Votre question

[Résolu] Security center alert Virus

Tags :
  • Sécurité
  • Écrans
Dernière réponse : dans Sécurité et virus
15 Février 2010 18:33:40

Bonjour !

Depuis jeudi dernier, j'ai une fenêtre "security center alert" qui apparait à l'écran. Je suis allé sur un forum, téléchargé malware bytes, fait une analyse puis supprimé les fichiers. Le lendemain, j'avais de nouveau cette même deneêtre, j'ai refait le processus puis éliminé de nouveau les trojan. Cette foisn la fenêtre ré-apparait mais malware bytes ne détecte plus rien, je ne peux donc rien éliminer...

Quelqu'un peut-il me donner des conseils pour me débarasser définitivement de cette M.... ou alors existe-t-il sur ce forum une soluce type??? (je n'ai pas trouvé mais... peut- être ai-je mal cherché...)

Merci d'avance !

BEN LE ROUGE

Autres pages sur : resolu security center alert virus

15 Février 2010 18:36:58

Bonsoir! On va regarder ce que tu as!

Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

Télécharge sur le bureau « RSIT »
* Double-clic dessus
(Avec VISTA > clic-droit et > Exécuter en tant qu'administrateur)
* Laisser « 1 month »
* Cliquer sur « Continue »
* À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt »
* Héberger les deux rapports et donner les liens
** Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt »
Contenus similaires
15 Février 2010 19:08:13

Pas de quoi! ;) 

* Désactive l'antivirus

Télécharger et enregistrer sur le bureau « Combofix »

* Double-clic sur « Combofix »
** Si invitation à télécharger et installer la console de récupération, l'accepter
* La recherche va ensuite se lancer
* Attendre la fermeture de l’outil ( 5 à 10 mn)
* Un rapport dans C:\Combofix.txt: héberge le et donne le lien.
15 Février 2010 20:42:32

Ok!

Télécharge sur le bureau « AD-Remover »
  • Double clique sur le programme d'installation , et installe le dans son emplacement par défaut.
  • Double clic sur le nouveau raccourci sur le bureau => « Ad-remover »
  • Au menu principal choisi l'option « S »
  • Héberge le et donne son lien.
  • Note: le rapport se situe aussi dans « C:\Ad-Report-SCAN.log »
    16 Février 2010 00:18:19

    Ok, pas mal de petites saletés!

  • Relances « Ad-remover » : au menu principal choisi l'option « L »
  • Héberge le et donne son lien.
  • Note: le rapport se situe aussi dans « C:\Ad-Report-CLEAN.log »
    16 Février 2010 18:24:46

    Hum.. je sais pas, le mieux serait de vérifier qu'il ne reste rien: repasse l'option 1.
    16 Février 2010 18:26:31

    OK... et si spybot me signale des modifs après analyse, je pense qu'il est judicieux de les accepter... qu'en pense tu?
    16 Février 2010 18:45:15

    Le plus judicieux serait de désactiver spybot et son teatimer! Voir de le désinstaller vu son inefficacité...

    Mais si tu tiens à le conserver, désactive le au moins pendant la durée de la désinfection! ;) 
    16 Février 2010 19:04:03

    C'est toi qui les as créé ces dossiers:

    C:\Documents and Settings\RCV\Mes documents\BEN DIGITAL SOAP\BEN PERSO\vst
    C:\Documents and Settings\RCV\Mes documents\BEN DIGITAL SOAP\BEN PERSO\vst rar


    ?

    Car si c'est le cas, faut pas chercher bien loin pour voir d'où vient l'infection! :lol: 

    Rien de bien grave pour la adremover, s'ils y sont toujours à la fin, on le fera autrement ça évitera de te faire perdre du temps avec un nouveau scan pour si peu.

