impossible de supprimer vista security tool Résolu/Fermé

Question

Bonjour, 

Voilà depuis quelques heures je suis infectée par un faux antivirus " Vista security tool 2010", j'ai d'abord arrêté le processus pour qu'il arrête de m'embêter avec les fenêtres qui s'ouvraient tout le temps et j'ai fais un scan complet avec malwarebytes anti-malware, il a trouvé ave.exe, j'ai donc demandé à le supprimer. Puis j'ai redémarré mon ordi comme demandé, mais voilà le faux anti-virus est toujours là et je ne sais pas comment faire, j'ai essayé de relancer un scan en mode sans échec mais le faux antivirus se lance encore!
Je ne sais vraiment plus quoi faire je suis désespérée!!!J'espère que quelqu'un pourra m'aider à supprimer ce faux antivirus qui me pourrit mon ordi!!!

Merci

Configuration: Windows Vista / Firefox 3.6.2

Destrio5 · Answer

Bonjour,

--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
--> Coche également les cases à côté de LOP Check et Purity Check.
--> Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

skalayne · Answer

ok  d'accord je vais faire ça, je transmets le rapport dès que je l'ai!merci

skalayne · Answer

voila le premier rapport OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cij99hkdJg.txt

et le deuxième rapport extra.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijK6Pdy6f.txt

Destrio5 · Answer

--> Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le programme UsbFix situé sur ton Bureau.

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

skalayne · Answer

j'ai fais tout ce que tu m'as dis, voici le rapport:

############################## | UsbFix V6.100 |

User : Pascaline (Administrateurs) # PC-DE-PASCALINE
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:42:08 | 26/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) M CPU        520  @ 1.60GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local # 68,55 Go (13,83 Go free) # NTFS
D:\ -> Disque fixe local # 5,98 Go (2,26 Go free) [PRESARIO_RP] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
I:\ -> Disque amovible # 3,76 Go (231,96 Mo free) [USB PASCA] # FAT32

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{010ae310-1d1c-11de-95d4-0016d4f0125c}
shell\Auto\command =G:\Windows.scr 
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Windows.scr

HKCU\..\..\Explorer\MountPoints2\{7d4952ea-9862-11dc-ad45-0016d4f0125c}
shell\Auto\command =F:\AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{94c9993c-8a10-11dd-aad1-0016d4f0125c}
shell\AutoRun\command =H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe 
shell\open\command =H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe 

HKCU\..\..\Explorer\MountPoints2\{b0d334ea-3031-11df-b90d-0016d4f0125c}
shell\AutoRun\command =G:\WDSetup.exe 

HKCU\..\..\Explorer\MountPoints2\{b510eb3d-47ea-11dc-8428-0016d4f0125c}
shell\Auto\command =AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{b511ae12-e0d5-11dd-82e1-0016d4f0125c}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

HKCU\..\..\Explorer\MountPoints2\{b7a6ea2c-6b89-11dc-ba58-0016d4f0125c}
shell\Auto\command =AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{b7a6ea31-6b89-11dc-ba58-0016d4f0125c}
shell\AutoRun\command =F:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{de8e06f4-e624-11dc-a291-0016d4f0125c}
shell\AutoRun\command =G:\Autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{df655361-4f50-11de-81cc-0016d4f0125c}
shell\AutoRun\command =G:\ 
shell\explore\Command =G:\RECYCLED\INFO.exe 
shell\open\Command =G:\RECYCLED\INFO.exe 

HKCU\..\..\Explorer\MountPoints2\{e6ad22e2-a72c-11dd-9bd8-0016d4f0125c}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

HKCU\..\..\Explorer\MountPoints2\{f3eccd38-8c11-11de-9362-0016d4f0125c}
shell\AutoRun\command =H:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{f4c3e144-6769-11dc-8cb4-0016d4f0125c}
shell\Auto\command =G:\AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{f4c3e149-6769-11dc-8cb4-0016d4f0125c}
shell\AutoRun\command =F:\LaunchU3.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.100 ! |

Destrio5 · Answer

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur UsbFix présent sur ton Bureau.

