Pc infecte par antivirus center Résolu/Fermé

Question

Bonjour, 

Gros problème, depuis ce matin mon pc est infecté par "antivirus center", quelqu'un a-t-il déjà eu ce problème, que dois-je faire? merci par avance de bien vouloir m'aider.


Configuration: Windows Vista / Firefox 3.6.17

verni29 · Answer

Bonjour, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.exe  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme https://www.cjoint.com/ pour les déposer. 
indique ensuite les deux liens crées.

A+

paskalou66 · Answer

Bonjour vernis29, j'espère te remercier lorsque j'aurai été au bout de la procédure... sympa de ta part d'avoir répondu aussi rapidement,

à+

verni29 · Answer

Paskalou66, 

Ton PC est infecté par un rogue.
Si l'infection n'est pas trop ancienne ( ce qui est le cas ), la désinfection devrait bien se passer.

A+

paskalou66 · Answer

vernis29, voici le lien pour otl et extra txt

http://cjoint.com/?3EelRwN6TMs

http://cjoint.com/?AEelUvMesfI

paskalou66 · Answer

pardon ce sont les adresses des liens...

donc les liens

http://cjoint.com/11mi/AEelUvMesfI.htm

http://cjoint.com/11mi/AEelYs6B8aJ.htm

verni29 · Answer

Re, 

Ta page d'accueil sous IE est hxxp://myhomewebs.com
Est-ce toi qui l'a choisie ?

---------------------------------------------

Désinstalle mywebsites.pro-FR Toolbar via le panneau de configuration.

----------------------------------------------

Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
PRC - [2010/01/08 01:36:58 | 000,974,848 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Search Settings\SearchSettings.exe
PRC - [2010/01/08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe
SRV - [2010/01/08 00:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
IE - HKLM\..\URLSearchHook: {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR	bmyw0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-42987099-1124712391-3363952276-1001\..\URLSearchHook: {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR	bmyw0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-42987099-1124712391-3363952276-1001\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.)
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
O2 - BHO: (mywebsites.pro-FR Toolbar) - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR	bmyw0.dll (Conduit Ltd.)
O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (mywebsites.pro-FR Toolbar) - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR	bmyw0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-42987099-1124712391-3363952276-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-42987099-1124712391-3363952276-1001\..\Toolbar\WebBrowser: (mywebsites.pro-FR Toolbar) - {33727F97-486D-4D19-97C3-23F432EF93FC} - C:\Program Files\mywebsites.pro-FR	bmyw0.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKU\S-1-5-21-42987099-1124712391-3363952276-1001..\Run: [ad1ab30a-1de3-4ade-8602-342e94ed4a5c] C:\ProgramData\ad1ab30a-1de3-4ade-8602-342e94ed4a5c.dat ()
O4 - HKU\S-1-5-21-42987099-1124712391-3363952276-1001..\Run: [cglfm]  File not found
[2011/05/04 09:10:10 | 000,001,569 | ---- | M] () -- C:\Users\pascaux\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Center.lnk
[2009/12/15 09:19:53 | 000,310,477 | ---- | C] () -- C:\Users\pascaux\AppData\Local\cglfm_nav.dat
[2009/12/15 09:19:53 | 000,004,417 | ---- | C] () -- C:\Users\pascaux\AppData\Local\cglfm_navps.dat
[2009/12/15 09:19:53 | 000,003,309 | ---- | C] () -- C:\Users\pascaux\AppData\Local\cglfm.dat
[2009/10/19 15:08:01 | 000,000,090 | ---- | C] () -- C:\Users\pascaux\AppData\Local\beivzf.bat
[2009/06/16 10:41:41 | 000,000,091 | ---- | C] () -- C:\Users\pascaux\AppData\Local\myycy.bat
[2009/05/29 18:46:13 | 000,000,090 | ---- | C] () -- C:\Users\pascaux\AppData\Local\eqwcmcw.bat
[2008/09/28 19:15:27 | 000,000,000 | -HSD | M] -- C:\Users\pascaux\AppData\Roaming\.#
@Alternate Data Stream - 700 bytes -> C:\Users\pascaux\Documents\evolution.eml:OECustomProperty

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{5F05C28D-DEA9-4AD6-A73A-064175988EAB}"=-
"eqwcmcw"=-

:Commands
[Emptyflash]
[Emptytemp]

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

paskalou66 · Answer

vernis29,

pour ta 1ere question, non, du tout (...)

pour la suite, je m'y colle

merci

paskalou66 · Answer

vernis29,

voilà, j'ai tout fait comme tu m'as indiqué, apparemment çà a fonctionné... je vais essayer de relancer l'antivirus windows mais est-ce nécessaire, je tourne avec avast?

voici quand même l'adresse du lien otl

http://cjoint.com/?AEemLs4DPFP

paskalou66 · Answer

verni(sans"s")29

Je te remercie pour tes compétences qui m'ont été bien utiles, si tu as quelque conseil après cet épisode, je suis preneur.

à+

si tu te présentes aux prochaines élections... bin je vote pour toi! ;-)

verni29 · Answer

Paskalou66, 

Quand tu parles de l'antivirus de Microsoft, est de Windows Defender ou de Microsoft Essentials Security ?
Dans tous les cas, garde Avast.
Sinon, tu peux en effet réactiver Windows defender.

