Infection faux antivirus

Fermé
Sandra.M - 14 août 2010 à 22:27
 Sandra.M - 24 août 2010 à 18:41
Bonsoir,

Aujourd'hui alors que je me balladais tranquillement sur la toile un faux antivirus (Security Suite) est soudain apparu dans une fenêtre et me bloque maintenant tout programme que je souhaite ouvrir : impossible d'accéder à Internet Explorer (ce message s'affiche : Internet Explorer Warning- visiting this web site may harm your computer) ni même à Word. Pour ne rien arranger deux autres faux antivirus (AntimalwareDoctor) sont aussi apparus. Que me conseillez-vous pour m'en débarasser ? Merci d'avance pour vos réponses.
A voir également:

15 réponses

fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
Modifié par fred08700 le 14/08/2010 à 22:35
salut


sandra , fais ceci

Télécharger rkill depuis l'un des liens ci-dessous:

https://download.bleepingcomputer.com/grinler/rkill.exe
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com


* Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

Une bref fenêtre noire indiquera que l'installation s'est bien déroulée

N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver

puis

● Télécharges Malwarebytes

(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici :
https://www.malekal.com/tutorial-aboutbuster/

● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

L'analyse peut durer un bon moment.....

● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.


Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

[Pierre de Coubertin]
1
Merci Fred pour votre aide, j'ai télécharger Malwarebytes, mais lorsque je tente de l'exéctuer j'ai un message d'erreur me disant : The setup files are corrupted. Please obtain a new copy of the program. Que faire ?
0
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
15 août 2010 à 08:08
bonjour

si vous avez vista ou seven : désactiver l'UAC

seven : https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/
vista: https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

ensuite , exécuter Rkill et malwarebytes ( en tant qu'administrateur , par clique droit)

ps : de retour qu'en milieu d'après-midi
0
Bonsoir,

J'ai suivi votre procédure comme indiqué ci-dessus mais je n'ai réussi qu'à le faire en mode sans échec. En effet sinon le faux anti-virus refuse d'ouvrir le programme. Malwarebytes a détécté après 1h30 d'analyse une douzaine de fichiers infectés, que j'ai tous supprimé mais lorsque j'ai redémarré mon PC, le problème était toujours là. Ne peut-on pas supprimer les fichiers dérangeants manuellement ?

Je vous fait également parvenir le rapport d'analyse comme vous me l'avez demandé :

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

15/08/2010 19:58:11
mbam-log-2010-08-15 (19-58-11).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 196910
Temps écoulé: 1 heure(s), 34 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c1e8e053-42f3-46b3-9a33-237c12b029ab} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c1e8e053-42f3-46b3-9a33-237c12b029ab} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f9796f34-17ee-4b10-87a8-8229aee03242} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{f9796f34-17ee-4b10-87a8-8229aee03242} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f9796f35-17ee-4b10-87a8-8229aee03242} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9796f35-17ee-4b10-87a8-8229aee03242} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f9796f34-17ee-4b10-87a8-8229aee03242} (Adware.Mirar) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\iatqp.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\8578.dll (Adware.Mirar) -> Quarantined and deleted successfully.
C:\Documents and Settings\xp\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\xp\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\xp\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Merci d'avance pour votre aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
15 août 2010 à 22:01
bonsoir

relances malwarebytes , onglet quarantaine et supprimes tout

ensuite

faire ce scan de diagnostique

● Télécharges ZHPDiag ( de Nicolas coolman ).

● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

● Rends toi sur http://www.cijoint.fr/

● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

● Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
0
Bonjour,

J'ai effectué les manips comme vous m'avez expliqué.

Voici le lien du rapport ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij4TUMLLV.txt
0
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
16 août 2010 à 12:49
bonjour

encore des infections

une question : pourquoi zhpdiag en mode sans échec ??

et faite ceci:

/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!



● Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

● Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\INSTALLES LA CONSOLE DE RÉCUPÉRATION

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. ==> risque de plantage

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

● Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

● Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
ZHPdiag en mode sans échec car autrement en mode normal je ne peux ouvrir aucun fichier.
0
Puis-je exécuter Combofix en mode sans échec ou cela ne sera d'aucune utilité ?
0
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
16 août 2010 à 13:00
ok

passe combofix , lis bien les instructions
0
Ce virus est décidément coriace !
Il m'empêche d'ouvrir Combofix, j'ai essayé en mode sans échec mais afin d'installer la console de récupération une connexion Internet est nécessaire ...
0
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
16 août 2010 à 18:46
as-tu bien désactiver tes protections ?

et renommes combofix.exe en " ton prénom.exe "
0
Toutes les protections sont désactivées, j'ai renommé Combofix mais rien à faire, toujours impossible de l'ouvrir : "Application cannot be executed. The file sandra.exe is infected. Do you want to activate your antivirus software now ?" Pourtant avec Rkill je suis sensée pouvoir travailler sans être embêtée non ?
0
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
17 août 2010 à 16:13
essais en mode sans échec
0
Bonjour,

Malheureusement j'étais en vacances et je n'ai pu exécuter Combofix correctement qu'aujourd'hui, le PC a l'air de mieux marcher en tout cas ..

Voici le rapport d'erreur:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijiToaJ1v.txt

Merci encore pour votre précieuse aide.
0