HELP : PC infecté par Antivirus Security Pro (entre autres) Résolu/Fermé

Question

Bonjour à tous !

Alors voila je vous expose mon problème : mon PC fixe est infecté par Antivirus Security Pro (et pas d'autres petits trucs aussi mais c'est vraiment antivirus security pro le plus grave), je voudrais m'en débarrasser s'il vous plaît, pouvez-vous m'aider ?

Je précise : sur le PC fixe infecté je ne peux plus aller sur internet etc... et là je vous parle grâce à mon pc portable (qui lui est sain et avec lequel je peux ller sur internet). Avec le portable j'ai déjà téléchargé spy hunter 4, il me trouve 2283 menaces et trouve donc antivirus security pro, mais il ne fait que détecter !! Car pour supprimer/réparer ces saloperies il faut le logiciel complet (donc payant...). Suite à ça j'ai téléchargé Malwarebytes mais il me détecte que 4 petits trucs que j'ai pu supprimer (mais ne déctecte pas antivirus security pro...).

Je précise aussi que j'ai beau télécharger un bon logiciel avec le portable, je le fous sur le clef usb, je l'installe sur le pc fixe donc le logiciel y est, mais comme l'internet du fixe ne marche plus bah les mises à jour des logiciels (genre malwarebytes etc...) ne peuvent pas se faire.

Bref quelqu'un pourrait-il me dire quoi faire ? (mon pc fixe infecté est sous vista)

Je vous remercie pour votre temps consacré à mon égard,
cordialement,
Max-one.

Malekal_morte- · Answer

Salut, 


Tu es infecté par ZeroAccess qui bloque les téléchargements. 
Tu peux aussi tenter de modifier la configuration de Firefox afin de rendre le téléchargement possible : https://www.malekal.com/sirefef-impossible-de-telecharger-sur-internet-explorer/
Si ça ne fonctionne pas, tu vas être obligé de transférer RogueKiller par clef USB en le téléchargeant depuis un autre PC.


[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel) 
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!! 
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Max-one · Answer

Bah sur mon fixe y'a pas que les téléchargements qui sont impossibles, même ouvrir internet pour aller sur Google par exemple c'est impossible (que je tente par IE ou Firefox). Donc que me conseille-tu de faire d'abord ? Tenter de bidouiller mes IE ou Firefox sur le fixe pour pouvoir bosser direct dessus ou télécharger le truc adéquat avec mon portable puis le foutre sur le fixe ? (je m'y connais pas des masses)

Max-one · Answer

Alors j'ai téléchargé rogue killer avec mon portable sain, je l'ai mis sur clef usb, je l'ai copié sur mon fixe infecté et j'ai lancé rogue killer et fais ce qui est dit. Voici le rapport : (A NOTER : internet ne marche toujours pas sur mon fixe, j'ai du copier le rapport dans word, le mettre sur clef usb, afin de pouvoir vous le mettre ici via mon portable sain) : RogueKiller V8.7.1 [Oct 3 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : WATEL [Droits d'admin] Mode : Suppression -- Date : 10/04/2013 12:37:14 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Address] SSDT[75] : NtCreateSection @ 0x82679F95 -> HOOKED (Unknown @ 0x8BE3F636) [Address] SSDT[276] : NtRequestWaitReplyPort @ 0x8268C132 -> HOOKED (Unknown @ 0x8BE3F640) [Address] SSDT[289] : NtSetContextThread @ 0x826DB2CF -> HOOKED (Unknown @ 0x8BE3F63B) [Address] SSDT[314] : NtSetSecurityObject @ 0x82608027 -> HOOKED (Unknown @ 0x8BE3F645) [Address] SSDT[332] : NtSystemDebugControl @ 0x82640EE9 -> HOOKED (Unknown @ 0x8BE3F64A) [Address] SSDT[334] : NtTerminateProcess @ 0x8263916B -> HOOKED (Unknown @ 0x8BE3F5D7) [Inline] SSDT[64] : NtCreateKey @ 0x82448FE2 -> HOOKED (C:\Windows\system32\DRIVERS\aksfridge.sys @ 0xA78E3DC1) [Inline] SSDT[189] : NtOpenKey @ 0x82448FE7 -> HOOKED (C:\Windows\system32\DRIVERS\aksfridge.sys @ 0xA78FF3B2) [Address] Shadow SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8BE3F65E) [Address] Shadow SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8BE3F663) [Inline] EAT @explorer.exe (FwDoNothingOnObject) : FirewallAPI.dll -> HOOKED (Unknown @ 0x36B66D66) [Inline] EAT @explorer.exe (FwEnableMemTracing) : FirewallAPI.dll -> HOOKED (Unknown @ 0x36B66D66) [Inline] EAT @explorer.exe (FwSetMemLeakPolicy) : FirewallAPI.dll -> HOOKED (Unknown @ 0x36B66D66) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - WDC WD10EAVS-00D7B1 ATA Device +++++ --- User --- [MBR] b627c70e5820d363cb0f9fc7014206b3 [BSP] 4a27b2188d80bc93e876b3d584c8e7db : Windows XP MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 15005 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30734336 | Size: 938861 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_10042013_123714.txt >> RKreport[0]_S_10042013_123556.txt

