Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Malware supprimé mais problème détecté


Messages recommandés

Bonjour à vous et heureuse d'être sur ce forum en espérant obtenir de l'aide.

 

J'ai eu un souci dernièrement avec un malware qui voulait rendre la vie de mon PC compliqué.

Il s'agit de "Security Shield". Lorsqu'il était sur mon PC, deux problèmes apparaissaient :

- Des fenêtres intempestives de soi-disant Security Shield me disant que mon PC n'était pas protégé et qui s'ouvraient toutes les 5 secondes.

- Un écran bleu qui apparaissait toutes les 2 heures et qui faisait redémarrer mon ordinateur.

 

J'avais fait donc une vérification du système avec dans un premier temps Malwabytes Anti-Malware qui avait bien détecté des trojans :

-> Trojan Lameshield (catégorie file)

-> Trojan Lameshied (catégorie Memory Process)

-> PUP.BundledOffer... (catégorie file)

-> PUP.Toolbar.Repa... (cat. file)

-> Trojan.Lameshield (cat. file)

 

Une fois la recherche terminée, j'ai mis en quarantaine ce que le logiciel pouvait mettre et j'ai supprimé les trojans.

 

Après redémarrage de l'ordinateur, plus aucune fenêtre intempestive n'est apparu.

 

J'ai lancé Spybot afin de me rassurer que mon ordinateur n'était plus infecté. Or, surprise, il m'annonce qu'un problème existe dans la machine, à savoir : IWinGames, avec comme genre 3 éléments AdwareC

-> (SBI $3424BEDC) Réglages

HKEY_CLASSES_ROOTS\Installer\Features\4301AEBD2885A408331CFECOAF92

-> (SBI $4209145D) Réglages

HKEY_CLASSES_ROOTS\Installer\Products\....

-> (SBI $15CB95A3) Réglages

HKEY_CLASSES_ROOTS\Installer\UpgradeCodes\....

 

Sauf que quand je clique sur "corriger les problèmes", je reçois le message d'erreur suivant : "Certains problèmes n'ont pu être corrigés, sans doute parce que les fichiers considérés sont toujours actifs (en mémoire). Cela peut être résolu après un redémarrage.

Spybot-S-&&D doit-il se lancer au prochain démarrage du système ?".

Lorsque le clique sur OUI, et que je redémarre l'ordinateur, rebelote, je recommence la vérification. Spybot me détecte le même problème et impossible de le corriger.

 

Ensuite je vois une confirmation me disant que "0 problème corrigé. 3 problèmes n'ont pas pu être corrigés. Vous devriez lancer une recherche en tant qu'administrateur et corriger de nouveau".

Or je suis déjà administrateur, rien n'y fait.

 

Du coup je ne sais pas quoi faire :chpas:

 

J'ai par ailleurs lancé Malwarebytes à plusieurs reprises également et à divers moments voire s'il ne détecterait pas d'autres choses, mais selon lui mon ordinateur est nickel !

 

Si vous pouvez m'aiguiller ce serait super !

 

Merci !

<config>Windows Vista / Firefox 9.0.1</config>

Modifié par juillet2012
Lien vers le commentaire
Partager sur d’autres sites

Bonjour juillet2012 et bienvenue sur ZEB

 


  • Quelques conseils avant de commencer
     
    Pendant la désinfection: n'utilise pas d'autre outils ou ne désinstalle pas des programmes
    seulement ceux qui te sont notifier pour éviter tout problème .
     
    Enregistre :toujours les outils sur ton bureau
     
    Bien lire les indications: et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.
  • Ne laisse pas ton sujet, Va jusqu'au bout avant d'être informé(e) que tout est OK.
  • Sans réponse dans les 7 jours, le sujet sera supprimé de mes suivis.
     
    IMPORTANT héberger les fichiers contenant les rapports sur http://cjoint.com/'>http://cjoint.com/
  • Sur la page du site Clique sur parcourir va jusqu'au rapport
  • Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
  • Ensuite en bas Clique sur Créer le lien Cjoint
  • Une nouvelle fenêtre apparait avec un lien en bleu
  • Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser.

