Un faux antispyware bloque toutes mes applis
Résolu
rouky
-
rouky81 Messages postés 21 Date d'inscription Statut Membre Dernière intervention -
rouky81 Messages postés 21 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai un faux antispyware qui s'est incrusté et qui m'inonde de messages, et que je n'arrive pas à enlever.
Il m'empêche d'ouvrir toutes mes applications (avast, spybot...), de faire une restauration système par le panneau de config, de démarrer en mode sans échec, d'installer Hijackthis...
Là, j'avoue que je suis complètement désemparé car je ne vois pas comment m'en sortir
Si quelqu'un avait une idée à me soumettre pour se débarrasser de cette saleté...
Merci
J'ai un faux antispyware qui s'est incrusté et qui m'inonde de messages, et que je n'arrive pas à enlever.
Il m'empêche d'ouvrir toutes mes applications (avast, spybot...), de faire une restauration système par le panneau de config, de démarrer en mode sans échec, d'installer Hijackthis...
Là, j'avoue que je suis complètement désemparé car je ne vois pas comment m'en sortir
Si quelqu'un avait une idée à me soumettre pour se débarrasser de cette saleté...
Merci
A voir également:
- Un faux antispyware bloque toutes mes applis
- Code puk bloqué - Guide
- Téléphone bloqué code verrouillage - Guide
- Pavé tactile bloqué - Guide
- Compte gmail bloqué - Guide
- Formater un pc bloqué par administrateur - Guide
44 réponses
non, c'est pas ce genre de messagebox. Mais je ne pense pas que tu m'ais déjà parlé d'ISO encore ...
Faut peut être que je fasse la phase préliminaire que tu indique ici alors ? : https://forum.malekal.com/viewtopic.php?t=23391&start=
Faut peut être que je fasse la phase préliminaire que tu indique ici alors ? : https://forum.malekal.com/viewtopic.php?t=23391&start=
heu ouais je suis à l'ouest, y a pas d'ISO, c'est automatique la gravure.
Je vois pas de quoi tu parles, tu peux faire une capture d'écran et l'envoyer sur http://www.cijoint.fr/ et donner le lien ici.
Je vois pas de quoi tu parles, tu peux faire une capture d'écran et l'envoyer sur http://www.cijoint.fr/ et donner le lien ici.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
* redemarre sur reatogo (OTLPE)
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune
* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK
o sous Custom Scan box copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
DRV - File not found [Kernel | System] -- -- (pncexyextvpjvmwy)
DRV - File not found [Kernel | System] -- -- (itirsqdsecvtuufw)
DRV - [2010/05/31 09:22:50 | 000,823,808 | ---- | M] () [Kernel | Boot] -- C:\Windows\System32\drivers\erctujhh.sys -- (erctujhh)
IE - HKU\Aurélien_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
:files
C:\Windows\System32\drivers\erctujhh.sys
C:\Users\Aurélien\Desktop\aomwin110ea24.exe
C:\Users\Aurélien\Desktop\aomvstea23us.exe
C:\Users\Aurélien\AppData\Local\RIiYj0K8
* redemarre le pc sous windows et poste le rapport ici
Relance Combofix et poste le rapport ici.
Ready To Fall \o/
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune
* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK
o sous Custom Scan box copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
DRV - File not found [Kernel | System] -- -- (pncexyextvpjvmwy)
DRV - File not found [Kernel | System] -- -- (itirsqdsecvtuufw)
DRV - [2010/05/31 09:22:50 | 000,823,808 | ---- | M] () [Kernel | Boot] -- C:\Windows\System32\drivers\erctujhh.sys -- (erctujhh)
IE - HKU\Aurélien_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555
:files
C:\Windows\System32\drivers\erctujhh.sys
C:\Users\Aurélien\Desktop\aomwin110ea24.exe
C:\Users\Aurélien\Desktop\aomvstea23us.exe
C:\Users\Aurélien\AppData\Local\RIiYj0K8
* redemarre le pc sous windows et poste le rapport ici
Relance Combofix et poste le rapport ici.
Ready To Fall \o/
Rapport après Runfix :
========== OTL ==========
Service\Driver key pncexyextvpjvmwy not found.