Malekal_morte- · Answer

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

Max-one · Answer

Je veux bien tenter mais il va y avoir un problème : je vais téléchargé malwarebytes avec le portable sain : OK, mais après comme je vais le transférer sur le pc fixe infecté (avec donc internet qui ne marche pas) il ne va pas pouvoir se mettre à jour, si ?! Comment faire ???

Merci en tout cas !

Max-one · Answer

Mon PC fixe infecté est en ethernet (mon portable sain avec lequel internet fonctionne est en wifi).
Sur mon fixe infecté où je ne peux plus aller sur le net, si je fais démarrer (je suis sous vista) il n'y a pas "tous les programmes et accessoires", tu veux que j'aille dans panneau de config ???

Max-one · Answer

J'ai fait le truc avec l'invite de commande sur fond noir mais est-ce normal que pour les 2 dernière lignes (avec ping Google etc...) il me dit que "pingoogle" n'est pas re connu comme fichier je sais pas quoi patati patata ? Sinon voila le truc :

Configuration IP de Windows

   Nom de l'h"te . . . . . . . . . . : PC-de-WATEL
   Suffixe DNS principal . . . . . . : 
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activ' . . . . . . . . : Non
   Proxy WINS activ' . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: home

Carte Ethernet Connexion au r'seau local :

   Suffixe DNS propre ... la connexion. . . : home
   Description. . . . . . . . . . . . . . : Generic Marvell Yukon 88E8071 based Ethernet Controller
   Adresse physique . . . . . . . . . . . : 00-22-68-46-8A-43
   DHCP activ'. . . . . . . . . . . . . . : Oui
   Configuration automatique activ'e. . . : Oui
   Adresse IPv6 de liaison locale. . : fe80::9b3:4408:ad1e:6021%10(pr'f'r') 
   Adresse IPv4. . . . . . . . . . . : 192.168.1.10(pr'f'r') 
   Masque de sous-r'seau. . . .ÿ. . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . .ÿ. . . . . : vendredi 4 octobre 2013 11:35:58
   Bail expirant. . . . . . . . .ÿ. . . . : samedi 5 octobre 2013 11:35:58
   Passerelle par d'faut. . . .ÿ. . . . . : 192.168.1.1
   Serveur DHCP . . . . . . . . . . . . . : 192.168.1.1
   IAID DHCPv6 . . . . . . . . . . . : 234889832
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-10-FA-0C-AF-00-22-68-46-8A-43
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.1.1
   NetBIOS sur Tcpip. . . . . . . . . . . : Activ'

Carte Tunnel Connexion au r'seau local* 6 :

