ------------------------------------------------

    fais un scan en ligne :

    Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm

    poste le rapport.

    A+

    titihewson
     Posté le 26/12/2010 à 16:05 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    J'ai trouvé le fichier opqsa.exe, je l'ai fait analyser par Virus Total, j'ai l'impression qu'il en se passe rien, il n'y a aucun résultat. Est-ce normal ?

    titihewson
     Posté le 26/12/2010 à 16:53 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    J'ai terminé le scan avec Eset, aucune menace n'a été détecté.

    Vrni
     Posté le 26/12/2010 à 17:31 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Le fichier pèse 0 ko.
    je voulais voir si le scan trouvait quelque chose.
    Supprime-le.

    -----------------------------------------------------------

    On termine.

    On va enlever les outils utilisés.

    • Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
    • Vide la quarantaine de Malwarebytes.

    .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

    Mets à jour ton PC et en particulier java et Adobe reader.

    * Télécharge JavaRa de PaulMcLain et Fred De Vries.
    http://javara.fr.malavida.com/mvdwn/5106-windows

    • Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    • Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    • Choisis la langue ( français )

    Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

    - Mise à jour :

    • clique sur Recherche de mise à jour
    • choisis l'option Mettre à jour via jucheck.exe .
    • Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    • Si oui, clique sur Installer puis suis les invites.

    Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun .

    - Suppression des anciennes versions :

    • Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    • Suis les invites.
    • Il te sera précisé de la suppression les versions trouvées et supprimées

    ---------------------------------------------------------------------------------

    Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

    Si tu as des questions sur ces manips , n'hésite pas à les poser.

    ------------------------------------------------------------------------------------

    /!\ prends quelques instants pour lire...

    Projet antimalwares.

    -------------------------------------------------------------------------------------

    Si tu juges que le problème est résolu, note le en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou dans la barre de titre de ton sujet. Merci !

    Bonne continuation à toi.

    Prudence sur Internet.

    Publicité
    titihewson
     Posté le 26/12/2010 à 18:33 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Je te remercie pour ton aide. Tout semble solutionné.

    Page : [1] 
    Page 1 sur 1

    Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

    Vous n'avez pas de compte ? Créez-en un gratuitement !


    Les bons plans du moment PC Astuces

    Tous les Bons Plans
    147,99 €Disque dur externe USB 3.0 Seagate 8 To à 147,99 €
    Valable jusqu'au 30 Mai

    Amazon propose actuellement le disque dur Seagate Expansion Desktop Drive 8 To à 147,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 200 €. Le disque est non soudé et vous pourez le récupérer pour l'utiliser dans un ordinateur, un NAS, etc. Connexion USB 3.0.


    > Voir l'offre
    39,90 €Lot de 3 prises connectées Wi-Fi TP-Link HS100 à 39,90 €
    Valable jusqu'au 30 Mai

    Amazon fait une superbe promotion sur le lot de 3 prises connectées Wi-Fi TP-Link HS100 qui passe à 39,90 € alors qu'on les trouve individuellement autour de 25 €. Ces prises peuvent être contrôlées à distance en utilisant l'app gratuite KASA sur votre smartphone (iOS ou Android). Vous pouvez créer des planifications horaires pour allumer ou éteindre automatiquement et quand vous le souhaitez, les appareils qui y sont branchés. Pour en savoir plus, n'hésitez pas à lire notre dossier pratique Contrôler une prise électrique à distance.


    > Voir l'offre
    179,95 €Ecran 24 pouces ViewSonic XG2405 (FullHD, 144Hz, IPS, 1ms, FreeSync/G-Sync) à 179,95 €
    Valable jusqu'au 30 Mai

    RueDuCommerce fait une promotion l'écran 24 pouces ViewSonic XG2405 qui passe à 179,95 € avec le code FD-VIEWSONIC-10. On le trouve ailleurs autour de 220 €. Le ViewSonic XG2405 est un écran gamer 24 pouces conçu sur la base d'une dalle IPS. Idéal pour les joueurs à la recherche d'un écran efficace, il propose des caractéristiques techniques équilibrées : résolution Full HD, taux de rafraîchissement de 144 Hz, temps de réponse de 1 ms et compatibilité FreeSync / G-Sync. Précision, rapidité et fluidité sont réunis dans cet écran !


    > Voir l'offre

    Sujets relatifs
    Laptop infecté par Security Shield 2012
    infection par security shield
    security shield
    security shield
    PC infecté par Security Shield
    help!desinstaller Security shield manuellement svp
    security shield
    Shield Security
    Security tool, virus ou réel avertissement!!!!?
    Security Alert d'Avorax Shield
    Plus de sujets relatifs à Security Shield Avertissement en permanence
     > Tous les forums > Forum Sécurité