Av security suit, Windows security tool, etc. [Fermé]

Signaler
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

J'ai besoin de vos lumières pour comprendre ce qu'il m'arrive. Je dis comprendre parce que je pense qu'au point ou j'en suis je vais formater mon PC.

En l'espace d'une semaine je me suis tapé 3 virus de type "faux antivirus qui s'installe tout seul avec des tas de messages parlant d'infection et qui bloque les programmes": dans l'ordre: Windows security Tool, system Tool , Av security suit.

J'ai réussi à les virer tant bien que mal (le premier en supprimant le fichier coupable, j'avais réussi à retrouver le chemin d'accès, je sais c'est pas propre), le deuxième en faisant plusieurs manipes si bien que je n'ai aucune idée de la manière dont je l'ai fait partir et si je l'ai bien fait partir (mais après tout fonctionnait correctement) et le troisième avec un bon coup de MalwareBytes.

Ces Trojans portent des noms différent mais en fait il s'agit quasiment du même programme. Ils s'auto installent et essayent de vous persuader de lâcher la maille pour une version complète parceque votre PC est vérolé de partout.

J'avais avast - que j'ai échangé contre microsoft security essentials après le deuxième virus (en me disant avast n'est plus ce qu'il était). Cela fait des années que je n'ai rien chopé et donc voici ma première question:

-Comment se fait t-il que j'ai pu choper trois saloperies similaires, coup sur coup, malgré un bon antivirus?


J'ai remarqué que dans deux cas, l'attaque s'est déclenchée alors que je trainais sur alloshow/ AlloURL/ megavideo. d'habitude aucun problème, mais là, coup sur coup... C'est probable que ça vienne de là non? est ce que le premier virus aurait pu créer une sorte de faille?

deuxième question:

- Depuis le dernier virus (AV antivirus), impossible d'envoyer des mails, alors que les infos entrées sont bonnes et n'ont pas changées. Il me dit que la connexion au serveur SMTP a expiré. J'ai aussi cru remarquer des ralentissement inhabituels de temps à autres autant au niveau des performances que sur l'internet (idem, les pages expirent car trop de temps de chargement). Impossible de brancher la TV avec le cable HDMI comme d'habitude: lorsque l'ordinateur s'allume, la télé reconnait, mais dès que windows est lancé elle ne reconnait plus. bizarre! Je n'arrive plus à me connecter sur les sites ou il faut se loguer, il me dit que mes cookies sont pas activés. Etrange!

En fait je pense que cette pourriture d'AV antivirus à foutu la merde un peu partout et je douterai presque que ça puisse etre rattrapable. Qu'en pensez vous?


Tous vous conseils/ explications seront les bienvenus... Je suis loin d'être pro en informatique et je préférerai être en mesure d'éviter ces situations.

merci d'avance!

6 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 890
Salut,

J'ai remarqué que dans deux cas, l'attaque s'est déclenchée alors que je trainais sur alloshow/ AlloURL/ megavideo.

Publicité pourries.
=> Securise Firefox : https://www.malekal.com/securiser-le-navigateur-web-firefox-2/

Tu n'es pas le seul à te chopper ces m*rdes via ce site.

~~

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.



puis :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

merci pour ta réponse rapide. Je te poste ce que tu me demandes dans pas longtemps.
Pour commencer, le rapport malwarebytes (il dit que c'est clean)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5858

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

27/02/2011 11:46:53
mbam-log-2011-02-27 (11-46-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 180470
Temps écoulé: 4 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 890
Registry-Booster - à lire :
https://forums.commentcamarche.net/forum/affich-20507405-registry-booster

Affiche les fichiers cachés: https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Supprime ça, ce sont des restes de rogues :
C:\Users\Solène Azernour\AppData\Local\871386874
C:\ProgramData\871386874

Sinon c'est bon.
Donc sécurise Firefox pour ne plus afficher les pubs de ce site et tu devrais ne plus être infecté à l'avenir.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 890
SpyBot à désinstaller aussi, dépassé, inefficace...
les fichiers cachés sont déjà affichés, ok pour spybot. Pour les truc de nettoyage de registre, j'ai dl ces trucs à l'arrache ce matin pour voir ce que c'était, mais en pensant le désinstaller dans la foulée car ils demandent de payer et les critiques pas vraiment convaincantes ...

Du coup, je suppose que nettoyer les derniers reste des rogues va pas rétablir les performances de mon pc (telles qu'elles étaient avant le dernier virus)?

Bon, j'essaie.
Bon, j'ai vérifié les fichiers cachés sont bien affichés, mais pourtant je trouve pas 871386874 dans les dossiers concernés. Quand je copie colle le chemin d'accès il me demande avec quel programme je veux l'ouvrir. Pourquoi ça fait ça et comment me débarrasser de ces merdes?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 890
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:files
C:\Users\Solène Azernour\AppData\Local\871386874
C:\ProgramData\871386874


* redemarre le pc sous windows et poste le rapport ici