 

  • Pour commencer Désactiver TeaTimer de spybot qui ne sert à rien et peut faire échouer une désinfection:!
    Affiche d'abord le Mode Avancé dans Spybot
  • Options Avancées :
  • menu Mode
    -Mode Avancé. Une colonne de menus apparaît dans la partie gauche :
  • clique sur Outils
  • clique sur Résident
    -Dans Résident :
  • décoche Résident "TeaTimer" pour le désactiver.
     
  • Si dans Spybot S&D tu as vacciné
    Sur l'onglet "vaccination"
  • Clique sur "Vaccination" dans la colonne sur la gauche :
  • Clique sur annuler (la flèche bleue) pour annuler la vaccination.
     
    IMPORTANT Il faut aussi savoir que Spybot utilise une technologie dépassée. ;)
  • Si tu ajoute à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection..... je te conseil de le désinstaller du pc :D

 

 

  • Télécharge sur cette page :
RogueKiller (par tigzy). sur le bureau
IMPORTANT:Quitte tous tes programmes en cours
Désactive tes défenses (anti-virus et anti-spyware)
Lance RogueKiller.exe.
Pour vista/Seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
Attendre que le Prescan soit fini ...
Cliquer sur Scan. Cliquer sur Rapport et héberger les fichiers contenant les rapports sur http://cjoint.com/copier coller le lien dans ta prochaine réponse

 

 


  • Télécharge
ZHPDiag de Nicolas Coolman sur ton Bureau
 
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Aprés sur ton bureau tu auras 3 icônes
zhp0710.png
Lance l'outil : double-clique sur ZHPDiag pour XP
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
A Droite en haut
clique sur le bouton option 12040309492645704.jpg
 
Puis a gauche le bouton TOUS mini_120406010736223975.png
 
Clique sur la Loupe mini_120406011133907885.png en haut
à gauche pour débuter l'analyse
Le rapport généré par l'outil se nomme ZHPDiag.txt
Poste le rapport ZhpDiag.txt qui apparait sur le bureau.héberger les fichiers contenant les rapports sur http://cjoint.com/

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Bonjour tomtom95 et merci de l'accueil :)

 

Merci aussi pour ta réponse.

 

Voici le 1er lien du scan fait avec RogueKiller : Lien CJoint.com BGwqYvzmblv

 

Concernant le second logiciel je l'ai téléchargé mais en voulant l'installer il m'est mis un message d'erreur : The setup files are corrupted. Please obtain a new copy of the program.

Lien vers le commentaire
Partager sur d’autres sites

RE

 

Tu as bien lancer ZHPDiag avec un clique droit sur l'icône et exécute en tant qu'administrateur.?

 

Sinon Télécharge >> ZHPDiag directement sur le site.

 

  • Ferme toutes les applications ouvertes
  • Désactive tes défenses (anti-virus et anti-spyware)
     
  • Relance RogueKiller.execlique droit sur l'icône et exécute en tant qu'administrateur. ;)
  • Attendre que le Prescan soit fini ...
  • Cliquer sur Scan.
    Nettoyage:
  • Clique sur Suppression. Cliquer sur Rapport et copier/coller le contenu
  • Clique sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu
  • Clique sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
  • Clique sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
  • Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Oui j'ai bien lancé RogueKiller avec un clique droit et en faisant une exécution en tant qu'Administrateur :)

 

Voici les rapports de :

 

- Suppression :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Admin [Droits d'admin]

Mode: Suppression -- Date: 22/07/2012 17:59:45

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[13] : NtAlertResumeThread @ 0x824955C3 -> HOOKED (Unknown @ 0x8B3C20B8)

SSDT[14] : NtAlertThread @ 0x8240E255 -> HOOKED (Unknown @ 0x8B2E4B30)

