faux antivirus antispyware 2011 Résolu/Fermé

Question

Bonjour, 

depuis quelques jours j'ai un faux antivirus_antispyware 2011 qui est arrivé sur mon ordi(je suis sous windows XP). J'ai fait un scan avec Malware bites, il le trouve et donc je le supprime. Le problème c'est que le lendemain il réapparait. Comment m'en détacher definitivement??
Merci d'avance pour lr coup de mains

verni29 · Answer

Re, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.exe  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme https://www.cjoint.com/ pour les déposer. 
indique ensuite les deux liens crées

A+

verni29 · Answer

Re,  

Plusieurs questions : 

- Tu peux vérifier si Avast est actif au démarrage . 

- Est-ce toi qui a changé les paramètres de proxy ? 

- Il est bizarre ton XP ! 
Cela ressemble à une version piraté. 
Tu es au courant ? 

---------------------------------------------------------- 

Relance OTL.exe.   

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :   

:OTL 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O4 - HKU\S-1-5-21-1957994488-1844237615-725345543-1003..\Run: []  File not found 
[2011/05/03 20:22:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Application Data\AntiVirus_AntiSpyware_2011 
[2011/05/02 18:48:19 | 000,000,000 | ---D | C] -- C:\AntiVirus_AntiSpyware_2011 
[2011/04/30 09:19:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\AntiVirus_AntiSpyware_2011 
[2011/05/03 20:22:46 | 000,001,820 | ---- | M] () -- C:\AntiVirus_AntiSpyware_2011.lnk 
[2011/05/03 20:22:41 | 004,722,179 | ---- | M] () -- C:\WINDOWS\7FEC72AD.exe 
[2011/05/03 20:22:41 | 000,001,608 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\common.data 
[2011/05/03 19:22:10 | 000,000,000 | ---- | M] () -- C:\WINDOWS\78B99911.exe 
[2011/04/28 18:58:06 | 000,000,784 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk 
@Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 

:Commands 
[Emptyflash] 
[Emptytemp]

*  Puis clique sur le bouton Correction en haut de la fenêtre.   
 * Laisse le programme travailler, le PC va redémarrer.   

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).    
sauvegarde-le sur ton Bureau et poste-le après redémarrage.   

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles   
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log   

A+ 
Allez jusqu'au bout de la procédure de désinfection.

verni29 · Answer

Re,  

Désinstalle Dealio Toolbar v4.0.2 

-------------------------------------------- 

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.  
https://www.virustotal.com/gui/  

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :  

Chemin : C:\WINDOWS\System32\drivers\ricbgxor.sys  

# Tu cliques ensuite sur envoyer le fichier.   
# Copie l'adresse de la page une fois les résultats affichés.  

Indique moi le lien de cette page. 

Refais cette manip avec le fichier : C:\WINDOWS\ShowBmp.exe 

------------------------------------------------------------ 

Avec OTL, refais la même manip de correction avec le texte suivant : 

:OTL 
IE - HKU\S-1-5-21-1957994488-1844237615-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http://127.0.0.1:8080 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 
"AntiVirus_AntiSpyware_2011"=- 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 
"AntiVirus_AntiSpyware_2011"=- 
[HKEY_USERS\S-1-5-21-1957994488-1844237615-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 
"AntiVirus_AntiSpyware_2011"=- 

:reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Avast"="C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui"  


Clique ensuite sur Correction. 
le PC ne va pas redémarrer cette fois-ci. 

Poste le rapport obtenu. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

verni29 · Answer

Re, 

Le lien pour l'analyse du fichier showbmp.exe n'est pas lisible.
Reposte-le. 
Cette fois-ci, clique sur Répondre au sujet et non sur ajouter un commentaire.

----------------------------------------------------

Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
https://download.bleepingcomputer.com/grinler/rkill.scr 

/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil./!\

    * Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
      ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
    * Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Un rapport va s'ouvrir.
Poste-le.

