Security Shield, parti ou ruse ?Fermé

Question

Bonjour, 

Aujourd'hui en allant sur un site, Security Shield s'est manifesté en s'installant dans mes programmes, et donc dans mon Démarrer. Comme symptômes sur l'ordinateur, j'ai eu droit à de nombreuses fenêtres virus qui s'affichaient, à des ralentissements, et mon fond d'écran a disparu. Bref j'ai donc commencé à chercher de l'aide sur internet, à essayer de télécharger des anti virus, et venu un moment, Security Shield a disparu de mon démarrer, ainsi que de ma barre de programme, sans que j'ai lancé de scan antivirus. Comme j'ai vu sur le forum que beaucoup de gens avaient du mal à le supprimer, j'aimerai savoir si le fait qu'il soit parti de mes programmes, en tout cas apparemment, alors qu'il y était venu, fait parti de son programme ? J'ai lancé un scan avec Spyware Doctor au cas où, mais je n'ai plus de problèmes d'internet, mon fond d'écran est revenu et Security Shield ne se manifeste plus...
Quelqu'un peut-il me dire si cette suite d'évènements est normale, et sinon, pourriez-vous me dire quelle pourrait être la marche à suivre à parti de ce stade ?

Merci d'avance de votre aide.

Configuration: Windows XP / Firefox 3.6.17

Malekal_morte- · Answer

Salut,

Télécharge ça : https://www.luanagames.com/index.fr.html  
Tu le renommes en winlogon ou iexplore s'il est bloqué. 
Lances en option 2 (nettoyage).  
Poste le rapport ici.

Radian · Answer

RogueKiller V4.3.12 [30/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur: Thibaut [Droits d'admin] Mode: Suppression -- Date : 04/05/2011 20:01:34 Processus malicieux: 0 Entrees de registre: 3 [BLACKLIST DLL] HKCU\[...]\Run : Osevohawuro (rundll32.exe "C:\Users\Thibaut\AppData\Local\ryntbgiT.dll",Startup) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : oK02400DgOpG02400 (C:\ProgramData\oK02400DgOpG02400\oK02400DgOpG02400.exe) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : nyidcrvuya (C:\Users\Thibaut\AppData\Local\nyidcrvuya.exe) -> DELETED Fichier HOSTS: Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Malekal_morte- · Answer

OK.
La suite.


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!! 


ETAPE 3: 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/  

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.  
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)  

* Lance OTL  
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :  
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT 
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs  
* Clique sur le bouton Analyse.  
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.  
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Radian · Answer

Voilà le rapport de Malawarebyte, je passe à l'étape 3.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6507

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04/05/2011 21:05:55
mbam-log-2011-05-04 (21-05-55).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 158266
Temps écoulé: 2 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Thibaut\AppData\Local\Temp\f30ulcd7.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Windows\Temp\_ex-08.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\Windows\Temp\_ex-68.exe (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\Thibaut\local settings
yidcrvuya.exe (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\Thibaut\local settingsyntbgiT.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\Thibaut\local settings\application data
yidcrvuya.exe (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\Thibaut\local settings\application datayntbgiT.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\Thibaut\AppData\Roaming\Adobe\plugs\mmc164.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Thibaut\AppData\Roaming\Adobe\plugs\mmc248.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Radian · Answer

Et voilà le lien pijoint.

http://pjjoint.malekal.com/files.php?id=98246aaf861479

Radian · Answer

Ah et le deuxième pardon, l'Extra.

http://pjjoint.malekal.com/files.php?id=45708b7fdd14514

Malekal_morte- · Answer

Search Settings = adware
à désinstaller

Supprime : C:\ProgramData\oK02400DgOpG02400

Comment tourne le PC ?

Radian · Answer

Donc si j'ai bien compris, un logiciel sur mon ordi est installé, qui s'appelle Search Settings, il faut que je le supprime et qu'ensuite je supprime ça : 

C:\ProgramData\oK02400DgOpG02400. 

C'est ça ?

Radian · Answer

Je comprends pas... Hier mon ordinateur marchait très bien, et maintenant que je le rallume, mode sans échec ou pas, il reste bloqué sur un écran noir où je peux simplement bouger la souris...

Malekal_morte- · Answer

Démarre en dernière bonne configuration connue.

MacKlain · Answer

J'ai réussi à le démarrer, et pour supprimer Search Settings, comme il n'apparaissait pas dans mon panneau de configuration, j'ai essayé de suivre une méthode qui est sur le forum.

https://forums.commentcamarche.net/forum/affich-5912416-search-settings

Voilà précisément ce que j'ai fait : J'ai fait rechercher Search Settings dans C:, j'ai trouvé deux dossiers, un dans program files, un dans user. J'ai supprimé celui de user. Dans program, j'ai tout supprimé, sauf le .exe, qui est donc soit disant ouvert. Ensuite j'ai fait le regedit, et dans l'éditeur des registres, j'ai fais recherché Search Settings, et j'ai supprimé tous les dossiers sur lesquels je tombais. 

En redémarrant l'ordinateur, j'ai pu supprimer le .exe de Search Settings, donc en théorie, tout ce qu'il y avait de Search Settings est supprimé (je n'ai supprimé que Search Settings, pas les dossiers qui étaient à côté), et j'ai aussi supprimé le C:\ProgramData\oK02400DgOpG02400 par la suite.

Je peux redémarrer en mode normal, mais deux icones desktop.ini ont apparu sur mon bureau, et certains dossiers, comme ProgramData ont une icône translucide, et d'autres, comme Documents and Settings, est verrouillé. (Bien que j'ai encore accès à mes documents)

Y-a-t-il encore une étape ?

Security Shield, parti ou ruse ?

11 réponses

Discussions similaires

Newsletters