Service\Driver key itirsqdsecvtuufw not found.
Service\Driver key erctujhh not found.
File C:\Windows\System32\drivers\erctujhh.sys not found.
HKU\Aurélien_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== FILES ==========
File\Folder C:\Windows\System32\drivers\erctujhh.sys not found.
File\Folder C:\Users\Aurélien\Desktop\aomwin110ea24.exe not found.
File\Folder C:\Users\Aurélien\Desktop\aomvstea23us.exe not found.
File\Folder C:\Users\Aurélien\AppData\Local\RIiYj0K8 not found.
OTLPE by OldTimer - Version 3.1.39.0 log created on 05312010_201610
Par contre, je lance Combofix mais après les 50 étapes, il me supprime un fichier et un dossier mais ça reste sur l'invite de commandes... Faut que je tape "exit" ?
Il y a aussi une message box qui me dit "handle viewer a cessé de fonctionner"...
========== OTL ==========
Service\Driver key pncexyextvpjvmwy not found.
Service\Driver key itirsqdsecvtuufw not found.
Service\Driver key erctujhh not found.
File C:\Windows\System32\drivers\erctujhh.sys not found.
HKU\Aurélien_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== FILES ==========
File\Folder C:\Windows\System32\drivers\erctujhh.sys not found.
File\Folder C:\Users\Aurélien\Desktop\aomwin110ea24.exe not found.
File\Folder C:\Users\Aurélien\Desktop\aomvstea23us.exe not found.
File\Folder C:\Users\Aurélien\AppData\Local\RIiYj0K8 not found.
OTLPE by OldTimer - Version 3.1.39.0 log created on 05312010_201610
Par contre, je lance Combofix mais après les 50 étapes, il me supprime un fichier et un dossier mais ça reste sur l'invite de commandes... Faut que je tape "exit" ?
Il y a aussi une message box qui me dit "handle viewer a cessé de fonctionner"...
C'est quoi ce boxon il a rien trouvé et n'a rien supprimé ?!
sur OTLPE tu le vois ce fichier C:\Windows\System32\drivers\erctujhh.sys ?
Tu peux regénérer un nouveau rapport OTLE depuis OTLPE et le poster ici stp.
Ready To Fall \o/
sur OTLPE tu le vois ce fichier C:\Windows\System32\drivers\erctujhh.sys ?
Tu peux regénérer un nouveau rapport OTLE depuis OTLPE et le poster ici stp.
Ready To Fall \o/
donc j'ai recommencé à partir du runfix, pour le rapport OTLPE :
========== OTL ==========
Service\Driver key pncexyextvpjvmwy not found.
Service\Driver key itirsqdsecvtuufw not found.
Service\Driver key erctujhh not found.
File C:\Windows\System32\drivers\erctujhh.sys not found.
HKU\Aurélien_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== FILES ==========
File\Folder C:\Windows\System32\drivers\erctujhh.sys not found.
File\Folder C:\Users\Aurélien\Desktop\aomwin110ea24.exe not found.
File\Folder C:\Users\Aurélien\Desktop\aomvstea23us.exe not found.
File\Folder C:\Users\Aurélien\AppData\Local\RIiYj0K8 not found.
OTLPE by OldTimer - Version 3.1.39.0 log created on 05312010_221800
Pour celui de combofix :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijQGdr9XI.txt
========== OTL ==========
Service\Driver key pncexyextvpjvmwy not found.
Service\Driver key itirsqdsecvtuufw not found.
Service\Driver key erctujhh not found.
File C:\Windows\System32\drivers\erctujhh.sys not found.
HKU\Aurélien_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== FILES ==========
File\Folder C:\Windows\System32\drivers\erctujhh.sys not found.
File\Folder C:\Users\Aurélien\Desktop\aomwin110ea24.exe not found.
File\Folder C:\Users\Aurélien\Desktop\aomvstea23us.exe not found.
File\Folder C:\Users\Aurélien\AppData\Local\RIiYj0K8 not found.
OTLPE by OldTimer - Version 3.1.39.0 log created on 05312010_221800
Pour celui de combofix :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijQGdr9XI.txt
J'ai tjrs des problèmes pour fermer mon ordi et suis obligé de le redémarrer à la "barbare" avec reset... le fait qu'il n'ai rien supprimé ne viendrait-il pas de là aussi ?
