Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Security Sphere


loukebin
 Share

Messages recommandés

Bonsoir à tous,

 

C'est la première fois que je fais ce genre de démarche et j'espère procéder correctement.

Voilà ce soir un message comme quoi j’avais 38 virus est apparu sur mon écran d'un anti virus que je ne connaissais pas et que personne n'avait téléchargé . Il s'agit de sécurity sphère j'ai essayé de faire avast mais il plante à chaque fois. Mon fils ( 13 ans ) a télécharger sur un autre ordinateur ZHPdiag2.exe , il l' a installé sur le bureau mais il n'arrive pas à l'ouvrir. L'écran reste continuellement bleu et il plante régulièrement. je ne sais plus quoi faire..;mes connaissances en informatique sont minimes .

Merci

Modifié par loukebin
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

C'est un rogue (faux antimachin et vraie arnaque).

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

 

Si les raccourcis ont disparu, relance l'outil en mode 6.

Poste le rapport RKreport[2].txt.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

merci d'avoir répondu aussi rapidement.

je vous joins le rapport: et je guette vos conseils

Merci encore

 

 

RogueKiller V6.1.12 [02/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/38)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Fred [Droits d'admin]

Mode: Recherche -- Date : 08/12/2011 22:26:27

 

¤¤¤ Processus malicieux: 4 ¤¤¤

[WINDOW : Security Sphere 2012] pD21712GpKjL21712.exe -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe -> KILLED [TermProc]

[WINDOW : Security Sphere 2012] pD21712GpKjL21712.exe -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe -> KILLED [TermProc]

[WINDOW : Security Sphere 2012] pD21712GpKjL21712.exe -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe -> KILLED [TermProc]

[WINDOW : Security Sphere 2012] pD21712GpKjL21712.exe -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 13 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : ms18_word (C:\Documents and Settings\Fred.XPSP2-7F13963DD\ms18_word.exe) -> FOUND

[sUSP PATH] HKCU\[...]\Run : pD21712GpKjL21712 (C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Run : zzz_ImInstaller_IncrediMail ("C:\Documents and Settings\Fred.XPSP2-7F13963DD\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe" -startup -product IncrediMail ) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-1177238915-1450960922-839522115-1003[...]\Run : ms18_word (C:\Documents and Settings\Fred.XPSP2-7F13963DD\ms18_word.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-1177238915-1450960922-839522115-1003[...]\Run : pD21712GpKjL21712 (C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe) -> FOUND

[sUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe) -> FOUND

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1177238915-1450960922-839522115-1003UA.job : C:\Documents and Settings\Fred.XPSP2-7F13963DD\Local -> FOUND

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1177238915-1450960922-839522115-1003Core1cc9657ae51b214.job : C:\Documents and Settings\Fred.XPSP2-7F13963DD\Local -> FOUND

[sUSP PATH] Dropbox.lnk : C:\Documents and Settings\Fred.XPSP2-7F13963DD\Application Data\Dropbox\bin\Dropbox.exe -> FOUND

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

 

Mercii

Lien vers le commentaire
Partager sur d’autres sites

ok le voici

 

 

RogueKiller V6.1.12 [02/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/38)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Fred [Droits d'admin]

Mode: Suppression -- Date : 08/12/2011 22:37:21

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 11 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : ms18_word (C:\Documents and Settings\Fred.XPSP2-7F13963DD\ms18_word.exe) -> DELETED

[PREVRUN] HKCU\[...]\Run : pD21712GpKjL21712 (C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe) -> DELETED

[sUSP PATH] HKLM\[...]\Run : zzz_ImInstaller_IncrediMail ("C:\Documents and Settings\Fred.XPSP2-7F13963DD\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe" -startup -product IncrediMail ) -> DELETED

[sUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users.WINDOWS\Application Data\pD21712GpKjL21712\pD21712GpKjL21712.exe) -> REPLACED (Explorer.exe)

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1177238915-1450960922-839522115-1003UA.job : C:\Documents and Settings\Fred.XPSP2-7F13963DD\Local -> DELETED

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1177238915-1450960922-839522115-1003Core1cc9657ae51b214.job : C:\Documents and Settings\Fred.XPSP2-7F13963DD\Local -> DELETED

[sUSP PATH] Dropbox.lnk : C:\Documents and Settings\Fred.XPSP2-7F13963DD\Application Data\Dropbox\bin\Dropbox.exe -> DELETED

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

merci :)

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

Lien vers le commentaire
Partager sur d’autres sites

Tant mieux.

 

Fais un zhpdiag stp:

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis. tourneviszhpdiag.jpg

[*]Clique sur la loupe loupe_10.jpg pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Lien vers le commentaire
Partager sur d’autres sites

lorsque je lance zhpdiag il m'envoie un message d'erreur "impossible d'ouvrir le fichier " :C\documents and settings\Fred\application data\mozilla\firefox\profoles\diw9mjln.default\perfs.js" accès refusé

Désolée

Lien vers le commentaire
Partager sur d’autres sites

Désinstalle ZHPDiag en allant par le poste de travail, double clic sur C:\.

 

Dans Program Files, ouvrir le dossier ZHPDiag, repérer le fichier Unins000.exe (symbole seringue) et double cliquer dessus pour désinstaller l'outil; on y reviendra.

 

------

1) Télécharger ATF Cleaner par Atribune.

  • Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
     
Archive-Host | Hébergement de fichiers et Solutions Web
 
|MG| ATF Cleaner 3.0.0.2 Download
 
Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista/7: Clic droit/exécuter en temps qu'administrateur.
 
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-----------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Modifié par Apollo
Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...