VIRUS GRAVE

[PETRAWOMEN]

Bonjour. J'ai alumé mon ordinateur ce matin, et un logiciel est aparu soudainement : My security shield. Je pensais que tt les virus qu'il mafiché etait venu d'un site ou javais surfer. Ayant fait des recherches sur ce logiciel, j'ai appris que c'etait une anarnaque. Maintenant je voudrais suprimer ce logiciel qui apparament est un enorme spam! J'ai esseyer de le faire avec l'aide des forum, mais cela ne marche pas.J'avais telecharger spyware doctor afin de faire le scan et suprimer, hors cela ne marche pas, il ne se lance pas! Pouvais vous m'aidez a virer cette connerie de mon PC et trouver une autre solution!???? merciiiii beaucoup

 

[RESOLU]

Modifié le 12 septembre 2010 par PETRAWOMEN

[Apollo]

Bonjour,

 

Si, pour virer une grosse mémerde tu télécharges une autre mémerde comme spyware doctor, tu ne t'en sortiras jamais.

Il vaut mieux demander directement à un conseiller digne de ce nom; ne prends jamais exemple sur une procédure donnée à un autre utilisateur car chacune d'entre-elles est personnalisée.

 

Désinstalle déjà Spyware Doctor, c'est une merdouille!

 

Fais ce qui suit stp: (dans l'ordre):

 

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi-même pour parachever le nettoyage.

 

---------------------------------

Après le reboot de la machine:

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

---------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes' Anti-Malware Free Download and Reviews - Fileforum

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

------------------------------------

Fais plusieurs posts pour ne pas surcharger ta réponse, ce qui pourrait bloquer le topic

Tu peux aussi héberger sur ci-joint les deux rapports de RSIT qui sont très longs et me donner les liens afin que je puisse les consulter.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Tu peux héberger les deux rapports de RSIT ici: http://www.cijoint.fr/ et me donner les liens pour que je puisse les consulter.

 

@++

Modifié le 8 septembre 2010 par Apollo

[styx]

Hello Mister Apollo,

 

Virus Grave - Sécurité

 

Sa venue sur Zeb est antérieure à celle sur 01.net

 

A toi l' honneur ...

Modifié le 8 septembre 2010 par styx

[Apollo]

Salut et merci styx.

 

Ils sont incorrigibles

 

@++

[PETRAWOMEN]

Bonjour appolo!

 

J'ai posté mon blem sur deux forum pour pouvoir avoir une reponse au plus vite.

On m'aide deja sur O1net. Merci beaucoup de ton aide et désolé encore du derangement j'aurai du signaler qu'on m'aider deja !

 

A bientot :o

[PETRAWOMEN]

Mdr et je comprends pas, la personne qui m'aide sur 01net ma dit de venir ici! Je fait quoi je termine avec cette personne ou je prend le relais with you? je fais ce que vous m'avez demandé de faire?

[Apollo]

Bonjour,

 

Il est normal que le conseiller te dise de revenir ici puisque tu as d'abord demandé de l'aide sur ce forum.

Il ne faut jamais poster sur plusieurs forums pour un seul et même sujet; cela monopolise deux helpers ou plus et on n'a pas forcément la même approche, même si notre but est le même en fin de compte: désinfecter.

 

Vu que tu as été dans l'impossibilité de faire les mises à jour de MalwaresBytes, il va falloir que tu le désinstalles et réinstalles juste après avoir passé l'outil RKILL. (MBAM non à jour est inefficace).

 

Reprends donc la totalité de ma procédure, dans l'ordre stp.

 

On fera un nouveau RSIT après la nouvelle analyse MBAM.

 

@++

[PETRAWOMEN]

Bonjour

 

A dacodac j'ai compris!Je ne le savais point!!!! Ben je fais votre démarche et je vous poste les rapports! A desuite!

[PETRAWOMEN]

Voici le premier rapport "rkill":

 

 

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as imen on 09/09/2010 at 21:31:52.

 

 

Services Stopped:

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Users\imen\AppData\Local\Clavier+\Clavier.exe

C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\imen\Downloads\rkill.scr

 

 

Rkill completed on 09/09/2010 at 21:31:57.

[PETRAWOMEN]

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4584

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18943

 

10/09/2010 07:29:26

mbam-log-2010-09-10 (07-29-26).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 369682

Temps écoulé: 2 heure(s), 42 minute(s), 16 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 5

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mrt.exe (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe (Security.Hijack) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Backdoor.IRCBot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\firevall administrating (Trojan.Backdoor) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Backdoor.IRCBot) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=302&q={searchTerms}'>http://findgala.com/?&uid=302&q={searchTerms}'>http://findgala.com/?&uid=302&q={searchTerms}'>http://findgala.com/?&uid=302&q={searchTerms}'>http://findgala.com/?&uid=302&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}'>http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}'>http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}'>http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}'>http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=302&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=302&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=302&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=302&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Users\imen\AppData\Roaming\My Security Shield (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Users\imen\AppData\Roaming\My Security Shield\cookies.sqlite (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

C:\Users\imen\AppData\Roaming\My Security Shield\Instructions.ini (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

C:\Users\imen\Desktop\My Security Shield.lnk (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

C:\Users\imen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\My Security Shield.lnk (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

C:\Users\imen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\My Security Shield.lnk (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

C:\Users\imen\AppData\Roaming\Microsoft\Windows\Start Menu\My Security Shield.lnk (Rogue.MySecurityShield) -> Quarantined and deleted successfully.