Antivirus Soft : Infecter et comment supprime
MisterJ
-
jakou65000 -
jakou65000 -
Bonjour,
Je viens de me faire infecter par ce faux antivirus et il bloque les gestionnaire de périphériques, l'ajout et suppression de programmes de windows, winrar, et pleins d'autres trucs susceptible de le désinstaller. Ce faux antivirus fait un faux scan du pc, avec de faux résultats, et ordonnant l'utilisateur d'acheter son "antivirus".
Aussi n'utilisez pas ce site, selon moi il est en lien avec le programme, vu que ce virus ne nous permet pas d'installer de .exe alors comment ce site peut-il nous supprimer Antivirus Soft si leur solution est en .exe ?
NE PAS UTILISER CE SITE:
http://fr.pc*threat.com/parasitebyid*-8915fr*.html
J'AI MIS DES ÉTOILES (*) pour que le lien ne s'affiche pas en lien cliquable.
bon pour le supprimer.
Démarrer votre ordinateur en mode sans échec.
(c'est avant que le logo WINDOWS apparaisse lors du démarrage, vous tapez sur un des touches F de votre clavier, de F4 à F12. Habituellement F8 ou F10.)
Ensuite, une fois mode sans échec chargé.
allez dans DÉMARRER.
allez dans EXECUTER.
tapez : regedit
et naviguer dans la liste de dossier de la colonne de gauche en commençant avec HKEY_LOCAL_MACHINE puis en suivant ce chemin jusqu'au dossier RUN :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Supprimez la ligne du programme qui vous infecte, celle ci fait qu'elle exécute le programme a chaque démarrage de l'ordinateur, parcontre les caractères en gras peuvent changer d'un ordinateur à un autre, elle ressemble à ceci :
[arlsknkw] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
Ensuite, retournez dans la colonne de gauche (tout en haut) du REGEDIT et ouvrez HKEY_CURRENT_USER et suivez ce chemin :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
et supprimez la ligne suivante parce qu'elle servirait au programme à se reconnecter :
ProxyServer = http=127.0.0.1:5555
ensuite, il faut retournez dans la colonne de gauche (mais pas tout en haut), prendre un dossier tout près.
c'est le même chemin que le dernier mais au lieu du dossier "Internet Settings" c'est le dossier "Run".
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
et supprimez cette ligne qui est une copie de la première ligne que vous avez supprimé (si elle existe) :
[arlsknkw] C:\Documents and Settings\user\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
Fermer ce programme "REGEDIT".
Finalement, il faut supprimer le programme malveillant.
Allez dans Poste de Travail.
Lecteur C: (ou celui que vous avez installé windows) et suivez ce chemin :
C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\
Si vous ne voyez pas le dossier "Local Settings" vous devez allez dans :
Outils > Options des dossiers > (onglet) Affichage > et sélectionner l'option (cercle) "Afficher les fichiers et dossiers cachés"
Puis le programme se trouve dans le dossier "lqtwnu", il peut changer mais c'est un dossier qui porte un nom incompréhensible.
...\lqtwnu\wqcmsysguard.exe
Supprimez le !
Pour finir, faites dont un scan d'ordinateur avec le réputer MalwareBytes Anti-malware qui est gratuit.
https://www.myantispyware.com/2008/08/28/malwarebytes-anti-malware-free-spyware-malware-trojan-remover/
source qui m'a aidé : https://www.myantispyware.com/2010/01/30/how-to-remove-antivirus-soft-uninstall-instructions/
Je viens de me faire infecter par ce faux antivirus et il bloque les gestionnaire de périphériques, l'ajout et suppression de programmes de windows, winrar, et pleins d'autres trucs susceptible de le désinstaller. Ce faux antivirus fait un faux scan du pc, avec de faux résultats, et ordonnant l'utilisateur d'acheter son "antivirus".
Aussi n'utilisez pas ce site, selon moi il est en lien avec le programme, vu que ce virus ne nous permet pas d'installer de .exe alors comment ce site peut-il nous supprimer Antivirus Soft si leur solution est en .exe ?
