Virus et antivir solution pro

Benjaminatorus -  
fred08700 Messages postés 3633 Statut Contributeur sécurité -
Bonjour,

Dès que j'ouvre un programme sur mon ordinateur celui ci se bloque puis se ferme et un message Antivir solution pro apparait m'incitant a acheter leur produit. Je sais que mon ordinateur est infecté, je dois d'ailleurs utiliser un autre ordinateur pour avoir accès à internet, comment puis-je me débarrasser des virus ? Merci D'avance.

9 réponses

  1. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    Télécharger rkill depuis l'un des liens ci-dessous:

    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    * Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

    Une bref fenêtre noire indiquera que l'installation s'est bien déroulée

    N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver

    puis

    ● Télécharges Malwarebytes

    ● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    ● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    L'analyse peut durer un bon moment.....

    ● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    ● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
    MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

    0
  2. Benjaminatorus
     
    Bien, j'ai fais tout ceci et voici mon rapport :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    10/08/2010 20:48:06
    mbam-log-2010-08-10 (20-48-06).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
    Elément(s) analysé(s): 193627
    Temps écoulé: 42 minute(s), 27 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    0
  3. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    re

    le rapport n'est pas complet : reposte le ==> onglet rapport/log dans malwarebytes

    de plus , malwarebytes n'est pas à jour . Refais un scan après l'avoir mis à jour ==> version 4414

    donc , deux rapports à poster
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Benjaminatorus
     
    Voici la fin du rapport :

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gmxibmbo (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gmxibmbo (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Gorgos\Local Settings\Application Data\xlcjgsuxs\uvqpjsktssd.exe (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
    0
  6. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bien

    refais quand même un scan rapide avec malwarebytes à jour , puis

    ● Télécharges ZHPDiag ( de Nicolas coolman ).

    ● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

    ● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    ● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

    ● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

    ● Rends toi sur http://www.cijoint.fr/

    ● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

    ● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

    ● Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    0
  7. Benjaminatorus Messages postés 42 Statut Membre
     
    Voici le nouveau rapport avec malwarebytes à jour :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4414

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    10/08/2010 23:51:33
    mbam-log-2010-08-10 (23-51-33).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
    Elément(s) analysé(s): 209464
    Temps écoulé: 57 minute(s), 43 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\seekmo@seekmo.com (Adware.SeekMo) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. Benjaminatorus Messages postés 42 Statut Membre
     
    le rapport ZHPdiag.txt :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijCsxuqHm.txt

    Merci.

    (A noter que les pages internet ne s'ouvrent plus sur le PC infecté)
    0
  9. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bonjour

    vides la quarantaine de malwarebytes

    encore des infections assez coriaces

    Utilisation de ZHPfix

    *fais un copié des lignes en gras suivantes

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
    [HKCU\Software\wpyyaxvbft]
    O64 - Services: CurCS - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe - Boonty Games (Boonty Games) .(.BOONTY - System Level Service Utility.) - LEGACY_BOONTY_GAMES
    [HKCU\Software\ESET]
    [HKLM\Software\ESET]
    O53 - SMSR:HKLM\...\startupreg\ccApp [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe


    ----------------------------------------------------------
    /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Le texte que tu as copié sera présent
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    ensuite

    * Téléchargez TDSSKiller sur votre bureau

    https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

    Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

    [Pierre de Coubertin]
    0