× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Security Shield Avertissement en permanenceSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
titihewson
  Posté le 25/12/2010 @ 11:10 
Aller en bas de la page 
Petit astucien

Bonjour à tous,

depuis hier j'ai un message de Security Shield en permanence qui se vend en tant que Pare-Feu et Anti-Virus. Je n'ai rien demandé et je n'arrive pas à supprimer ce message. J'ai essayé de l'enlever en Mode Sans échec mais rien n'y fait. Est-ce que l'un d'ente-vous à la solution ?

Je vous remercie d'avance pour votre aide.

Publicité
Vrni
 Posté le 25/12/2010 à 12:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Fais les manips suivantes.
cela devrait si cela marche déjà nettoyé l'ordi d'une grande partie de l'infection.

---------------------------------------------------

1/ Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil./!\

  • Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
    ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
  • Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
  • Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un des autres liens ci-dessous et fais une nouvelle tentative d'exécution.

Lien 2 (rkill.com)
Lien 3 (rkill.exe)
Lien 4 (rkill renommé en eXplorer.exe)
Lien 5 (rkill renommé en iExplore.exe)

/!\ Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne continue pas le nettoyage, et préviens moi dans ton prochain message. /!\

2/ Utilise malwarebytes.
Si tu l'as déjà sur le PC, n'oublie pas de le mettre à jour avant de lancer un examen.

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam.php

  • Tu l'installes. Choisis les options par défaut.
  • A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter . Accepte.

  • Après la mise à jour, le logiciel va s'ouvrir.
    • Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
    • Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. Clique sur lancer l'examen.
    • A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    • Si des infections sont trouvées, clique sur Supprimer la sélection.

    Note : Dans certains cas, le logiciel demande de redémarrer l'ordinateur pour supprimer les fichiers. Accepte.

    Tu postes le rapport dans ton prochain message .
    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs . Il y est. Clique dessus et choisir ouvrir.

    A+

    titihewson
     Posté le 26/12/2010 à 12:10 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Merci pour ton aide.

    Je te transmets les résultats du rkill.log :

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 26/12/2010 at 11:26:47.
    Operating System: Microsoft Windows XP


    Processes terminated by Rkill or while it was running:

    C:\Documents and Settings\DAVIET\Application Data\Microsoft\conhost.exe
    C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe
    C:\DOCUME~1\DAVIET\LOCALS~1\APPLIC~1\loytcm.exe


    Rkill completed on 26/12/2010 at 11:26:50.

    Malwarebytes est en train de faire l'analyse du disque dur, je t'envoie les résultats à la fin. Est-ce lié à Security Shield que j'ai été obligé de décocher "Utiliser un serveur proxy pour votre réseau local" pour démarrer internet alors que je n'ai rien changé ?

    titihewson
     Posté le 26/12/2010 à 12:13 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voici le rapport de l'analyse:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5396

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    26/12/2010 12:12:14
    mbam-log-2010-12-26 (12-12-14).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 228348
    Temps écoulé: 29 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 9
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    c:\documents and settings\DAVIET\application data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe (Spyware.Passwords) -> 2216 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{1AA406AB-F581-42AB-B4D1-31D2E13819EF} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\TypeLib\{1145A909-A836-44B8-B03A-48D858B0F43E} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\NetPumper.AddUrl (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{E19B133D-184E-4BBA-8A70-38489C9DD31B} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\NetPumperNNProxy.NetscapeInterface (Trojan.Swizzor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Spyware.Passwords.XGen) -> Value: conhost -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssend (Spyware.Passwords) -> Value: mssend -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe "C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe") Good: (Explorer.exe) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    c:\documents and settings\DAVIET\application data\netpumper (Adware.NetPumper) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\documents and settings\DAVIET\application data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\application data\microsoft\conhost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\application data\xssend2\svcnost.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\local settings\application data\loytcm.exe (Trojan.GBFE) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\local settings\Temp\6254954.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\menu démarrer\programmes\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\4dej4cr8.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\local settings\Temp\0.8105552729245349.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\documents and settings\DAVIET\application data\netpumper\DAVIET.ini (Adware.NetPumper) -> Quarantined and deleted successfully.