NE PAS UTILISER CE SITE:
http://fr.pc*threat.com/parasitebyid*-8915fr*.html
J'AI MIS DES ÉTOILES (*) pour que le lien ne s'affiche pas en lien cliquable.
bon pour le supprimer.
Démarrer votre ordinateur en mode sans échec.
(c'est avant que le logo WINDOWS apparaisse lors du démarrage, vous tapez sur un des touches F de votre clavier, de F4 à F12. Habituellement F8 ou F10.)
Ensuite, une fois mode sans échec chargé.
allez dans DÉMARRER.
allez dans EXECUTER.
tapez : regedit
et naviguer dans la liste de dossier de la colonne de gauche en commençant avec HKEY_LOCAL_MACHINE puis en suivant ce chemin jusqu'au dossier RUN :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Supprimez la ligne du programme qui vous infecte, celle ci fait qu'elle exécute le programme a chaque démarrage de l'ordinateur, parcontre les caractères en gras peuvent changer d'un ordinateur à un autre, elle ressemble à ceci :
[arlsknkw] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
Ensuite, retournez dans la colonne de gauche (tout en haut) du REGEDIT et ouvrez HKEY_CURRENT_USER et suivez ce chemin :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
et supprimez la ligne suivante parce qu'elle servirait au programme à se reconnecter :
ProxyServer = http=127.0.0.1:5555
ensuite, il faut retournez dans la colonne de gauche (mais pas tout en haut), prendre un dossier tout près.
c'est le même chemin que le dernier mais au lieu du dossier "Internet Settings" c'est le dossier "Run".
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
et supprimez cette ligne qui est une copie de la première ligne que vous avez supprimé (si elle existe) :
[arlsknkw] C:\Documents and Settings\user\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
Fermer ce programme "REGEDIT".
Finalement, il faut supprimer le programme malveillant.
Allez dans Poste de Travail.
Lecteur C: (ou celui que vous avez installé windows) et suivez ce chemin :
C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\
Si vous ne voyez pas le dossier "Local Settings" vous devez allez dans :
Outils > Options des dossiers > (onglet) Affichage > et sélectionner l'option (cercle) "Afficher les fichiers et dossiers cachés"
Puis le programme se trouve dans le dossier "lqtwnu", il peut changer mais c'est un dossier qui porte un nom incompréhensible.
...\lqtwnu\wqcmsysguard.exe
Supprimez le !
Pour finir, faites dont un scan d'ordinateur avec le réputer MalwareBytes Anti-malware qui est gratuit.
https://www.myantispyware.com/2008/08/28/malwarebytes-anti-malware-free-spyware-malware-trojan-remover/
source qui m'a aidé : https://www.myantispyware.com/2010/01/30/how-to-remove-antivirus-soft-uninstall-instructions/
A voir également:
- Antivirus Soft : Infecter et comment supprime
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Norton antivirus gratuit - Télécharger - Antivirus & Antimalwares
- Bitdefender antivirus free - Télécharger - Antivirus & Antimalwares
- Avast antivirus gratuit - Télécharger - Antivirus & Antimalwares
54 réponses
J'ai chopé vista antivirus 2010 ce soir, j'ai aussi vu le site pc threat qui m'a paru louche,
j'ai tout simplement chargé le dernier point de restauration de vista qui datait d'à peine une heure avant,
et c'est résolu...
alors pour les paresseux ou les ignorants allez dans 'restauration système' et choisissez la date qui vous semble la plus appropriée.
Le Dude
j'ai tout simplement chargé le dernier point de restauration de vista qui datait d'à peine une heure avant,
et c'est résolu...
alors pour les paresseux ou les ignorants allez dans 'restauration système' et choisissez la date qui vous semble la plus appropriée.