A+

akrodusol · Answer

http://www.virustotal.com/...

pour Rkill le lien:
http://cjoint.com/?AEdwYtt8jXN

a+

verni29 · Answer

Bon, 

Le lien ne passe toujours pas.
Est-ce qu'il y a des détections de vorus sur ce fichier ?

----------------------------------------------

Pour Rkill, rien d'infectieux !
Bizarre !! Tu me dis que le virus est toujours actif , non ?
A quoi le remarques-tu ?

----------------------------------------------

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT ) 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu ) 
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir. 

# Lance Combofix.exe et suis les invites. 
# Il te sera demandé d'installer la console de récupération. 
Important. Fais le absolument. 

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.  

# Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt. 

A+

akrodusol · Answer

j'ai mis le lien de l'adresse dans un dossier texte comme ça tu pourras la lire
http://cjoint.com/?AEdxiP6aPSH
pour le virus il n'est plus actif pour l'instant mais peut etre reviendra t'il demain??
je fais l'autre operation maintenant
a+

akrodusol · Answer

quand l'ordi a redemaré le virus c'est reactivé....
voici le rapport
http://cjoint.com/?AEdxZbNMHhk

a+

verni29 · Answer

akrodusol, 

Merci pour le rapport de ComboFix.
C'est plus explicite que les rapports précédents.

----------------------------------------------

Commence par enlever les réglages actuels sur le proxy.

Panneau de configuration --> options Internet

# Onglet Connexions --> Paramètres réseau
# Puis décoche ce qui concerne le serveur proxy.

et valide.

----------------------------------------------------

1/ Ouvre le bloc-notes et sélectionne le texte suivant :

KillAll::

Collect::[4]
C:\WINDOWS\System32\drivers\ricbgxor.sys
c:\windows\system32\drivers\wrvk.sys

Driver::
ricbgxor
shwqwtxq

Folder::
c:\documents and settings\LocalService\Application Data\AntiVirus_AntiSpyware_2011

File::
c:\windows\3F32A78A.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AntiVirus AntiSpyware 2011"=-
"AntiVirus AntiSpyware 2011 Security"=-

# Copie/colle ce texte dans le bloc-notes.
# Enregistre le fichier sur le bureau et nomme-le CFScript.txt.


2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

akrodusol · Answer

bonjour,

je viens d'effectuer les manipulation ci-joint le rapport Comlbo fix

http://cjoint.com/?AEeofzjMCHr

merci
a+ jonathan

verni29 · Answer

akrodusol, 

Des améliorations pour le faux antivirus ?

----------------------------------------

Il y a une autre infection sur le PC.
Avant de s'y attaquer, j'aimerais vérifier une chose.

Télécharge gmer  sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d'usage :
- Commence par désactiver ou arrêter des logiciels comme  Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer.
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur. 
# Le scan va se lancer de lui-même.

Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.

# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+

akrodusol · Answer

j'ai redemmaré l'ordi et plus de traces du virus.. je croise les doigts
j'effectue maintenant les autres étapes
a+

akrodusol · Answer

voici le rapport gmer (l'analyse était rapide est-ce normale?)
http://cjoint.com/?AEeoFwAQYNV

verni29 · Answer

Re, 

Pour la rapidité, oui c'était normal.

--------------------------------

Télécharge  TDSSKiller sur ton Bureau. 

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
# Faire un double clic sur TDSSKiller.exe pour le lancer.
# Cliquer sur Start scan pour lancer l'analyse,

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip),
# Puis cliquer sur le bouton Continue.
# Attendre l'affichage du fichier rapport.
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton  Reboot computer.

Envoyer en réponse le rapport de TDSSKiller

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

A+

akrodusol · Answer

c'est cool je le sens déjà beaucoup plus propre !

voici le rapport du tdsskiller
http://cjoint.com/?AEevLZpzOmO

déjà un super merci pour votre super travail
a+
akrodusol

verni29 · Answer

Re,

Nickel, l'autre infection est nettoyée. 

Tu pourras repasser Malwarebytes mais maintenant que le rogue est supprimé il ne devrait plus le trouver. 

