Un soucis avec Security Shield

[invite068a575a]

Bonjour,

Je suis sous Win7 32 bits.

C'est venu d'un coup alors que je surfais (Firefox 9.0.1) sur des sites de vignerons du Luberon!! Les popups de Security Shield à cadence élevée avec des messages alarmants. J'ai bien sur refusé leur "aide", je ne pouvais plus me déconnecter donc j'ai enlevé le cable ADSL.

J'ai rebooté sous Ubuntu, lu ce que j'ai trouvé sur Security Shield, puis toujours sous Ubuntu j'ai viré tout ce qui me semblait suspect, notamment dans ..\moi\Appdata\Local.

J'ai rebooté Win7 en sans Echec, lancé Malwarebytes qui n'a rien trouvé. J'ai rebooté Win7 en mode normal, mis à jour Malwarebytes, rescanné ==> 0 infection, puis scanné avec MSE ==> 0 infection.

Mais comme je n'y connais rien et que je suis méfiant j'ai téléchargé ZHPDiag, RogueKiller et RSIT. RogueKiller a trouvé un driver "fake" que j'ai supprimé puis j'ai repassé RogueKiller.

Je met les rapports en fichiers joints, ce serait bien que quelqu'un de plus doué les éxamine pour des restes de Security Shield ou d'autres virus.

Merci.

Francis
-----

[invitec04351b8]

Bonsoir,

relance MBAM, mets le à jour et fais un scan rapide.

Sélectionne tout ce qu'il trouve et mets en quarantaine.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

HOSTFix

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite068a575a]

Bonsoir,

Merci pour la réponse. j'ai repassé Mbam à jour qui ne trouve plus rien. Le rapport est en pièce jointe. Entre temps j'ai fait un scan complet avec MSE qui a cette fois trouvé un keygen (eh oui) que je n'avais pas ouvert et marqué "ATTENTION" car il me semblait suspect malgré une analyse négative par Mbam et MSE. MSE l'a mis en quarantaine.

Pour ZHPFix.exe j'ai un problème: ton code (dans Firefox ou Opera) ne contient qu'une ligne "HOSTFix" et rien de plus. Peux-tu le renvoyer? Merci

Francis

[invitec04351b8]

Re,

le script ZHPFix est correct ! (c'est rare qu'il y ait une seule ligne).

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

@+

[A voir en vidéo sur Futura]

[invite068a575a]

Bonjour,

J'ai fait tout ça. Le rapport de ZHPFix a l'air vide, le le joins quand même. De même que le rapport d'AdwCleaner (en fait deux rapports, je suppose avant et après suppression).

Apparemment tout est bon, en fait Security Shield n'était pas réapparu après mon nettoyage de Appdata sous Linux, mais il pouvait rester des fichiers dormants.

Merci pour ton aide.

Francis

[invite068a575a]

Bonjour,

Encore moi. Je crois que ce n'est malheureusement pas tout à fait fini car MSE a émis une alerte sur le fichier suivant:
file:C:\Users\francis\AppData\ Local\Microsoft\Windows\Tempor ary Internet Files\Content.IE5\0HHR9IDF\sof tw[1].exe

C'est nouveau puisque hier sous Linux j'avais effacé tout les dossiers Temp. J'ai configuré Firefox et Opera pour vider tout l'historique à chaque sortie du programme.

J'utilise le pare-feux de Win7 avec les paramètres standard. Il y a surement mieux! As-tu un conseil (et un site d'explication sur le paramétrage)?

Francis

[invitec04351b8]

Bonsoir,

fais redémarre l'ordi, relance ZHPDiag et poste le rapport.

@+

[invite068a575a]

Bonsoir,

Voila, PC redémarré, ZHPDiag passé, le rapport en fichier joint.

Merci encore.

Francis

[invitec04351b8]

Re,

relance ZHPfix avec ces lignes :

Code:

O4 - Global Startup: C:\Users\francis\Desktop\regedit.lnk . (.Microsoft Corporation.)  -- C:\Windows\regedit.exe    => Infection Diverse (.)
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] 
HOSTFix
EmptyTemp
O4 - Global Startup: C:\Users\travail\Desktop\SetEditAstonHD.lnk . (...)  -- H:\Internet_Satellite\Home_cinema\Aston_Simba_Fransat\SetEditAstonHD\SetEditAstonHD.exe (.not file.)  
O4 - Global Startup: C:\Users\francis\Desktop\Connexion au réseau local - Raccourci.lnk - Clé orpheline   
O4 - Global Startup: C:\Users\Administrateur\Desktop\SetEditAstonHD.lnk . (...)  -- H:\Internet_Satellite\Home_cinema\Aston_Simba_Fransat\SetEditAstonHD\SetEditAstonHD.exe (.not file.)   
O4 - Global Startup: C:\Users\Admin\Desktop\SetEditAstonHD.lnk . (...)  -- H:\Internet_Satellite\Home_cinema\Aston_Simba_Fransat\SetEditAstonHD\SetEditAstonHD.exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [{13459CD9-60D1-4514-8399-A4BFC63DD09B}] (...) -- H:\Internet_Satellite\Home_cinema\Aston_Simba_Fransat\SetEdit\SetEditAstonHD\uninstall.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{AF897B73-C705-4206-BBD7-6A55A7A7E325}] (...) -- C:\Users\francis\Desktop\My_jack.exe (.not file.)

@+

[invite068a575a]

Bonjour,

J'ai relancé ZHPFix avec les lignes en question. Le rapport est en pièces jointes.

Au redémarrage du PC ma carte réseau était déactivée... c'est normal? Sinon tout semble fonctionner, peut-être un peu plus vite, c'est de l'autosuggestion sans doute..

Pour un parefeux plus efficace que celui de Win7 par défaut tu as des suggestions?

Merci

Francis

[invitec04351b8]

Re,

je crois que le parefeu de W7 est suffisant.

Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

@+

[invite068a575a]

Bonjour,

C'est fait. Voici le rapport de ZHPDiad.

Et merci.

Francis

[invitec04351b8]

Bonsoir,

encore des soucis ?

@+

[invite068a575a]

Bonsoir,

Non, tout tourne rond...

Merci pour ton aide.

Francis

[invitec04351b8]

Re,

alors, on finalise.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.


===

Quelques conseils pour limiter les risques d'infection :

http://forum.malekal.com/securiser-s...urte-t381.html

@+

[invite068a575a]

Bonjour,

Je ne suis pas sur de comprendre: dans le message 373 je disais que j'avais passé ZHPFix avec les lignes que tu avais mises en code + rapport de ZHPDiag.

Je veux bien relancer ZHPFix mais sur quoi? re les mêmes lignes?

Francis
-

[invitec04351b8]

Bonsoir,

tu suis exactement les consignes que je t'ai donné.

@+