Win7 antispyware

Résolu/Fermé
Vicus95 Messages postés 27 Date d'inscription dimanche 15 mai 2011 Statut Membre Dernière intervention 29 mai 2013 - Modifié par Vicus95 le 3/01/2012 à 00:50
Vicus95 Messages postés 27 Date d'inscription dimanche 15 mai 2011 Statut Membre Dernière intervention 29 mai 2013 - 3 janv. 2012 à 01:21
Bonjour, Je viens d'être infecté par un virus nommé Win 7 antispyware , qui bloque tout accès a mon ordinateur . J'ai essayé le mode sans echec , en vain impossible de lancé ne serait-ce qu'internet explorer ou mozilla firefox sans être bloqué par le virus , impossible donc de télécharger Prescan ou autre , actuellement j'écris même d'un autre ordinateur .
Je vous remercie d'avance de votre aide

P.s: Les restaurations système sont bloquées par le virus . Antivirus et parefeu supprimé car je ne pouvais pas les désactivé , rien de changé...

A voir également:

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 janv. 2012 à 00:50
Salut,

Menu Démarrer et executer et tape iexplore.exe et OK.

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
Lances en option 2 (Suppression).
Poste le rapport ici.

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com

1
Vicus95 Messages postés 27 Date d'inscription dimanche 15 mai 2011 Statut Membre Dernière intervention 29 mai 2013 2
3 janv. 2012 à 01:00
Le truc c'est que quand je lance internet , ma page web est bloquée par le virus , a la place de ma page j'ai une " alerte" du virus qui dit que la page est inféctée :s impossible d'accéder au fichier ...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 janv. 2012 à 01:01
Tu peux le passer par clef USB ?
0
Vicus95 Messages postés 27 Date d'inscription dimanche 15 mai 2011 Statut Membre Dernière intervention 29 mai 2013 2
3 janv. 2012 à 01:03
je vais essayer !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Vicus95 Messages postés 27 Date d'inscription dimanche 15 mai 2011 Statut Membre Dernière intervention 29 mai 2013 2
3 janv. 2012 à 01:11
Passé par clé Usb , le fichier a été bloqué et je peux vous parler depuis mon ordinateur , voilà le rapport :
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Victor [Droits d'admin]
Mode: Suppression -- Date : 03/01/2012 01:07:50

¤¤¤ Processus malicieux: 6 ¤¤¤
[WINDOW : Win 7 Antispyware 2012] ewk.exe -- C:\Users\Victor\AppData\Local\ewk.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\rfriip\setup.exe -> KILLED [TermProc]
[SUSP PATH] Smad.exe -- C:\Users\Victor\AppData\Local\SanctionedMedia\Smad\Smad.exe -> KILLED [TermProc]
[SUSP PATH] cacaoweb.exe -- C:\Users\Victor\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]
[SUSP PATH] 27l4ozqjbh.exe -- C:\Users\Victor\27l4ozqjbh.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 11 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Victor\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] HKCU\[...]\Run : Smad ("C:\Users\Victor\AppData\Local\SanctionedMedia\Smad\Smad.exe") -> DELETED
[SUSP PATH] HKCU\[...]\Run : 27l4ozqjbh (C:\Users\Victor\27l4ozqjbh.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : 27l4ozqjbh (C:\ProgramData\27l4ozqjbh.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Victor\AppData\Local\ewk.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (41N) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\Victor\AppData\Local\ewk.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe") -> REPLACED ("C:\Program Files (x86)\mozilla firefox\firefox.exe")
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\Victor\AppData\Local\ewk.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED ("C:\Program Files (x86)\mozilla firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Victor\AppData\Local\ewk.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files (x86)\internet explorer\iexplore.exe")

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH|ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9df1cc059007d74b58c9bf28dae5ec4e
[BSP] 1e1b58cc79021455625d730aa7a0d071 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 250057 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] d5eeda5ddec63634a6162cd8e189cd8e
[BSP] 31c588951e1fd856e283ba43a421c00f : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 235912 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 461176832 | Size: 13935 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 janv. 2012 à 01:18
[SUSP PATH] setup.exe -- C:\Windows\TEMP\rfriip\setup.exe -> KILLED [TermProc]

C'est mal.

Pour voir :

Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 janv. 2012 à 01:18
Vais me pieuter, à demain pour la suite :)
0
Vicus95 Messages postés 27 Date d'inscription dimanche 15 mai 2011 Statut Membre Dernière intervention 29 mai 2013 2
3 janv. 2012 à 01:21
Merci beaucoup de votre aide ! Ordinateur a nouveaux sain !
0