Une dernière vérification. 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32 

Poste le rapport obtenu. 
Il se trouve en C:\Program Files\ESET Online Scanner\log.txt 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

akrodusol · Answer

bonjour,

voici le rapport de ESET Online
visiblement il a fait le grand nettoyage

http://cjoint.com/?AEfiRaqKQkZ

passez une bonne journée
akrodusol

verni29 · Answer

akrodusol, 

Oui, Eset a fait le ménage.
Il a trouvé des restes de l'infection Bamital qui avait patché les fichiers systèmes,
Le rapport montre également que la restauration système ( dans C:\système volume information ) a été infectée. A nettoyer.

-----------------------------------------------

Le PC est à jour.

Tu peux par contre supprimer les anciennes versions :

Java(TM) 6 Update 2
Java(TM) 6 Update 3 
Java(TM) 6 Update 5 
Java(TM) 6 Update 7 
J2SE Runtime Environment 5.0 Update 11

Tu peux aller sur le site de secunia et vérifier également les mises à jours de différents logiciels : https://www.flexera.com/products/operations/software-vulnerability-management.html

Fais ces manips.
On termine ensuite.

A+

akrodusol · Answer

voilà j'ai effacé les programmes opsolette
quelles sont les nouvelles directives
a+ 
akrodusol

verni29 · Answer

On termine.

On va enlever les outils utilisés.
    * Lance OTL et clique sur purge outils.
      Le PC va redémarrer pour supprimer les différents outils et sa quarantaine.
    
.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC.

- Désactivation de la restauration système :

Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée, la décocher -- > valider -- > cocher )

Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.

Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Création d'un nouveau point de restauration :

Pour recréer un point de restauration :

Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système

Choisis "Créer un point de restauration". Suis les invites.

Si tu as des questions sur ces manips , n'hésite pas à les poser.

------------------------------------------------------------------------------------

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

projet antimalwares

-------------------------------------------------------------------------------------

Si tu juges que le problème est résolu, note le ( en haut de page , Marquer comme résolu )

Bonne continuation, bon surf, bonne lecture.

@+

akrodusol · Answer

je suis super heureux du travail accompli mille mercis
c'est géant l'entraide
j'aimerais savoir si tout est ok?
j'aimerais aussi avoir un avis sur un anti-virus et un pare feu (en free ou pas)
car je n'en aie plus
 encore merci pour tout
akrodusol

verni29 · Answer

akrodusol, 

Tu as enlevé Avast ?

Pour un antivirus , je te conseillerais Antivir - ou Avast ;-).

Antivir : https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html

L'utilisation d'un parefeu est intéressante mais il faut savoir le paramétrer.
As-tu déjà eu un parefeu logiciel sur le PC ?

parefeux intéressants : 

Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/
Online Armor : https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/

----------------------------------------------

Pour les outils utilisés, eh bien !

OTL est un outil de diagnostic.

Rkill, gmer, TDSSKiller
Ils sont spécifiques aux désinfections. Chacun a une fonction précise.

Combofix. Faire très attention avec cet outil qui est très puissant mais il vaut mieux connaitre son fonctionnement avant de l'utiliser.

Comme tu le vois, aucun des outils utilisés n'est à garder.

A+

akrodusol · Answer

voilà j'ai réinstallé Avast et j'ai réactivé le pare feu windows ( est-ce bon ou vaut mieux un des deux proposées?)
maintenant je ne sais pas tout à fait quel programme peut filtrer certaines choses sans risque ou quel type de programme??

merci pour tous les conseils
akrodusol

verni29 · Answer

Re, 

Non, c'est bon ainsi.
Avast a des fonctionnalités intéressantes et a amélioré son bouclier web ( détection de javascript ).
Le parefeu de XP n'a pas les fonctionnalités d'un parefeu logiciel mais il filtre tout de même ce qui entre sur le PC.

Si tu veux par contre avoir plus de contrôle sur les applications, il faut dans ce cas mettre un parefeu logiciel.

@+

akrodusol · Answer

en tout cas merci pour tout et bonne continuation 
a+
Akrodusol

Faux antivirus antispyware 2011

25 réponses

Discussions similaires