qnhvasj Résolu/Fermé

Question

Bonjour, 

J'ai un virus "antivir pro" (virus qui vous encourage à donner de l'argent pour un antivirus fake) et je souhaite m'en debarasser pour de bon.
J'ai donc suivi les instructions données sur le net et installé spy hunter. Spy hunter détecte 3 fichiers malveillants:
-qnhvasj (HTML/SYSTEM/ControlSet001/Services/qnhvasj)
-qnhvasj (C/WINDOWS/SYSTEM32/drivers/qnhvasj)
et -qnhvasj (HTML/SYSTEM/ControlSet002/Services/qnhvasj)
Le problème c'est que maintenant il faudrait que je paye la version complète de SpyHunter pour me debarasser de ces fichiers...
Puis-je effacer ces fichiers par moi-même? par quel moyen?
Je suis prète à suivre des instructions à la lettre et à y passer du temps. En effet je souhaite vraiment les effacer par moi-même, espérant ainsi comprendre un tout petit peu mieux mon ordinateur.
merci
Constance



Configuration: Windows XP / Firefox 3.6.7

Malekal_morte- · Answer

Salut,


Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) puis :       

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Malekal_morte- · Answer

SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité... Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d'être dans les premiers résultats de Google concernant une des infections présentes sur ton PC.
Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes

Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d'antispywares sérieux.
Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor s'il est présent sur ton PC.

Pour plus d'informations, voir : https://forum.malekal.com/viewtopic.php?t=12847&start=

~~~

* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista   

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:  

begin copying here:  
Drivers to delete:  
qnhvasj 
Files to delete:  
c:\windows\system32\drivers\qnhvasj.sys  

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

constance · Answer

J'ai bien désinstaller spyhunter... je crois...
je m'execute!

Malekal_morte- · Answer

malekalmorte@MaK-tux:/tmp$ unzip cijOJaT9r0.zip 
Archive:  cijOJaT9r0.zip
[cijOJaT9r0.zip] avenger/avenger.txt password: 
  inflating: avenger/avenger.txt     
 extracting: avenger/backup.reg      
  inflating: avenger/qnhvasj.sys     

malekalmorte@MaK-tux:/tmp$ cat avenger/avenger.txt
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "qnhvasj" deleted successfully.
File "c:\windows\system32\drivers\qnhvasj.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


vas y passe à Combofix.

constance · Answer

voila le re-combofix
http://www.cijoint.fr/cjlink.php?file=cj201007/cijyTcY0lq.txt

Malekal_morte- · Answer

Le PC rame ?

constance · Answer

oui, il ramait un peu avant ( depui ke j ai le virus) mais là depuis le adventager il rame beaucoup

constance · Answer

j croi ke je n'oserai plus l'eteindre maintenant....

Malekal_morte- · Answer

Marrant car ça devrait être le contraire.

Supprime ces deux dossiers :
C:\Program Files\Enigma Software Group
C:\Documents and Settings\constance\Local Settings\Application Data\usskqnbgt

Redémarre l'ordinateur... et vois si ça rame tjrs.

constance · Answer

j'ai encore une question... comment je peu desinstaller avenger?

Malekal_morte- · Answer

Bha non tu n'es plus infectée.
On peux faire du ménage dans les programmes au démarrage si tu veux.

Pour les images, c'est que sur facebook ?


- Télécharge  http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.       
- Double-clic sur HijackThis       
- Génère un rapport en suivant ces indications :       
    - Exécute le et clique sur Do a scan and save log file.       
    - Le rapport s'ouvre sur le Bloc-Note       
- Colle le rapport ici, pour cela :       
    - Menu Edition / Selectionner Tout       
    - Menu Edition / copier       
    - Ici dans un nouveau message : clic droit / coller

Malekal_morte- · Answer

C'est sur quel navigateur WEB ?  

- Demarrer / executer / tape services.msc  
- Cherche ava Quick Starter dans la liste  
- Double clic dessus, positionne le type de démarrage sur désactiver  

Relance HijackThis et coche ces lignes :  

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime  
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"  
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE  
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE  
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O5 "LPT1:" /M "Stylus DX4200"  
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Copie 1)" /O5 "loulu" /M "Stylus DX4200"  
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series (Copie 2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Copie 2)" /O6 "USB001" /M "Stylus DX4200"  
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe   
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 

--> clic sur fix checked  

Redémarre le PC.  

Adobe Reader est pas à jour et contient des vulnérabilités qui peuvent mettre l'infection de ton PC.    
Lire explications : https://forum.malekal.com/viewtopic.php?t=13629&start=    


Rise Against rules :D

constance · Answer

merci, 
le démarrage est bien plus rapide.
J'ai par contre toujours le probleme des images sur le net...

Ensuite pour adobe, je suis en train de le mettre à jour en installant la version 9.3.3.
Par contre je me demande; lorsque j'allume firefox il me propose parfois des "modules complémentaires" (icone de puzzle verte) alors je n'ose jamais télécharger. Est ce que ce sont les mises à jour? puisque c'est important d'être à jour du coup ( merci de l'info, je n'savais pas....) est ce que l'ordi me propose les mises à jour par lui même?

constance · Answer

les images marchent sur explorer et pa sur firefox, c'est louche... sur explorer il me met un truc par contre comme quoi ma connexion n'est pas sécurisée...

constance · Answer

Voila ce qu'il m'écrit en premier sur explorer
http://www.cijoint.fr/cjlink.php?file=cj201007/cijhAD9a0b.jpg

et apres avoir coché ok voici le deuxieme message

(il faut que je clik ok pour que la page s'affiche)
http://www.cijoint.fr/cjlink.php?file=cj201007/cijP8mHnSr.jpg

constance · Answer

Dans les options de firefox j ai coché "carger les images automatiquement" et il semble que ça remarche...
merci beaucoup en tout cas! tu m'a été d'une grande aide! et je pense que mon pc est sauvé...jusqu'a la prochaine malheureusement...
j'ai pas envi d'acheter un mac mais j'ai bien l'impression que parfois ça serait plus simple..

merci encore !

Malekal_morte- · Answer

Mouais pour le Mac.

C'est pas très difficile de ne pas infecter son PC, faut faire un peu attention c'est tout :)


Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    


Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall) 

Mais les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :  
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html  
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire : https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

constance · Answer

huuu... oui pour les images j'avais pas vu... tu as été plus rapide

Alors là c'est une capture pour les modules complémentaires
http://www.cijoint.fr/cjlink.php?file=cj201007/cijDyIJTUI.jpg
je ne sais jamais s'il fait télécharger ou pas, je ne voudrais pas sur-charger mon pc. 

Ben voila j'ai de la lecture maintenant! Je m'y attelerais apres mon travail seulement puisque j'ai déja pris toute ma matinée...

Je vais donc me remettre au travail et suivre tes conseils pour garder mon pc bien en forme. 
Merci!

Qnhvasj

18 réponses