   Suffixe DNS propre ... la connexion. . . : 
   Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Adresse physique . . . . . . . . . . . : 02-00-54-55-4E-01
   DHCP activ'. . . . . . . . . . . . . . : Non
   Configuration automatique activ'e. . . : Oui
   Adresse IPv6. . . . . . . . . . .ÿ: 2001:0:9d38:6abd:245d:2a26:3f57:fef5(pr'f'r') 
   Adresse IPv6 de liaison locale. . : fe80::245d:2a26:3f57:fef5%11(pr'f'r') 
   Passerelle par d'faut. . . .ÿ. . . . . : ::
   NetBIOS sur TCPIP. . . . . . . . . . . : D'sactiv'

Carte Tunnel Connexion au r'seau local* 7 :

   Statut du m'dia. . . . . . . . . . . . : M'dia d'connect'
   Suffixe DNS propre ... la connexion. . . : home
   Description. . . . . . . . . . . . . . : isatap.home
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activ'. . . . . . . . . . . . . . : Non
   Configuration automatique activ'e. . . : Oui

Max-one · Answer

En attendant j'ai installé sur mon PC fixe infecté malwarebytes anti-rootkit BETA v1.07.0.1005, mais forcément pour l'étape "update" bah ça marche pas vu qu'il faut internet... Que faut-il que je fasse, je suis désespéré...

Max-one · Answer

Bon ba j'ai sauté l'étape update et j'ai lancé un scan avec ton malwarebytes antirootkit BETA. Mais sérieux je sais plus quoi faire, je deviens fou...

Malekal_morte- · Answer

il manque le résultat des pings sur le fichier texte.

Max-one · Answer

Oui mais comme je t'ai dit précédemment, dans l'invite de commande sour fond noir, quand je tape la ligne avec "pinggoogle etc...." ça me dit direct qu'il ne reconnait pas ça en tant que fichier ou je sais pas quoi : il faut bien écrire le "ping" sur la ligne n'est-ce pas ? Et y'a aucun espace à mettre ? (moi j'ai tout collé)

Max-one · Answer

Mince je savais pas !! On a du mal à juger... Pourtant après ipconfig (dans la 1ère ligne) il semble aussi y avoir un espace or je ne l'ai pas mis et ça a fonctionné non ???
(Du coup là qu'est-ce que je fais ? Car ton malwarebytes BETA est en plein scan, malgré que je n'ai pas lancé l'update, et a trouvé 1 malware pour le moment)

Max-one · Answer

bon ba le scan s'est fini, il n'a trouvé qu'un seul malware, je fait clean up, l'ordi a redémarré, mais internet ne marche toujours pas et en plus de ça maintenant j'ai plusieurs dossiers qui sont créés sur le bureau... Je m'en sors pas...

Maintenant que dois-je faire Malekal ? (désolé si je t'embête tant mais mes connaissances informatiques sont très limitées, et tout ça ça me fait stresser...)

Max-one · Answer

Alors j'ai refait le truc de l'invite de commande en tapant comme il faut, et voila le résultat (maintenant que dois-je faire ?) :

Configuration IP de Windows

   Nom de l'h"te . . . . . . . . . . : PC-de-WATEL
   Suffixe DNS principal . . . . . . : 
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activ' . . . . . . . . : Non
   Proxy WINS activ' . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: home

Carte Ethernet Connexion au r'seau local :

   Suffixe DNS propre ... la connexion. . . : home
   Description. . . . . . . . . . . . . . : Generic Marvell Yukon 88E8071 based Ethernet Controller
   Adresse physique . . . . . . . . . . . : 00-22-68-46-8A-43
   DHCP activ'. . . . . . . . . . . . . . : Oui
   Configuration automatique activ'e. . . : Oui
   Adresse IPv6 de liaison locale. . : fe80::9b3:4408:ad1e:6021%10(pr'f'r') 
   Adresse IPv4. . . . . . . . . . . : 192.168.1.10(pr'f'r') 
   Masque de sous-r'seau. . . .ÿ. . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . .ÿ. . . . . : vendredi 4 octobre 2013 14:49:12
   Bail expirant. . . . . . . . .ÿ. . . . : samedi 5 octobre 2013 14:49:12
   Passerelle par d'faut. . . .ÿ. . . . . : 192.168.1.1
   Serveur DHCP . . . . . . . . . . . . . : 192.168.1.1
   IAID DHCPv6 . . . . . . . . . . . : 234889832
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-10-FA-0C-AF-00-22-68-46-8A-43
   Serveurs DNS. . .  . . . . . . . . . . : 192.168.1.1
   NetBIOS sur Tcpip. . . . . . . . . . . : Activ'

