Antivirus 2010 impossible à enlever

Fermé
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 - 28 sept. 2010 à 22:13
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 oct. 2010 à 12:38
Bonjour,

samedi soir, cette saleté est apparue comme par magie sur mon ordinateur, et malgré l'aide d'un ami connaisseur, impossible de l'enlever.
Au début s'affichait un énorme message sur le bureau disant que le système était infecté, blablabla... puis s'ouvrait la fenêtre antivirus 2010 qui proposait de faire un scan, puis recommandait de l'acheter pour se débarrasser des virus trouvés. Ca ne sentait pas la grande confiance. Il a ensuite bloqué l'accès internet (excepté pour sa propre page). Ensuite, il a bloqué tous les outils diagnostics ou de nettoyage que j'avais (avast, ccleaner, systemcare). Alors j'ai commencé à chercher des infos sur ce "virus" (un rogue visiblement), et à tenter des tas de manips recommandés, et donc à télécharger toute une batterie de logiciels pour cela : malwarebytes, spyhunter, trojan remover, antivir, spybot, rkill, et même un espèce de patch visiblement créé spécialement pour ce virus. Mais à CHAQUE fois, le mode opératoire est le même : soit il bloque directement l'accès au programme et affiche "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément". Soit le programme s'ouvre mais rien n'est activable. Soit le programme s'ouvre, je peux lancer un diagnostic par exemple, mais ensuite cela s'arrête tout seul. TOUS les logiciels cités plus haut subissent cela.

Je désespère, j'avais relevé un tas de conseils sur le forum mais vu que systématiquement il me bloque les processus...

Si quelqu'un a une solution pour m'aider, je lui en serai très reconnaissant.

Merci d'avance

A voir également:

40 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
29 sept. 2010 à 23:06
yep les infections rogues ont de plus en plus tendance à être "Winlock".

Ce que tu peux faire c'est graver ce CD depuis un autre PC et poster le rapport ici : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090

Envoie les rapports sur cijoints et donne les liens : http://www.cijoint.fr/
3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par noctambule28 le 3/10/2014 à 10:59
Ce serait bien que tu fasses du ménage dans les antimachins installés.
T'as Avast!, Antivir, SpyBot et peut-être TrojanScanner (enfin il a plus l'air d'être là) et bien sûr Malwarebyte.

hummm tjrs sur OTLPE, tu pourrais scanner ces fichiers sur VirusTotal : www.virustotal.com
[2002/08/30 08:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msnnxxyb.dll
[2002/08/30 08:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys
[2002/08/30 08:00:00 | 000,131,072 | ---- | C] ()(C:\WINDOWS\System32\us?rinit.exe) -- C:\WINDOWS\System32\us?rinit.exe


et donner les liens de scans ici stp.


Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.
1
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
Modifié par kluglich le 29/09/2010 à 14:40
merci pour ta réponse, j'espère ne pas devoir en passer par là.

personne n'a une autre solution ?
0
Nyctaclope Messages postés 5315 Date d'inscription dimanche 6 avril 2008 Statut Membre Dernière intervention 11 décembre 2022 1 253
29 sept. 2010 à 22:53
Bonjour !

Intéressé par le problème, j'avais gardé cela sous le coude pour "suivre".
J'étais convaincu qu'un spécialiste désinfection allait rapidement te prendre en charge, car ton problème semble vraiment pointu ..
Le mieux serait sans doute d'appeler au secours, en indiquant ton lien, via le bureau CCMiste.

Personnellement, j'aurais tenté une manip de désespoir, si tu peux entrer en mode sans échec, en revenant à un point de restauration système antérieur à Samedi. Il y a une petite chance ...
Si cela marche, il faudra faire ensuite un nettoyage de tous les autres points de restauration, et de toute façon faire un scan sérieux.

Sinon, sous mode sans échec, lancer ( exécuter ) msconfig.exe et aller chercher dans le dossier démarrage si tu y trouve un logiciel suspect, et le neutraliser pour ensuite démarrer en mode sélectif.
Mais je crois me souvenir que cela peut être déconseillé avec certains virus, donc j'hésiterais ...

Le problème pour la désinfection, c'est que tu vas actuellement avoir de la peine à lancer quoi que ce soit ..
Si donc tu peux jouer avec la restauration système, tu seras libéré provisoirement du virus pour une possible désinfection ...

Je pense qu'il vaut mieux, tant que c'est possible, éviter la réinstallation, car c'est un gros truc ...

Bonne chance ...