Le Dude
Bonsoir,
Merci pour ces explications, sauf que j'ai pas reussi à aller jusqu'au bout :
je n'ai pas (ou ne trouve pas) de dossier "LOCAL SETTINGS"
Voici le chemin que j'ai : C:\Documents and Settings\***\Application Data
J'ai bien essayer de sélectionner "Affichage des dossiers cachés", mais ça ne prend pas en compte mon le changement et toujours rien, je ne retrouve pas mon petit programme que je veux supprimer...
Merci pour votre aide !
Merci pour ces explications, sauf que j'ai pas reussi à aller jusqu'au bout :
je n'ai pas (ou ne trouve pas) de dossier "LOCAL SETTINGS"
Voici le chemin que j'ai : C:\Documents and Settings\***\Application Data
J'ai bien essayer de sélectionner "Affichage des dossiers cachés", mais ça ne prend pas en compte mon le changement et toujours rien, je ne retrouve pas mon petit programme que je veux supprimer...
Merci pour votre aide !
Mais sa me le fait depuis quelque jour vous aussi je crois car le post est tout recent il a du s'activer pour tout le monde en même temps j'ai encore un probleme moi je peu pas tous les supprimer car il dise qu'il est en cours d'execution .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci beaucoup pour cette explication !
Je lui ai fait la peau en 10min même si j'ai eu un peu de mal avec le mode échec (je suis même pas certaine de l'avoir enclenché en fait...) mais malwarebytes fait son travail.
Mais, juste une question : Je ne vois pas très bien comment j'ai chopé ce faux-antivus, donc si quelqu'un connait son modus operandi ?
Je lui ai fait la peau en 10min même si j'ai eu un peu de mal avec le mode échec (je suis même pas certaine de l'avoir enclenché en fait...) mais malwarebytes fait son travail.
Mais, juste une question : Je ne vois pas très bien comment j'ai chopé ce faux-antivus, donc si quelqu'un connait son modus operandi ?
(Juste une parenthese moi j'ai eu deux faux antivirus et vous ? antivirus soft et xp internet Security j'ai deja supprimer le soft mais xp j'y arrive pas)
Merci
Merci
Je me suis chopé cette "saloperie" ce matin. Un grand merci pour ce tutorial simple et efficace. Problème 100% fixé. A suivre.
bon ben aprés avoir bien suivi la procédure sa a marché , plus de putain d'antivirus soft :D
MERCI BEAUCOUP LES GENS
j'voulais juste rajouté que pour moi tout c'est passé niquel sauf la derniere phase ou il faut suprimé un dernier truc dans C:/document and setting/utilisateur/local Setting/aplication Data.
fichier que je n'ai pas trouver mais apparement tout fonctionne bien quand meme voila.
:)
MERCI BEAUCOUP LES GENS
j'voulais juste rajouté que pour moi tout c'est passé niquel sauf la derniere phase ou il faut suprimé un dernier truc dans C:/document and setting/utilisateur/local Setting/aplication Data.
fichier que je n'ai pas trouver mais apparement tout fonctionne bien quand meme voila.
:)
Un énoÔorme MERCI !
Cette procédure est simple et super efficace. Adieu les dizaines d'icônes du "centre de sécurité" Windows qui apparaissaient dans la barre des tâches.
Enfin on peut relancer n'importe quel .exe
J'ai passé une soirée avec ce virus, il m'a bien saoulé, et je savoure ma petite victoire contre lui grâce à vous...
Merci encore
Cette procédure est simple et super efficace. Adieu les dizaines d'icônes du "centre de sécurité" Windows qui apparaissaient dans la barre des tâches.
Enfin on peut relancer n'importe quel .exe
J'ai passé une soirée avec ce virus, il m'a bien saoulé, et je savoure ma petite victoire contre lui grâce à vous...