SSDT[18] : NtAllocateVirtualMemory @ 0x8244A4FB -> HOOKED (Unknown @ 0x8B39C058)

SSDT[54] : NtConnectPort @ 0x823CFB36 -> HOOKED (Unknown @ 0x8B2C9B50)

SSDT[67] : NtCreateMutant @ 0x82422812 -> HOOKED (Unknown @ 0x8B332E40)

SSDT[78] : NtCreateThread @ 0x82493BE0 -> HOOKED (Unknown @ 0x8B39B688)

SSDT[147] : NtFreeVirtualMemory @ 0x82286F1D -> HOOKED (Unknown @ 0x8B2CBF80)

SSDT[156] : NtImpersonateAnonymousToken @ 0x823BCF12 -> HOOKED (Unknown @ 0x8B332F30)

SSDT[158] : NtImpersonateThread @ 0x823D254F -> HOOKED (Unknown @ 0x8B39ED28)

SSDT[177] : NtMapViewOfSection @ 0x8241289A -> HOOKED (Unknown @ 0x8B2CBDE8)

SSDT[184] : NtOpenEvent @ 0x823FBDCF -> HOOKED (Unknown @ 0x8B332930)

SSDT[195] : NtOpenProcessToken @ 0x82403A2E -> HOOKED (Unknown @ 0x8B39C008)

SSDT[202] : NtOpenThreadToken @ 0x8241E2AD -> HOOKED (Unknown @ 0x8B2CDAC8)

SSDT[282] : NtResumeThread @ 0x8241DB4A -> HOOKED (Unknown @ 0x8B3B9568)

SSDT[289] : NtSetContextThread @ 0x8249506F -> HOOKED (Unknown @ 0x8B2E3F78)

SSDT[305] : NtSetInformationProcess @ 0x824168C8 -> HOOKED (Unknown @ 0x8B2C78F8)

SSDT[306] : NtSetInformationThread @ 0x823FB2AD -> HOOKED (Unknown @ 0x8B333FC0)

SSDT[330] : NtSuspendProcess @ 0x824954FF -> HOOKED (Unknown @ 0x8B334A20)

SSDT[331] : NtSuspendThread @ 0x8239C92B -> HOOKED (Unknown @ 0x8B333770)

SSDT[334] : NtTerminateProcess @ 0x823F3143 -> HOOKED (Unknown @ 0x8B39BD78)

SSDT[335] : NtTerminateThread @ 0x8241E534 -> HOOKED (Unknown @ 0x8B333F00)

SSDT[348] : NtUnmapViewOfSection @ 0x82412B5D -> HOOKED (Unknown @ 0x8B2CBD28)

SSDT[358] : NtWriteVirtualMemory @ 0x8240F92D -> HOOKED (Unknown @ 0x8B3340A0)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: HDT722525DLA380 +++++

--- User ---

[MBR] 90bf82949f430fefacd9dac833e9b3fa

[bSP] 2552b2d2227b2ea2b3c92a526a1a6f5d : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 233289 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 477776880 | Size: 5182 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

- Host RAZ :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Admin [Droits d'admin]

Mode: HOSTS RAZ -- Date: 22/07/2012 18:02:13

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

- Proxy RAZ :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Admin [Droits d'admin]

Mode: Proxy RAZ -- Date: 22/07/2012 18:03:08

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

- DNS RAZ :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Admin [Droits d'admin]

Mode: DNS RAZ -- Date: 22/07/2012 18:04:30

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[7].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt ; RKreport[7].txt

 

 

- Racc. RAZ :

 

RogueKiller V7.6.4 [17/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Admin [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 22/07/2012 18:14:17

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 1 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 9 / Fail 0

Menu demarrer: Success 1 / Fail 0

Dossier utilisateur: Success 108 / Fail 0

Mes documents: Success 1 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 2 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 295 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\HarddiskVolume3 -- 0x2 --> Restored

[G:] \Device\HarddiskVolume4 -- 0x2 --> Restored

[H:] \Device\HarddiskVolume5 -- 0x2 --> Restored

[i:] \Device\HarddiskVolume6 -- 0x2 --> Restored

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[8].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt

 

 

 

Par contre, même en téléchargeant ZHPDiag via le site, impossible de l'exécuter. Je reçois le même message d'erreur :-?

