PSP a pris le pouvoir !!

[invite1b83d77d]

Bonjour,
J’étais sur la session Admin pour résoudre un pb de son (autre forum) quand Personal Shield Pro a pris le pouvoir. Je ne peux plus ouvrir aucun dossier ou programme sauf IE, Firefox et Avast. Malgré tout, quand je lance un scan d’Avast ça finit par un écran noir ou un redémarrage. Par IE ou Firefox, je peux éventuellement télécharger un fichier mais après je ne peux pas l’ouvrir (ATF ou R.Sit notamment). PSP a soit disant trouvé 37 programmes litigieux. Lors d’un écran bleu précédent un redémarrage automatique, j’ai cru lire PAGEFAULT IN NONPAGE AREA. Et enfin, une petite fenêtre indique « AvastSvc.exe is infected ».

Merci de votre aide
-----

[yoda1234]

Bonjour,

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[invitec04351b8]

Bonjour,

si les programmes sont bloqués, essaye ça :

Avec Internet Explorer - Télécharge RogueKiller ici :

http://www.sur-la-toile.com/RogueKiller/

Tu l'enregistre sur ton Bureau mais tu lui donnes le nom de winlogon.exe.

Lance l'option 2 (nettoyage).

Poste le rapport ici.

===

Ensuite,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Vois si ATF Cleaner et RSIT fonctionnent.

@+

[invite1b83d77d]

Réponse à Yoda 1234 :Lors d'un redémarrage, Avast a fait un scan avant que Windows se lance ; il a trouvé 2 fichiers suspects que j'ai supprimés.
Pour l'instant, les symptômes initiaux ont disparu et j'ai donc pu exécuter les consignes de la procédure préliminaire.
Ci-joint les 2 rapports générés par R.Sit. Le fichier Info était trop lourd pour la transmission ; dans la partie "Hosts File" il y avait une multitude de carrés dont je n'ai gardé que 2 lignes pour diminuer le poids.

Lyonnais92 : bien vu ta réponse que je garde au chaud!

[A voir en vidéo sur Futura]

[yoda1234]

Lyonnais92 : bien vu ta réponse que je garde au chaud!

Celui dont tu dois suivre les instructions en priorité c'est Lyonnais92 et non moi. L'expert c'est lui, je ne fais qu'essayer d'alléger sa tâche dans la faible mesure de mes possibilités.

[invitec04351b8]

Re,

le rapport de MBAM à venir.

Tu relances aussi RogueKiller et tu choisis l'option 3.

Tu postes aussi le rapport obtenu.

@+

[invite1b83d77d]

Ci-joint le rapport obtenu de Mbam après mise à jour ; ainsi que le rapport de Roguekiller obtenu après l'option 3.

[invitec04351b8]

Bonjour,

tu fais redémarrer l'ordi.

Tu dis quels soucis il te reste.

Tu relances RSIT et tu postes le rapport.

@+

[invite1b83d77d]

J'ai redémarré la machine ; je n'ai pas constaté de problème particulier.

Voici les rapports de R.Sit.

Merci de ton aide

[invitec04351b8]

Bonjour,

encore des problèmes.


Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invitec04351b8]

Re,

il faut que tu ailles dans le répertoire de ZHPDiag.exe et que tu trouves ZHPDiag.txt.

C'est ce fichier que tu dois joindre (il passe en entier comme ça).

@+

[invite1b83d77d]

voilà, je pense que c'est bon cette fois !

[invitec04351b8]

Re,

Ok, c'est bien ça.

Si tu peux supprimer les posts inutiles (ceux avec les morceaux du rapport de ZHPDiag), fais le.

Avant la suite, on va supprimer Spybot, il va gêner et n'est plus assez efficace.

===

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Fais redémarrer l'ordi et vérifie que le TeaTimer est resté décoché.?

Si oui,

Désinstalle Spybot S&D via le panneau de configuration.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy .

Tu dis quand c'est fait.

@+

[invite1b83d77d]

C'est fait :
J'ai désinstallé Spybot S&D après avoir vérifié que le TeaTimer est resté décoché.

J'ai aussi supprimé le répertoire C:\Program Files\Spybot - Search & Destroy.

[invitec04351b8]

Re,

Ok,

on continue comme ça :

● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option Nettoyer.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Ensuite, tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport (toujours en pièce jointe).

@+

[invite1b83d77d]

Voici le rapport de AD-remover :

Et maintenant le rapport ZHP Diag en P.J.

[yoda1234]

Rapport "AdRemover" mis en pièce jointe et fusion des messages.

[invite1b83d77d]

Pour Yoda 1234:
Sur mes conversations d’hier entre 15h25 et 15h46, peut tu supprimer les 6 posts intitulés « Voici le résultat du scan – (1 à 6 )° partie ». Ils sont inutiles et encombrants.
Merci

[yoda1234]

Pour Yoda 1234:
Sur mes conversations d’hier entre 15h25 et 15h46, peut tu supprimer les 6 posts intitulés

C'est fait; il est vrai que j'ai manqué de vigilance....