Merci encore
moi j'est trouvé une solution simple et efficace. Quand l'ordinateur ouvre, faite ctrl alt suppr. et définissez une nouvelle tache avant l'ouverture du virus. Entrer Msconfig pour aller dans le fichier correspondant. Rendu sur se programme, cliqué sur démarrer en haut pour configurer les programmes qui ouvre automatique a l'ouverture de l'ordinateur. Un des programme sera nommé qsxoftav (différent pour certaine personne) pour le trouvé, cherché tout les fichier qui commence avec document and setting et l'un d'eu sera une ensemble de lettre d'environ 5 a 8 lettres. Désactiver le et redémarrer l'ordinateur. Quand l'ordinateur redémarrera, le virus ne s'ouvrira plus jamais. Pour plus de sécurité, aller dans poste de travail, c:, Document and setting, nom de l'administrateur, local setting, application data et il y aura un fichier correspondant au nom du programme de vous avez interdit l'ouverture automatique. Supprimer le et tout va bien aller a présent.
Bonjour,
Merci exterminé en 5min grâce au "Tuto MisterJ"...
Chez moi c'était :
[qafjfygt] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\Ixrrvh\jplesftav.exe
@+
Jr
Merci exterminé en 5min grâce au "Tuto MisterJ"...
Chez moi c'était :
[qafjfygt] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\Ixrrvh\jplesftav.exe
@+
Jr
[arlsknkw] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe
Mais moi je suis sur vista et y a pas documents and setting, quelqu'un sait comment on fait sur vista pour suivre ce chemin ?
Mais moi je suis sur vista et y a pas documents and setting, quelqu'un sait comment on fait sur vista pour suivre ce chemin ?
Bonjour, si je poste sur ce topic, c'est que j'ai évidemment été infecté par ce A./:!;à@ :)
merci en tout cas, ce topic m'a bien aidé !! ;)
je voulais juste savoir, est-ce que ce "virus" est considéré comme un trojan ? est-il donc nécessaire de changer les mots de passe important que l'on a utilisé ces derniers temps ?
merci ;)
merci en tout cas, ce topic m'a bien aidé !! ;)
je voulais juste savoir, est-ce que ce "virus" est considéré comme un trojan ? est-il donc nécessaire de changer les mots de passe important que l'on a utilisé ces derniers temps ?
merci ;)
Un énorme merci !
Ca a marché à la perfection pour moi ;) (Bon j'en ai un peu chié vu que je suis sous vista mais le résultat est là)
Encore merci.
Ca a marché à la perfection pour moi ;) (Bon j'en ai un peu chié vu que je suis sous vista mais le résultat est là)
Encore merci.
Attention, le nom change, les clefs à rechercher dans la base de registre ne sont pas les mêmes pour Windows 7 que pour Vista ou XP.
Une méthode sous Windows 7...
Inutile de lancer Microsoft Security Essentials qui ne détecte (à ce jour) rien.
Lancer Windows 7 normalement mais actionner très vite Ctrl+Alt+Del...
Voir ensuite les applications qui se lancent.
Arrêter le processus qui vous semble suspect (en l'occurrence vnrlsftav.exe pour ma seconde attaque d'Antivirus soft).
Passer ensuite dans votre compte d'utilisateur [NOMDUTILISATEUR], généralement en C:, soit c:/Utilisateurs/Nomdutilisateur/AppData/local
Repérer un dossier de six lettres en minuscules.
Ex. obcqpy
Vous devriez y trouver un .exe (ex. nlfnstav.exe).
Supprimer tout...
Attention, vous pouvez avoir plusieurs instances du malware dans divers dossiers.
Passez ensuite sur un navigateur, voyez les conseils pour nettoyer la base de registre.
Le mieux est de lancer une recherche dans HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER avec le nom du programme .exe incriminé.
Donc rechercher, dans cet exemple : vnrlstav.exe
Supprimez les clefs.
Bizarrement, sur ma machine, l'installation du malware s'est faite après avoir cliqué sur des sites de quotidiens anglais. Adobe Reader s'est lancé, générant un message d'erreur...
Une méthode sous Windows 7...
Inutile de lancer Microsoft Security Essentials qui ne détecte (à ce jour) rien.
