antivirus 2010 impossible à enlever Fermé

Question

Bonjour, 

samedi soir, cette saleté est apparue comme par magie sur mon ordinateur, et malgré l'aide d'un ami connaisseur, impossible de l'enlever. 
Au début s'affichait un énorme message sur le bureau disant que le système était infecté, blablabla... puis s'ouvrait la fenêtre antivirus 2010 qui proposait de faire un scan, puis recommandait de l'acheter pour se débarrasser des virus trouvés. Ca ne sentait pas la grande confiance. Il a ensuite bloqué l'accès internet (excepté pour sa propre page). Ensuite, il a bloqué tous les outils diagnostics ou de nettoyage que j'avais (avast, ccleaner, systemcare). Alors j'ai commencé à chercher des infos sur ce "virus" (un rogue visiblement), et à tenter des tas de manips recommandés, et donc à télécharger toute une batterie de logiciels pour cela : malwarebytes, spyhunter, trojan remover, antivir, spybot, rkill, et même un espèce de patch visiblement créé spécialement pour ce virus. Mais à CHAQUE fois, le mode opératoire est le même : soit il bloque directement l'accès au programme et affiche "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément". Soit le programme s'ouvre mais rien n'est activable. Soit le programme s'ouvre, je peux lancer un diagnostic par exemple, mais ensuite cela s'arrête tout seul. TOUS les logiciels cités plus haut subissent cela.

Je désespère, j'avais relevé un tas de conseils sur le forum mais vu que systématiquement il me bloque les processus...

Si quelqu'un a une solution pour m'aider, je lui en serai très reconnaissant.

Merci d'avance

Configuration: Windows XP / Firefox 3.6.10

Malekal_morte- · Accepted Answer

yep les infections rogues ont de plus en plus tendance à être "Winlock".

Ce que tu peux faire c'est graver ce CD depuis un autre PC et poster le rapport ici : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090

Envoie les rapports sur cijoints et donne les liens : http://www.cijoint.fr/

kluglich · Answer

merci pour ta réponse, j'espère ne pas devoir en passer par là. 

personne n'a une autre solution ?

Nyctaclope · Answer

Bonjour !

Intéressé par le problème, j'avais gardé cela sous le coude pour "suivre".
J'étais convaincu qu'un spécialiste désinfection allait rapidement te prendre en charge, car ton problème semble vraiment pointu ..
Le mieux serait sans doute d'appeler au secours, en indiquant ton lien, via le bureau CCMiste.

Personnellement, j'aurais tenté une manip de désespoir, si tu peux entrer en mode sans échec, en revenant à un point de restauration système antérieur à Samedi. Il y a une petite chance ...
Si cela marche, il faudra faire ensuite un nettoyage de tous les autres points de restauration, et de toute façon faire un scan sérieux.

Sinon, sous mode sans échec, lancer ( exécuter ) msconfig.exe et aller chercher dans le dossier démarrage si tu y trouve un logiciel suspect, et le neutraliser pour ensuite démarrer en mode sélectif.
Mais je crois me souvenir que cela peut être déconseillé avec certains virus, donc j'hésiterais ...

Le problème pour la désinfection, c'est que tu vas actuellement avoir de la peine à lancer quoi que ce soit ..
Si donc tu peux jouer avec la restauration système, tu seras libéré provisoirement du virus pour une possible désinfection ...

Je pense qu'il vaut mieux, tant que c'est possible, éviter la réinstallation, car c'est un gros truc ...

Bonne chance ...

A+
Nyctaclope

kluglich · Answer

je vais pouvoir regarder tout ça aujourdh'ui, merci pour vos réponses déjà. Je vais "appeler au secours" comme me le conseille nyctalope (si je trouve comment faire) parce que là maintenant internet est totalement inaccessible depuis mon ordi, j'ai un message me disant "erreur de chargement de page" "adresse introuvable" etc

je vais tenter de graver le CD indiqué par malekal-morte et faire les manips indiquées (en espérant que je puisse transférer ça sur une clé usb puis l'envoyer depuis mon portable d'où je poste actuellement)

kluglich · Answer

merci à tous pour vos réponses et votre aide.  