    Vrni
     Posté le 26/12/2010 à 12:22 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Depuis plusieurs mois, en effet , ces faux antivirus changent les paramètres de proxy d'un ou des navigateurs.

    Malwarebytes a déjà bien nettoyé le PC.
    As-tu toujours ces avertissements avec le security shield ?

    -------------------------------------------------------------

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

  • Double-clique sur OTL pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
  • Sélectionne l’option tous les utilisateurs.
  • Dans la partie Personnalisation, copie/colle la liste suivante.

  • netsvcs
    Drivers32
    %UserProfile%\Recent\*.* /s
    c:\documents and settings\DAVIET\application data\xssend2\*.* /s
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s

    %appdata%\*.exe /s
    %APPDATA%\*.
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    CREATERESTOREPOINT

  • clique sur le bouton Analyse rapide
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt.
    Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
  • Poste les sur le forum.

    Pour cela, utilise le lien en bas de la page Inserer le rapport .

    A+



    Modifié par Vrni le 26/12/2010 12:24
    titihewson
     Posté le 26/12/2010 à 12:28 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Je n'ai plus de messages de Security Shield, dois-je quand-même lancer l'OTL ?

    Vrni
     Posté le 26/12/2010 à 12:37 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Oui, Il reste encore des traces de cette infection et il faut que je vérifie si il n'y a pas autre chose.

    titihewson
     Posté le 26/12/2010 à 12:42 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : OTL.Txt

    titihewson
     Posté le 26/12/2010 à 12:42 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Fichier joint : Extras.Txt

    Publicité
    titihewson
     Posté le 26/12/2010 à 12:43 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voilà je t'ai transmis les 2 fichiers.

    Merci pour le complément d'enquête.

    {#}

    Vrni
     Posté le 26/12/2010 à 13:16 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    titihewsom,

    Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier
    http://www.virustotal.com/fr/

    • Copier le chemin indiqué ci-dessous et le coller dans la zone à analyser

    Chemin : C:\Documents and Settings\DAVIET\Application Data\960A.1DD

    • Tu cliques ensuite sur envoyer le fichier.
    • Après analyse et affichage des résultats, copie l'adresse de la page des résultats.

    Indique moi le lien dans ta prochaine réponse.

    Même manip avec C:\Documents and Settings\DAVIET\Local Settings\Application Data\opqsa.exe

    -------------------------------------------------

    Relance OTL.

    • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

    :OTL
    IE - HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:54202
    FF - prefs.js..network.proxy.http: "127.0.0.1"
    FF - prefs.js..network.proxy.http_port: 54202
    FF - prefs.js..network.proxy.type: 1
    [2010/12/25 10:58:42 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\DAVIET\Recent
    [2010/12/24 23:57:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DAVIET\Application Data\xssend2
    [2010/12/24 23:56:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2
    [2010/12/24 23:47:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr

    :Files
    C:\WINDOWS\tasks\At??.job

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe"=-
    "C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe"=-

    :Commands
    [EMPTYTEMP]
    [EMPTYFLASH]


    • Puis clique sur le bouton Correction en haut de la fenêtre.
    • Laisse le programme travailler, le PC va redémarrer.


    Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
    Sauvegarde-le sur ton Bureau et poste-le.

    Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles

    Regarde suivant la date : 12262009_xxxxxxxx.log

    A+

    titihewson
     Posté le 26/12/2010 à 13:45 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Voici le 1er rapport de Virus Toltal concernant le 1er fichier:

