System Progressive Protection

[Iamluke]

Bonjour,
Mon ordinateur a été infecté par un virus, "System Progressive Protection", et je ne sais absolument pas quoi faire... Internet est bloqué, il a fermé tous mes fichiers ouverts (sera-t-il possible de les récupérer?), j'ai supprimé le programme dans AppData, mais il revient à la charge. J'ai vu qu'il fallait utiliser RogueKiller, mais je ne m'y connais absolument pas.
Si quelqu'un veut bien me guider dans la démarche à suivre, je lui serai vraiment reconnaissante.... S'il-vous-plaît, aidez-moi!

J'ai utilisé Rogue Killer (en le renommant Winlogon)

Mais le virus est tjs là après redémarrage
-----

[chantal11]

Bonjour,

Il te faut continuer la prise en charge sur CCM.
http://www.commentcamarche.net/forum...tection?page=2

Bonjour,
Mon ordinateur a été infecté par un virus, "System Progressive Protection", et je ne sais absolument pas quoi faire... Internet est bloqué, il a fermé tous mes fichiers ouverts (sera-t-il possible de les récupérer?), j'ai supprimé le programme dans AppData, mais il revient à la charge. J'ai vu qu'il fallait utiliser RogueKiller, mais je ne m'y connais absolument pas.
Si quelqu'un veut bien me guider dans la démarche à suivre, je lui serai vraiment reconnaissante.... S'il-vous-plaît, aidez-moi!

Pas le même pseudo, mais bien exactement le même message.

Tu n'as même pas donné suite aux dernières instructions de Smart91 dans son message du 31 octobre !

@+

[Iamluke]

J'ai copié-collé un message 'help' déjà existant ...
puis en lisant les post des internautes ayant le même pbm que moi, j'ai remarqué qu'il faut utiliser roguekiller ...
mais ensuite, je ne sais plus quoi faire ...


A priori, il me faudra MBAM que j'ai téléchargé,
mais à quel moment dois-je l'utiliser ?

Amicalement
Iamluke

[chantal11]

Re,

J'ai copié-collé un message 'help' déjà existant ...

C'est à éviter, j'ai failli faire fermer le sujet pour doublon.

Tu as utilisé RogueKiller ou pas ?

Si oui, merci de poster en PJ le rapport.

Sinon, suis les instructions suivantes.

---------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport en PJ dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

@+

[A voir en vidéo sur Futura]

[Iamluke]

Voici le rapport en PJ

[chantal11]

Re,

RogueKiller :

• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
• Dans l'onglet Registre coche uniquement les lignes suivantes
  [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 8680228D694D6F960000867F9C1173 3C (C:\ProgramData\8680228D694D6F 960000867F9C11733C\8680228D694 D6F960000867F9C11733C.exe) -> TROUVÉ
  [RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-263748329-4185354238-1758889649-1000[...]\RunOnce : 8680228D694D6F960000867F9C1173 3C (C:\ProgramData\8680228D694D6F 960000867F9C11733C\8680228D694 D6F960000867F9C11733C.exe) -> TROUVÉ
  [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
  [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
  [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
• Clique sur Suppression, puis sur Rapport et poste ce rapport en PJ dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Malwarebyte's Anti-Malware :

• Télécharge Malwarebytes Anti-Malware en cliquant sur Download Now et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

----------------------------------------------------------------------------------------------

Sont attendus les rapports :

• RogueKiller
• mbam-log[date-heure].txt

@+

[Iamluke]

Voici les rapports en PJ

Merci

[chantal11]

Bonjour,

OK pour les rapports, malgré que tu n'aies pas bien suivi les instructions pour RogueKiller.

Comment se comporte le système maintenant ?

Nous allons établir un diagnostic avec cet outil :

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
  

  netsvcs
  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\ *.sys /lockedfiles
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ.
  Les rapports sont sauvegardés sur le Bureau.