@ malekal_morte : j'ai gravé le cd, et viens de lancer le scan, voici le rapport :

kluglich · Answer

houla... j'ai l'impression que le rapport est trop long, je mets donc le lien ci-joint.fr : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijzbHOz4a.txt  

merci d'avance

p.s : je précise que j'ai lancé le scan sur une session d'utilisateur ("test") créée par un pote lorsqu'on essayait de virer le virus. Peut être faut-il que je le relance sur la session utilisée habituellement ?

Malekal_morte- · Answer

Ce serait bien que tu fasses du ménage dans les antimachins installés.
T'as Avast!, Antivir,  SpyBot et peut-être TrojanScanner (enfin il a plus l'air d'être là) et bien sûr Malwarebyte.

hummm tjrs sur OTLPE, tu pourrais scanner ces fichiers sur VirusTotal : www.virustotal.com
[2002/08/30 08:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msnnxxyb.dll
[2002/08/30 08:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys
[2002/08/30 08:00:00 | 000,131,072 | ---- | C] ()(C:\WINDOWS\System32\us?rinit.exe) -- C:\WINDOWS\System32\us?rinit.exe


et donner les liens de scans ici stp.


Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.

kluglich · Answer

ok merci, alors impossible de lancer internet depuis OTLPE, mais j'ai pu depuis ma session "normale"


voici tout d'abord le rapport OTLPE après avoir viré tous les anti-machins. J'ai conservé avast pour le moment, je verrai si je le remplace par antivir ensuite

http://www.cijoint.fr/cjlink.php?file=cj201010/cijK1j0jiu.txt  



Puis les rapports virustotal (lancés depuis ma session normale donc) :

http://www.virustotal.com/file-scan/report.html?id=d94c50a986c75a10326ebff23358390a08ad999b6ff6891691572d7e3900cb03-1286026653

http://www.virustotal.com/file-scan/report.html?id=69213732adb04068b0c59ca9d10ea531ba1b91bb0423c17227ecbd75f2cdd22b-1285984430

http://www.virustotal.com/file-scan/report.html?id=22362cab11561d7bbae99bff4a8811fa33920b48f2027e736e1bdccb9b617cbd-1285623691

Malekal_morte- · Answer

OK sur OTLPE. 

Renomme C:\WINDOWS\System32\drivers\mvb35316.sys  en C:\WINDOWS\System32\drivers\mvb35316.old 

pareil C:\WINDOWS\System32\msnnxxyb.dll  en C:\WINDOWS\System32\msnnxxyb.old

Redémarre en normal, lance les antivirus. 

Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.

kluglich · Answer

euh... l'ordi ne redémarre plus sans le CD : il se met en marche, la page permettant d'accéder aux options de boot s'affiche, puis le logo windows, puis l'ordi "redémarre" (cela fait le même bruit que quand je l'allume) et un écran gris foncé s'affiche et reste. Plus rien ne se passe
j'ai pu le démarrer avec le CD, et j'ai renommé les fichiers, je ne sais pas si c'est la bonne méthode. Par contre impossible de démarrer un antivirus depuis le CD.
Je ne sais pas trop quoi faire. J'ai relancé un diagnostic

Malekal_morte- · Answer

* redemarre sur reatogo * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

* Double-click sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

[img]http://imagesup.org/image[/img]
http://imagesup.org/image

o sous Custom Scan box [img]http://imagesup.org/image[/img] copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:


:OTL
DRV - [2009/02/09 06:53:55 | 000,012,800 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\mvb35316.sys -- (mvb35316)
[2002/08/30 08:00:00 | 000,273,664 | ---- | C] () -- C:\WINDOWS\System32\msnnxxyb.dll
[2002/08/30 08:00:00 | 000,012,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\mvb35316.sys

* redemarre le pc sous windows voir si ça boot.

kluglich · Answer

merci de ton aide
voila le rapport runfix :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mvb35316 deleted successfully.
File C:\WINDOWS\System32\drivers\mvb35316.sys not found.
File C:\WINDOWS\System32\msnnxxyb.dll not found.
File C:\WINDOWS\System32\drivers\mvb35316.sys not found.
 