    <table id="filescan">
    <tr>
    <th>Antivirus</th>
    <th>Version</th>
    <th>Last update</th>
    <th>Result</th>
    </tr>
    <tr>
    <td>AhnLab-V3</td>
    <td>2010.12.26.01</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>AntiVir</td>
    <td>7.11.0.177</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Antiy-AVL</td>
    <td>2.0.3.7</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Avast</td>
    <td>4.8.1351.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Avast5</td>
    <td>5.0.677.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>AVG</td>
    <td>9.0.0.851</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>BitDefender</td>
    <td>7.2</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>CAT-QuickHeal</td>
    <td>11.00</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>ClamAV</td>
    <td>0.96.4.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Command</td>
    <td>5.2.11.5</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Comodo</td>
    <td>7194</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>DrWeb</td>
    <td>5.0.2.03300</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Emsisoft</td>
    <td>5.1.0.1</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>eSafe</td>
    <td>7.0.17.0</td>
    <td>2010.12.22</td>
    <td>-</td>
    </tr>
    <tr>
    <td>eTrust-Vet</td>
    <td>36.1.8060</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>F-Prot</td>
    <td>4.6.2.117</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>F-Secure</td>
    <td>9.0.16160.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Fortinet</td>
    <td>4.2.254.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>GData</td>
    <td>21</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Ikarus</td>
    <td>T3.1.1.90.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Jiangmin</td>
    <td>13.0.900</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>K7AntiVirus</td>
    <td>9.74.3335</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Kaspersky</td>
    <td>7.0.0.125</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>McAfee</td>
    <td>5.400.0.1158</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>McAfee-GW-Edition</td>
    <td>2010.1C</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Microsoft</td>
    <td>1.6402</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>NOD32</td>
    <td>5733</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Norman</td>
    <td>6.06.12</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>nProtect</td>
    <td>2010-12-26.01</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Panda</td>
    <td>10.0.2.7</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>PCTools</td>
    <td>7.0.3.5</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Prevx</td>
    <td>3.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Rising</td>
    <td>22.79.05.01</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Sophos</td>
    <td>4.60.0</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>SUPERAntiSpyware</td>
    <td>4.40.0.1006</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>Symantec</td>
    <td>20101.3.0.103</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>TheHacker</td>
    <td>6.7.0.1.105</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <tr>
    <td>TrendMicro</td>
    <td>9.120.0.1004</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>TrendMicro-HouseCall</td>
    <td>9.120.0.1004</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>VBA32</td>
    <td>3.12.14.2</td>
    <td>2010.12.24</td>
    <td>-</td>
    </tr>
    <tr>
    <td>VIPRE</td>
    <td>7830</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>ViRobot</td>
    <td>2010.12.25.4220</td>
    <td>2010.12.26</td>
    <td>-</td>
    </tr>
    <tr>
    <td>VirusBuster</td>
    <td>13.6.112.0</td>
    <td>2010.12.25</td>
    <td>-</td>
    </tr>
    <table>

    <table id="fileinfo">
    <tr>
    <th>Additional information</th>
    </tr>
    <tr>
    <td><strong>MD5:</strong> ad39eff5fdbe04faa729cec0b276068b</td>
    </tr>
    <tr>
    <td><strong>SHA1:</strong> 41439d727f6bb9ec986b32e268e598f35b4fe61d</td>
    </tr>
    <tr>
    <td><strong>SHA256:</strong> 5a8b7d30806a844b249d0444ad4c4e14323082d88c5d270978e142ac676d458d</td>
    </tr>
    <tr>
    <td><strong>File size:</strong> 9835 bytes</td>
    </tr>
    <tr>
    <td><strong>Scan date:</strong> 2010-12-26 12:38:49 (UTC)</td>
    </tr>
    </table>

    Par contre je ne trouve pas le 2ème.

