faux anti spyware / Ultimatedefender, Résolu/Fermé

Question

Bonjour, 
j’aimerais me débarrasser de Ultimatedefender, et d’AntivirusFiable qui se sont incrustés avec les symptômes décrits ci-dessous pour Ultimatedefender.
Qui peut m’indiquer la marche à suivre depuis le début  ? 
D’habitude je restaurais mais là ça me prendrait trop de temps. 
Merci

Je joins mon rapport smitfraud à la fin. 
_______________________________________________

Quelques notes qui ne vous apprendront pas grand chose: un pseudo-antispyware agit en mafieux : il s’impose et rackette en prétendant protéger la victime contre des dangers qu’il invente ou fabrique lui-même.   

Caractéristiques : 

- s’installe sans le consentement de l'utilisateur, ou suite à un téléchargement d’application comme Videocodec
- revient avec des messages de publicités toutes les trois minutes, ralentissant le PC.
- pose des questions pour imiter le style neutre de Windows ( « voulez-vous installer …oui ( conseillé ) non) et se moque de la réponse : on se retrouve avec la page de garde du site et l’écran d’installation du bousin. 
- se présente, comme les escrocs,  sous plusieurs fausses identités successives ( (NettoyeurDePC ) laissant accroire que c’est votre propre système  ( « Windows Security Alert » ) qui émet les avertissements détectant des virus.  
- Ne manque pas d’air. Ses avertissements disent à peu près « Quelqu’un essaye d’infecter votre PC…Scannez votre PC (avec notre machin) pour le protéger des attaques Internet et des spyware » alors que c’est lui le spyware.
- Fait défiler de faux rapports de scan faisant croire à une multitude de virus pour inciter l'utilisateur à télécharger le produit 
- accessoirement, on les distingue par les fautes d’orthographes ( « recomendations » qui truffent leurs messages. 
- neutralise le gestionnaire des tâches «  Le Gestionnaire des tâches a été désactivé par votre administrateur » alors que je suis seul sur ma bécane
- s‘installe en icône clignotante sur la barre d‘écran inférieure
- installe un simili fond d’écran menaçant, façon virus ou ossements sur fond rouge sang, impossible à retirer, disant « your privacy is in danger » ( je m’en suis débarrassé avec smitfraudfix, mais je n’ai enlevé que le symptôme, le problème reste) 
- parfois opère un Hijacking du navigateur 
- s’incruste en morpion, difficile à retirer ( j’ai du restaurer deux ou trois fois )
-ralentit le PC qui se met à ventiler comme un moulin d‘Amsterdam un jour de tempête, probable que l‘UC est à 100%, autrement dit qu‘il monopolise toute la puissance de l‘engin. 
- s’adapte aux antivirus et Kaspersky ne peut le déloger.  

Quel groupe de consommateurs peut les poursuivre en justice? Ce serait facile car ces pompiers incendiaires finissent par dévoiler une vraie adresse et un vrai compte en banque lorsqu’un pigeon décide de souscrire. Le temps et le fric perdus par la collectivité sont importants. L ‘AFA et la CNIL agissent en France mais il manque une coercition efficace internationale qui les neutraliserait techniquement. Ces faux antispareware sont présents depuis longtemps : Ultimatedefender est toujours virulent alors qu’il figurait déjà sur cette liste l‘année dernière.  

P S je copie ci-dessous  https://www.frameip.com/#119527

Liste des faux antispyware en octobre 2006: 