A+
Nyctaclope
0
Nyctaclope Messages postés 5315 Date d'inscription dimanche 6 avril 2008 Statut Membre Dernière intervention 11 décembre 2022 1 253
29 sept. 2010 à 22:59
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
1 oct. 2010 à 12:26
je vais pouvoir regarder tout ça aujourdh'ui, merci pour vos réponses déjà. Je vais "appeler au secours" comme me le conseille nyctalope (si je trouve comment faire) parce que là maintenant internet est totalement inaccessible depuis mon ordi, j'ai un message me disant "erreur de chargement de page" "adresse introuvable" etc

je vais tenter de graver le CD indiqué par malekal-morte et faire les manips indiquées (en espérant que je puisse transférer ça sur une clé usb puis l'envoyer depuis mon portable d'où je poste actuellement)
0
Nyctaclope Messages postés 5315 Date d'inscription dimanche 6 avril 2008 Statut Membre Dernière intervention 11 décembre 2022 1 253
Modifié par Nyctaclope le 1/10/2010 à 14:33
Re
Plus la peine d'appeler au secours, apparemment le "réseau" des contributeurs a bien fonctionné, et tu as affaire maintenant à l'un des, si ce n'est LE meilleur, spécialiste(s) de la question, dont la réputation n'est plus à faire.
La seule solution est effectivement de booter depuis ton PC sur le CD contenant les outils de désinfection, et donc de travailler à l'abri du virus.
Je crois que tu n'as pas tout à fait compris : c'est CE CD ( bootable ) qu'il faut utiliser ( et non une clé USB ), après l'avoir téléchargé et gravé avec ton portable, puis en démarrant dessus depuis ton PC infecté.

Bon travail ...
Nyctaclope
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
Modifié par kluglich le 3/10/2010 à 16:34
merci à tous pour vos réponses et votre aide.

@ malekal_morte : j'ai gravé le cd, et viens de lancer le scan, voici le rapport :
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
Modifié par kluglich le 2/10/2010 à 12:39
houla... j'ai l'impression que le rapport est trop long, je mets donc le lien ci-joint.fr :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijzbHOz4a.txt

merci d'avance

p.s : je précise que j'ai lancé le scan sur une session d'utilisateur ("test") créée par un pote lorsqu'on essayait de virer le virus. Peut être faut-il que je le relance sur la session utilisée habituellement ?
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
2 oct. 2010 à 15:49
ok merci, alors impossible de lancer internet depuis OTLPE, mais j'ai pu depuis ma session "normale"


voici tout d'abord le rapport OTLPE après avoir viré tous les anti-machins. J'ai conservé avast pour le moment, je verrai si je le remplace par antivir ensuite

http://www.cijoint.fr/cjlink.php?file=cj201010/cijK1j0jiu.txt



Puis les rapports virustotal (lancés depuis ma session normale donc) :

http://www.virustotal.com/file-scan/report.html?id=d94c50a986c75a10326ebff23358390a08ad999b6ff6891691572d7e3900cb03-1286026653

http://www.virustotal.com/file-scan/report.html?id=69213732adb04068b0c59ca9d10ea531ba1b91bb0423c17227ecbd75f2cdd22b-1285984430

http://www.virustotal.com/file-scan/report.html?id=22362cab11561d7bbae99bff4a8811fa33920b48f2027e736e1bdccb9b617cbd-1285623691
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 2/10/2010 à 15:56
OK sur OTLPE.

Renomme C:\WINDOWS\System32\drivers\mvb35316.sys en C:\WINDOWS\System32\drivers\mvb35316.old

pareil C:\WINDOWS\System32\msnnxxyb.dll en C:\WINDOWS\System32\msnnxxyb.old

Redémarre en normal, lance les antivirus.

Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
2 oct. 2010 à 19:01
euh... l'ordi ne redémarre plus sans le CD : il se met en marche, la page permettant d'accéder aux options de boot s'affiche, puis le logo windows, puis l'ordi "redémarre" (cela fait le même bruit que quand je l'allume) et un écran gris foncé s'affiche et reste. Plus rien ne se passe
j'ai pu le démarrer avec le CD, et j'ai renommé les fichiers, je ne sais pas si c'est la bonne méthode. Par contre impossible de démarrer un antivirus depuis le CD.
Je ne sais pas trop quoi faire. J'ai relancé un diagnostic
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 oct. 2010 à 19:03
* redemarre sur reatogo * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

[img]http://imagesup.org/image[/img]
http://imagesup.org/image

o sous Custom Scan box [img]http://imagesup.org/image[/img] copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:


:OTL
DRV - [2009/02/09 06:53:55 | 000,012,800 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\mvb35316.sys -- (mvb35316)
[2002/08/30 08:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msnnxxyb.dll
[2002/08/30 08:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys


* redemarre le pc sous windows voir si ça boot.