    titihewson
     Posté le 26/12/2010 à 13:52 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    All processes killed
    ========== OTL ==========
    HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
    Prefs.js: "127.0.0.1" removed from network.proxy.http
    Prefs.js: 54202 removed from network.proxy.http_port
    Prefs.js: 1 removed from network.proxy.type
    C:\Documents and Settings\DAVIET\Recent folder moved successfully.
    C:\Documents and Settings\DAVIET\Application Data\xssend2 folder moved successfully.
    C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2 folder moved successfully.
    C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr folder moved successfully.
    ========== FILES ==========
    C:\WINDOWS\tasks\At1.job moved successfully.
    C:\WINDOWS\tasks\At10.job moved successfully.
    C:\WINDOWS\tasks\At11.job moved successfully.
    C:\WINDOWS\tasks\At12.job moved successfully.
    C:\WINDOWS\tasks\At13.job moved successfully.
    C:\WINDOWS\tasks\At14.job moved successfully.
    C:\WINDOWS\tasks\At15.job moved successfully.
    C:\WINDOWS\tasks\At16.job moved successfully.
    C:\WINDOWS\tasks\At17.job moved successfully.
    C:\WINDOWS\tasks\At18.job moved successfully.
    C:\WINDOWS\tasks\At19.job moved successfully.
    C:\WINDOWS\tasks\At2.job moved successfully.
    C:\WINDOWS\tasks\At20.job moved successfully.
    C:\WINDOWS\tasks\At21.job moved successfully.
    C:\WINDOWS\tasks\At22.job moved successfully.
    C:\WINDOWS\tasks\At23.job moved successfully.
    C:\WINDOWS\tasks\At24.job moved successfully.
    C:\WINDOWS\tasks\At3.job moved successfully.
    C:\WINDOWS\tasks\At4.job moved successfully.
    C:\WINDOWS\tasks\At5.job moved successfully.
    C:\WINDOWS\tasks\At6.job moved successfully.
    C:\WINDOWS\tasks\At7.job moved successfully.
    C:\WINDOWS\tasks\At8.job moved successfully.
    C:\WINDOWS\tasks\At9.job moved successfully.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe deleted successfully.
    ========== COMMANDS ==========
    [EMPTYTEMP]
    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 376966 bytes
    ->FireFox cache emptied: 865187 bytes
    ->Flash cache emptied: 487 bytes
    User: All Users
    User: DAVIET
    ->Temp folder emptied: 6742520 bytes
    ->Temporary Internet Files folder emptied: 4515609 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 742882 bytes
    ->Google Chrome cache emptied: 38004863 bytes
    ->Flash cache emptied: 8841 bytes
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 376966 bytes
    ->FireFox cache emptied: 865187 bytes
    ->Flash cache emptied: 487 bytes
    User: LocalService
    ->Temp folder emptied: 115168 bytes
    ->Temporary Internet Files folder emptied: 49554 bytes
    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    User: Propriétaire
    User: TEMP
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 3225117 bytes
    %systemroot%\System32 .tmp files removed: 68056640 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 66795 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91317790 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 2342454 bytes
    Total Files Cleaned = 208.00 mb
    [EMPTYFLASH]
    User: Administrateur
    ->Flash cache emptied: 0 bytes
    User: All Users
    User: DAVIET
    ->Flash cache emptied: 0 bytes
    User: Default User
    ->Flash cache emptied: 0 bytes
    User: LocalService
    User: NetworkService
    User: Propriétaire
    User: TEMP
    Total Flash Files Cleaned = 0.00 mb
    OTL by OldTimer - Version 3.2.18.0 log created on 12262010_134655
    Files\Folders moved on Reboot...
    Registry entries deleted on Reboot...

    Voilà le rapport de l'OTL

    All processes killed

    ========== OTL ==========

    HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

    Prefs.js: "127.0.0.1" removed from network.proxy.http

    Prefs.js: 54202 removed from network.proxy.http_port

    Prefs.js: 1 removed from network.proxy.type

    C:\Documents and Settings\DAVIET\Recent folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\xssend2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr folder moved successfully.

    ========== FILES ==========

    C:\WINDOWS\tasks\At1.job moved successfully.

    C:\WINDOWS\tasks\At10.job moved successfully.

    C:\WINDOWS\tasks\At11.job moved successfully.

    C:\WINDOWS\tasks\At12.job moved successfully.

    C:\WINDOWS\tasks\At13.job moved successfully.

    C:\WINDOWS\tasks\At14.job moved successfully.

    C:\WINDOWS\tasks\At15.job moved successfully.

    C:\WINDOWS\tasks\At16.job moved successfully.