OTLPE by OldTimer - Version 3.1.42.0 log created on 10032010_175950



le PC ne boot toujours pas sous windows (en fait j'ai l'impression que quand j'ai désinstallé les antimachins superflus, il devait redémarrer et c'est là qu'il a planté)

Malekal_morte- · Answer

OK :/

Refais un rapport OTLPE, vais essayer de supprimer les restes des AV et on prie pour qu'il boot.

Si je comprends bien, il bloque avant le logo Windows c'est ça ?

kluglich · Answer

Le logo s'affiche, mais ensuite il bloque (écran noir/gris)

j'ai essayé à l'instant de lancer en mode sans échec, écran bleu :
STOP : C000021a [Erreurs système irrécupérable]
le processus système Windows Logon Prcess s'est terminé de façon inattendue avec l'état 0x0000022 (0x00000000   0x00000000)
le système a été arrêté

bon, je le relance avec le CD et refais un scan OTPLE. Il faut que je remette les valeurs indiquées à la base sur le site malekal ? (en copiant collant la liste de fichiers)

kluglich · Answer

voilà j'ai fait le scan :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOIZASx9.txt 


Et j'ai relancé sous windows pour noter les étapes précisément :
écran FUJITSU avec options bios
écran noir avec curseur blanc en haut à gauche
écran avec logo windows xp, avec barre de progression en dessous
écran noir, et quelques secondes après, il y a un bruit (comme si quelque chose s'arrêtait, genre un ventilo mais je sais pas si c'est ça) et écran noir figé

Malekal_morte- · Answer

Le fichier msnnxxyb.dll  tu l'as renommé en msnnxxyb.old ?
T'as possibilité de le remettre pour voir msnnxxyb.old en msnnxxyb.dll  ?

On va virer les restes de SpyHunter...

o sous Custom Scan box [img]http://imagesup.org/image copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
SRV - [2010/07/14 09:19:28 | 000,326,488 | ---- | M] (Enigma Software Group USA, LLC.) [Auto] -- C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe -- (SpyHunter 4 Service)
O4 - HKLM..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe ()
[2010/09/25 16:23:32 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group

* redemarre le pc sous windows voir si ça boot.


Tu as un autre PC sous Windows XP SP3 ?
Ce serait interressant de recopier les fichiers winlogon.exe et csrss.exe depuis ce PC vers celui qui boot plus.

kluglich · Answer

oui je l'avais renommé, je l'ai donc remis en .dll pour voir

j'ai lancé runfix avec tes instructions, voilà le rapport :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SpyHunter 4 Service deleted successfully.
C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SpyHunter Security Suite deleted successfully.
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\mon folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Log folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Downloads folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Defs folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter\Data folder moved successfully.
C:\Program Files\Enigma Software Group\SpyHunter folder moved successfully.
C:\Program Files\Enigma Software Group folder moved successfully.
 
OTLPE by OldTimer - Version 3.1.42.0 log created on 10032010_221517


le pc ne boot toujours pas sous windows
l'autre pc que j'ai est sous vista... est-ce que ça peut faire ?

Malekal_morte- · Answer

non pas ceux de Vista.
Je vais voir si qq1 peut récup ces fichiers.

Dernière bonne configuration ça marche pas non plus ?

Je mets ce lien là pour pas l'oublier : https://support.microsoft.com/fr-fr/help/155315

kluglich · Answer

ça veut dire quoi "dernière bonne configuration" ? C'est un truc à faire, ou juste savoir si les dernières manips avaient permis le boot ? Si c'est le cas non, le pc ne démarre toujours pas sous windows

edit : ok, j'ai vu ce que c'était dans le menu où on peut faire "mode sans échec" et compagnie, j'ai essayé mais ça a donné exactement la même chose que quand j'essaie de démarrer sous windows : blocage

