antivirus 360 Fermé

Question

Bonjour,
j'ai un virus du nom de antivirus 360, comment faire pour m'en debarasser
merci d'avance

Lyonnais92 · Answer

Bonjour,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

sokona93 · Answer

merci lyonnais92 pour ta reactivité, ComboFix 09-02-12.03 - sokona 2009-02-13 23:52:11.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.894.290 [GMT 1:00] Lancé depuis: c:\users\sokona\Desktop\decontamination\ComboFix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\UpMedia c:\windows\system32\UpMedia\uninstallSE.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-13 au 2009-02-13 )))))))))))))))))))))))))))))))))))) . 2009-02-13 23:23 . 2009-02-13 23:23 d-------- c:\program files\Trend Micro 2009-02-13 22:46 . 2009-02-13 22:46 d-------- c:\users\All Users\NortonInstaller 2009-02-13 22:46 . 2009-02-13 22:46 d-------- c:\programdata\NortonInstaller 2009-02-13 22:40 . 2009-02-13 22:40 d-------- c:\users\All Users\Avira 2009-02-13 22:40 . 2009-02-13 22:40 d-------- c:\programdata\Avira 2009-02-13 22:40 . 2009-02-13 22:40 d-------- c:\program files\Avira 2009-02-11 22:54 . 2009-02-11 22:54 299,008 --a------ c:\windows\System32\winconfig.dll 2009-01-14 13:12 . 2008-12-16 04:14 290,304 --a------ c:\windows\System32\drivers\srv.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-13 22:51 2,097,152 --sha-w c:\users\Invité tuser.dat 2009-02-13 22:51 2,097,152 --sha-w c:\users\Invité tuser.dat 2009-02-13 21:23 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-13 21:23 --------- d-----w c:\program files\Common Files\muvee Technologies 2009-02-13 21:17 --------- d-----w c:\programdata\Google Updater 2009-02-13 21:14 --------- d-----w c:\program files\Windows Live Toolbar 2009-02-13 21:14 --------- d-----w c:\program files\Google 2009-02-11 22:45 --------- d-----w c:\program files\Common Files\Symantec Shared 2009-02-11 22:42 --------- d-----w c:\program files\Norton Security Scan 2009-01-27 17:05 --------- d-----w c:\program files\MSN Messenger 2009-01-15 04:16 826,368 ----a-w c:\windows\System32\wininet.dll 2009-01-15 04:16 56,320 ----a-w c:\windows\System32\iesetup.dll 2009-01-15 04:16 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll 2009-01-15 04:15 26,624 ----a-w c:\windows\System32\ieUnatt.exe 2008-12-11 13:23 174 --sha-w c:\program files\desktop.ini 2007-10-10 14:42 0 ----a-w c:\users\sokona\AppData\Roaming\wklnhst.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-16 1232896] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-14 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 65536] "KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536] "OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152] "DT HPW"="c:\program files\Portrait Displays\HP My Display\DTHtml.exe" [2007-01-16 280576] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "TkBellExe"="c:\program files\Common Files\Real\Update_OB ealsched.exe" [2007-10-16 185632] "NvSvc"="c:\windows\system32 vsvc.dll" [2007-07-06 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-06 8466432] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-06 81920] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 c:\windows\RtHDVCpl.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Launcher"="c:\windows\SMINST\launcher.exe" [2007-03-07 44168] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{C607E263-78F0-4955-BFBE-D2D3400B79B6}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{1667334A-DF5E-4F24-8AA7-A5AE50518AC2}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{8822A58D-D285-4381-8F19-59484539945E}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire "{CAB92545-484E-448E-A92D-9528A46F7DDD}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire "{CD0AF314-F3B1-4BA7-9AA4-20012D4168B9}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "TCP Query User{E6780A2E-0887-4CE9-9E90-0693EF01134E}c:\program files\fritivi\fritivi.exe"= UDP:c:\program files\fritivi\fritivi.exe:Fritivi "UDP Query User{DB137C68-5271-41AD-BD1A-97C09B7ED8FD}c:\program files\fritivi\fritivi.exe"= TCP:c:\program files\fritivi\fritivi.exe:Fritivi "{569547A7-FFF9-4D61-B105-B04DB90CBF28}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{E8C9C960-6394-4900-9303-8ED15647DE9E}"= UDP:c:\users\sokona\AppData\Local\Temp\WZSE0.TMP\SymNRT.exe:Norton Removal Tool "{02C28F45-4178-42C1-B089-923DD1C95526}"= TCP:c:\users\sokona\AppData\Local\Temp\WZSE0.TMP\SymNRT.exe:Norton Removal Tool [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\System32\drivers\fbxusb32.sys [2007-10-09 21344] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - SSMDRV [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ada49cec-7bfc-11dc-8c78-0007cb0000ff}] \shell\AutoRun\command - EXPLORER.EXE \shell\explore\Command - EXPLORER.EXE \shell\open\Command - EXPLORER.EXE [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c295f445-9608-11dd-92ec-0007cb0000ff}] \shell\AutoRun\command - J:\e.com \shell\explore\Command - J:\e.com \shell\open\Command - J:\e.com . Contenu du dossier 'Tâches planifiées' 2009-02-11 c:\windows\Tasks\Norton Security Scan for sokona.job - c:\program files\Norton Security Scan\Nss.exe [2008-09-19 04:18] 2009-02-13 c:\windows\Tasks\User_Feed_Synchronization-{6BFE3A37-1A50-4A9C-A219-0F9572949343}.job - c:\windows\system32\msfeedssync.exe [2006-11-02 10:45] 2009-02-13 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=desktop uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 Trusted Zone: mirarsearch.com\click Trusted Zone: mirarsearch.com edirect DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/5.1.1.0/ImageUploader5.cab . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-13 23:59:08 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2009-02-14 0:02:16 ComboFix-quarantined-files.txt 2009-02-13 23:02:13 Avant-CF: 167 972 487 168 octets libres Après-CF: 168,914,120,704 octets libres 141 --- E O F --- 2009-02-13 21:58:01

Lyonnais92 · Answer

Re,

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_CURRENT_USER\Software\5C9A918C7CB9DA5C8D47BE798C6E2BAC

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

Si la clé n'existe pas, ou si le rapport est vide, c'est une bonne nouvelle. Ca veut dire que tes sécurités ont bloqué l'essentiel de l'infection.

=====================

Un support amovible, clé USB ou DD externe est  infecté.

Tu le brancheras sans l'ouvrir (dans J:\) avant de déplacer le fichier CFscript dont on va parler.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Killall::

File::
c:\windows\System32\winconfig.dll
J:\e.com 
 
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c295f445-9608-11dd-92ec-0007cb0000ff}] 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

sokona93 · Answer

desolé mais comment ouvrir le registre???

Lyonnais92 · Answer

Re,

démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.

Lyonnais92 · Answer

Bonjour,

oui, et tu peux "naviguer" dans le registre avec les 
+ et les - comme tu le fais avec l'explorateur Windows.

Antivirus 360

6 réponses

Discussions similaires