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

skalayne · Answer

alors voilà le rapport:
############################## | UsbFix V6.100 |

User : Pascaline (Administrateurs) # PC-DE-PASCALINE
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:00:02 | 26/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) M CPU        520  @ 1.60GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local # 68,55 Go (13,66 Go free) # NTFS
D:\ -> Disque fixe local # 5,98 Go (2,26 Go free) [PRESARIO_RP] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
I:\ -> Disque amovible # 3,76 Go (231,14 Mo free) [USB PASCA] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Users\PASCAL~1\AppData\Local\Temp\utt24EF.tmp.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1283721381-2730647789-1513797481-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1721104023-3564534965-4289303089-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1721104023-3564534965-4289303089-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1721104023-3564534965-4289303089-1000 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{010ae310-1d1c-11de-95d4-0016d4f0125c}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{7d4952ea-9862-11dc-ad45-0016d4f0125c}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{94c9993c-8a10-11dd-aad1-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b0d334ea-3031-11df-b90d-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b510eb3d-47ea-11dc-8428-0016d4f0125c}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b511ae12-e0d5-11dd-82e1-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b7a6ea2c-6b89-11dc-ba58-0016d4f0125c}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b7a6ea31-6b89-11dc-ba58-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{de8e06f4-e624-11dc-a291-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{df655361-4f50-11de-81cc-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e6ad22e2-a72c-11dd-9bd8-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f3eccd38-8c11-11de-9362-0016d4f0125c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f4c3e144-6769-11dc-8cb4-0016d4f0125c}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f4c3e149-6769-11dc-8cb4-0016d4f0125c}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 21:43|--a------|24] C:\autoexec.bat 
[02/11/2006 09:53|-rahs----|438840] C:\bootmgr 
[18/09/2006 21:43|--a------|10] C:\config.sys 
[22/12/2007 11:54|--a------|155878] C:\ExtractLog.txt 
[14/10/2009 17:05|--a------|230424] C:\img1-001.raw 
[?|?|?] C:\pagefile.sys 
[24/02/2010 23:09|--ah-----|16384] C:\SZKGFS.dat 
[03/09/2009 11:36|--a------|909] C:\updatedatfix.log 
[26/03/2010 17:08|--a------|3205] C:\UsbFix.txt 
[11/09/2005 15:18|---hs----|340] D:\AUTOMODE 
[10/08/2007 19:22|---hs----|13] D:\BLOCK.RIN 
[03/10/2006 23:02|---hs----|438328] D:\bootmgr 
[03/11/2006 19:43|---hs----|117] D:\Desktop.ini 
[10/09/2002 16:14|---hs----|8134] D:\Folder.htt 
[10/08/2007 20:18|--ahs----|22] D:\HPCD.sys 
[10/08/2007 19:46|---hs----|730] D:\MASTER.LOG 
[29/01/2007 15:56|---hs----|109060] D:\protect.ed 
[10/08/2007 19:46|-r-hs----|26] D:\RCBoot.sys 
[24/02/2010 23:09|--ah-----|16384] D:\SZKGFS.dat 
[10/08/2007 19:45|--ahs----|14] D:\USER 
[20/02/2010 17:30|--a------|260020] I:\customer.pdf 
[26/03/2010 16:58|--a------|2054] I:\BOOTEX.LOG 
[14/03/2006 16:47|--a------|730277888] I:\Derailed.avi 
[18/02/2009 12:14|---hs----|87] I:\desktop.ini 
[04/09/2009 14:04|--a------|471040] I:\CV english.doc 
[20/02/2010 18:01|--a------|263632] I:\suppliers.pdf 
[21/02/2010 19:05|--a------|41472] I:\CASE STUDY SHRD.doc 
[20/02/2010 16:43|--a------|4834676] I:\dissert role business schools.pdf 
[20/02/2010 17:06|--a------|538877] I:\shareholders.pdf 
[21/02/2010 18:17|--a------|184339] I:\line manager.pdf 
[20/02/2010 18:56|--a------|120739] I:	raining supplier.pdf 
[20/02/2010 14:54|--a------|88032] I:\edin brussels 27.pdf 
[04/12/2009 07:27|--a------|851968] I:\7x11_One Tree Hil.avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Pascaline.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.100 ! |

Destrio5 · Answer

--> Relance UsbFix et choisis l'option 6 pour le désinstaller.

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :




:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
[2010/03/25 20:07:04 | 000,204,800 | -HS- | C] () -- C:\Users\Pascaline\AppData\Local\3292048846.dll     
[2010/03/25 20:05:57 | 000,020,148 | -HS- | C] () -- C:\Users\Pascaline\AppData\Local\2Q757bFxJ7S     
[2010/03/25 20:05:57 | 000,020,148 | -HS- | C] () -- C:\ProgramData\2Q757bFxJ7S     
[2010/03/25 20:05:52 | 000,204,800 | -HS- | C] () -- C:\Users\Pascaline\AppData\Local\ave.exe     

:commands
[emptytemp]
[reboot]




--> Puis clique sur le bouton Run Fix en haut de la fenêtre.
--> Laisse le programme travailler, redémarre une fois le fix terminé.
--> Poste le rapport qui s'affichera après redémarrage.

skalayne · Answer

oh nan je viens juste de voir une fenetere s'ouvrir de vista security tool 2010 comme quoi je suis infectée par trojan-downloader.bat.ftp.ab
la suppression n'a pas marché?

