Win 7 antispyware 2012

DemonKlyd -  
 g3n-h@ckm@n -
Bonjour à vous,

Mon PC semble être infecté par un virus connu de ce forum se faisant passer pour un programme antispyware; win 7 antispyware 2012

Or j'aurais aimé savoir que faire pour l'éradiquer définitivement de mon pc... Je vous écris depuis un autre pc car le miens ne même veut plus me laisser accéder aux paramètres de connexion réseau.

Je peux cependant installer les programmes de scans nécessaires via clé USB

Merci infiniment à vous!...

Quentin

22 réponses

  • 1
  • 2
Résumé de la discussion

Un PC est infecté par un logiciel antispyware rogue nommé Win 7 Antispyware 2012, la discussion porte sur les méthodes d’éradication lorsque le réseau est bloqué et qu’un scan peut être installé via clé USB. Plusieurs réponses évoquent des approches variées, notamment le démarrage en mode sans échec, l’utilisation de scans via clé USB et des outils de diagnostic comme ZHPDiag ou MBAM pour évaluer l’infection et orienter l’éradication. D’autres interventions partagent des expériences et avertissent que certaines méthodes proposées peuvent être risquées ou spécifiques à l’infection, soulignant l’importance de passer par des outils fiables et de vérifier les résultats.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    pas bien de cracker microsoft Office !!!
    3
    1. DemonKlyd
       
      remarque très utile... je me suis déjà expliqué sur ce point.
      0
    2. g3n-h@ckm@n
       
      bah tu crackes et apres tu t'etonnes d'etre infecté...
      0
    3. DemonKlyd
       
      non ça ne m'étonne pas. D'ailleurs je sais que c'est ce genre de prog qui est la source du problème. Toujours est-il que le netbook infecté n'est pas le miens, et comme je l'ai déjà dit, c'était un peu une expérience pour nous (installation d'office corrompu sur le netbook concerné, pas de cd d'instal, donc bêtement, tentative de faire autrement...la suite tu connais). Par conséquent, je continue d'appuyer que des commentaires comme ça, tu n'es pas obligé d'en faire part à toute la communauté, à moins que tu n'y gagnes une certaine satisfaction?... Dans tous les cas, il serait bon d'éviter de juger les actions des uns sans en connaître les raisons derrières. Quand on est, comme moi et ma fiancée, à des milliers de km de chez soi, on essaye de faire comme on peut, même s'il est évident que le choix s'est avéré stupide et mauvais.
      0
    4. g3n-h@ckm@n
       
      open office est gratuit...

      je n'ai pas besoin de reveler à toute la communauté , elle est assez grande pour le lire toute seule
      0
    5. DemonKlyd
       
      quand on voit comment open office gère les power point créés à partir d'Office, on passe son chemin... sincèrement, je le dis amicalement, ne juges pas sans savoir nos raisons. Ou alors, plutôt que de sous-entendre qu'on est débile de pas avoir fait ce que tu aurais fait, dis le un bon coup, j'imagine que ça te fera du bien.
      0
  2. Nil4s
     
    Bonjour.

    Je suis moi même infecté par "Win 7 Antispyware 2012", la raison pour laquelle je me trouve sur cette page. J'y ai donc trouvé votre solution, je démarre mon ordinateur en mode sans echec, et je met en route "Pre_scan" via ma clef USB.
    Totu semble se dérouler correctement jusqu'a ce qu'il me dise que mon lecteur A: n'est pas fermé et donc n'est pas prêt pour un scan.

    Je bloque donc à cette étape. J'aimerais savoir ce que je dois faire pour avancer.

    Cordialement.

    *** Autant pour moi ***

    Votre méthode a fait ses preuves ^^'. C'est moi qui devait cliquer plusieures fois sur continuer. Veuillez m'excuser, et un grand merci de m'avoir permis de sauver mon ordinateur.
    1
  3. sherred Messages postés 8605 Statut Membre 351
     
    salut

    telecharge sur ta clé
    http://dl.dropbox.com/u/21363431/Pre_scan.exe

    demarre ton pc en mode sans echec

    laissez faire le scan puis collez le contenu de "Pre_scan.txt" qui apparaitra à son terme, sur le bureau.