    C:\WINDOWS\tasks\At17.job moved successfully.

    C:\WINDOWS\tasks\At18.job moved successfully.

    C:\WINDOWS\tasks\At19.job moved successfully.

    C:\WINDOWS\tasks\At2.job moved successfully.

    C:\WINDOWS\tasks\At20.job moved successfully.

    C:\WINDOWS\tasks\At21.job moved successfully.

    C:\WINDOWS\tasks\At22.job moved successfully.

    C:\WINDOWS\tasks\At23.job moved successfully.

    C:\WINDOWS\tasks\At24.job moved successfully.

    C:\WINDOWS\tasks\At3.job moved successfully.

    C:\WINDOWS\tasks\At4.job moved successfully.

    C:\WINDOWS\tasks\At5.job moved successfully.

    C:\WINDOWS\tasks\At6.job moved successfully.

    C:\WINDOWS\tasks\At7.job moved successfully.

    C:\WINDOWS\tasks\At8.job moved successfully.

    C:\WINDOWS\tasks\At9.job moved successfully.

    ========== REGISTRY ==========

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe deleted successfully.

    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: All Users

    User: DAVIET

    ->Temp folder emptied: 6742520 bytes

    ->Temporary Internet Files folder emptied: 4515609 bytes

    ->Java cache emptied: 0 bytes

    ->FireFox cache emptied: 742882 bytes

    ->Google Chrome cache emptied: 38004863 bytes

    ->Flash cache emptied: 8841 bytes

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: LocalService

    ->Temp folder emptied: 115168 bytes

    ->Temporary Internet Files folder emptied: 49554 bytes

    User: NetworkService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Propriétaire

    User: TEMP

    %systemdrive% .tmp files removed: 0 bytes

    %systemroot% .tmp files removed: 3225117 bytes

    %systemroot%\System32 .tmp files removed: 68056640 bytes

    %systemroot%\System32\dllcache .tmp files removed: 0 bytes

    %systemroot%\System32\drivers .tmp files removed: 0 bytes

    Windows Temp folder emptied: 66795 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91317790 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    RecycleBin emptied: 2342454 bytes

    Total Files Cleaned = 208.00 mb

    [EMPTYFLASH]

    User: Administrateur

    ->Flash cache emptied: 0 bytes

    User: All Users

    User: DAVIET

    ->Flash cache emptied: 0 bytes

    User: Default User

    ->Flash cache emptied: 0 bytes

    User: LocalService

    User: NetworkService

    All processes killed

    ========== OTL ==========

    HKU\S-1-5-21-1791241034-632060278-4033540513-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

    Prefs.js: "127.0.0.1" removed from network.proxy.http

    Prefs.js: 54202 removed from network.proxy.http_port

    Prefs.js: 1 removed from network.proxy.type

    C:\Documents and Settings\DAVIET\Recent folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\xssend2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2 folder moved successfully.

    C:\Documents and Settings\DAVIET\Application Data\wxnmkwouwr folder moved successfully.

    ========== FILES ==========

    C:\WINDOWS\tasks\At1.job moved successfully.

    C:\WINDOWS\tasks\At10.job moved successfully.

    C:\WINDOWS\tasks\At11.job moved successfully.

    C:\WINDOWS\tasks\At12.job moved successfully.

    C:\WINDOWS\tasks\At13.job moved successfully.

    C:\WINDOWS\tasks\At14.job moved successfully.

    C:\WINDOWS\tasks\At15.job moved successfully.

    C:\WINDOWS\tasks\At16.job moved successfully.

    C:\WINDOWS\tasks\At17.job moved successfully.

    C:\WINDOWS\tasks\At18.job moved successfully.

    C:\WINDOWS\tasks\At19.job moved successfully.

    C:\WINDOWS\tasks\At2.job moved successfully.

    C:\WINDOWS\tasks\At20.job moved successfully.

    C:\WINDOWS\tasks\At21.job moved successfully.

    C:\WINDOWS\tasks\At22.job moved successfully.

    C:\WINDOWS\tasks\At23.job moved successfully.