Lancer Windows 7 normalement mais actionner très vite Ctrl+Alt+Del...
Voir ensuite les applications qui se lancent.
Arrêter le processus qui vous semble suspect (en l'occurrence vnrlsftav.exe pour ma seconde attaque d'Antivirus soft).
Passer ensuite dans votre compte d'utilisateur [NOMDUTILISATEUR], généralement en C:, soit c:/Utilisateurs/Nomdutilisateur/AppData/local
Repérer un dossier de six lettres en minuscules.
Ex. obcqpy
Vous devriez y trouver un .exe (ex. nlfnstav.exe).
Supprimer tout...
Attention, vous pouvez avoir plusieurs instances du malware dans divers dossiers.
Passez ensuite sur un navigateur, voyez les conseils pour nettoyer la base de registre.
Le mieux est de lancer une recherche dans HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER avec le nom du programme .exe incriminé.
Donc rechercher, dans cet exemple : vnrlstav.exe
Supprimez les clefs.
Bizarrement, sur ma machine, l'installation du malware s'est faite après avoir cliqué sur des sites de quotidiens anglais. Adobe Reader s'est lancé, générant un message d'erreur...
Alala
En tout cas ca a été galère pour l'enlever vu que j'ai Windows Vista, c'est tout bizarre...
(environ 6h mai en même temps je suis malade)
Ou alors je suis nul (mai normalement c'est pas le cas je me débrouille toujours en informatique)
Bon débarras et encore merci pour tout ^^
*Je vais aller choper un doliprane*
Et bonne chance a tous les autres = )
En tout cas ca a été galère pour l'enlever vu que j'ai Windows Vista, c'est tout bizarre...
(environ 6h mai en même temps je suis malade)
Ou alors je suis nul (mai normalement c'est pas le cas je me débrouille toujours en informatique)
Bon débarras et encore merci pour tout ^^
*Je vais aller choper un doliprane*
Et bonne chance a tous les autres = )
HEY ! ^^
Salut tout le monde ! Comme vous je me suis fait infecter par ce virus de *,/'"è**... bref et je viens demander de l'aide pour tous ceux qui comme moi ont "VISTA" et qui ne trouve pas de solution ! J'ai lu tous les commentaire et j'ai bien compris que le nom change suivant XP, windows 7... Mais le truc c'est que moi sur vista, quand je vais dans "LOCAL MACHINE / run" ou "CURRENT USER", j'ai carrément aucun fichier qui pourrait correspondre, comme si il existait pas ! Mais quand je suis aller dans le lecteur C genre j'ai trouvé "xjnesftav.exe" ! XD Et maintenant je sais pas quoi faire donc si quelqu'un à trouvé la solution sur Vista, je lui dirais tout simplement: Pitié, AIDE MOOOOOOIIII ! Merci ^^
Salut tout le monde ! Comme vous je me suis fait infecter par ce virus de *,/'"è**... bref et je viens demander de l'aide pour tous ceux qui comme moi ont "VISTA" et qui ne trouve pas de solution ! J'ai lu tous les commentaire et j'ai bien compris que le nom change suivant XP, windows 7... Mais le truc c'est que moi sur vista, quand je vais dans "LOCAL MACHINE / run" ou "CURRENT USER", j'ai carrément aucun fichier qui pourrait correspondre, comme si il existait pas ! Mais quand je suis aller dans le lecteur C genre j'ai trouvé "xjnesftav.exe" ! XD Et maintenant je sais pas quoi faire donc si quelqu'un à trouvé la solution sur Vista, je lui dirais tout simplement: Pitié, AIDE MOOOOOOIIII ! Merci ^^
Jl'ai chopé jsais pas comment non plus !
Et pour te répondre chez moi il s'appelait twjdsftav.exe ! la fin est pareille pour toi donc jsuppose que tu peux le supprimer sans trop de risque. Moi en tout cas, visiblement ça a marché.
