pb avec security shield

[mrtatou]

Voila un ami m'a confier son pc car il a installé security shield sur son pc équipé de Vista.

Du coup j'ai passé un coup de cleaner, de roguekiller, de rkill et de ad-r. Apparemment security shield s'est bien désinstallé mais il reste deux problèmes : impossible d'activer le pare-feu et impossible de me connecter au net.

De plus je n'arrive pas à effectuer un scan avec MBAM jusqu'au bout : le programme fini par planter lorsqu'il arrive sur nero... Et puis impossible de mettre à jour la base de MBAM car pas de connexion...

Si vous aviez des idées, je suis preneur car je sèche!

Voici un log ZHPDiag :

log ZHPDiag

Modifié le 24 mai 2011 par mrtatou

[mrtatou]

Bon, du coup je me suis servi de adware mais je ne suis pas sur qu'il soit aussi efficace que mbam

[pear]

Bonjour,

 

Il y a 2 antivirus sur cette machine.

Il n'en faut qu'un, obligatoirement.

Ce programme, gratuit, est censé supprimer les applications antivirus et antispyware.

Applications supportées

 

Release 2.0 for Windows 2000, 2003, XP (32 / 64 bit), Vista (32 / 64 bit), 2008, Windows 7 (32 / 64 bit)

 

TéléchargerAppremover

 

Téléchargez l'outil de désinstallation Norton pour votre version de Windows.

Suivez les instructions à l’écran.

L'ordinateur pourra être redémarré plusieurs fois et vous serez peut-être invité à répéter certaines étapes après le redémarrage.

Supprimez sur votre machine tout fichier Symantec et Norton(dans Program files et Program files\Fichiers communs)

 

mais , magré cela , il reste probablement des traces dans le régistre:

Rechercher et supprimer toutes les occurences Norton et Symantec

 

ou utiliser cet outil:

Desinstaller Nortonl

 

 

 

 

Essayer d'abord une Restauration à une date antérieure au problème.

 

Sinon, tentez un Démarrage du pc en mode sans échec avec option réseau

 

Dans le gestionnaire de Tâches(Ctrl Alt Supp), rechercher et supprime ll'un de ces processus, pour tuer (My Security Shield) :

MS345d_2129.exe

kernel32.exe

DBOLE.exe

SearchSettingsProtection.exe

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le prgramme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux tués

Copier/Coller son contenu dans la réponse

Si une clé de régistre vous est signalée infectée ou un proxy à désinstaller

Nettoyage du registre ou suppression d'un proxy Passer en Mode 2

 

Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine

 

Désinstallez Mbam, s'il est installé

 

Téléchargez MBAM sur le bureau

Renommez le Mabam.pif

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

lancez Mabam.pif vers le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[mrtatou]

ok merci de votre aide, c'est tres sympa!

Bon j'ai bien désinstaller norton, fais une restauration systeme et redésinstaller norton au complet. J'ai exécuté rogue killer et je viens d'installer MBAM, la mise à jour fonctionne, j'ai donc recuperé ma connexion internet.

Par contre, nouveu pb: au demarrage le pc me met un message d'erreur car il essaye de lancer registrybooster et je ne peux pas le désinstaller dans les programmes car j'ai un message d'erreur, de plus le pare feu windows semble ne vouloir toujours pas se lancer...

Là j'attends la fin du scan de MBAM. Voici le log de Roguekiller:

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: sylvain [Droits d'admin]

Mode: Recherche -- Date : 25/05/2011 14:34:51

 

Processus malicieux: 1

[sUSP PATH] lsnfier.exe -- c:\users\sylvain\appdata\roaming\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED

 

Entrees de registre: 1

[sUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\sylvain\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> FOUND

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

 

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

[mrtatou]

Donc, comme avant le pc plante pendant l'éxecution de MBAM sur un fichier de nero, c'est à dire que je ne peux plus rien faire, puis j'ai un écran noir...

A noté que MBAM m'a trouvé 48 objets malicieux avant de planter...