100 Percent antispyware 
1 Click Spy Clean 
#1 Spyware Killer 
1stAntiVirus 
2004 Adware/Spyware Remover & Blocker 
about:blank 2005 
AdDriller 
Ad-Eliminator 
AdProtector 
Ad-Purge Adware & Spyware Remover 
Ads Alert 
ADS Adware Remover 
Adware Agent 
AdwareAlert 
AdwareBazooka 
Adware Cops 
AdwareDelete 
AdwareDeluxe 
Adware Filter 
Adware Hitman 
AdwareHunter 
Adware-Nuker 
AdwarePatrol 
AdwarePro 
AdwarePunisher 
AdwareRemover 
AdwareSafe 
AdwareSafety 
Adware Sheriff 
AdwareSpy 
AdWare SpyWare Blocker & Removal 
Adware & Spyware Firewall 
Adware/Spyware Remover 
Adware Striker 
AdwareTools 
AdwareX 
AdwareX Eliminator 
Agent Spyware 
AGuardDog Adware/Spyware Remover 
AlertSpy 
AlfaCleaner 
Anti-Spyware Blocker 
Antivirus Email 
AntiVirus Gold 
Anti Virus Pro 
Anti-Virus&Spyware 
ArmorWall 
BestGuardPlatinum 
Botsquash 
BPS Spyware & Adware Remover 
Brave Sentry 
CheckFlow CheckSpy & Anti Spyware 2005 
CoffeeCup Spyware Remover 
Consumer Identity 
CyberDefender 
Doctor Adware 
Doctor Adware Pro 
Easy Erase Spyware Remover 
Easy Spyware Killer 
Elimiware 
Emco Malware Bouncer 
ETD Security Scanner 
Flobo Free Anti Spyware Clean 
Freeze.com antispyware 
Froggie scan 
GoodbyeSpy 
GuardBar 
HitVirus 
IC Spyware Scanner 
Intelligent Spyware Cleaner 
InternetAntiSpy 
Internet Cleanup 
Internet Shield 
iSpyKiller 
JC Spyware Remover & Adware Killer 
KaZaaP 
KillAllSpyware 
KilAndClean 
KillSpy 
MalwareWipe 
Malware scanner 
MaxNetShield 
Max Privacy Protector 
MicroAntivirus 
MyNetProtector 
MySpyFreePC 
NetSpyProtector 
NoSpyX 
Oxford Spyware Remover 
PAL Emergency Response 
PAL Spyware Remover 
PC AdWare SpyWare Removal 
PC Armor 
PC Health Plan 
PestBot 
PestProtector 
PestTrap 
PestWiper 
Privacy Champion 
Privacy Crusader 
Privacy Defender 
Privacy Tools 2004 
Protect Your Identity 
PSGuard 
PurityScan 
PuritySweep 
QuickCleaner 
RazeSpyware 
Real AdWareRemoverGold 
RegFreeze 
RemedyAntiSpy 
Remove It Pro 
Safe & Clean 
SafeWebSurfer 
SamuraiSpy 
Scan & Repair Utilities 2006 
ScanSpyware 
Scumware-Remover 
SecureMyPC 
Security iGuard 
SlimShield 
SmartSecurity 
Spy-Ad Exterminator Pro 
SpyAdvanced 
Spy Annihilator 
SpyAssassin 
SpyAssault 
SpyAxe 
SpyBan 
SpyBeware 
SpyBlast 
Spy-Block 
Spy Blocs 
SpyBouncer 
SpyBurn 
SpyClean 
SpyCleaner 
SpyContra 
Spy-Control 
Spy Crusher 
Spy Cut 
Spy Deface 
Spy Deleter 
Spy Demolisher 
Spy Destroy Pro 
Spy Detector 
SpyEliminator 
SpyFalcon 
SpyFerret 
SpyFighter 
SpyFirewall 
SpyGuardian Pro 
SpyiBlock 
SpyiKiller 
Spyinator 
Spy-Kill 
SpyKiller 
SpyKiller 2005 
SpyKillerPro 
SpyLax 
Spy On This 
SpyPry 
Spy Reaper 
SpyRemover 
SpySheriff 
SpyShield 
Spy Sniper 
Spy Sniper Pro 
SpySpotter 
Spy Stalker 
Spy Striker 
SpyToaster 
SpyTrooper 
SpyVest 
SpyViper 
Spyware & Adware Removal 
Spyware Annihilator 
SpywareAssassin 
SpywareAvenger 
SpywareBeGone 
Spyware B1aster 
Spyware Bomber 
Spyware Bot 
SpywareCleaner 
Spyware Cleaner 
Spyware Cleaner & Pop-Up Blocker 
Spyware Cops 
Spyware C.O.P. 
SpywareCrusher 
Spyware Defense 
Spyware Disinfector 
Spyware Destroyer 
SpywareHospital 
SpywareHound 
Spyware Immobilizer 
Spyware Medic 
SpywareNo! 
Spyware & Pop-Up Utility 
Spyware & Pest Remover 
Spyware Protection Pro 
Spyware Quake 
SpwareRemoval 
Spyware Remover 
Spyware Scrapper 
Spyware Sheriff 
Spyware Slayer 
Spyware Sledgehammer 
Spyware Snooper 
Spyware Soft Stop 
Spyware Stormer 
SpywareStrike 
Spyware Striker Pro 
Spyware-Stop 
Spyware Suite 2005 
Spyware This 
SpywareTek / Spyware Removal System 
Spyware Vanisher 
Spyware Wizard 
Spyware XP 
SpywareZapper 
SpyWiper 
Spyzooka 
StopGuard 
StopItBlockIt 2005 
Super Spyware Remover 
System Detective 
SystemStable 
TeoSoft Anti-Spyware 
Terminexor 
The Adware Hunter 
The SpyGuard 
The Spyware Detective 
TheSpywareKiller 
The Spyware Shield 
The Web Shield 
Titan AntiSpyware 
Titanshield AntiSpyware 
Top10Reviews SpyScan 
True Sword 
TrueWatch 
TZ Spyware Adware Remover 
UControl 
Ultimate Cleaner 
Ultimate Defender 
Ultimate Spyware-Adware Remover 
UnSpyPC 
VBouncer/AdDestroyer 
VirusGuard 
WareOut Spyware Remover 
WebSafe Spyware Secure 
WinAntiSpy 2005-2006 
WinAntiSpyware 2006 
WinAntiVirus 2005-2006 
Wincleaner AntiSpyware 
Winhound Spyware Remover 
Winkeeper 
WinSOS 
WorldAntiSpy 
X-Con Spyware Destroyer 
Xmembytes Antispyware 
X-Spyware 
Xspyware 
XSRemover 
ZoneProtect AntiSpyware 