@+

[Iamluke]

OK je m'occupe de OTL

Qu'est-ce qui n'a pas été bien fait avec roguekiller ? Il me semblait avoir suivi scrupuleusement les consignes ...

Amicalement
(et merci pour le temps passé sur mon problème)

[Iamluke]

Voici les rapports OTL en PJ

[chantal11]

Re,

Pour RogueKiller, des lignes non demandées ont été traitées, tu as du les laisser cochées.

Tu n'as pas répondu Comment se comporte le système maintenant ?

Ton système n'est absolument pas à jour, il présente des failles de sécurité très exploitées par les malwares.
Tu as eu cette fois-ci un simple rogue, mais tu n'es pas à l'abri d'une infection beaucoup plus coriace, avec risque de perte de données.
Nous nous en occuperons par la suite.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

Web Assistant (adware)
DAEMON Tools Toolbar (barre d'outil inutile)
Incredibar Toolbar on IE (barre d'outil sponsorisée)
Uniblue RegistryBooster (réputation douteuse, logiciel d'optimisation totalement inutile et fort dangereux pour la base de registre sous Vista et 7)

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
  

  :OTL
  DRV - File not found [Kernel | On_Demand | Unknown] -- -- (agdz51lb)
  MOD - [2012/09/03 08:13:08 | 000,167,256 | ---- | M] () -- C:\Program Files\Web Assistant\Extension32.dll
  SRV - [2012/09/03 08:13:08 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Program Files\Web Assistant\ExtensionUpdaterServ ice.exe -- (Web Assistant Updater)
  IE - HKU\S-1-5-21-263748329-4185354238-1758889649-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=RNyJbPFj13j9YheF6vYJS 11ji4k?q={searchTerms}
  FF - prefs.js..extensions.enabledAd dons: ffxtlbr@incredibar.com:1.5.0
  FF - prefs.js..extensions.enabledIt ems: ffxtlbr@incredibar.com:1.5.0
  FF - HKEY_LOCAL_MACHINE\software\mo zilla\Firefox\Extensions\\{336 D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012/09/13 20:51:22 | 000,000,000 | ---D | M]
  [2012/07/22 00:04:47 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Users\acer\AppData\Roaming\ mozilla\Firefox\Profiles\7edxd 32x.default\extensions\ffxtlbr @incredibar.com
  O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
  O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
  O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incrediba r\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
  O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
  O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incrediba r\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD)
  O3 - HKU\S-1-5-21-263748329-4185354238-1758889649-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
  [2012/12/02 22:37:09 | 000,000,000 | ---D | C] -- C:\ProgramData\8680228D694D6F9 60000867F9C11733C
  [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  [2012/12/04 22:07:37 | 000,000,330 | ---- | M] () -- C:\Windows\tasks\RegistryBoost er.job
  
  :files
  C:\ProgramData\8680228D694D6F9 60000867F9C11733C
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Sont attendus les rapports :

• AdwCleaner(S).txt
• C:\_OTL\MovedFiles\********_** ****.log

@+

[Iamluke]

Voici les rapports ...

J'ai eu des pbms de batterie sur mon portable ... il s'est éteint pendant OTL
J'ai relancé OTL 'comme si de rien n'était'

Amicalement
Iamluke

[chantal11]

Bonjour,

OK pour les rapports.
Reste sous secteur jusqu'à la fin de la désinfection.

Plus de trace de System Progressive Protection ?
Comment se comporte le système ?

On continue.

---------------------------------------------------------------------------------------------

Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 31 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 9
http://www.java.com/fr/download/

---------------------------------------------------------------------------------------------

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur le bouton Update Adobe Reader et installe la dernière version proposée
  A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
• N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
• Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
• Poste ce rapport dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Est attendu le rapport SXCU en PJ.

@+

[Iamluke]

Plus de traces de Systeme Progressive Protection
Le système parait stable

J'effectue les prochaines étapes demain, puis je poste les rapports
Merci beaucoup

[chantal11]

Re,

OK pas de souci .... à demain