    /!\ Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    => si l'outil detecte un proxy et que vous n'en avez pas installé, cliquez sur "supprimer le proxy".

    => si l'outil semble ne pas avoir fonctionné cliquez plusieurs fois très rapidement dessus.

    ensuite essaye de redemarrer en mode normale

    et fait nous un rapport
    ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    ? Rends toi sur pjjoint.malekal.com
    ? Clique sur le bouton Parcourir
    ? Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
    ? Clique sur le bouton Envoyer
    ? Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

    ? Copie le lien dans ta prochaine réponse.

    Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
    0
  4. DemonKlyd
     
    ok je vais tenter, c'est vraiment abusé comme virus, car pour lancer ne serait-ce que msconfig, ou vos programmes, je dois m'assurer que "chj.exe" ou un truc du genre soit fermé dans les processus, car c'est lui qui me démarre win 7 antispy. Et dès que je lance un prog, ce dernier se réveille en simulant une popup windows et me conseille un scan etc, genre le fichier est infecté... mais au final le fichier ne se lance jamais vraiment.

    Je vais donc tenter de vous poster le rapport ZHPDiag dès que possible.

    merci encore
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. DemonKlyd
     
    ok, pre_scan en cours. je vous tiens au jus.
    0
  7. DemonKlyd
     
    pre_scan terminé avec succés, démarrage en normal OK, je tente un ZHPDiag.

    au moins, je n'ai plus de message d'erreur dès le démarrage, c'est en progrès!

    mon antivir et mon firewall sont à nouveau exécutés, et j'ai accès au réseau.

    la suite prochainement.

    PS: antivir vient de me retrouver le virus, un rootkit
    0
  8. DemonKlyd
     
    re! alors? quelqu'un aurait-il des nouvelles quant à mes rapports? Le pc en question contient du travail que j'aimerais récupérer avant ce soir si possible, pardon donc d'insister... Merci en tout cas pour votre aide précieuse!
    0
  9. g3n-h@ckm@n
     
    ok pour avancer :

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
    [-HKCU\Software\7a961bbb]

    file::
    C:\Windows\KMService.exe
    C:\Users\Mélusine\Desktop\mini-KMS_Activator_v1.052.exe
    C:\Users\Mélusine\Desktop\ugyeffo7dccb.txt
    C:\ProgramData\550054b1w747w345w275w0hhn6u3
    C:\Users\Mélusine\AppData\Local\550054b1w747w345w275w0hhn6u3

    folder::
    C:\ProgramData\regid.1986-12.com.adobe

    attrib::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  10. DemonKlyd
     
    OK voici le rapport pre_script:

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.125 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Mise à jour : 12/12/2011 | 15.00 Par g3n-h@ckm@n
    Utilisateur : Mélusine (Administrateurs)
    Ordinateur : VIRGULE2
    Système d'exploitation : Windows 7 Starter (32 bits)
    Internet Explorer : 8.0.7601.17514
    Mozilla Firefox : 8.0 (fr)

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    attrib:: | txt:: | Host:: | NsLook::
    list:: | IP:: | ADS:: | Kill:: | clean::
    Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
    Tray::

    Script : 19:47:03

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Supprimé : C:\Windows\KMService.exe
    Supprimé : C:\Users\Mélusine\Desktop\mini-KMS_Activator_v1.052.exe
    Supprimé : C:\Users\Mélusine\Desktop\ugyeffo7dccb.txt
    Supprimé : C:\ProgramData\550054b1w747w345w275w0hhn6u3
    Supprimé : C:\Users\Mélusine\AppData\Local\550054b1w747w345w275w0hhn6u3