[invitec04351b8]

Re,

merci yoda.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) --  (.not file.)
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At1.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At2.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At3.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At4.job
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Bandoo]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar]
[HKLM\Software\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}]
[HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[HKLM\Software\Classes\AppID\{3AD7A5B6-610D-4A82-979E-0AED20920690}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}]
[HKLM\Software\Classes\AppID\{9C123289-82E1-4DA7-A3C2-B8D28AAD114B}]
[HKLM\Software\Classes\AppID\{A01A3335-0C30-4312-A430-92356CC37A92}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B6F8DA9F-2696-419e-A8A3-19BE41EF51BD}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
C:\Documents and Settings\MICHEL\Application Data\Adobe\plugs
C:\Documents and Settings\MICHEL\Application Data\Adobe\shed
 [HKLM\Software\Classes\AppID\GIFAnimator.DLL]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}]
[HKLM\Software\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}]
O51 - MPSK:{b2ae4dbb-1baa-11de-9ca9-000ea6d00d30}\AutoRun\command. (...) -- C:\WINDOWS\system32\index.htm (.not file.)
[HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}]
[HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}]
[HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}]

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite1b83d77d]

voici le rapport de ZHPFix.exe.

[invitec04351b8]

Bonsoir,

fais redémarrer l'ordi, refais tourner ZHPDiag et poste le rapport.

@+

[invite1b83d77d]

Voilà qui est fait !

[invitec04351b8]

Bonjour,

je suis absent jusqu'à vendredi.

Je ne vois plus rien d'infectieux.

Le plus urgent est de mettre à jour ta console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

Vérifie ensuite que tu as la version 6 de Avast. Si tu en es encore à la version 5 fais la mise à jour du programme par l'interface de Avast.

Tu peux aussi désinstaller Spyware Terminator (il vaut mieux).

@+

[invite1b83d77d]

Ci- joint avec un peu de retard le rapport Javara.log.

Sinon j'ai bien la version 6 d'Avast.

je n'avais pas Spyware Terminator, en revanche j'utilisais Spyboot S et D que j'ai désinstallé sur tes recommandations.

[invitec04351b8]

Bonsoir,

OK pour Avast.

Pour Spyware terminator, dans ton dernier rapport ZHPDiag :

[MD5.480B8218CAC947DB5F32D126FA E2BACD] - (.Crawler.com - Spyware Terminator Update Support.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe [3318784]
[MD5.642180B8F50E7FC1FBAF87C718 E259D6] - (.Crawler.com - Spyware Terminator Realtime Shield 32-bit S.) -- C:\Program Files\Spyware Terminator\sp_rsser.exe [496128}
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] . (.Crawler.com - Spyware Terminator Update Support.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe
...

===

Fais redémarrer l'ordi, relance ZHPDiag et poste le nouveau rapport.

@+

[invite1b83d77d]

Voici le rapport ZHPDiag après redémmarage.

Concernant Spyware Terminator, j'avais regardé dans "Supprimer un programme" où il n'apparait pas.
En revanche, j'ai un dossier "C:\Program Files\Spyware Terminator" : dois je supprimer ce dossier ?

[invitec04351b8]

Bonjour,

pour Spyware Terminator, on va faire comme ça :


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[MD5.480B8218CAC947DB5F32D126FAE2BACD] - (.Crawler.com - Spyware Terminator Update Support.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe   [3318784]
[MD5.642180B8F50E7FC1FBAF87C718E259D6] - (.Crawler.com - Spyware Terminator Realtime Shield 32-bit S.) -- C:\Program Files\Spyware Terminator\sp_rsser.exe   [496128]
O44 - LFC:[MD5.060000000A00000000EF12006C524000] - 24/07/2011 - 09:43:48 ---A- . (...) -- C:\sti.log   [0]
O44 - LFC:[MD5.9B5776E62419DE2915965C374FC77285] - 17/07/2011 - 18:06:12 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [9642]
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] . (.Crawler.com - Spyware Terminator Update Support.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
O4 - HKUS\S-1-5-21-682003330-926492609-725345543-1003\..\Run: [SpywareTerminatorUpdate] . (.Crawler.com - Spyware Terminator Update Support.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) . (.Crawler.com - Spyware Terminator Realtime Shield 32-bit S.) - C:\Program Files\Spyware Terminator\sp_rsser.exe
[HKCU\Software\Spyware Terminator]
[HKLM\Software\Spyware Terminator]
O43 - CFD: 07/04/2011 - 10:09:50 - [6857727] ----D- C:\Program Files\Spyware Terminator
O43 - CFD: 29/03/2011 - 13:20:46 - [478220] ----D- C:\Documents and Settings\MICHEL\Application Data\Spyware Terminator
SR - | Auto 24/07/2011 496128 |  (sp_rssrv) . (.Crawler.com.) - C:\Program Files\Spyware Terminator\sp_rsser.exe

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite1b83d77d]

Voilà qui est fait !

[invitec04351b8]

Re,

fais redémarrer l'ordi.

Ensuite, on peut supprimer les outils :


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+