XP Protector 2012

J

jeanpolski

Nouveau membre
Bonjour,
J'aurais besoin de votre aide pour virer ce virus XP protector 2012 qui s'est installé tout seul sur mon ordi pendant que je regardais un film sur megavideo. Que dois je faire pour le retirer?
Merci d'avance pour votre aide.
 
thor37230

thor37230

Grand Maître
salut,

faire un scan complet de ton pc avec
Vous devez être connecté pour voir les liens.
en le mettant à jour au préalable.

♦ Télécharge
Vous devez être connecté pour voir les liens.


♦ Déconnecte toi et ferme toutes applications en cours(désactive momentanément ton antivirus/pare-feu)

♦ Double clique(clic droit "executer en temps qu'administrateur pour vista) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

♦ Double-clique(clic droit "executer en temps qu'administrateur pour vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

♦ Au menu principal choisis l'option "Scanner".

♦ Laisse travailler l'outil et ne touche à rien ...

♦ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

♦ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Ensuite, copie-colle le rapport
Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.

Vous devez être connecté pour voir les liens.
 
J

jeanpolski

Nouveau membre
J'ai suivi tous les pas, apparemment xp protector est parti et je peux utiliser internet de nouveau.
Voici les rapports de AD remover et de Hijack This :

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website:
Vous devez être connecté pour voir les liens.


C:\Archivos de programa\Ad-Remover\main.exe (SCAN [1]) -> Launched at 21:54:43 on 22/07/2011, Normal boot

Microsoft Windows XP Professional Service Pack 3 (X86)
Michel Henri Philipp@ACER-B58889F5EF ( )

============== SEARCH ==============





============== ADDITIONNAL SCAN ==============

**** Mozilla Firefox Version [3.6.8 (es-ES)] ****

FIREFOX.EXE\Shell\Open\Command - firefox.exe
Plugins\npqtplugin9.dll (Apple Computer, Inc.)
Searchplugins\creativecommons.xml (hxxp://search.creativecommons.org/)
Searchplugins\drae.xml ( hxxp://buscon.rae.es/draeI/SrvltGUIBusUsual)
Searchplugins\eBay-es.xml (hxxp://rover.ebay.com/rover/1/1185-51955-19398-1/4)
Searchplugins\wikipedia-es.xml (hxxp://es.wikipedia.org/wiki/Special:Search)
Searchplugins\yahoo-es.xml (hxxp://es.search.yahoo.com/search)

-- C:\Documents and Settings\Michel Henri Philipp\Datos de programa\Mozilla\FireFox\Profiles\avkcom77.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.8

-- C:\Documents and Settings\Propietario\Datos de programa\Mozilla\FireFox\Profiles\g7lzohd4.default --
Prefs.js - browser.startup.homepage, hxxp://www.google.cl/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

IEXPLORE.EXE\Shell\Open\Command - iexplore.exe
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Archivos de programa\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{9030D464-4C02-4ABF-8ECC-5164760863C6} - "Windows Live Aplicación auxiliar de inicio de sesión" (C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll)

========================================

C:\Archivos de programa\Ad-Remover\Quarantine: 107 File(s)
C:\Archivos de programa\Ad-Remover\Backup: 29 File(s)

C:\Ad-Report-CLEAN[1].txt - 01/02/2011 06:04:29 (4842 Byte(s))
C:\Ad-Report-CLEAN[2].txt - 10/02/2011 02:14:11 (2477 Byte(s))
C:\Ad-Report-SCAN[1].txt - 01/02/2011 06:03:23 (448 Byte(s))

End at: 22:37:44, 22/07/2011

============== E.O.F ==============



Et le rapport Hijack This :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:35, on 22-07-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Archivos de programa\AVG\AVG9\avgchsvx.exe
C:\Archivos de programa\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\AVG\AVG9\avgemc.exe
C:\Archivos de programa\AVG\AVG9\avgnsx.exe
C:\Archivos de programa\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\AVG\AVG9\avgtray.exe
C:\ARCHIV~1\LAUNCH~1\QtZgAcer.EXE
C:\Archivos de programa\QuickTime\QTTask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\DOCUME~1\MICHEL~1\CONFIG~1\Temp\RtkBtMnt.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
Vous devez être connecté pour voir les liens.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
Vous devez être connecté pour voir les liens.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
Vous devez être connecté pour voir les liens.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
Vous devez être connecté pour voir les liens.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
Vous devez être connecté pour voir les liens.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Archivos de programa\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-1644491937-484763869-1606980848-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Propietario')
O4 - HKUS\S-1-5-21-1644491937-484763869-1606980848-1003\..\Run: [2362403945] C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe (User 'Propietario')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} -
Vous devez être connecté pour voir les liens.