Mais jte conseille bien de faire la recherche du nom de ton *.exe dans le registre pour vraiment supprimer toute trace
Et pour te répondre chez moi il s'appelait twjdsftav.exe ! la fin est pareille pour toi donc jsuppose que tu peux le supprimer sans trop de risque. Moi en tout cas, visiblement ça a marché.
Mais jte conseille bien de faire la recherche du nom de ton *.exe dans le registre pour vraiment supprimer toute trace
Sous vista
Ne paniquez pas!
redémarrer, taper F8 avant le lancement de windows, aller dans réparer ordinateur, restauration système, choisir le point de restauration qui vous convient, executer et c'est fini. Ca prend 5 minutes.
Je vois pas pourquoi vous voulez batailler avec regedit et compagnie...
ça déjà été dit plus haut mais bon, faut croire qu'en répétant les gens vont le faire!!
merci et @+
Ne paniquez pas!
redémarrer, taper F8 avant le lancement de windows, aller dans réparer ordinateur, restauration système, choisir le point de restauration qui vous convient, executer et c'est fini. Ca prend 5 minutes.
Je vois pas pourquoi vous voulez batailler avec regedit et compagnie...
ça déjà été dit plus haut mais bon, faut croire qu'en répétant les gens vont le faire!!
merci et @+
salut , merci merci pour ces info on ne peut plus precieuses et serieuse.
juste un petit inconvenient pour ma part a propos de la derniere etape qui consiste
a supprimer le fichier dans C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data
en effet je suis sous vista et comme il est overprotegé je n'ai pas acces a document and setting meme en tant qu'administrateur et tout le bataclan.
je n'est donc pas pu supprimé le fichier qui permettra a ce virus de se reinstaller.
c'est embetant.
y aurait il une solution s'il vous plait.
merci d'avance, n'hesitez pas a me contacter par mail
thomas.fullana@hotmail.fr
tom
juste un petit inconvenient pour ma part a propos de la derniere etape qui consiste
a supprimer le fichier dans C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data
en effet je suis sous vista et comme il est overprotegé je n'ai pas acces a document and setting meme en tant qu'administrateur et tout le bataclan.
je n'est donc pas pu supprimé le fichier qui permettra a ce virus de se reinstaller.
c'est embetant.
y aurait il une solution s'il vous plait.
merci d'avance, n'hesitez pas a me contacter par mail
thomas.fullana@hotmail.fr
tom
Un grand merci à la tribu "comment ça Marche", qui nous a permis de nous débarrasser de ce fichu logiciel malveillant !
Salut,
Hé bien voilà, je viens d'être infecté à mon tour. Heureusement que j'ai trouvé le forum sur mon lieu de travail. J'essaierai la méthode dès ce soir en espérant que ça fonctionne. Merci d'avance.
Par contre, juste avant d'être infecté, j'ai norton qui m'avait indiqué avoir bloqué une tentative d'intrusion... Et meme après l'infection, j'ai lancé une analyse complète avec norton, et il ne m'a rien trouvé d'anormal???
Autre chose qui m'a interpelé, c'est que j'ai lu l'un d'entre vous qui a parlé d'une mise à jour d'adobe reader... Effectivement, hier j'ai eu une mise à jour de ce dernier. Bizarre non?
Hé bien voilà, je viens d'être infecté à mon tour. Heureusement que j'ai trouvé le forum sur mon lieu de travail. J'essaierai la méthode dès ce soir en espérant que ça fonctionne. Merci d'avance.
Par contre, juste avant d'être infecté, j'ai norton qui m'avait indiqué avoir bloqué une tentative d'intrusion... Et meme après l'infection, j'ai lancé une analyse complète avec norton, et il ne m'a rien trouvé d'anormal???
Autre chose qui m'a interpelé, c'est que j'ai lu l'un d'entre vous qui a parlé d'une mise à jour d'adobe reader... Effectivement, hier j'ai eu une mise à jour de ce dernier. Bizarre non?