    C:\WINDOWS\tasks\At24.job moved successfully.

    C:\WINDOWS\tasks\At3.job moved successfully.

    C:\WINDOWS\tasks\At4.job moved successfully.

    C:\WINDOWS\tasks\At5.job moved successfully.

    C:\WINDOWS\tasks\At6.job moved successfully.

    C:\WINDOWS\tasks\At7.job moved successfully.

    C:\WINDOWS\tasks\At8.job moved successfully.

    C:\WINDOWS\tasks\At9.job moved successfully.

    ========== REGISTRY ==========

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\xssend2\svcnost.exe deleted successfully.

    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\DAVIET\Application Data\epbgrrwn22vnsjpml1lqiwhrxdtip1l2\csrss.exe deleted successfully.

    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: All Users

    User: DAVIET

    ->Temp folder emptied: 6742520 bytes

    ->Temporary Internet Files folder emptied: 4515609 bytes

    ->Java cache emptied: 0 bytes

    ->FireFox cache emptied: 742882 bytes

    ->Google Chrome cache emptied: 38004863 bytes

    ->Flash cache emptied: 8841 bytes

    User: Default User

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 376966 bytes

    ->FireFox cache emptied: 865187 bytes

    ->Flash cache emptied: 487 bytes

    User: LocalService

    ->Temp folder emptied: 115168 bytes

    ->Temporary Internet Files folder emptied: 49554 bytes

    User: NetworkService

    ->Temp folder emptied: 0 bytes

    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Propriétaire

    User: TEMP

    %systemdrive% .tmp files removed: 0 bytes

    %systemroot% .tmp files removed: 3225117 bytes

    %systemroot%\System32 .tmp files removed: 68056640 bytes

    %systemroot%\System32\dllcache .tmp files removed: 0 bytes

    %systemroot%\System32\drivers .tmp files removed: 0 bytes

    Windows Temp folder emptied: 66795 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91317790 bytes

    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    RecycleBin emptied: 2342454 bytes

    Total Files Cleaned = 208.00 mb

    [EMPTYFLASH]

    User: Administrateur

    ->Flash cache emptied: 0 bytes

    User: All Users

    User: DAVIET

    ->Flash cache emptied: 0 bytes

    User: Default User

    ->Flash cache emptied: 0 bytes

    User: LocalService

    User: NetworkService

    User: Propriétaire

    User: TEMP

    Total Flash Files Cleaned = 0.00 mb

    OTL by OldTimer - Version 3.2.18.0 log created on 12262010_134655

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...

    Vrni
     Posté le 26/12/2010 à 14:37 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Pour le deuxième fichier, vérifie en naviguant dans le disque dur.
    Attention, c'est dans un dossier caché.
    Il te faudra donc les faire apparaitre.

    ------------------------------------------------

    fais un scan en ligne :

    Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm

    poste le rapport.

    A+

    titihewson
     Posté le 26/12/2010 à 16:05 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    J'ai trouvé le fichier opqsa.exe, je l'ai fait analyser par Virus Total, j'ai l'impression qu'il en se passe rien, il n'y a aucun résultat. Est-ce normal ?

    titihewson
     Posté le 26/12/2010 à 16:53 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    J'ai terminé le scan avec Eset, aucune menace n'a été détecté.

    Vrni
     Posté le 26/12/2010 à 17:31 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Astucien

    Re,

    Le fichier pèse 0 ko.
    je voulais voir si le scan trouvait quelque chose.
    Supprime-le.

    -----------------------------------------------------------

    On termine.

    On va enlever les outils utilisés.

    • Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer l'outil et sa quarantaine.
    • Vide la quarantaine de Malwarebytes.

    .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

    Mets à jour ton PC et en particulier java et Adobe reader.

    * Télécharge JavaRa de PaulMcLain et Fred De Vries.
    http://javara.fr.malavida.com/mvdwn/5106-windows

    • Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    • Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    • Choisis la langue ( français )

    Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

    - Mise à jour :

    • clique sur Recherche de mise à jour
    • choisis l'option Mettre à jour via jucheck.exe .
    • Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    • Si oui, clique sur Installer puis suis les invites.

    Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun .

    - Suppression des anciennes versions :

    • Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    • Suis les invites.
    • Il te sera précisé de la suppression les versions trouvées et supprimées

    ---------------------------------------------------------------------------------

    Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

    Si tu as des questions sur ces manips , n'hésite pas à les poser.

    ------------------------------------------------------------------------------------

    /!\ prends quelques instants pour lire...

    Projet antimalwares.

    -------------------------------------------------------------------------------------

    Si tu juges que le problème est résolu, note le en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou dans la barre de titre de ton sujet. Merci !

    Bonne continuation à toi.

    Prudence sur Internet.

    Publicité
    titihewson
     Posté le 26/12/2010 à 18:33 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Petit astucien

    Je te remercie pour ton aide. Tout semble solutionné.

    Page : [1] 
    Page 1 sur 1

    Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

    Vous n'avez pas de compte ? Créez-en un gratuitement !


    Les bons plans du moment PC Astuces

    Tous les Bons Plans
    305,27 €TV 43 pouces Xiaomi Mi Smart TV 4S (UHD 4K, Triple Tuner, Android TV 9) à 305,27 € livrée
    Valable jusqu'au 01 Juin

    Amazon Allemagne fait une promotion sur la TV 43 pouces Xiaomi Mi Smart TV 4S qui passe à 286,33 € (avec la TVA ajustée). Comptez 18,94 € pour la livraison en France soit un total de 305,27 € livrée. Cette TV de 43 pouces (108 cm) dispose d'une dalle 4K UHD (3840x2160) à bords plats, d'un triple tuner HD pour DVB-S2, DVB-C et DVB-T2 avec HEVC. Le tout tourne sous Android TV 9.0 en français et vous aurez donc accès à Netflix, Amazon Prime Video, YouTube, etc. La TV possède 3 ports HDMI, 3 ports USB, un port Ethernet RJ45, le WiFi, une sortie optique et casque et un emplacement CI+. Une très bonne affaire.

    Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


    > Voir l'offre
    89,99 €Disque dur externe portable Seagate Expansion 4 To USB 3.0 à 89,99 €
    Valable jusqu'au 01 Juin

    Boulanger fait une promotion sur le disque dur externe portable Seagate Expansion d'une capacité de 4 To à 89,99 € alors qu'on le trouve ailleurs à partir de 120 €. Ce disque dur externe portable au format 2,5 pouces dispose d'une interface USB 3.0 compatible USB 2.0. Une excellente affaire pour ce disque dur qui offre des débits de 115 Mo/s. Il n'est pas soudé et est donc démontable si vous souhaitez le réutiliser ailleurs (console, NAS, PC).


    > Voir l'offre
    33,82 €Clé USB 3.1 SanDisk Extreme Pro 128 Go (420 Mo/s) à 33,82 € livrée
    Valable jusqu'au 31 Mai

    Amazon Allemagne fait une promotion sur la clé USB 3.1 Sandisk Extreme Pro 128 Go qui passe à 29,24 €. Comptez 4,58 € pour la livraison en France soit un total de 33,82 € livrée alors qu'on la trouve ailleurs à partir de 55 €. Cette clé USB 3.1 (compatible usb 3.0) est extrèmement rapide puisqu'elle offre des débits jusqu'à 420 Mo/s en lecture et 380 Mo/s en écriture. Pratique, son connecteur rétractable vous évitera d'avoir à manipuler (et perdre ?) un bouchon. 

    Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


    > Voir l'offre

    Sujets relatifs
    Laptop infecté par Security Shield 2012
    infection par security shield
    security shield
    security shield
    PC infecté par Security Shield
    help!desinstaller Security shield manuellement svp
    security shield
    Shield Security
    Security tool, virus ou réel avertissement!!!!?
    Security Alert d'Avorax Shield
    Plus de sujets relatifs à Security Shield Avertissement en permanence
     > Tous les forums > Forum Sécurité