Destrio5 · Answer

UsbFix ne supprime pas les rogues.

skalayne · Answer

le pc a redmarré tout seul et maintenant et il ny a pas eu de posts qui sest affiché et ma souris fait que de clignoter
je ne peuxplus aller sur internet(je suis sur le pc de ma colloc)

Destrio5 · Answer

Redémarre-le encore une fois.

skalayne · Answer

c'est ce que j'ai fais, la souris a l'air bien, mais je n'ai pas eu de posts

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

skalayne · Answer

il y a des programmes qui veulent s'executer tout seul, et j'ai pas mal d'icones de fichier sur qui sont apparus moitié transparentes(comme quand les fichiers sont cachés)

skalayne · Answer

jai une fenetre qui sest ouverte apres la maj pour me demander avec quoi ouvri bam setup.exe

skalayne · Answer

mbam-setup.exe désolée pour les fautes c'est un clavier qwerty je galère

Destrio5 · Answer

https://www.commentcamarche.net/faq/10047-les-fichiers-executables-exe-ne-s-ouvrent-plus

skalayne · Answer

le lien cest pour les pc xp et 2000 mais moi cest un vista

Destrio5 · Answer

Pour Vista :
https://www.winhelponline.com/fileasso/exefix_vista.zip

skalayne · Answer

je transfere ce truc zip sur mon pc avec une cle usb?je suis desolee je m'y connais pas trop en informatique

Destrio5 · Answer

Ce qui est important, c'est le fichier .reg qui est à l'intérieur du zip. 

Oui, tu peux utiliser une clé USB.

skalayne · Answer

j'ai mis le exefix sur mon ordi jai pas reussi a extraire les fichiers mais ja reussi a executer le fichier a l'intérieur de l'archive (exefix_vista.reg), mais mon ordi demande si je veux bien continuer car ca pourrait endommager le fonctionnement de composants, j'imagine que je dois mettre oui?

Destrio5 · Answer

Exact.

skalayne · Answer

les clés de registre ont été ajoutés au registre, et maintenant?

Destrio5 · Answer

Tu peux faire la manip' avec MBAM ?

skalayne · Answer

yes ça installe la mise a jour nickel,maintenant je fais un scan rapide?car le scan complet a pris 3h30 hier

Destrio5 · Answer

Oui, examen rapide.

skalayne · Answer

ok c'est lancé!il n'y a plus qu'à attendre maintenant!

skalayne · Answer

donc je supprime tout ce qu'il a trouvé??

Destrio5 · Answer

Ok puis tu postes le rapport.

skalayne · Answer

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3918
Windows 6.0.6000
Internet Explorer 7.0.6000.16982

26/03/2010 18:29:07
mbam-log-2010-03-26 (18-29-06).txt

Type de recherche: Examen rapide
Eléments examinés: 107806
Temps écoulé: 13 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Pascaline\AppData\Local\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Pascaline\AppData\Local\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Pascaline\AppData\Local\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


et là mbam demande de le redémarrer je le fais aussi j'imagine

Destrio5 · Answer

Oui.

Le PC va mieux ?

--> Relance MBAM, va dans Quarantaine et supprime tout.

--> Mets à jour Java.

--> Mets à jour Adobe Reader.

--> Refais un scan OTL et poste le rapport OTL.

skalayne · Answer

le pc a l'air mieux pas de faux antivirus en vue pour l'instant, mais en redémarrant, il m'a dit que windows avait bloqué certains programmes(genre toolbar et les trucs que j'avais mis sur mon bureau), bref en ouvrant OTL, y'a ce rapport là qui s'est ouvert tout seul : 
All processes killed
========== OTL ==========
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
C:\Users\Pascaline\AppData\Local\3292048846.dll moved successfully.
C:\Users\Pascaline\AppData\Local\2Q757bFxJ7S moved successfully.
C:\ProgramData\2Q757bFxJ7S moved successfully.
C:\Users\Pascaline\AppData\Local\ave.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Pascaline
->Temp folder emptied: 511650017 bytes
->Temporary Internet Files folder emptied: 160156365 bytes
->Java cache emptied: 55407393 bytes
->FireFox cache emptied: 32943358 bytes
->Apple Safari cache emptied: 1195459 bytes
->Flash cache emptied: 13061920 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 758647262 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1 462,00 mb
 
 
OTL by OldTimer - Version 3.1.37.3 log created on 03262010_171849

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Dois-je relancer un scan OTLquand même pour être sûr?

skalayne · Answer

car c'est surement le scan qui aurait du apparaitre avant et qui n'était pas apparu?

Destrio5 · Answer

Exact.

skalayne · Answer

j'ai fais le scan, voici le lien du rapport(car il était trop long ça buggait):
http://www.cijoint.fr/cjlink.php?file=cj201003/cij2HTB6k2.txt

Destrio5 · Answer

1/

---> Télécharge OTC sur ton Bureau :
* Clique droit sur OTC et choisis Exécuter en tant qu'administrateur.
* Clique sur CleanUp! puis clique sur Yes à la fenêtre Confirm.
* Redémarre ton PC comme demandé.


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

skalayne · Answer

Ok je vais faire tout ce que tu m'as dis!!vraiment merci beaucoup, je sais pas quoi dire c'est vraiment gentil d'avoir pris du temps pour m'aider avec ce virus!!!merci encore pour tous tes conseils!!!!je peux passer une soirée sereine maintenant!!!merci!!!=)

Impossible de supprimer vista security tool

39 réponses

Discussions similaires