0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
3 oct. 2010 à 11:59
merci de ton aide
voila le rapport runfix :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mvb35316 deleted successfully.
File C:\WINDOWS\System32\drivers\mvb35316.sys not found.
File C:\WINDOWS\System32\msnnxxyb.dll not found.
File C:\WINDOWS\System32\drivers\mvb35316.sys not found.

OTLPE by OldTimer - Version 3.1.42.0 log created on 10032010_175950



le PC ne boot toujours pas sous windows (en fait j'ai l'impression que quand j'ai désinstallé les antimachins superflus, il devait redémarrer et c'est là qu'il a planté)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2010 à 12:01
OK :/

Refais un rapport OTLPE, vais essayer de supprimer les restes des AV et on prie pour qu'il boot.

Si je comprends bien, il bloque avant le logo Windows c'est ça ?
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
3 oct. 2010 à 12:11
Le logo s'affiche, mais ensuite il bloque (écran noir/gris)

j'ai essayé à l'instant de lancer en mode sans échec, écran bleu :
STOP : C000021a [Erreurs système irrécupérable]
le processus système Windows Logon Prcess s'est terminé de façon inattendue avec l'état 0x0000022 (0x00000000 0x00000000)
le système a été arrêté

bon, je le relance avec le CD et refais un scan OTPLE. Il faut que je remette les valeurs indiquées à la base sur le site malekal ? (en copiant collant la liste de fichiers)
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
3 oct. 2010 à 12:31
voilà j'ai fait le scan :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOIZASx9.txt


Et j'ai relancé sous windows pour noter les étapes précisément :
écran FUJITSU avec options bios
écran noir avec curseur blanc en haut à gauche
écran avec logo windows xp, avec barre de progression en dessous
écran noir, et quelques secondes après, il y a un bruit (comme si quelque chose s'arrêtait, genre un ventilo mais je sais pas si c'est ça) et écran noir figé
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2010 à 13:02
Le fichier msnnxxyb.dll tu l'as renommé en msnnxxyb.old ?
T'as possibilité de le remettre pour voir msnnxxyb.old en msnnxxyb.dll ?

On va virer les restes de SpyHunter...

o sous Custom Scan box [img]http://imagesup.org/image copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
SRV - [2010/07/14 09:19:28 | 000,326,488 | ---- | M] (Enigma Software Group USA, LLC.) [Auto] -- C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe -- (SpyHunter 4 Service)
O4 - HKLM..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe ()
[2010/09/25 16:23:32 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group


* redemarre le pc sous windows voir si ça boot.


Tu as un autre PC sous Windows XP SP3 ?
Ce serait interressant de recopier les fichiers winlogon.exe et csrss.exe depuis ce PC vers celui qui boot plus.
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
3 oct. 2010 à 14:12
oui je l'avais renommé, je l'ai donc remis en .dll pour voir

j'ai lancé runfix avec tes instructions, voilà le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SpyHunter 4 Service deleted successfully.
C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SpyHunter Security Suite deleted successfully.
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\mon folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Downloads folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Defs folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Data folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.
C:\Program Files\Enigma Software Group folder moved successfully.

OTLPE by OldTimer - Version 3.1.42.0 log created on 10032010_221517


le pc ne boot toujours pas sous windows
l'autre pc que j'ai est sous vista... est-ce que ça peut faire ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2010 à 14:27
non pas ceux de Vista.
Je vais voir si qq1 peut récup ces fichiers.

Dernière bonne configuration ça marche pas non plus ?

Je mets ce lien là pour pas l'oublier : https://support.microsoft.com/fr-fr/help/155315
0
kluglich Messages postés 29 Date d'inscription mercredi 17 juin 2009 Statut Membre Dernière intervention 8 janvier 2014 2
Modifié par kluglich le 3/10/2010 à 14:51
ça veut dire quoi "dernière bonne configuration" ? C'est un truc à faire, ou juste savoir si les dernières manips avaient permis le boot ? Si c'est le cas non, le pc ne démarre toujours pas sous windows

edit : ok, j'ai vu ce que c'était dans le menu où on peut faire "mode sans échec" et compagnie, j'ai essayé mais ça a donné exactement la même chose que quand j'essaie de démarrer sous windows : blocage
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2010 à 14:53
tiens les deux fichiers à télécharger :
http://sd-1.archive-host.com/membres/up/17959594961240255/csrss.exe
http://sd-1.archive-host.com/membres/up/17959594961240255/winlogon.exe

et tu les transfères via OTLPE en espérant qu'internet ou une clef USB fonctionne.

tu les mets dans C:\Windows\system32
et tu pries pour que ça fasse qq chose!
0