Av security suit, Windows security tool, etc.

Nshee -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai besoin de vos lumières pour comprendre ce qu'il m'arrive. Je dis comprendre parce que je pense qu'au point ou j'en suis je vais formater mon PC.

En l'espace d'une semaine je me suis tapé 3 virus de type "faux antivirus qui s'installe tout seul avec des tas de messages parlant d'infection et qui bloque les programmes": dans l'ordre: Windows security Tool, system Tool , Av security suit.

J'ai réussi à les virer tant bien que mal (le premier en supprimant le fichier coupable, j'avais réussi à retrouver le chemin d'accès, je sais c'est pas propre), le deuxième en faisant plusieurs manipes si bien que je n'ai aucune idée de la manière dont je l'ai fait partir et si je l'ai bien fait partir (mais après tout fonctionnait correctement) et le troisième avec un bon coup de MalwareBytes.

Ces Trojans portent des noms différent mais en fait il s'agit quasiment du même programme. Ils s'auto installent et essayent de vous persuader de lâcher la maille pour une version complète parceque votre PC est vérolé de partout.

J'avais avast - que j'ai échangé contre microsoft security essentials après le deuxième virus (en me disant avast n'est plus ce qu'il était). Cela fait des années que je n'ai rien chopé et donc voici ma première question:

-Comment se fait t-il que j'ai pu choper trois saloperies similaires, coup sur coup, malgré un bon antivirus?


J'ai remarqué que dans deux cas, l'attaque s'est déclenchée alors que je trainais sur alloshow/ AlloURL/ megavideo. d'habitude aucun problème, mais là, coup sur coup... C'est probable que ça vienne de là non? est ce que le premier virus aurait pu créer une sorte de faille?

deuxième question:

- Depuis le dernier virus (AV antivirus), impossible d'envoyer des mails, alors que les infos entrées sont bonnes et n'ont pas changées. Il me dit que la connexion au serveur SMTP a expiré. J'ai aussi cru remarquer des ralentissement inhabituels de temps à autres autant au niveau des performances que sur l'internet (idem, les pages expirent car trop de temps de chargement). Impossible de brancher la TV avec le cable HDMI comme d'habitude: lorsque l'ordinateur s'allume, la télé reconnait, mais dès que windows est lancé elle ne reconnait plus. bizarre! Je n'arrive plus à me connecter sur les sites ou il faut se loguer, il me dit que mes cookies sont pas activés. Etrange!

En fait je pense que cette pourriture d'AV antivirus à foutu la merde un peu partout et je douterai presque que ça puisse etre rattrapable. Qu'en pensez vous?

Tous vous conseils/ explications seront les bienvenus... Je suis loin d'être pro en informatique et je préférerai être en mesure d'éviter ces situations.

merci d'avance!

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    J'ai remarqué que dans deux cas, l'attaque s'est déclenchée alors que je trainais sur alloshow/ AlloURL/ megavideo.

    Publicité pourries.
    => Securise Firefox : https://www.malekal.com/securiser-le-navigateur-web-firefox-2/

    Tu n'es pas le seul à te chopper ces m*rdes via ce site.

    ~~

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

    puis :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE\%Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

    0
  2. Nshee
     
    merci pour ta réponse rapide. Je te poste ce que tu me demandes dans pas longtemps.
    0
  3. Nshee
     
    Pour commencer, le rapport malwarebytes (il dit que c'est clean)

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5858

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.19019

    27/02/2011 11:46:53
    mbam-log-2011-02-27 (11-46-53).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 180470
    Temps écoulé: 4 minute(s), 14 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Registry-Booster - à lire :
    https://forums.commentcamarche.net/forum/affich-20507405-registry-booster

    Affiche les fichiers cachés: https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

    Supprime ça, ce sont des restes de rogues :
    C:\Users\Solène Azernour\AppData\Local\871386874
    C:\ProgramData\871386874

    Sinon c'est bon.
    Donc sécurise Firefox pour ne plus afficher les pubs de ce site et tu devrais ne plus être infecté à l'avenir.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      SpyBot à désinstaller aussi, dépassé, inefficace...
      0
    2. Nshee
       
      les fichiers cachés sont déjà affichés, ok pour spybot. Pour les truc de nettoyage de registre, j'ai dl ces trucs à l'arrache ce matin pour voir ce que c'était, mais en pensant le désinstaller dans la foulée car ils demandent de payer et les critiques pas vraiment convaincantes ...

      Du coup, je suppose que nettoyer les derniers reste des rogues va pas rétablir les performances de mon pc (telles qu'elles étaient avant le dernier virus)?

      Bon, j'essaie.
      0
    3. Nshee
       
      Bon, j'ai vérifié les fichiers cachés sont bien affichés, mais pourtant je trouve pas 871386874 dans les dossiers concernés. Quand je copie colle le chemin d'accès il me demande avec quel programme je veux l'ouvrir. Pourquoi ça fait ça et comment me débarrasser de ces merdes?
      0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

    :files
    C:\Users\Solène Azernour\AppData\Local\871386874
    C:\ProgramData\871386874


    * redemarre le pc sous windows et poste le rapport ici

    0