Les sites à éviter 

2004spywareremovers.com 
5spynetwork.com 
adwarereport.com 
adware-spyware-review.com 
antispyware.neonant.com 
Anti-Spyware-Review.com 
anti-spyware-reviews.net 
toptenreviews.com 
bewareadware.com 
compareeasy.com 
CompareSpywareRemovers.com 
CompareSpywareRemoval.com 
SpywareRemoverComparisons.com 
SpywareRemoversReview.com 
compu3.com 
defeatspyware.org 
download-spybot.com 
e-Spyware.com 
likesurfing.com 
mambomarket.com 
megalithusa.com 
merign.org 
noadware.com 
NonToxic-Internet.com 
no-spybot.com 
Online-Survival-Lab.com 
pcspyremover.com 
radownload.com 
RateSpywareRemovers.com 
revieweasy.com 
safespy.net 
spyads.com 
spybot.com 
spybot.net 
spybot.org 
spybot-spyware.com 
sdspybot.com 
spyware.com-rr.com 
spy-deleter.com 
spyforce.com 
spyhunter.com 
spy-hunter-detector.com 
spysoftcentral.com 
spyware-adware-download.com 
spyware-adware-removal.net 
spywarealert.com 
removespyware.com 
spywareb1aster.com 
spywarehub.com 
spyware.junglebee.com 
spywarehelp.net 
SpywareInfoooo.com 
scanner.altmaster.net 
spy-review.com 
spyware.my-anti-virus-software.info 
spywareonline.org 
SpywareRemovalAuthority.com 
spywareremovalutilities.com 
spywareremoval.ec-force.com 
spyware-removal.blogspot.com 
spywareremove.org 
removespyware.ru 
spyware-removers.org 
spywarereview.info 
spywarescanreview.com 
spyware.speedylearning.com 
spyware-spybot.net 
successalert.com 
teslaplus.com 
the-spyware-review.com 
theshopontop.com 
the-spyware-zone.com 
spyware.1000recursos.com 
topadwarereviews.com 
topspywareremovers.com 
Trojan-Scan.com 

Les antispywares légitimes ?

