Antivirus2010 comment le supprimer? Fermé

Question

Bonjour, 
Le PC de mon compagnon s'est infesté par un virus, enfin nous pensons.

D'un coup, un fond bleu est apparu avec un carré noir. Il est toujours sur l'écran du bureau et comprend un texte: 
" YOUR system est infected! System has been stopped due to a serious malfonction. Spyware activity has been detected. It is recommanded to use spyware removal tools to prevent data loss. Do not run any application before all spyware removed." 

En même temps dans la barre windows est apparu: 
"click here to protect your computer from spyware". 
Quand on a cliqué dessus antivirus 2010 est apparu.

On a supprimé le programme depuis le panneau de configuration mais le carré noir est toujours là. Du coup on suppose que l'antivirus (VIRUS?) est toujours là.

Merci par avance pour votre aide. :-)

Configuration: Windows XP / Firefox 3.5.11

kalimusic · Answer

Bonjour et bienvenue sur CCM,

Tu es infecté par un rogue (faux logiciel de sécurité). 

Imprime les instructions si tu peux car il est nécessaire de fermer toutes les fenêtres qui sont ouvertes pendant la procédure.

1. Télécharge rkill (de Grinler) sur le bureau.

!! Ne pas tenir compte des messages du rogue disant que rkill est infecté !!

    * Double-clique sur le rkill.exe 
    * Patiente pendant le travail de l'outil (le programme cherche et termine les programmes malveillants)
    * A la fin, la fenêtre noire va se fermer automatiquement et tu peux passer à l'étape suivante. 

!! Ne redémarre pas l'ordinateur après l'exécution de rkill sinon les programmes malveillants vont recommencer !!

Si rkill ne se lance pas, essaye les liens alternatifs suivants :

https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com 

2. Télécharge  MBAM et installe le selon l'emplacement par défaut
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression 

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +

lullu22 · Answer

Merci pour la réponse et bravo pour la rapidité!
Alors on a essayé. L'étape 1 Rkill a bien fonctionné. La fenêtre noire a disparu. On est passé à l'étape 2. Le logiciel MBAM s'installe, fait la mise à jour. QUand on sélectionne les disques durs la fenêtre disparaît et on peut plus relancer. Quand on re-ouvre MBAM çà met: "windows ne parvient pas à accèder au périphérique, au chemin d'accès ou fichier spécifié. Vous ne disposez pas des autorisations appropriées"."
:-(

kalimusic · Answer

re,  

1. Redémarre le PC en mode sans échec  (à l'aide des touches F5 ou F8)  
aide  : https://www.malekal.com/demarrer-windows-mode-sans-echec/  

2. Rkill   

3. Relance MBAM  

A +  

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

lullu22 · Answer

snif...ça marche pas!!
on a essayé de redemarré en mode sans echec avec la la touche F8 et F5 mais ça n'a pas fonctionné (3 essai) puis on a essayé l'autre methode (par menu executer, msconfig etc..) on est en mode sans echec, on relance rkill et mbam, et il se passe la meme chose, quand on selectionne les disque a analyser, la fenetre disparait, et on peut plus la réouvrir, meme msg "windows ne parvient pas...."
:-(

kalimusic · Answer

Faut pas démoraliser aussi vite ;)

Par contre en cas d'infection, il vaut mieux éviter de passer par msconfig :
Risque de redémarrage en boucle du pc.

Sauvegarde tes documents les plus importants.

Télécharge  ComboFix de sUBs sur ton bureau ( nulle part ailleurs ! ) en le renommant avant de l'enregistrer lullu22.exe

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

* Lance ComboFix
- Sous XP double-clic sur l'icône pour lancer l'outil. 
* Accepte la licence d'utilisation et laisse toi guider par le programme
* Autorise ComboFix a se connecter à internet pour les mises à jour si le programme le demande
* Accepte d'installer la console de récupération si tu es sous XP

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  (risque de plantage complet de l'ordinateur) 

* A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément (il est possible que ComboFix est besoin de redémarre l'ordinateur)
* Héberge le sur http://www.cijoint.fr/ et donne moi le lien. 

!! Réactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

lullu2222 · Answer

j'ai envoyé le lien par mail parce que je sais pas si çà craint ou pas ce qu'il y a dedans. Est ce que tu l'as reçu?

kalimusic · Answer

Bonjour,

Pour les rapports, aucun soucis, ils ne contiennent aucune information personnelle. La liste de certains éléments du registre et de modifications apportées au système ne pourra être utilisé à des fins malveillantes.

Ne supprime pas ComboFix, pour le moment. Tu as rétablit msconfig sans problème ? Antivirus 2010 est toujours là ?
On va faire une analyse du système plus complete :

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

    * Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
    * L'interface principale s'ouvre : 
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
* Laisse tous les autres paramètres par défaut 
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
/md5start
winlogon.exe
explorer.exe
atapi.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
CREATERESTOREPOINT 
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)  
* Ne les poste pas sur le forum, ils seraient trop long  
* Héberge les sur http://www.cijoint.fr/ 
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message. 


A +

lullu2222 · Answer

on a essayer de lancer OTL, mais pendant l'analyse il fait la meme chose que les logiciel precedent c a d disparait et impossible de le relancer...

omer sharif · Answer

Bonjour, j'ai le même problème...

moment de grace · Answer

bonjour

la restauration systeme fonctionne t elle encore ?

omer sharif · Answer

je vais procéder au diagnostic et poster le rapport dès que possible...

kalimusic · Answer

@ omer sharif, 

Crée ton propre sujet stp, sinon on va rapidement s'embrouiller ;) 


@lullu2222 

réponds à moment de grace : 
La restauration système est-elle fonctionnelle ? 
http://www.ac-nancy-metz.fr/services/monxp/restauration_syst%C3%A8me_xp.htm 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

lullu2222 · Answer

bonjour moment de grace

apparement la restauration ne fonctionne pas, on peut cliquer sur une date antérieur, elle ne s'affiche pas en gras, la seul date disponible c'est le 26, c'est a dire aujourd'hui..

moment de grace · Answer

et l'invit commande en mode sans echec ?

Au démarrage du PC a la place de MSE,  choisir Invite de commandes en mode sans échec et voir pour une restauration avec cette commande : 
%windir%\system32\restore\rstrui.exe

lullu2222 · Answer

boo!!je suis pas sur d'avoir tout compris!!hihi
MSE c bien mode sans echec??
on peut pas se mettre en mode sans echec au demarrage (par F8 ou F5), ça ne marche pas, on est obligé de passer par msconfig dans le menu executer!
et dans ce cas comment  on fait pour choisir invite de commande en mode sans echec??mais c'est où l'invite de commande?

kalimusic · Answer

On est là pour expliquer :)  

http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/restauration-systeme-commande-sujet_198433_1.htm  

edit : je te laisse mdg, sinon nos messages vont se croisés pour rien.
Je laisse l'aide en images

A +  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

lullu2222 · Answer

ben justement, comme j'ai expliquer on peut obtenir le mode sans echec qu'a partir du menu executer, c'est un redemarage en MSE automatique, ça ne marche pas comme prévu au demarrage du PC..snif!!

moment de grace · Answer

ok

pour qu'on soit bien d'accord, prends le lien de kali

http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/restauration-systeme-commande-sujet_198433_1.htm

et regarde si tu peux le faire

simplement oui ou non, on a du mal à se comprendre
(sourire)

lullu2222 · Answer

:-)

non ça ne marche pas..il n'y a pas de point de restauration a par la date d'aujourd'hui...

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

lullu2222 · Answer

alors voici comme prévu les liens permettant d'accéder au rapports d'analyse List_Kill'em:

http://www.cijoint.fr/cjlink.php?file=cj201009/cij6gQ4EPP.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijP6C57Df.txt

moment de grace · Answer

rien de flagrant

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

................

2)

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

lullu2222 · Answer

Voila le 2eme rapport:

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.8 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Vienne Samuel (Administrateurs) 
Update on 25/09/2010 by g3n-h@ckm@n ::::: 19.10
Start at: 23:13:08 | 26/09/2010

        Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : AVG Anti-Virus Free 8.5 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 45 Go (17,22 Go free) | NTFS
D:\ -> Disque fixe local | 45,21 Go (23,71 Go free) [ACERDATA] | FAT32
E:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\WINDOWS\SET25.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET26.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET27.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET28.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET29.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET353.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET357.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET358.tmp 
Quarantined & Deleted !! : C:\WINDOWS\System32\SET35F.tmp 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 () 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

lullu2222 · Answer

bon pour ZHPDiag ça n'a pas marcher, toujours le même problème, la fenetre s'est fermé pendant le scan...
Par compte, une icône qui est apparu sur le bureau nommé "MBRcheck", et une fois ouverte, c'est une fenêtre avec fond noir (comme une fenêtre invite de commande).
Quand on la ferme un rapport apparait sur le bureau..
Que faire!

moment de grace · Answer

Cdlive drweb

à partir d'un autre pc si possible télécharger et graver ceci sur un cd
(gravure d'un iso ou d'une image)

https://free.drweb.com/aid_admin/

mettre le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer à partir du cd »)


suivre ensuite les indications de l'outil

aide toi de ce lien

http://jal.cyber-nux.fr/?p=123