J'ai redemarrer et relancer MBAM et je l'ai arreté avant qu'il plante, voila ce qu'il m'a trouvé:

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6673

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

 

25/05/2011 15:00:35

mbam-log-2011-05-25 (15-00-35).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 63721

Temps écoulé: 6 minute(s), 27 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 38

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{F244A744-534D-4A46-855F-C0C7E9F27DAA} (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{030C9927-10FC-4169-97A2-55BECD5D88D8} (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.SmartShopper) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{3E2DFD6A-4E20-4D4C-AA8B-E1F9DBEF3C80} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.IEButton.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.IEButton (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{4D1EC4CA-4B92-4324-B8F8-C9A6ED06A8AE} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{6F098504-CDB1-420F-A2E6-DDC0B835FEDF} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\HBLiteAX.Info.1 (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\HBLiteAX.Info (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{4D1EC4CA-4B92-4324-B8F8-C9A6ED06A8AE} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{4E674574-3F0B-491d-8AE3-F90B43A34FD6} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\HBLiteAX.UserProfiles.1 (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\HBLiteAX.UserProfiles (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{4E674574-3F0B-491D-8AE3-F90B43A34FD6} (Adware.Hotbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{714E0876-FCEE-49CE-A429-B9AD8AEFCB56} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{DD15BCC0-5FE9-4690-A957-99FA60ED9D26} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.HbAx.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ShoppingReport2.HbAx (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\program files\shoppingreport2\Bin\2.7.34\shoppingreport.dll (Adware.SmartShopper) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\hblitesaax.dll (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\ad-remover\quarantine\C\program files\shoppingreport2\uninst.exe.vir (Adware.ShoppingReports2) -> Quarantined and deleted successfully.

Modifié le 25 mai 2011 par mrtatou

[mrtatou]

un deuxieme log de MBAM lancé en mode "examen rapide":

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6673

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

 

25/05/2011 15:16:14

mbam-log-2011-05-25 (15-16-14).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 168670

Temps écoulé: 4 minute(s), 24 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 9

Fichier(s) infecté(s): 8

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\hblitesa (Adware.HotBar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\HBLite (Adware.HotBar) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HBLiteSA (Adware.HotBar) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.Hotbar) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\HBLite@HBLite.com (Adware.HotBar) -> Value: HBLite@HBLite.com -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

c:\program files\HBLite (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0 (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\firefox (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\firefox\extensions (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\firefox\extensions\plugins (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\shoppingreport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

c:\program files\shoppingreport2\Bin (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

c:\program files\shoppingreport2\Bin\2.7.34 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

c:\Users\sylvain\AppData\Local\Temp\sai311B.exe (Adware.ScanQuery) -> Quarantined and deleted successfully.

c:\Users\Aude\local settings\temporary internet files\Content.IE5\XHNAEAUS\image[1].exe (Worm.Bot.Gen) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\HBLiteSA.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\hblitesahook.dll (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\hbliteuninstaller.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\launchhelp.dll (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\HBLite\bin\11.0.363.0\firefox\extensions\plugins\npclntax_hblitesa.dll (Adware.Hotbar) -> Quarantined and deleted successfully.

c:\program files\shoppingreport2\Uninst.exe (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

[mrtatou]

Apres suppression de nero, MBAM accepte de se lancer jusqu'au bout, voici donc le log :

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6673

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

 

25/05/2011 17:01:43

mbam-log-2011-05-25 (17-01-43).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 336949

Temps écoulé: 1 heure(s), 9 minute(s), 22 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Qoobox\quarantine\C\Users\sylvain\AppData\Local\njhuqzfcno.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

[pear]

il essaye de lancer registrybooster

 

C'est à désinstaller.

 

Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->

Copier/coller:

"%userprofile%\Bureau\ComboFix.exe" /uninstall

En cas d'échec:

Renommer ComboFix.exe qui est sur votre bureau -> Uninstall.exe et double cliquez dessus.

Supprimez C:\qoobox si vous le trouvez

[mrtatou]

ok c'est fait.

Pensez vous que mon pc soit désinfecté à présent.

Pour info mon pare feu ne veut toujours pas s'activer...

Modifié le 26 mai 2011 par mrtatou

[mrtatou]

Ou alors j'installe un autre pare-feu?