    ¤

    Supprimé : C:\ProgramData\regid.1986-12.com.adobe

    ¤

    Disques externes : 0 Objets réattribués
    Disque Local : 14 Objets réattribués
    Utilisateurs : 1 Objets réattribués
    ProgramFiles : 18 Objets réattribués
    Music : 2 Objets réattribués
    Pictures : 0 Objets réattribués
    Videos : 0 Objets réattribués
    Downloads : 0 Objets réattribués
    Desktop : 0 Objets réattribués
    Links : 0 Objets réattribués
    Searches : 3 Objets réattribués
    Contacts : 0 Objets réattribués
    Saved Games : 0 Objets réattribués
    Favorites : 0 Objets réattribués
    Documents : 19 Objets réattribués
    Windows : 165 Objets réattribués
    StartMenu : 2 Objets réattribués
    Librairies : 0 Objets réattribués
    Quick Launch : 2 Objets réattribués
    %AppData% : 11 Objets réattribués

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    explorer.exe -> Processus redémarré

    Fin : 19:53:21

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  11. DemonKlyd
     
    ok voici un nouveau rapport zhpdiag:

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111218_l15e8j8n14w10

    merci!!!
    0
    1. DemonKlyd
       
      cela m'aidera-t-il, à priori, à me débarasser du virus win 7 antispyware 2012?
      0
    2. g3n-h@ckm@n
       
      tu en es deja debarrassé , il reste juste du secondaire et la finalisation à faire
      0
    3. DemonKlyd
       
      super! je vais suivre vos conseils jusqu'au bout donc, merci encore!
      0
  12. DemonKlyd
     
    re salut,

    en attendant la suite de vos instructions, antivir s'est lancé pour un scan et m'a retrouvé le même rootkit :s je l'ai mis en quarantaine...

    aussi, impossible de se connecter au net depuis le pc concerné: nous sommes au USA, et les gens chez qui nous habitons ont une connexion "ouverte" (pas de password, rien, on double click sur le réseau wifi et ça marche. On est à la campagne ici dans une maison, donc ça craint rien). Et puis cette infection (cf mon premier post), le wifi ne se connecte qu'en "accès limité" et le net ne marche plus. Est-ce que ça pourrait être lié? on a désinstallé/réinstallé les drivers de la carte réseau, mais rien n'y fait. Aussi j'ai peur qu'en faisant une restauration système le virus ne revienne définitivement.

    merci d'avance pour vos conseils.... !
    0
  13. sherred Messages postés 8605 Statut Membre 351
     
    merci à gen ;)

    hello demon
    pour ta connexion vérifie agnitum , on ne sait jamais

    ensuite tu a des keygens

    on va essaye de déblayer avec légèreté

    télécharge Malwarebyte's ici
    http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
    ou ici
    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    0
  14. DemonKlyd
     
    salut!

    ok merci pour ces indications. Par contre, je ne sais pas si c'est une bonne idée, mais pour retrouver internet, on a fait une restauration système (datée d'il y a 3 semaines), et tout remarche nickel. Le virus n'a pas été retrouvé, et encore moins ne s'est manifesté. Un conseil?....

    Pour l'anti-malware, ok on va faire ça et je vous tiens au courant! Un peu honte de le dire, et je sais que c'est illégal d'en parler ici, mais en effet concernant les keygens nous avions voulu essayé un prog il y a peu. C'est d'ailleurs à partir de là que les problèmes ont commencé. Chaque archive contenait un virus selon antivir, mais évidemment le mal était fait...

    Nous allons donc pour l'instant faire ce que tu nous as dit de faire, en te remerciant!
    0
  15. DemonKlyd
     
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      No action taken. ??
      tu n'a pas supprimé les infections !
      recommence et cette fois clic sur supprimer la sélection.
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      tu remet le bon rapport de mbam et comme tu a fait une restau , tu me refait un zhpdiag
      0
  16. DemonKlyd
     
    si j'ai bien supprimé les infections :s bizarre en effet qu'il me dise que je l'ai pas fait... Je refais ça dans la journée, merci encore à vous en tout cas!
    0
  17. DemonKlyd
     
    scan BMAM refait, et comme prévu aucune nouvelle infection de détectée. J'avais donc bien viré les dites menaces dès le premier coup. voilà le rapport tout de même:

    https://pjjoint.malekal.com/files.php?id=20111220_z7h15l15n12y15

    le rapport zhpdiag arrive bientôt!
    0
    1. DemonKlyd
       
      PS: dans mon commentaire, je voulais évidemment dire "scan MBAM refait", faute de frappe...
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      ok pour mbam , donc tu ne m 'avais fournis le rapport avant destruction des fichiers ;)
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      aparté
      pour ce qui est du piratage , sans remettre de l'huile sur le feu ;)
      GEN a raison , il faut vraiment faire trés attention , il y a de plus en plus de virus dans les cracks , et certain sont irréversibles
      et dans le pire des cas entraine la réinstallation complète
      et je ne parle pas de Chernobyl , qui detruit "flashage" le bios

      pour ce qui est de microsoft Office , je suis d'accord avec toi ,il est meilleur , donc les auteurs méritent qu'on les rémunère

      pour GEN , n'oublie pas que c'est grâce a lui que je peu t'aider

      Pre_scan = g3n-h@ckm@n
      0
    4. DemonKlyd
       
      100% d'accord avec tout ce que vous dites! Nous avons payé pour Office, mais n'ayant pas le moyen de réinstaller le tout (comme dit plus haut, nous sommes à des milliers de bornes de chez nous, aux USA), nous avons tenté de faire avec les moyens du bord, mais je ne veux pas relancer le truc. Après par contre, je vous suis reconnaissant les gars, mais comme je disais nous ne demandons pas à être jugés... ou alors donnez-nous les moyens pour une seconde license office? ;p
      0
  18. sherred Messages postés 8605 Statut Membre 351
     
    tu a sur ton bureau ZHPFix que l'on va utiliser plus bas

    1)
    * Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O23 - Service: KMService (KMService) . (...) - C:\Windows\System32\srvany.exe => Infection Diverse (Trojan.Keygen)

    [HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] => Infection BT (Adware.BHO)

    SS - | Auto 8192 | (KMService) . (...) - C:\Windows\System32\srvany.exe => Infection Diverse (Trojan.Keygen)


    2)
    Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

    Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
    0
  19. DemonKlyd
     
    ok c'est en cours sur le pc concerné, merci infiniment!
    0
    1. DemonKlyd
       
      voici le rapport:


      Rapport de ZHPFix 1.12.3375 par Nicolas Coolman, Update du 16/12/2011
      Fichier d'export Registre :
      Run by Mélusine at 21/12/2011 23:18:32
      Windows 7 Starter Edition, 32-bit Service Pack 1 (Build 7601)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Clé(s) du Registre ==========
      SUPPRIME Key: Service: KMService
      SUPPRIME Key: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
      ABSENT Key: Service: KMService

      ========== Fichier(s) ==========
      SUPPRIME File: c:\windows\system32\srvany.exe
      ABSENT File: c:\windows\system32\srvany.exe


      ========== Récapitulatif ==========
      3 : Clé(s) du Registre
      2 : Fichier(s)


      End of clean in 00mn 01s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 21/12/2011 23:18:32 [760]
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      ce n'est pas un jugement, c'est pour avertir tous ceux qui nous lisent ;)

      comment ce comporte ton pc ?
      0
    3. DemonKlyd
       
      bah pour être franc, son pc tourne bien, le net fonctionne nickel, comme avant l'incident, aucun crash, aucun truc bizarre n'est arrivé, et le virus se faisant passé pour un anti spyware (win 7 antisp 2012) ne s'est plus manifesté. Aussi on est content de voir que d'autres machins qui dormaient dans un coin du PC ont pu être virés... donc merci beaucoup pour tout! Si par hasard il venait à y avoir autre chose à faire, nous prendrions volontiers les conseils! (pour les causes du pb, on a compris! ;))
      0
    4. DemonKlyd
       
      non j'avais pas vu ton message précédent, et nous n'étions pas au courrant de cette politique de la part de Microsoft. Merci pour l'info! A l'université dans laquelle je travaille, le secteur informatique nous propose de régler ce pb (Office) gratuitement, donc je pense plutôt aller vers eux et les laisser faire avec le pc.
      0
  • 1
  • 2