    Bon, on continue la désinfection:

    Télécharger sur le bureau Malwarebyte's Anti-Malware

    * Double-clic sur « mbam-setup » pour lancer l'installation
    * Installer simplement sans rien modifier
    * Quand le programme lancé ==> onglet « Mise à jour » cliquer sur ==> « Recherche de mise à jour »
    Onglet « Recherche » ==> cocher « Exécuter un examen complet »
    * Clic « Rechercher »
    * Cocher tous les disque dur
    * Clic « Lancer l'examen »
    * En fin de scan , si infection trouvée
    ==> Clic « Afficher résultat »
    * Fermer vos applications en cours
    * Vérifier si tout est coché et clic « Supprimer la sélection »

    * Un rapport s'ouvre l'héberger et donner son lien
    16 Février 2010 23:08:58

    rien de détecté... prochaine étape?
    16 Février 2010 23:16:33

    Pour les deux chemins que je t'ai donné plus haut, c'est bien toi qui as mit tous les crack dedans et toussa? (pour savoir si ça vient de l'infection ou toi)
    16 Février 2010 23:43:27

    moi j'ai rien mis dedans... j'ai récupéré ces deux fichiers tels quel, dézippé puis installé certain des plugs en question. S'il faut supprimer des trucs, dis le, ya pas de soucis, ce ne sont des instal de vieux plugs... les .exe ailleurs...
    16 Février 2010 23:58:38

    Ok, en tout cas évite les cracks, car c'est très souvent vecteur d'infections!

    Tu peux refaire un scan RSIT?
    18 Février 2010 14:42:04

    as-tu besoin d'autre chose pour éradiquer le reste?
    Je pense qu'il reste quelques saletés... j'ai toujours un bruit genre "mes enceintes explosent" au démarrage et une fenêtre security alert center avec une nouvelle menace à chaque démarrage... c'est encore grave docteur? ;) 
    18 Février 2010 19:16:13

    Avant que je donne la manip je dois savoir deux/trois trucs, ces progs, ils sont légal ou cracké?

    c:\program files\sonic\mydvd\buttonstyles\classic yellow\classicyellowchp.exe
    c:\program files\image-line\fl studio 7\data\patches\user\vengeance essential club sounds vol-1\vec1 multis\junobass.exe
    c:\program files\image-line\fl studio 7\plugins\fruity\generators\simsynth\simsynthlive.exe

    ===

    Tu vas {url=http://www.virustotal.com/fr/]ici[/url], et tu scan les 3 fichiers que je t'ai indiqué au dessus, et tu poste le rapport ou un lien vers le rapport de détection.
    19 Février 2010 14:50:31

    Alors... le premier il me semble que c'est du légal, genre un player DVD que j'ai dû installer ya un moment si j'ai bonne mémoire, mais que je n'ai quasiment jamais utilisé...
    Le second est issue d'une banque de samples que j'ai copié, mais je ne crois pas qu'il y eu à craquer quoi que ce soit ou à installer quoique ce soit... je n'avais d'ailleurs jamais vu qu'il y avait un .exe dans cette banque puisque j'utilise uniquement les .wav
    Le dernier est un plug-in issu de ma version de fruity loops 7 craquée
    19 Février 2010 18:06:04

    Hum... T'es sûr de ton coup là? T'aurais pas plutôt scanné trois fois le même truc et changer le nom en début de rapport après?
    Car si on regarde bien les rapports, le MD5 est le même pour chacun des fichiers:

    MD5...: 7675b99e91e4b7edfdc3b978255ac6b0

    Ce qui voudrait dire que tu as scanné 3 fois le même fichier...
    19 Février 2010 19:43:43

    bah non... même si pour le second et le 3eme le site indiqué "fichier déjà scanné" (pas logique puisque j'ai bien sélectionné à chaque fois le bon...) et lorsque je faisais scanner à nouveau il semblait trouver le bon chemin... bizarre, je retente...
    19 Février 2010 19:56:36

    encore une fois j'ai l'impression qu'il m'a rescanné junobass alors que j'aiindiqué le chemin symsynth...
    19 Février 2010 21:23:57

    Ok,

    Télécharger sur le bureau CKScanner

  • Double cliquer sur CKScanner.exe et cliquer sur Search For Files
  • Une fois la recherche terminée cliquer sur Save List To File
  • Un message indique que le fichier a été sauvegardé
  • Le rapport se trouve sur le bureau au nom de CKFiles.txt
  • Héberge le rapport et donne le lien
    20 Février 2010 13:42:10

    Ok, bon alors avant de continuer, supprimes tous les cracks présent dans le log de CKScanner, sinon tu vas te réinfecter dans même pas une semaine; à savoir:

