Win 7 antispyware 2012

Résolu
Antoine296 -  
 Antoine296 -
Bonjour,

Mon ordinateur a été touché par ce virus "win 7 antispyware 2012", n'etant pas extremement doué en informatique je fais appel à votre bonté, si vous vouliez bien m'aider à éradiquer cette saloperie de mon ordi je vous en serai extremement reconnaisant.

En attendant vos directives, merci et bonne journée à vous.

Bonjour,

16 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
    Lances en option 2 (Suppression).
    Poste le rapport ici.

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
    0
  2. Antoine296
     
    Le rapport:

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Maison [Droits d'admin]
    Mode: Recherche -- Date : 15/01/2012 13:36:46

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 9 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Users\Maison\AppData\Local\qyk.exe) -> FOUND
    [BLACKLIST DLL] HKUS\.DEFAULT[...]\Run : cgqihdhe (rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\cgqihdhe.dll",wmain) -> FOUND
    [BLACKLIST DLL] HKUS\.DEFAULT[...]\Run : 9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0 ("C:\Windows\system32\rundll32.exe" "C:\Windows\system32\config\systemprofile\AppData\Roaming\9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0.avi", start minimized) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-3112188645-2463097892-2097179017-1000[...]\Run : acead86d (C:\Users\Maison\AppData\Local\qyk.exe) -> FOUND
    [BLACKLIST DLL] HKUS\S-1-5-18[...]\Run : cgqihdhe (rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\cgqihdhe.dll",wmain) -> FOUND
    [BLACKLIST DLL] HKUS\S-1-5-18[...]\Run : 9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0 ("C:\Windows\system32\rundll32.exe" "C:\Windows\system32\config\systemprofile\AppData\Roaming\9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0.avi", start minimized) -> FOUND
    [BLACKLIST DLL] HKLM\[...]\Wow6432Node\Run : 9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0 ("C:\Windows\system32\rundll32.exe" "C:\Windows\system32\9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0.avi", start minimized) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤
    [ZeroAccess] sys32\consrv.dll present!

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] eda29340a412b7d0592983384c359317
    [BSP] c29aa76ff17bf4687f6d6e22b67a51a3 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
    1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 106 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 25382700 | Size: 147044 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    RogueKiller est à faire en mode suppression.
    option 2.

    Ensuite :

    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    0
  4. Antoine296
     
    Le rapport, option 2 (normalement):

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Maison [Droits d'admin]
    Mode: Suppression -- Date : 15/01/2012 14:17:53

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 6 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : acead86d (C:\Users\Maison\AppData\Local\qyk.exe) -> DELETED
    [BLACKLIST DLL] HKUS\.DEFAULT[...]\Run : cgqihdhe (rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\cgqihdhe.dll",wmain) -> DELETED
    [BLACKLIST DLL] HKUS\.DEFAULT[...]\Run : 9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0 ("C:\Windows\system32\rundll32.exe" "C:\Windows\system32\config\systemprofile\AppData\Roaming\9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0.avi", start minimized) -> DELETED
    [BLACKLIST DLL] HKLM\[...]\Wow6432Node\Run : 9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0 ("C:\Windows\system32\rundll32.exe" "C:\Windows\system32\9ECAB0BB-5E7B-B3AB-0F5F-4F3C903B6BA0.avi", start minimized) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤
    [ZeroAccess] sys32\consrv.dll present!

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] eda29340a412b7d0592983384c359317
    [BSP] c29aa76ff17bf4687f6d6e22b67a51a3 : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 63 | Size: 12888 Mo
    1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 25173855 | Size: 106 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 25382700 | Size: 147044 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok passe à Combofix.
    Cf haut dessus :)
    0
  7. Antoine296
     
    Voilà pour le raport ComboFix
    http://pjjoint.malekal.com/files.php?id=20120115_y7b6e8p10f12
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    IMinent Toolbar et AskBar à virer
    Les toolbar ça sert à rien.

    McAfee Scan Plus à désinstaller aussi, ça sert à rien.

    Passe un coup de Kaspersky removal tools, comme expliqué là : http://www.malekal.com/2011/10/12/ramnit-fait-son-retour-un-vrai-virus/2/

    Garde le rapport et envoye le sur pjjoint.
    File le lien ici.
    0
  9. Antoine296
     
    J'ai viré les toolbar

    Mais maintetnant pour passer un coup de Kaspersky removal tools il me faut pouvoir acceder à internet, chose qui m'ai impossible, je ne peux lancer de navigateur internet ni à tout autre logiciel d'ailleurs. Comment puis-je procéder ? Et excusez mon ignorance en la matière.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Essaye de faire une réstauration du système.
    0
  11. Antoine296
     
    il me demande un mot de passe lorsque j'extrait le fichier. Or il ne parle pas de mot de passe dans les explications
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      pour extraire KAspersky ?!
      0
    2. Antoine296
       
      Oui
      0
  12. Antoine296
     
    Voilà nikel, et le rapport qui va avec:

    http://pjjoint.malekal.com/files.php?read=20120117_f7w7d13i12n10
    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    il a rien détecté, ce qui serait une bonne nouvelle.

    Comment tourne le PC ?
    0
  14. Antoine296
     
    Il est vraiment nikel là, genre comme normalement quoi !
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    ~~

    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0
  16. Antoine296
     
    Un peu de lecture.

    Du coup, merci pour m'avoir sorti d'affaire, je me demandais comment j'allais m'en sortir, sincèrement reconnaisant de votre aide.

    Continuez comme ça.
    0