------------------------------------------------------------

Relance OTL.exe.   

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://myhomewebs.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhomewebs.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://myhomewebs.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://myhomewebs.com
IE - HKU\S-1-5-21-42987099-1124712391-3363952276-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://myhomewebs.com
[2010/08/23 14:07:46 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\PROGRAM FILES\SEARCH SETTINGS\FF

:file
C:\PROGRAM FILES\SEARCH SETTINGS
*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC ne vas va redémarrer cette fois-ci.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

-------------------------------------------------------------

Tu vas utiliser un antimalware que tu pourras garder sur ton PC.
C'est un bon complément à ton antivirus.

Tu télécharges MalwareBytes . 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

Le scan est assez long ( environ 1 h ).

A+

paskalou66 · Answer

verni29,

windows defender, mais je n'arrive pas à le réactiver, je m'y recolle pour la suite,

à+

verni29 · Answer

Re, 

Pour windows Defender, ouvre-le ( dans la liste des programmes ou dans le panneau de configuration ).

Outils --> options.
regarde les réglages ( protection en temps réel ).

A+

paskalou66 · Answer

verni29

impossible d'acceder à windows defender et au centre de sécurité, d'une manière ou d'une autre...

paskalou66 · Answer

j'allais oublier

http://cjoint.com/?AEen7AX4GPc

verni29 · Answer

OK, 

On verra par la suite à réactiver l'antispyware.
Passe à Malwarebytes.

A+

paskalou66 · Answer

ok c'est parti

a+

paskalou66 · Answer

verni29,


me revoici, tout semble s'être bien passé, effectivement assez long,

http://cjoint.com/?AEeqQzod5BM

dis-moi ce que tu en penses

verni29 · Answer

Oui, c'est pas mal.
On fera une dernière analyse avec un antivirus en ligne.

Pour Windows Defender, as-tu fait le type de manip que dans le lien suivant ?
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Pour la protection en temps réel :
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Regarde les deux liens et vois si cela t'aide.

A+

paskalou66 · Answer

Oui mais rien à faire, windows defender ne démarre pas "échec de l'initialisation de l'application 0x800106ba", çà te dis peut-être quelque chose (moi rien) je n'ai donc aucun accès aux options.

verni29 · Answer

Re, 

Il te faudra peut-être le réinstaller.

--------------------

Fais-ceci pour commencer :

Démarrer --> Dans la zone de recherche, tape :

services.msc
Puis valide par entrer.

Regarde l'état du services Windows Defender.
Il devrait être en automatique et démarrer.
Sinon, mets ces régalages.

Redémarre le PC.
regarde si tu as accès au logiciel.

C'est l'étape 1 de ce lien.
https://support.microsoft.com/fr-fr/help/931849

Si cela ne marche pas , fais l'étape 2 ( c'est la désinstallation et la réinstallation )
Pour l'étape 3, on verra ensemble.

A+

paskalou66 · Answer

Pendant que tu te penchais sur le problème je cherchais moi aussi, en faisant une recherche à partir du code erreur, et j'ai effectivement trouvé le remède dans le support microsoft, j'ai appliqué la méthode (celle que tu préconise) et çà fonctionne! ouf!
je tiens tout de même à te remercier de t'être montré si disponible et efficace, grâce à toi tout est rentré dans l'ordre et là franchement châpo! tes explications ont suffit au néophyte que je suis à régler un problème qui me dépassait d'entrée, donc encore merci "verni29", et sans aucun doute je saurai où aller en cas de re-pépin.

à+

paskalou66 · Answer

Une petite question cependant, dois-je marqué le sujet comme résolu?

verni29 · Answer

paskalou 

Tu pourras à l'occasion faire une analyse en ligne : 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32 
Cela peut être utile si ton antivirus est bloqué/désactivé par une bestiole. 

Sinon, je pense que le PC est propre. 

----------------------------- 

Le PC est à jour et en particulier pour java et adobe reader. 
Pour IE, il n'y a que la version 7. 

Tu peux désinstaller, via le panneau de configuration ( programmes et fonctionnalités ) les anciennes versions de java. 

Java(TM) 6 Update 16 
Java(TM) 6 Update 22 

----------------------------------------------------- 

On termine. 

On va enlever les outils utilisés, à l'exception de Malwarebytes que tu garderas. C'est un bon complément à un antivirus. 

    * Lance OTL et clique sur purge outils. 
      Le PC va redémarrer pour supprimer l'outil et sa quarantaine. 

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-. 

Maintenant que le PC est propre, il te faut créer un point de restauration propre pour pouvoir l'utiliser en cas de problème sur ton PC. 
 

- Création d'un nouveau point de restauration : 

Dans le Panneau de configuration, choisis l'affichage classique : 

    * Système --> dans la liste des taches, à gauche, choisis propriétés du système 
    * sélectionner le disque c: puis choisis créer pour la création d'un point de restauration. 

Suis les invites. 

------------------------------------------------------------------------------------ 

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire... 

projet antimalwares 

------------------------------------------------------------------------------------- 

Une petite question cependant, dois-je marqué le sujet comme résolu?
Pour mettre le sujet en résolu; il faut être inscrit sur le forum. 
A toi de voir, sinon je le passerais en résolu. 

Bonne continuation, bon surf, bonne lecture. 

@+ 
Allez jusqu'au bout de la procédure de désinfection.