Ad-aware 
Microsoft AntiSpyware 
Pest Patrol 
Spy Sweeper 
Spyware Doctor 
Spybot Search & Destroy 
Spyware Blaster 
Spyware Guard 

Les clones de confiance 

Ces logiciels payent une licence à d'autres antispywares légitimes pour avoir leur propre nom ... 

AOL Spyware Protection 
Earthlink Spyware Blocker & SpyAudit 
ExactSeek Toolbar 
Gogo DATA AdBuster 
Invisus Pest Patrol 
Norman Ad-Aware 
Privatefirewall 
SpyGone 
SpyStopper 
SpyRemover 
Spyware X-terminator 
Steganos AntiSpyware 
Sunbelt CounterSpy 
Yahoo AntiSpy « 


________________________________________________________________________________

Voilà j’en reviens à mon problème, qui peut m’aider? Merci.
Et merci à Philae83 pour ses infos sur le forum qui m’ont aidé.
 
Je peux déjà dire que les lignes suivantes sont générées du fait de ces intrus: 
C:\DOCUME~1\J\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\J\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\J\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\J\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\J\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\J\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\RichVideoCodec\ PRESENT !
C:\Program Files\Video ActiveX Access\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"



________________________________________________________________
Copie intégrale de mon rapport smitfraud: 

SmitFraudFix v2.263

Rapport fait à  9:36:18,45, 12/12/2007
Executé à partir de C:\Documents and Settings\J\Mes documents\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\J


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\J\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\J\Favoris

C:\DOCUME~1\J\Favoris\Online Security Test.url PRESENT !
C:\DOCUME~1\J\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\J\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\J\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\J\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\J\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\J\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\RichVideoCodec\ PRESENT !
C:\Program Files\Video ActiveX Access\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{71CF171F-07D5-4753-9153-AD016ABD91A8}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71CF171F-07D5-4753-9153-AD016ABD91A8}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{71CF171F-07D5-4753-9153-AD016ABD91A8}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


J’ai fait une analyse avec Hijackthis, et repéré le même privacy/danger mais sans résultat car je ne sais pas comment fonctionne  Hijackthis.

Merci de m‘aider.

jlpjlp · Answer

slt,

lance rogue remover et vire ce qui est trouvé:


pour info :
http://www.libellules.ch/dotclear/index.php?2006/11/29/1518-rogue-remover

pour telecharger :
https://www.01net.com/telecharger/


_____________________


smit fraud fix (colle le rapport):  fais la 3 eme étape:

1/ telecharger :

http://siri.urz.free.fr/Fix/SmitfraudFix.php




2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) 

3/ puis refaire comme en 2/ mais sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée

__________________________




colle un rapport hijackthis  et dis tes problemes
 
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html


Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes

Jdelalune · Answer

je reviens sur ce forum maintenant seulement

le problème est effectivement parti en utilisant smitFraudfix

je te remercie

NB D'une pierre deux coups. 
Utiliser Smitfraudfix et faire un nettoyage des fichiers et des "TEMP" inutiles a également réglé un problème ennuyeux d'instabilité de l'écran. Les panneaux avaient une bougeotte de bas en haut, la flèche descendait toute seule, que ce fut sur le net ou en traitement de texte, à tel point que j'avais du mal à écrire. Les gens d'un célèbre magasin multimédia  m'avaient dit qu'il fallait changer la carte graphique, une paille. Je vais communiquer cette info aux personnes en butte à ce problème. 
Merci encore.

Jdelalune · Answer

pour le problème d'instabilité du curseur, c'est aussi la souris. Je croyais en avoir fini grace à Smitfraud,+ autres,  et puis la bougeotte a repris.  
J'ai une logitech sans fil assez ancienne, trois ans.
sur mon portable, il suffit de déconnecter la souris, que ce soit en retirant la clé USB/ souris ou en éteignant la souris, pour que toute instabilité cesse.

Faux anti spyware / Ultimatedefender,

3 réponses

Discussions similaires