    Les fichiers et dossiers suivant:
    c:\documents and settings\rcv\mes documents\ben digital soap\ben perso\sony.acid.pro.v6.0.incl.keygen-ssg.rar
    c:\documents and settings\rcv\mes documents\ben digital soap\ben perso\vst\
    c:\documents and settings\rcv\mes documents\ben digital soap\ben perso\vst rar\
    c:\documents and settings\rcv\mes documents\mes fichiers reçus\keygen.rar
    c:\documents and settings\rcv\mes documents\mes fichiers reçus\soundforge 6.0\sound forge 6 keygen.exe
    c:\program files\image-line\flstudio5\fruityloops_v5_crack.exe
    c:\documents and settings\rcv\mes documents\ableton\presets\audio effects\vinyl distortion\crack.adv
    c:\documents and settings\rcv\mes documents\ben digital soap\split dos\angular.momentum.cv-2seq.vsti.v2.0.incl.keygen-nemesis\
    c:\documents and settings\rcv\mes documents\ben digital soap\split dos\yamaha final master vst plugin v1.0\final.master.vst.plugin.v1.0 working\crack\


    Un lien sur le danger des crack => ici

    ===

    Ensuite, une fois que tu les auras supprimés, fais ça:

  • Aller chez Kaspersky avec Internet Explorer.
  • Clic sur : accept.
  • Accepter l'active X qui est proposé en cliquant ==> : Exécuter, puis,
  • Un message => clic I don't show again.
  • Attendre la fin de la mise à jour ( 5/10 minutes)
  • Clic , à gauche, sur : my computer.
  • Le scan est assez long.
  • À la fin si le rapport ne s'ouvre pas,
  • Clic ==> report , puis ==> save reaport.
  • L'héberger et poster le lien dans la réponse.
    24 Février 2010 16:12:40

    Ok!

    Télécharger sur le bureau « OTMoveIt.exe »

    * Copier ce texte

    :Processes
    explorer.exe

    :Files
    C:\program files\sonic\mydvd\buttonstyles\classic yellow\classicyellowchp.exe
    C:\program files\image-line\fl studio 7\data\patches\user\vengeance essential club sounds vol-1\vec1 multis\junobass.exe
    C:\program files\fichiers communs\microsoft shared\web folders\1036\sharepointmsosvint11.0.8161.exe
    C:\program files\installshield installation information\{d76298c2-e532-4a11-bcff-76f3f19da84d}\setupinstallshield.exe
    C:\program files\quicktime\qtsystem\quicktimeinternetextras.resources\fr.lproj\quicktimequicktimeresources7.2.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\1036\SharePointMSOSVINT11.0.8161.exe
    C:\Program Files\Image-Line\FL Studio 7\Data\Patches\User\VENGEANCE ESSENTIAL CLUB SOUNDS vol-1\VEC1 Multis\JunoBass.exe
    C:\Program Files\Image-Line\FL Studio 7\Plugins\Fruity\Generators\SimSynth\SimSynthLive.exe
    C:\Program Files\InstallShield Installation Information\{D76298C2-E532-4A11-BCFF-76F3F19DA84D}\SetupInstallShield.exe
    C:\Program Files\QuickTime\QTSystem\QuickTimeInternetExtras.Resources\fr.lproj\QuickTimeQuickTimeResources7.2.exe
    C:\Program Files\Sonic\MyDVD\ButtonStyles\Classic Yellow\ClassicYellowChp.exe


    :Commands
    [emptytemp]
    [start explorer]
    [Reboot]


    * Double-clic sur OTMoveIt.exe

    * Dans le cadre de Gauche « Paste Instructions for Items to be Moved » ==> clic-droit ==> coller
    * Clic « MoveIt! »
    * si redémarrage demandé==> Clic : « YES »
    * Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à héberger et coller le lien dans la réponse (format du type => mmjjaaaa_hhmmss.log)

    ===

    Et refais un scan RSIT ensuite.
    24 Février 2010 17:08:20

    impossible d'héberger le fichier avec une extension .log... voici donc le rapport en vrac...