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -
Vous devez être connecté pour voir les liens.

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
Vous devez être connecté pour voir les liens.

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -
Vous devez être connecté pour voir les liens.

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) -
Vous devez être connecté pour voir les liens.

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

--
End of file - 8676 bytes
 
J

jeanpolski

Nouveau membre
Par contre désolé,
je viens juste de remarquer que quand j'ouvre un programme (MSN, ou un jeux video par exemple) il y a une fenêtre qui s'ouvre pour me demander quel programme je veux utiliser pour lire ce fichier. Alors je peux plus les utliser...
Pourquoi ça fait ça? Que dois je faire?

En tout cas vous faites du bon travail merci, le site est bien fait même pour les débutants comme moi, tout est bien expliqué, les liens sont bien placés. Chapeau!
 
thor37230

thor37230

Grand Maître
tu ouvres ces programmes à partir des raccourcis présent sur le bureau ou via leur dossier d'installation?
si c'est du bureau, supprime les raccourcis et re-créer les.
 
J

jeanpolski

Nouveau membre
Oui à partir du bureau. On dirait qu'il va falloir que je réinstalle quelques trucs genre l'antivirus. Il n'y a plus rien sur la barre à gauche de l'heure. Mais bon le virus est jarté donc tout va bien hahaha.
 
help-manformatique

help-manformatique

Grand Maître
Le virus est toujours la, tu est infecté par un rogue, fais ceci :

Télécharge sur le bureau
Vous devez être connecté pour voir les liens.
(par tigzy)
• Quitte tous tes programmes en cours
Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur[/b]
•Lance RogueKiller.exe.
• Lorsque demandé, tape 1 et valide
•Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
• Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
 
J

jeanpolski

Nouveau membre
Ah mince c'est peut être pour ça que quand j'ouvre un programme ça me fait un truc bizzare. Même pour règler l'heure.

Voici le rapport :

RogueKiller V5.2.7 [06/30/2011] by Tigzy
contact at
Vous devez être connecté pour voir les liens.

mail: tigzyRK<at>gmail<dot>com
Feedback:
Vous devez être connecté pour voir les liens.


Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Propietario [Admin rights]
Mode: Scan -- Date : 07/23/2011 13:26:44

Bad processes: 0

Registry Entries: 7
[ROGUE ST] HKCU\[...]\Run : 2362403945 (C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe) -> FOUND
[ROGUE ST] HKUS\S-1-5-21-1644491937-484763869-1606980848-1003[...]\Run : 2362403945 (C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command : ("C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Documents and Settings\Propietario\Configuración local\Datos de programa\mrx.exe" -a "%1" %*) -> FOUND

HOSTS File:
127.0.0.1 localhost


Finished : << RKreport[1].txt >>
RKreport[1].txt



 
help-manformatique

help-manformatique

Grand Maître
Relance Roguekiller et choisis cette fois ci l'option 2 et post le rapport
 
J

jeanpolski

Nouveau membre
Voila je l'ai fait, par contre j'ai zappé le rapport, en tout cas il dit qu'il y a plus rien.

Mon ordinateur il devrait être ok maintenant non?

En tout cas il est revenu à la normale, les programmes s'ouvrent normalement.
 
g225

g225

Expert
Attention mauvaise version de Hijackthis ici. La nouvelle est la 2.0.4.

http://free.antivirus.com/hijackthis/

Mettre à jour AVG à la version 2011.

Mettre Firefox 3.6 à la 3.6.19 ou passer à la 5 ou 6 bêta 3.

Mettre à jour java à 1.6 Update 26 et supprimer les autres, Flash à 10.3.181.34 , Adobe Reader à X (10) et Shockwave 11.6.0.626 si utilisé.
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 134
Messages
6 718 054
Membres
1 586 393
Dernier membre
mathhh28
Partager cette page
Haut