Malekal_morte- · Answer

tiens les deux fichiers à télécharger :
http://sd-1.archive-host.com/membres/up/17959594961240255/csrss.exe
http://sd-1.archive-host.com/membres/up/17959594961240255/winlogon.exe 

et tu les transfères via OTLPE en espérant qu'internet ou une clef USB fonctionne.

tu les mets dans C:\Windows\system32
et tu pries pour que ça fasse qq chose!

kluglich · Answer

ok, je le fais, merci pour tout ça.

alors, j'ai essayé avec winlogon.exe. Il me demande si je veux remplacer le fichier qui existe déjà, j'ai mis "oui". Mais "error copying file or folder. Cannot copy winlogon : access is denied. Make sure the disk is not full or write-protected and that the file is not currently in use"

ça  marché pour csrss.exe  (j'ai également choisi l'option "remplacer le fichier existant" et pas de problème)

est-ce qu'il y a une manip spéciale à faire pour winlogon ?

P.S : je vais commencer à apprendre quelques prières...

Malekal_morte- · Answer

hum ok pour Winlogon :/

Télécharge celui que je t'ai donné sur C:\winlogon.exe et ne le mets pas ailleurs.

Sous OTLPE  :

sous Custom Scan box [img]http://imagesup.org/image  copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:


:OTL
C:\WINDOWS\system32\winlogon.exe|C:\winlogon.exe /replace


* redemarre le pc sous windows voir si ça boot.

kluglich · Answer

argh, le pc ne boot toujours pas ...

voici le rapport d'un scan après runfix : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijtKaKJc2.txt  

petite question bête, quand tu me mets un cadre à copier/coller, je prends bien la première ligne aussi (":OTL") ?

Malekal_morte- · Answer

yep faut.

Tu peux scanner ces trois fichiers sur www.virustotal :
Windows\System32Gdi32.dll
Windows\System32Msvcrt.dll
Windows\System32Comctl32.dll 

et donner les liens de scans ici.

kluglich · Answer

je scanne juste, pas de runfix ?

Malekal_morte- · Answer

juste scanner les fichiers sur virustotal oui.

kluglich · Answer

euh virustotal c'est online hein ? parce que la première fois que tu m'avais demandé j'avais pu le faire en passant par ma session windows, mais là maintenant ben plus d'internet depuis le cdlive, et plus de démarrage sans le cd...

sauf s'il y a quelque chose à faire pour que je puisse utiliser internet, ou est-ce que je peux scanner ces fichiers depuis un aute ordi ??(même si ma question me parait débile : si ces fichiers sont infectés, ce serait pas bien malin que je les importe sur mon portable sain...)

donc je ne sais pas trop comment faire malekal_morte

Malekal_morte- · Answer

Tu te connectes comment à internet ?
Avec une box/routeur en filaire avec le CD Live ça doit marcher.

Sinon tu peux transférer les fichiers par clef USB et les scanner depuis un autre PC ?

kluglich · Answer

freebox pour internet en filaire, j'ai essayé avec le cd live mais rien à faire

je peux les transférer par usb, mais ça risque pas de pourrir mon autre pc ça ?

kluglich · Answer

Merci de ton aide, voici les trois rapports virstotal :

http://www.virustotal.com/file-scan/report.html?id=7a630d96ba69c632a36a02a13aad6109919d23f30b9767fef15035ecb73a5cf0-1286399080

http://www.virustotal.com/file-scan/report.html?id=4d1930e2c29729c727a3179096c2d1cc4407f97380b75615cf3df65b717455a2-1286399425

http://www.virustotal.com/file-scan/report.html?id=6b7d34c409c197736520bcfb0b6ca522e7e0442491b36a304c1017c510943904-1286399518

visiblement c'est ok pour les 3

Malekal_morte- · Answer

mouaip :\

Tu es le 3e à avoir ce foutu écran bleu avec des infections (parfois des assez méchantes) - sur d'autres forums US, y a d'autres cas.

Il y a des FAQ Microsoft et ça parle des fichiers mentionnés, je pensais qu'ils étaiet patchés et que du coup on pourrait "remettre" les bons, mais ça semble pas être le cas.

Peut-être que l'infection a touché des clefs Winlogon - mais par forum interposé, ça va être assez difficile de corriger cela.

