Virus ?

Résolu
titi85 -  
 titi85 -
Bonjour,
J'ai apparemment ouvert quelque chose qu'il ne fallait pas et depuis une fenetre de "windows antivirus pro" apparait. Je pense que c'est une pub mais très envihissante, ça me dit que j'ai des fichiers infectés, j'ai des fenetres qui s'ouvrent sans arret me disant d'acheter cet antivirus (publicité en pound je crois) et je n'arrive pas à m'en débarasser. Je ne sais pas si ça a un lien, mais depuis ce matin je n'arrive plus à ouvrir msn...
Si quelqu'un peut m'aider...
Merci d'avance pour votre aide
Configuration: Windows XP Internet Explorer 6.0

51 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une fenêtre d'anti-virus trompeuse s'est affichée après une action suspecte, affichant des messages d'infection et des sollicitations d'achat, et le système devient instable avec des publicités intrusives. Pour débarrasser le système, l'intervenant recommande Malwarebytes' Anti-Malware en examen rapide, qui identifie et met en quarantaine des processus, fichiers et clés de registre associées au logiciel malveillant nommé Windows AntiVirus Pro. Le rapport détaille des éléments infectés tels que svchast.exe et des fichiers dans C:\Program Files\Windows AntiVirus Pro, qui ont été quarantinés ou supprimés et des clés de registre nettoyées. D'autres conseils soulignent l'importance de vérifier les programmes de démarrage et d'envisager une analyse complémentaire, car des composants persistent parfois et nécessitent une seconde passe.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut, commence par faire ceci :

    RSIT ----->

    [x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

    [x] Double clique sur " RSIT.exe ".

    [x] Clique sur " Continue ".

    [x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

    [x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

    [x] Copie colle le contenu des deux rapports dans ton prochain message

    -------> Si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
    0
  2. titi85
     
    Salut !
    Merci beaucoup pour ta réponse.
    Alors j'ai téléchargé le fichier, mais impossible de l'ouvrir... D'ailleurs je ne sais pas si ça a un rapport ou non mais il y a d'autres fichiers que je n'arrive pas à ouvrir non plus...
    0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    renomme le en " ccm.exe "

    Sinon essaie en mode sans echec.
    0
  4. titi85
     
    en le renommant ça ne marche pas, et je n'arrive pas à rallumer mon ordi en mode sans échec, il veut rien savoir...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Essaie directement ceci :

    +-+-+-+-+-+-+-+-+-+-+ Malwarebyte's Anti-Malware +-+-+-+-+-+-+-+-+-+-+


    [x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    [x] Suis la procédure d'installation

    [x] N'oublie pas de le mettre à jour

    [x] Lance un scan en mode complet

    [x] Coche bien tout les éléments trouvés et supprime les !

    [x] Tu seras peut être amené à redémarrer ton PC, fait le.

    [x] Copie/Colle le rapport qui s'ouvrira ( il se trouve dans la partie " Rapports/log " de Malwarebyte's )

    [x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  7. titi85
     
    Déjà je te remercie énormément pour ton aide et la rapidité de tes réponses.
    Donc j'ai commencé par télécharger le fichier, et là même problème impossible de l'ouvrir...
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Quel message d'erreur as-tu ?
    0
  9. titi85
     
    Lorsque je veux ouvrir le fichier il n'y a pas de message d'erreur, c'est en fait une fenetre noire qui s'ouvre pendant même pas une seconde puis elle disparait, et je clique dans le vide en gros
    0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Et pour le mode sans echec ? as tu essayé plusieurs touches ( F8, F5, F10 ) ?
    0
  11. titi85
     
    Non ça ne marche pas non plus... Avec F2 j'arrive à rentrer dans le "setup" mais là je ne maitrise pas trop
    0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Non c'est pas dans le bios qu'il faut aller ...