Carte Tunnel Connexion au r'seau local* 6 :

   Suffixe DNS propre ... la connexion. . . : 
   Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Adresse physique . . . . . . . . . . . : 02-00-54-55-4E-01
   DHCP activ'. . . . . . . . . . . . . . : Non
   Configuration automatique activ'e. . . : Oui
   Adresse IPv6. . . . . . . . . . .ÿ: 2001:0:5ef5:79fd:cc2:339d:3f57:fef5(pr'f'r') 
   Adresse IPv6 de liaison locale. . : fe80::cc2:339d:3f57:fef5%11(pr'f'r') 
   Passerelle par d'faut. . . .ÿ. . . . . : ::
   NetBIOS sur TCPIP. . . . . . . . . . . : D'sactiv'

Carte Tunnel Connexion au r'seau local* 7 :

   Statut du m'dia. . . . . . . . . . . . : M'dia d'connect'
   Suffixe DNS propre ... la connexion. . . : home
   Description. . . . . . . . . . . . . . : isatap.home
   Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP activ'. . . . . . . . . . . . . . : Non
   Configuration automatique activ'e. . . : Oui
 
Envoi d'une requ^te 'ping' sur www.google.fr [173.194.40.223] avec 32 octets de donn'esÿ: 
R'ponse de 173.194.40.223ÿ: octets=32 temps=29 ms TTL=54 
R'ponse de 173.194.40.223ÿ: octets=32 temps=29 ms TTL=54 
R'ponse de 173.194.40.223ÿ: octets=32 temps=30 ms TTL=54 
R'ponse de 173.194.40.223ÿ: octets=32 temps=30 ms TTL=54 
 
Statistiques Ping pour 173.194.40.223: 
    Paquetsÿ: envoy's = 4, re#us = 4, perdus = 0 (perte 0%), 
Dur'e approximative des boucles en millisecondes : 
    Minimum = 29ms, Maximum = 30ms, Moyenne = 29ms 
 
Envoi d'une requ^te 'Ping'  173.194.66.94 avec 32 octets de donn'esÿ: 
R'ponse de 173.194.66.94ÿ: octets=32 temps=30 ms TTL=45 
R'ponse de 173.194.66.94ÿ: octets=32 temps=30 ms TTL=45 
R'ponse de 173.194.66.94ÿ: octets=32 temps=30 ms TTL=45 
R'ponse de 173.194.66.94ÿ: octets=32 temps=30 ms TTL=45 
 
Statistiques Ping pour 173.194.66.94: 
    Paquetsÿ: envoy's = 4, re#us = 4, perdus = 0 (perte 0%), 
Dur'e approximative des boucles en millisecondes : 
    Minimum = 30ms, Maximum = 30ms, Moyenne = 30ms

Max-one · Answer

Voila tu as les pings que tu me demandais, que dois-je faire maintenant ?

Malekal_morte- · Answer

Ta connexion internet fonctionne.
Si tu as le contrôle parentale vire le.

Possible ensuite qu'il ait été viré manuellement et que la chaine winsock soit endommagé.

Fais ça : https://www.commentcamarche.net/faq/2743-windows-xp-reparer-la-connexion-reseau-en-ligne-de-commande

faut lancer l'invites de commandes en administrateur (clic droit / executer en tant qu'administrateur)
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Max-one · Answer

Non il n'y a jamais eu aucun contrôle parental sur cet ordi, donc ça peut pas être ça...
J'ai tenté la méthode démarrer accessoires éxécuter winsock .... ça marche toujours pas. Je tiens à préciser que c'est depuis que j'ai choppé antivirus security pro que je ne peux plus aller sur internet, sur le coup il me faisait son truc tout fait : j'arrivais à faire une recherche mais après il me mettait que c'est pas sur sans lui etc... (pour qu'on achète sa saloperie) mais maintenant quand je lance IE ou Firefox la fenêtre s'ouvre, ça charge indéfiniement ("en attente de www.google.fr...").