Tout ce que je peux te conseiller, c'est de sauvegarder tes données et faire une répartion de Windows (avec le CD), normalement tu devrais avoir un Windows fonctionnel.
Si t'as pas le CD de Windows, bha restauration avec les CD vendus avec le PC.

voilou.

kluglich · Answer

aïe... la solution que je redoutais. Je vais m'y résoudre s'il n'y a rien d'autre à faire. Par contre j'aurais 2-3 par rapport à ça :
- primo, pour mon fixe je n'ai plus les cd windows depuis longtemps (ça date un peu). Par contre mon portable est plus récent...mais...il n'y avait pas de cd d'installation avec. En fait un message s'affiche au démarrage pour expliquer comment créer les dvd (3 visiblement), mais comme beaucoup de monde sur les forums avec ce pc (fujitsu) je 'y suis jamais parvenu. ENfin bref, je réesaierai, et sinon je me ferai prêter un cd
- deuxio, que va-t-il se passer exactement en faisant une réparation windows ? Est-ce que tous mes fichiers vont être détruits ? (musique, vidéos, documents, etc....) ainsi que tous les soft installés dessus ? En clair, que dois-je sauvegarder ?
- la question qui découle de la précédente : que faudra-t-il réinstaller ? Je ne parle pas des soft, mais plutot de tout ce qui va avec le matos (drivers et compagnie), internet, etc... ça me fait un peu flipper
- est-ce qu'il serait judicieux à cette occasion de passer sous linux, ça fait un moment que j'y pensais et là...

voilà, en tout cas merci beaucoup d'avoir pris le temps de m'aider, c'est cool

kluglich · Answer

ah oui et un dernier truc : il n'y a vraiment aucun moyen de lancer un anti-virus ou quelque chose du genre depuis le cd live ?

ET pour la suite des évènements, que me conseillerais-tu d'installer sur l'ordi pour sa sécurité ? (antivirus et autres)

merci encore à toi

Malekal_morte- · Answer

réparation de Windows avec le CD = pas de perte de données
Réinstallation avec le CD de Windows ou réinitilisation avec les CD vendus avec le PC = format = perte de données.

Dans tous les cas, fais uen sauvegarde si possible avec OTLPE, comme ça tu prends pas de risques.


Pour les antivirus en CD Live, si c'est possible :
https://www.malekal.com/tutoriels-logiciels/

Mais je pense pas que ça résolve ton prb de BSOD, m'enfin tu peux tester si tu veux.

kluglich · Answer

je vais essayer demain. 
Par contre je n'ai pas d'écran bleu moi. Mais le pc ne démarre plus

kluglich · Answer

est-ce que je dois télécharger "antivirus rescue system (exe)" ou "antivirus rescue system (iso)" pour créer un cdlive stp ?

kluglich · Answer

ok merci

kluglich · Answer

bon ben je n'ai pas pu lancer antivir rescue avec le cd. L'ordi démarre, une page antivr s'affiche et ensuite il essaie de download je sais pas quoi, il y parvient pour le premier truc mais ensuite plus rien n'avance, et impossible de lancer le scan (bouton grisé)
je n'ai aps réussi à créer mes dvd windows donc je vais m'en faire prêter un et tenter la manip dès que possible

Malekal_morte- · Answer

Je pense que ça servira à rien de scanner avec un CD Live Antiviral.

bouge pas. faut que je récup un fichier et on essaye un truc :)

Malekal_morte- · Answer

bon prends ça : http://sd-4.archive-host.com/membres/up/7739387536519291/userinit.exe  
Boot sur OTLPE.  

Sous OTLPE : 

sous Custom Scan box [img]http://imagesup.org/image copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat: 


:files 
C:\Windows\system32\us?rinit.exe

(mets bien le ?) 

Ensuite tu copies le userinit.exe téléchargé vers C:\Windows\system32\  

redémarre et regarde si y a du mieux.  

bha gros con, c'est rarement à temps partiel ;)

Antivirus 2010 impossible à enlever

40 réponses

Discussions similaires