    Est ce que tu tapote bien sur la touche juste au démarrage jusqu'a ce qu'il s'affiche l'écran ou tu peux choisir " mode sans echec " ?
    0
  13. titi85
     
    J'ai réussi à démarrer en mode sans échec (en fait j'appuyais en continu sur la touche donc ça marchait pas...). Par contre je n'arrive toujours pas à ouvrir les fichiers (j'ai essayer les deux que tu m'avais donnés plus haut)
    0
  14. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Essaye ça :

    DDO ---->

    Télécharge DDO (de Anthony5151 ) à cette adresse : http://sd-1.archive-host.com/membres/up/7739387536519291/DDO.bat

    Enregistre le sur ton bureau, puis lance le

    Lis attentivement les informations et appuie sur une touche pour continuer

    Dans la nouvelle fenêtre qui s'ouvrira, tape : mbam-setup.exe
    0
  15. titi85
     
    Ca y est je crois que c'est bon !!! J'ai suivi ta procédure, j'ai supprimé tous les fichiers infestés et après redemarrage ça a l'air bon, je n'ai plus aucune fenetre qui s'affiche. Je te remercie énormément pour ton aide et ta rapidité. Mille merci encore !
    0
  16. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Est ce que tu as passé malwarebyte's ? il y a surement encore des clés infectieuses..

    De plus ta désinféction n'est pas terminée !

    Si tu as passé malwarebyte's j'aimerais voir le rapport
    0
  17. titi85
     
    Ah mince je me croyais débarassé... J'ai trouvé le rapport mais je te le mets comme ça sur le forum ??
    0
  18. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Oui tu le copies / colle dans ton prochain message
    0
  19. titi85
     
    ok le voila :

    alwarebytes' Anti-Malware 1.40
    Version de la base de données: 2708
    Windows 5.1.2600 Service Pack 2

    28/08/2009 15:35:08
    mbam-log-2009-08-28 (15-35-08).txt

    Type de recherche: Examen rapide
    Eléments examinés: 95544
    Temps écoulé: 7 minute(s), 4 second(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 12
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 3
    Fichier(s) infecté(s): 52

    Processus mémoire infecté(s):
    C:\WINDOWS\svchast.exe (Trojan.FakeAlert) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\dddesot.dll (Rogue.ASC-AntiSpyware) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\antippro2009_100 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\antippro2009_100 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\antippro2009_100 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{76dc0b63-1533-4ba9-8be8-d59eb676fa02} (Rogue.ASC-AntiSpyware) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{76dc0b63-1533-4ba9-8be8-d59eb676fa02} (Rogue.ASC-AntiSpyware) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{76dc0b63-1533-4ba9-8be8-d59eb676fa02} (Rogue.ASC-AntiSpyware) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Windows antiVirus pro (Rogue.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Win AntiVirus Pro (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-18\SOFTWARE\Windows antiVirus pro (Rogue.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_ANTIPPRO2009_100 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (C:\WINDOWS\system32\desot.exe "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Program Files\Windows AntiVirus Pro (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\svchast.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\dddesot.dll (Rogue.ASC-AntiSpyware) -> Quarantined and deleted successfully.
    C:\WINDOWS\temp\_ex-68.exe (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lina\Local Settings\Temp\INSTALL.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\msvcm80.dll (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\msvcp80.dll (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\msvcr80.dll (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\Windows Antivirus Pro.exe (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\wispex.html (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\i1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\i2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\i3.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\j1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\j2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\j3.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\jj1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\jj2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\jj3.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\l1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\l2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\l3.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\pix.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\t1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\t2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\up1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\up2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\w1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\w11.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\w2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\w3.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\w3.jpg (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\wt1.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\wt2.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Program Files\Windows AntiVirus Pro\tmp\images\wt3.gif (Rogue.WindowsAntiVirusPro) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lina\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    C:\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\bennuar.old (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\bincd32.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\desot.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\onhelp.htm (Rogue.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\sonhelp.htm (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\sysnet.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\temp\_ex-08.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\WINDOWS\temp\wpv931250826839.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\temp\wpv771251033318.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\temp\wpv111251192695.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\temp\wpv791251285056.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\ppp3.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\ppp4.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
  20. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok malware à fait du bon boulot ( comme d'habitude lol )

    Normalement tu devrais pouvoir executer RSIT maintenant.

    Donc réessaye de faire la première procédure que je t'ai demandé.
    0
  • 1
  • 2
  • 3