Lien vers le commentaire
Partager sur d’autres sites

juillet2012 stp héberger les fichiers contenant les rapports sur http://cjoint.com/'>http://cjoint.com/ comme indiquer dans le premier post ;)

 

 

Tu va faire cette procédure pour analyser ton ordinateur.

 

Télécharge OTL

  • Désactive temporairement ton antivirus
    et ferme toutes les applications en cours
  • Double-clique sur OTL.exe pour le lancer.
    otlicon.gif
    Dans le menu contextuel.
  • L'interface principale s'ouvre :
     
    otl10.jpg
  • Dans la section Rapport en haut à droite de la fenêtre
    coche Rapport standard
  • Coche tous les utilisateurs
  • Sous Windows 7 64 bit
  • Cocher aussi la case Avec analyse 64bit
  • Coche également les cases Recherche LOP et Recherche Purity
  • Clique sur le bouton Analyse
    patiente pendant le balayage du système.
  • Après le balayage
    2) rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
     
    !!Ne les poste pas sur le forum
    ils seraient trop long!!
     
    Pour me les transmettre tu dois te rendre sur ce site http://cjoint.com/
  • Tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau
  • Tu coches "Rendre public le fichier"
  • Ensuite tu cliques sur "Cliquez ici pour déposer le fichier"
  • il va te donner un lien tu copies/colles dans ton message. idem pour le 2nd rapport.

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir juillet2012

 

OK c'est bon ,Tu n'as pas supprimer spybot... ;)

 

Désinstalle les outils,

  • Télecharge sur le site
DelFix (de Xplode) sur ton Bureau
Lance Delfix clique droit sur l'icône et exécute en tant qu'administrateur
Choisis l'option "Recherche"
Laisse travailler l'outil
Copie/colle le rapport obtenu
 
Relance Delfix
 
Choisis l'option "Suppression"
Laisse travailler l'outil
Copie/colle le rapport obtenu sur le forum
 
Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

  • Tu va purger tes anciennes points de sauvegarde du pc :
    Après une désinfection
    il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.
  • Clique sur le bouton démarrer faîtes un clique droit sur "ordinateur " puis clique sur " Propriétés " :
  • Clique ensuite sur l'onglet " Protection du système
  • Coche la ou les cases des lecteurs désactiver la restauration du système :
  • Une alerte t'informera que tous les points vont être supprimés. Clique sur « désactiver la restauration système ».
  • Clique sur appliquer , et ok
  • Pour réactiver la restauration système
  • Il suffit de décocher à nouveau les cases du lecteur.
  • Ensuite Créer un nouveau point de restauration sain

 

 

  • Pour les erreurs système,fait un CHKDSK
  • Clique démarrer >> Ordinateur >> Fait un clique droit sur ton lecteur C:\
    Propriété >> onglet outils >> clique sur vérifier maintenant.
  • Coche la case réparer automatiquement les erreurs...puis clique sur démarrer.
    Un message d'avertissement clique sur planifier la vérification du disque.
    Puis redémarre le pc qui va faire son scanne.
    Tu auras pas de rapport
    mais s'il trouve des erreurs sur ton pc il seront réparer :D .

 

Si tu n'as plus de problème ,Tu peux Marquer ton sujet comme résolu

Comment afficher son sujet comme étant résolu Merci thorgal

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Bonjour tomtom95 !

 

Voici les rapports obtenus de DelFix :

- Recherche : Lien CJoint.com BGxsJOFRGEg

- Suppression : Lien CJoint.com BGxsKOiy984

 

Du coup tu penses que mon ordinateur à la vue de tous ces rapports, était infecté ? Ou c'est juste Spybob (que j'ai supprimé ;)) racontait des sottises ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...