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    C:\program files\sonic\mydvd\buttonstyles\classic yellow\ClassicYellowChp.exe moved successfully.
    C:\program files\image-line\fl studio 7\data\patches\user\vengeance essential club sounds vol-1\vec1 multis\JunoBass.exe moved successfully.
    C:\program files\fichiers communs\microsoft shared\web folders\1036\SharePointMSOSVINT11.0.8161.exe moved successfully.
    C:\program files\installshield installation information\{d76298c2-e532-4a11-bcff-76f3f19da84d}\SetupInstallShield.exe moved successfully.
    C:\program files\quicktime\qtsystem\quicktimeinternetextras.resources\fr.lproj\QuickTimeQuickTimeResources7.2.exe moved successfully.
    File/Folder C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\1036\SharePointMSOSVINT11.0.8161.exe not found.
    File/Folder C:\Program Files\Image-Line\FL Studio 7\Data\Patches\User\VENGEANCE ESSENTIAL CLUB SOUNDS vol-1\VEC1 Multis\JunoBass.exe not found.
    C:\Program Files\Image-Line\FL Studio 7\Plugins\Fruity\Generators\SimSynth\SimSynthLive.exe moved successfully.
    File/Folder C:\Program Files\InstallShield Installation Information\{D76298C2-E532-4A11-BCFF-76F3F19DA84D}\SetupInstallShield.exe not found.
    File/Folder C:\Program Files\QuickTime\QTSystem\QuickTimeInternetExtras.Resources\fr.lproj\QuickTimeQuickTimeResources7.2.exe not found.
    File/Folder C:\Program Files\Sonic\MyDVD\ButtonStyles\Classic Yellow\ClassicYellowChp.exe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 32768 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 49286 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 514335 bytes

    User: RCV
    ->Temp folder emptied: 129379497 bytes
    ->Temporary Internet Files folder emptied: 258190270 bytes
    ->Java cache emptied: 15369081 bytes
    ->FireFox cache emptied: 55068075 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 19569 bytes
    %systemroot%\System32 .tmp files removed: 11068416 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1347 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 735961088 bytes

    Total Files Cleaned = 1 150,00 mb


    OTM by OldTimer - Version 3.1.9.0 log created on 02242010_163707

    Files moved on Reboot...

    Registry entries deleted on Reboot...
    24 Février 2010 18:29:18

    Ok!

  • Lance « C:\Program Files\trend micro\RCV.exe »
  • « Do a system scan only »
  • Coche les lignes suivantes:

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O4 - HKLM\..\Run: [YellowChpClassic] c:\program files\sonic\mydvd\buttonstyles\classic yellow\classicyellowchp.exe
    O4 - HKLM\..\Run: [JunoBass] c:\program files\image-line\fl studio 7\data\patches\user\vengeance essential club sounds vol-1\vec1 multis\junobass.exe
    O4 - HKLM\..\Run: [MsoSVIntnsextint] c:\program files\fichiers communs\microsoft shared\web folders\1036\sharepointmsosvint11.0.8161.exe
    O4 - HKLM\..\Run: [SetupInstallShield6311001102] c:\program files\installshield installation information\{d76298c2-e532-4a11-bcff-76f3f19da84d}\setupinstallshield.exe
    O4 - HKLM\..\Run: [ClassicYellowChp] C:\program files\sonic\mydvd\buttonstyles\classic yellow\classicyellowchp.exe
    O4 - HKLM\..\Run: [BassVEC1] C:\program files\image-line\fl studio 7\data\patches\user\vengeance essential club sounds vol-1\vec1 multis\junobass.exe
    O4 - HKLM\..\Run: [nsextintMicrosoft] C:\program files\fichiers communs\microsoft shared\web folders\1036\sharepointmsosvint11.0.8161.exe
    O4 - HKLM\..\Run: [QuickTimeResourcesQuickTime] c:\program files\quicktime\qtsystem\quicktimeinternetextras.resources\fr.lproj\quicktimequicktimeresources7.2.exe
    O4 - HKLM\..\RunServices: [SimSynthLive] c:\program files\image-line\fl studio 7\plugins\fruity\generators\simsynth\simsynthlive.exe
    O4 - HKCU\..\Run: [ukcpgrurf7kc] C:\DOCUME~1\RCV\LOCALS~1\Temp\10.tmp\avwsc.exe