Ca a l'air que le rootkit a été supprimé.
On va dire que tu avais lancé le fix deux fois et donc la seconde fois les fichiers étaient plus là.... je vois pas d'autres raisons.
bref.
Tu peux renommer ce dossier : c:/windows/software distribution genre en c:/windows/software distributionold
et voir ce que cela donne si tu redémarres le PC
On va dire que tu avais lancé le fix deux fois et donc la seconde fois les fichiers étaient plus là.... je vois pas d'autres raisons.
bref.
Tu peux renommer ce dossier : c:/windows/software distribution genre en c:/windows/software distributionold
et voir ce que cela donne si tu redémarres le PC
euh, il me dit que je n'ai pas l'autorisation...c'est une manip ds les propriétés du dossier il me semble mais j'ose pas trop toucher sans savoir, tu peux me dire stp ?
c'ets pour vider l'historique des update,s ça évitera qu'il tente de les faire à l'extinction du PC.
Doit falloir arreter le service de mise à jour.
Regarde là : http://social.answers.microsoft.com/Forums/fr-FR/answerswufr/thread/3ee27e01-7b31-48a6-b8de-8c69b93cc257
Doit falloir arreter le service de mise à jour.
Regarde là : http://social.answers.microsoft.com/Forums/fr-FR/answerswufr/thread/3ee27e01-7b31-48a6-b8de-8c69b93cc257
c'est dingue, j'ai une c..... à chaque manip !
après le clic droit sur "windows update", je fais arrêter, une barre de chargement commence, et au bout, il me dit un truc comme quoi ça met trop de tps et qu'il ne peut pas arrêter...Du coup, maintenant, je n'ai plus l'option "arrêter" et le processus marque "état : arrêt" et "type de démarrage : automatique (début différé"
après le clic droit sur "windows update", je fais arrêter, une barre de chargement commence, et au bout, il me dit un truc comme quoi ça met trop de tps et qu'il ne peut pas arrêter...Du coup, maintenant, je n'ai plus l'option "arrêter" et le processus marque "état : arrêt" et "type de démarrage : automatique (début différé"
ça je vois bien que c'est bidon Windows...
donc j'ai renommé le dossier en mode sans échec, tout à l'air de bien fonctionner au redémarrage...
Le changement de nom, c'était bien par rapport à mon problème pour fermer l'ordi ?
Je vois le bout du tunnel...
donc j'ai renommé le dossier en mode sans échec, tout à l'air de bien fonctionner au redémarrage...
Le changement de nom, c'était bien par rapport à mon problème pour fermer l'ordi ?
Je vois le bout du tunnel...
ah beh non, j'ai parlé trop tôt... Il n'y a plus de problème dans le cas d'un redémarrage mais ça bloque pour un arrêt définitif (écran dégradé vista, avec écrit "configuration des mises à jour, n'éteignez pas l'ordi")
Malware a de nouveau trouvé le rootkit... Je ne sais pas si le fait de ne pas éteindre correctement n'affecte pas nos manip pr l'éradiquer... il faut peut être que j'essaye de régler ce problème de démarrage avant de m'en débarrasser. Je tente une restauration système...
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4149
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904
01/06/2010 11:38:04
mbam-log-2010-06-01 (11-38-04).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 462524
Temps écoulé: 1 heure(s), 29 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\_OTL\MovedFiles\05312010_201220\C_Windows\System32\drivers\erctujhh.sys (Rootkit.Agent) -> No action taken.
www.malwarebytes.org
Version de la base de données: 4149
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904
01/06/2010 11:38:04
mbam-log-2010-06-01 (11-38-04).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 462524
Temps écoulé: 1 heure(s), 29 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\_OTL\MovedFiles\05312010_201220\C_Windows\System32\drivers\erctujhh.sys (Rootkit.Agent) -> No action taken.
Passe le fix (fix_WU) de cette page : https://forum.malekal.com/viewtopic.php?t=20594&start=
Fais bien un point de restauration comme c'est dit avant.
Redémarre et vois ce que cela donne.
Fais bien un point de restauration comme c'est dit avant.
Redémarre et vois ce que cela donne.