Je suis en train de péter un câble ;-(, je sais même pu quoi faire...

Max-one · Answer

Malekal m'abandonne pas stp... Je suis en année à concours et mon temps est précieux, je deviens vraiment fou là.... Je suis perdu...
J'ai installé safari, et ça marche pas non plus.... Ca serait pas un put*** de virus ou quoi qui m'empêche d'aller sur le net ?
Y'aurait pas un truc QUI EST DEJA A JOUR et qui me permettrait de tout dézinguer de malveilant sur mon PC ? Genre un malwarebytes mais qui ne nécessite pas d'update (un truc déjà à jour)

Please help !!!

Max-one · Answer

Y'aurait pas moyen que je télécharge malwarebytes avec mon portable sain, mais le malwarebytes classique officiel (pas ta version BETA), que je le mette à jour grace à mon portable et son internet qui marche, puis de le transférer (le malwarebytes à jour) sur mon fixe infecté ??? Si c'est possible comment faire s'il te plaît ?

Max-one · Answer

Hourra ! J'ai récupéré internet ! J'ai décidé de supprimer plein de trucs : tous les trucs malwarebytes, avast etc... je n'ai gardé que mon antivir Avira en route, et magie internet marche ! Donc maintenant c'est bon je peux à nouveau aller sur le net avec le PC fixe.

Toutefois j'ai deux questions à te poser s'il te plaît :
1) Tous les rapports etc... que je t'ai posté ici, c'est pas dangereux de les laisser ? Je veux dire est-ce que ça contient des infos importantes et/ou pouvant être utilisées par un tiers mal intentionné ?

2) Maintenant que j'ai le net sur mon PC qui était infecté, que ferais-tu à ma place ? Tu téléchargerai malwarebytes anti malware (officiel, classique, pas le BETA) et tu le metterai à jour et lancerai un scan ?

merci en tout cas !

Max-one · Answer

Ok.
Alors j'ai téléchargé malwarebytes offciel (le classique), je l'ai mis à jour, j'ai fais un scan rapide : il a trouvé 16 malwares (je les ai supprimés puis j'ai redémarré) et là j'ai relancé, toujours avec malwarebytes, un scan minutieux et sur tous les secteurs (disque dur mais également lecteurs usb etc...).

Antivirus security pro non je ne le vois plus (j'ai supprimé les fichiers rogue killer quarantaine etc... bref tout ce qui touche à rogue killer j'ai bazardé).

En revanche mon antivirus à moi (Avira) me détecte encore un petit trojan mais je pense (à confirmer) que malwarebytes va le détecter (je croise les doigts, au pire je le foutrais en quarantaine avec Avira).

Oui WATEL est bien la session infectée, pourquoi ?

Max-one · Answer

Je ne l'ai pas, le scan minutieux a planté (malwarebytes ne répondait plus au bout d'un peu plus d'une heure) mais le scan rapide a été fini. J'ai désinstallé malwarebytes, et là j'ai installé Microsoft security essentials. Je devrais être tranquille non ?

Max-one · Answer

Microsoft security essentials n'est pas efficace ?! Pourtant un ami à moi qui s'y connaît m'a dit qu'il était top et lui ne se protège qu'avec ça ! Je ne sais plus qui croire...

Avant d'aller sur ce forum j'avais utilisé malwarebytes anti malware sans update. Puis aujourd'hui j'ai utilisé ta version malwarebytes BETA. Et enfin ce soir j'ai ré-utilisé malwarebytes anti malware mais avec update (c'est elle qui ma trouvé et supprimé les 16 malware).

Eliane · Answer

Bonjour j ai le meme probleme sue bous infectée par antivirus security pro je peux plus rien faire de mon pc avez vous trouver une solution merci

Malekal_morte- · Answer

Pour ceux qui rencontrent des difficultés pour supprimer Antivirus Security Pro - voici une page de désinfection : https://www.malekal.com/supprimer-antivirus-security-pro/