  • « Fix checked »
  • Oui

    Télécharger sur le bureau « OTMoveIt.exe »

    * Copier ce texte

    :Processes
    explorer.exe

    :Reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

    :Files
    C:\DOCUME~1\RCV\LOCALS~1\Temp\10.tmp\avwsc.exe

    :Commands
    [emptytemp]
    [start explorer]
    [Reboot]


    * Double-clic sur OTMoveIt.exe

    * Dans le cadre de Gauche « Paste Instructions for Items to be Moved » ==> clic-droit ==> coller
    * Clic « MoveIt! »
    * si redémarrage demandé==> Clic : « YES »
    * Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à héberger et coller le lien dans la réponse (format du type => mmjjaaaa_hhmmss.log)

    ===

    Ensuite efface ton combofix et refais le:

    * Désactive l'antivirus

    Télécharger et enregistrer sur le bureau « Combofix »

    * Double-clic sur « Combofix »
    ** Si invitation à télécharger et installer la console de récupération, l'accepter
    * La recherche va ensuite se lancer
    * Attendre la fermeture de l’outil ( 5 à 10 mn)
    * Un rapport dans C:\Combofix.txt: héberge le et donne le lien.

    ===

    Tu redémarres et refais un RSIT, ça devrait être bon là normalement! :) 
    26 Février 2010 13:41:15

    Pour moi c'est bon! :) 

    1/ Pour supprimer les utilitaires téléchargés:

  • Télécharge ToolsCleaner2 sur ton bureau
  • Double-clique sur « Toolscleaner.exe »
  • Clique sur « restauration » pour créer un point de restauration.
  • Puis clique sur « recherche »
  • Quand la recherche sera terminée, clique sur « suppression ».
  • A la fin (il y aura des indications dans le cadre en-dessous), clique sur « quitter » et poste le rapport qui se trouve dans « C:\Tcleaner.txt »
  • Clique droit sur son icône => « supprimer »


    2/ Pour supprimer les fichiers temporaires (à utiliser régulièrement!):

    Télécharge sur le bureau « ATF-Cleaner »
  • Double-clic dessus
  • Sous l'onglet « Main », choisis« Select All »
  • Clique sur le bouton « Empty Selected »
  • Patiente le temps du nettoyage, puis « Ok »
    ** Note: Le prochain démarrage du PC sera un peu plus long, le prefetch ayant été vidé

    -----

    3/ Désactiver et réactiver la restauration système:

    - sous xp:

  • Clique-Droit sur Poste de Travail
  • Clique « Propriétés »
  • Clique « Restauration du système »
  • Cocher : « Désactiver la restauration système sur tous les lecteurs »
  • Valider en cliquant sur « OK »
    -> Redémarrer le pc
  • Et même manoeuvre en décochant pour rétablir la restauration
  • Puis Menu Démarrer ==> Tous les programmes ==> Accessoires ==> Outils système ==> Restauration système
  • Clique « Créer un nouveau point de restauration »
    ** note => le nom donné n’a aucune importance

    - sous vista:

  • Clique sur Démarrer
  • Clique-droit sur « Ordinateur »
  • Clique « Propriétés »
  • Clique « Protection du système »
  • Décocher : « C »
  • Valider en cliquant sur « OK »
    -> Redémarrer le pc
  • Et même manoeuvre en recochant pour rétablir la restauration
  • Puis de même et cliquer « créer » pour établir un nouveau point de restauration

    -----

    4/ Garder malwarebytes' et penser à faire des scans réguliers avec ce dernier!
    => Tuto malwarebytes'

    -----

    5/ Un dossier sur les infections à lire si ça t'interesse => Lien

    -----

    6/ Problème résolu?

    Alors penser à mettre le sujet en résolu en éditant ton titre!
  • Clique sur le bouton « Éditer » dans ton premier message (en bas à droite du message).
  • Ajoute [Résolu] devant le titre.
  • Clique ensuite sur « Valider votre message » :clin: 
    26 Février 2010 16:05:44

    Merci mille fois pour tout !!! Le nettoyage, les conseils, les softs... et pour ta patience !!!! Bonne continuation pour la suite !!!!
    26 Février 2010 22:46:11

    Pas de quoi! ;) 

    Bon week-end!
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS