antivirus 2010 impossible à enlever Fermé

Question

Bonjour, 

samedi soir, cette saleté est apparue comme par magie sur mon ordinateur, et malgré l'aide d'un ami connaisseur, impossible de l'enlever. 
Au début s'affichait un énorme message sur le bureau disant que le système était infecté, blablabla... puis s'ouvrait la fenêtre antivirus 2010 qui proposait de faire un scan, puis recommandait de l'acheter pour se débarrasser des virus trouvés. Ca ne sentait pas la grande confiance. Il a ensuite bloqué l'accès internet (excepté pour sa propre page). Ensuite, il a bloqué tous les outils diagnostics ou de nettoyage que j'avais (avast, ccleaner, systemcare). Alors j'ai commencé à chercher des infos sur ce "virus" (un rogue visiblement), et à tenter des tas de manips recommandés, et donc à télécharger toute une batterie de logiciels pour cela : malwarebytes, spyhunter, trojan remover, antivir, spybot, rkill, et même un espèce de patch visiblement créé spécialement pour ce virus. Mais à CHAQUE fois, le mode opératoire est le même : soit il bloque directement l'accès au programme et affiche "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément". Soit le programme s'ouvre mais rien n'est activable. Soit le programme s'ouvre, je peux lancer un diagnostic par exemple, mais ensuite cela s'arrête tout seul. TOUS les logiciels cités plus haut subissent cela.

Je désespère, j'avais relevé un tas de conseils sur le forum mais vu que systématiquement il me bloque les processus...

Si quelqu'un a une solution pour m'aider, je lui en serai très reconnaissant.

Merci d'avance

Configuration: Windows XP / Firefox 3.6.10

Malekal_morte- · Accepted Answer

yep les infections rogues ont de plus en plus tendance à être "Winlock".

Ce que tu peux faire c'est graver ce CD depuis un autre PC et poster le rapport ici : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090

Envoie les rapports sur cijoints et donne les liens : http://www.cijoint.fr/

kluglich · Answer

merci pour ta réponse, j'espère ne pas devoir en passer par là. 

personne n'a une autre solution ?

Nyctaclope · Answer

Bonjour !

Intéressé par le problème, j'avais gardé cela sous le coude pour "suivre".
J'étais convaincu qu'un spécialiste désinfection allait rapidement te prendre en charge, car ton problème semble vraiment pointu ..
Le mieux serait sans doute d'appeler au secours, en indiquant ton lien, via le bureau CCMiste.

Personnellement, j'aurais tenté une manip de désespoir, si tu peux entrer en mode sans échec, en revenant à un point de restauration système antérieur à Samedi. Il y a une petite chance ...
Si cela marche, il faudra faire ensuite un nettoyage de tous les autres points de restauration, et de toute façon faire un scan sérieux.

Sinon, sous mode sans échec, lancer ( exécuter ) msconfig.exe et aller chercher dans le dossier démarrage si tu y trouve un logiciel suspect, et le neutraliser pour ensuite démarrer en mode sélectif.
Mais je crois me souvenir que cela peut être déconseillé avec certains virus, donc j'hésiterais ...

Le problème pour la désinfection, c'est que tu vas actuellement avoir de la peine à lancer quoi que ce soit ..
Si donc tu peux jouer avec la restauration système, tu seras libéré provisoirement du virus pour une possible désinfection ...

Je pense qu'il vaut mieux, tant que c'est possible, éviter la réinstallation, car c'est un gros truc ...

Bonne chance ...

A+
Nyctaclope

kluglich · Answer

je vais pouvoir regarder tout ça aujourdh'ui, merci pour vos réponses déjà. Je vais "appeler au secours" comme me le conseille nyctalope (si je trouve comment faire) parce que là maintenant internet est totalement inaccessible depuis mon ordi, j'ai un message me disant "erreur de chargement de page" "adresse introuvable" etc

je vais tenter de graver le CD indiqué par malekal-morte et faire les manips indiquées (en espérant que je puisse transférer ça sur une clé usb puis l'envoyer depuis mon portable d'où je poste actuellement)

kluglich · Answer

merci à tous pour vos réponses et votre aide.  

@ malekal_morte : j'ai gravé le cd, et viens de lancer le scan, voici le rapport :

kluglich · Answer

houla... j'ai l'impression que le rapport est trop long, je mets donc le lien ci-joint.fr : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijzbHOz4a.txt  

merci d'avance

p.s : je précise que j'ai lancé le scan sur une session d'utilisateur ("test") créée par un pote lorsqu'on essayait de virer le virus. Peut être faut-il que je le relance sur la session utilisée habituellement ?

Malekal_morte- · Answer

Ce serait bien que tu fasses du ménage dans les antimachins installés.
T'as Avast!, Antivir,  SpyBot et peut-être TrojanScanner (enfin il a plus l'air d'être là) et bien sûr Malwarebyte.

hummm tjrs sur OTLPE, tu pourrais scanner ces fichiers sur VirusTotal : www.virustotal.com
[2002/08/30 08:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msnnxxyb.dll
[2002/08/30 08:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys
[2002/08/30 08:00:00 | 000,131,072 | ---- | C] ()(C:\WINDOWS\System32\us?rinit.exe) -- C:\WINDOWS\System32\us?rinit.exe


et donner les liens de scans ici stp.


Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.

kluglich · Answer

ok merci, alors impossible de lancer internet depuis OTLPE, mais j'ai pu depuis ma session "normale"


voici tout d'abord le rapport OTLPE après avoir viré tous les anti-machins. J'ai conservé avast pour le moment, je verrai si je le remplace par antivir ensuite

http://www.cijoint.fr/cjlink.php?file=cj201010/cijK1j0jiu.txt  



Puis les rapports virustotal (lancés depuis ma session normale donc) :

http://www.virustotal.com/file-scan/report.html?id=d94c50a986c75a10326ebff23358390a08ad999b6ff6891691572d7e3900cb03-1286026653

http://www.virustotal.com/file-scan/report.html?id=69213732adb04068b0c59ca9d10ea531ba1b91bb0423c17227ecbd75f2cdd22b-1285984430

http://www.virustotal.com/file-scan/report.html?id=22362cab11561d7bbae99bff4a8811fa33920b48f2027e736e1bdccb9b617cbd-1285623691

Malekal_morte- · Answer

OK sur OTLPE. 

Renomme C:\WINDOWS\System32\drivers\mvb35316.sys  en C:\WINDOWS\System32\drivers\mvb35316.old 

pareil C:\WINDOWS\System32\msnnxxyb.dll  en C:\WINDOWS\System32\msnnxxyb.old

Redémarre en normal, lance les antivirus. 

Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.

kluglich · Answer

euh... l'ordi ne redémarre plus sans le CD : il se met en marche, la page permettant d'accéder aux options de boot s'affiche, puis le logo windows, puis l'ordi "redémarre" (cela fait le même bruit que quand je l'allume) et un écran gris foncé s'affiche et reste. Plus rien ne se passe
j'ai pu le démarrer avec le CD, et j'ai renommé les fichiers, je ne sais pas si c'est la bonne méthode. Par contre impossible de démarrer un antivirus depuis le CD.
Je ne sais pas trop quoi faire. J'ai relancé un diagnostic

Malekal_morte- · Answer

* redemarre sur reatogo * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

[img]http://imagesup.org/image[/img]
http://imagesup.org/image

o sous Custom Scan box [img]http://imagesup.org/image[/img] copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:


:OTL
DRV - [2009/02/09 06:53:55 | 000,012,800 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\mvb35316.sys -- (mvb35316)
[2002/08/30 08:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msnnxxyb.dll
[2002/08/30 08:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys

* redemarre le pc sous windows voir si ça boot.

kluglich · Answer

merci de ton aide
voila le rapport runfix :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mvb35316 deleted successfully.
File C:\WINDOWS\System32\drivers\mvb35316.sys not found.
File C:\WINDOWS\System32\msnnxxyb.dll not found.
File C:\WINDOWS\System32\drivers\mvb35316.sys not found.
 
OTLPE by OldTimer - Version 3.1.42.0 log created on 10032010_175950



le PC ne boot toujours pas sous windows (en fait j'ai l'impression que quand j'ai désinstallé les antimachins superflus, il devait redémarrer et c'est là qu'il a planté)

Malekal_morte- · Answer

OK :/

Refais un rapport OTLPE, vais essayer de supprimer les restes des AV et on prie pour qu'il boot.

Si je comprends bien, il bloque avant le logo Windows c'est ça ?

kluglich · Answer

Le logo s'affiche, mais ensuite il bloque (écran noir/gris)

j'ai essayé à l'instant de lancer en mode sans échec, écran bleu :
STOP : C000021a [Erreurs système irrécupérable]
le processus système Windows Logon Prcess s'est terminé de façon inattendue avec l'état 0x0000022 (0x00000000   0x00000000)
le système a été arrêté

bon, je le relance avec le CD et refais un scan OTPLE. Il faut que je remette les valeurs indiquées à la base sur le site malekal ? (en copiant collant la liste de fichiers)

kluglich · Answer

voilà j'ai fait le scan :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOIZASx9.txt 


Et j'ai relancé sous windows pour noter les étapes précisément :
écran FUJITSU avec options bios
écran noir avec curseur blanc en haut à gauche
écran avec logo windows xp, avec barre de progression en dessous
écran noir, et quelques secondes après, il y a un bruit (comme si quelque chose s'arrêtait, genre un ventilo mais je sais pas si c'est ça) et écran noir figé

Malekal_morte- · Answer

Le fichier msnnxxyb.dll  tu l'as renommé en msnnxxyb.old ?
T'as possibilité de le remettre pour voir msnnxxyb.old en msnnxxyb.dll  ?

On va virer les restes de SpyHunter...

o sous Custom Scan box [img]http://imagesup.org/image copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
SRV - [2010/07/14 09:19:28 | 000,326,488 | ---- | M] (Enigma Software Group USA, LLC.) [Auto] -- C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe -- (SpyHunter 4 Service)
O4 - HKLM..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe ()
[2010/09/25 16:23:32 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group

* redemarre le pc sous windows voir si ça boot.


Tu as un autre PC sous Windows XP SP3 ?
Ce serait interressant de recopier les fichiers winlogon.exe et csrss.exe depuis ce PC vers celui qui boot plus.

kluglich · Answer

oui je l'avais renommé, je l'ai donc remis en .dll pour voir

j'ai lancé runfix avec tes instructions, voilà le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SpyHunter 4 Service deleted successfully.
C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SpyHunter Security Suite deleted successfully.
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\mon folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Downloads folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Defs folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Data folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.
C:\Program Files\Enigma Software Group folder moved successfully.
 
OTLPE by OldTimer - Version 3.1.42.0 log created on 10032010_221517


le pc ne boot toujours pas sous windows
l'autre pc que j'ai est sous vista... est-ce que ça peut faire ?

Malekal_morte- · Answer

non pas ceux de Vista.
Je vais voir si qq1 peut récup ces fichiers.

Dernière bonne configuration ça marche pas non plus ?

Je mets ce lien là pour pas l'oublier : https://support.microsoft.com/fr-fr/help/155315

kluglich · Answer

ça veut dire quoi "dernière bonne configuration" ? C'est un truc à faire, ou juste savoir si les dernières manips avaient permis le boot ? Si c'est le cas non, le pc ne démarre toujours pas sous windows

edit : ok, j'ai vu ce que c'était dans le menu où on peut faire "mode sans échec" et compagnie, j'ai essayé mais ça a donné exactement la même chose que quand j'essaie de démarrer sous windows : blocage

Malekal_morte- · Answer

tiens les deux fichiers à télécharger :
http://sd-1.archive-host.com/membres/up/17959594961240255/csrss.exe
http://sd-1.archive-host.com/membres/up/17959594961240255/winlogon.exe 

et tu les transfères via OTLPE en espérant qu'internet ou une clef USB fonctionne.

tu les mets dans C:\Windows\system32
et tu pries pour que ça fasse qq chose!

Antivirus 2010 impossible à enlever

40 réponses

Discussions similaires