PC infecté avec "PCantispyware2010" - Virus/Spywares - Windows & Software
Marsh Posté le 16-08-2009 à 13:11:03
bonjours,
Procédure de téléchargement de ComboFix.exe.
• Faites un clic-droit sur le lien de téléchargement de >> ComboFix << (sUBs).
Sélectionnez soit avec :
- Internet Explorer : Enregistrer la cible sous...
- Firefox : Enregistrer la cible du lien sous...
► Renommer ComboFix.exe en CB-F.exe et sauvegarder le sur votre bureau.
Procédures d'utilisation de ComboFix exe >> Tutoriel <<.
► Désactiver votre antivirus et autre protection./|\
/|\ Fermez tous les applications, n'ouvrez aucun programmes, /|\
/|\ Si ComboFix a besoin de redémarrer, laisser le aller. /|\
► Double-cliquer sur Combofix et [Exécuter]
• Si vous utilisez Windows Vista, cliquer sur le bouton [Continuer],
• À la ’’Limitation de garantie du logiciel’’ -> [Oui],
• Installez la ’’Console de récupération’’ -> [Oui],
• Attendre la fermeture de l’outil (plus d’une 40aines d’étapes).
/|\ Notez qu'une fois que vous avez lancé ComboFix, /|\
/|\ vous ne devez pas cliquer dans la fenêtre de ComboFix, /|\
/|\ cela pourrait même endommager Windows. /|\
Postez le rapport de ComboFix (C:\Combofix.txt).
► Réactiver l'antivirus et autre protection./|\
P.S.: le rapport est important, il restera nombre de fichier (infection) à supprimer en 2ième.. utilisation de ComboFix avec CFScript.
Marsh Posté le 16-08-2009 à 15:05:07
Merci pour ton aide.
J'ai fait ce que tu as dit, voici le rapport de ComboFIX:
ComboFix 09-08-10.06 - Propriétaire 16/08/2009 14:46.1.1 - NTFSx86
Microsoft Windows XP Édition familiale ...
Post-Run: 51 710 410 752 octets libres
339 --- E O F --- 2009-08-16 11:38
Marsh Posté le 16-08-2009 à 15:27:29
C'est étrange, après avoir terminé le scan de mon pc avec combofix j'ai vu que avast remarchait à nouveau.
Tout avait l'air d'être réparé. Mais quand j'ai désinstallé un logiciel (ad aware) pour le réinstaller , le pc s'est mis a redémarrer tout seul et le problème est revenu, avast est à nouveau désactivé et il est impossible de l'activer.
Il y a un petit rond rouge sous l'icone avast de la barre des tâches qui indique qu'avast n'est pas activé.
Marsh Posté le 16-08-2009 à 17:01:52
re,
L'infection n'est pas complètement enlevée.
En redémarrant, l'infection recommence à ce réinstaller.
Évitez de redémarrer le PC et la restauration du système, tous des modes de propagation d'infection.
Et autant que possible, pour de suite, n'ouvrez votre connexion Internet que pour vérifier si vous avez une réponse.
Comme vous allez le remarquer, avec la Citation à mettre dans le Bloc-note. L'infection avait générée une multitude de fichiers.
Et probablement qu'il en restera quelque unes à enlever après..
Je vais attendre durant quelques minutes, ce nouveau rapport après utilisation de CFScrpit..
Sinon, ne redémarrer pas le PC, même si je ne reviens que dans quelques heures.
___________________________________________________________________
• Sélectionnez le contenu exact de la citation suivante :
- Mettez tout en surbrillance de driver::......... (en haut à gauche)
- jusqu'à ......."msword98"=- (en bas à droite)
Citation : driver:: |
• Copiez le texte sélectionné (CTRL+C).
• Ouvrez le Bloc-notes (Tout les programmes > Accessoires >bloc-notes).
• Collez le texte copié dans ce Bloc-notes (CTRL+V).
• Sauvegarder sur votre Bureau ce fichier sous le nom de CFScript.txt
► Désactiver votre antivirus et tout logiciels de protection.
• Par un clic glisser/déposer le fichier CFScript.txt sur l’icône ComboFix sur votre Bureau.
>> Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
• Acceptez en cliquant sur "Oui"
>> Une fenêtre bleue va apparaître avec le message : Type 1 to continue, or 2 to abort ,
• Entrez 1 et validez.
>>> Patientez le temps du scan. <<<
Le Bureau va disparaître à plusieurs reprises : c'est normal!
>> Après le scan, il est possible que ComboFix ait besoin de redémarrer le PC,
• Laissez-le aller.
>> Une fois complèté, un rapport va s'afficher.
► Postez le contenu de ce rapport (C:\ComboFix.txt ).
Marsh Posté le 16-08-2009 à 20:27:47
Merci beaucoup pour ton aide. Je n'utilise pas le PC infecté pour te répondre pour éviter tout problème.
J'ai bien fait ce que tu m'as dit; voici le nouveau rapport:
ComboFix 09-08-10.06 - Propriétaire 16/08/2009 20:10.4.1 - NTFSx86
Microsoft Windows XP Édition familiale ...
418 --- E O F --- 2009-08-16 11:38
Marsh Posté le 16-08-2009 à 21:34:32
re,
Combofix ne doit pas être utilisé sans qu'une procédure soit proposée.
Cela pourrait endommagé un PC.
Supprimer ComboFix,
• Copiez/collez dans Démarrer --> Exécuter.., ComboFix /u et valider.
• Ensuite allez vérifier s'il y a un répertoire C:\Qoobox -Combofix à supprimer
______________________________________________________________
Scan de fichiers suspect.
Vérifier ces fichiers chez >> Virus Total << :
c:\documents and settings\All Users\Application Data\cilaf.dat
c:\windows\Setup1.exe
c:\windows\system32\qiqu.dat
► Postez l'adresse http//....... de leurs résultat
S'il y a déjà eu une analyse de fait pour l'un d'eux, relancez en une nouvelle..
______________________________________________________________
Suppression registre d'une trace d'infection.
• Ouvrer le Bloc-note (Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller le contenu de la citation suivante dans le Bloc-Note,
• Dans le bloc-note sélectionner --> Fichier --> Enregistrer sous..
• Sauvegarder le Bloc-Note sous Fxmsw98.REG (sur le bureau)
• Double-cliquer sur le fichier Fxmsw98.REG
Citation : [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] |
______________________________________________________________
Proposition de changement d'antivirus.
La version "2009" gratuite de l'antivirus Antivir, inclue la gestion des Adware & Spyware ! Antivir détecte entre autre, plusieurs téléchargements de logiciels(Adware) contenant des infections Navipromo (les pub).
Si vous changez d'antivirus (2 antivirus ne pouvant être installés ensemble),
• Télécharger >> Antivir
• Désinstaller Avast avec >> ceci,
• Installer Antivir,
• Faites la màj,
• Paramétrez le efficacement comme >> cela
• Lancer un scan "Complet" en mode sans échec,
► Affichez le rapport.
______________________________________________________________
Production de rapports d'état de votre PC.
Téléchargez sur votre bureau >> RSIT << (de random/random)
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer »,
• RSIT téléchargera HijackThis (s’il n’est pas installé)-> acceptez la licence,
>> le rapport log.txt va s'ouvrir à l'écran..
>> l'autre est dans la barre de tâche, cliquez dessus pour l'ouvrir
Ces rapports sont aussi disponibles dans C:\RSIT\log.txt & info.txt
IMPORTANT
Ont ne peut postez de rapport Hijackthis ou RSIT directement sur le forum.
Utilisez le site CJoint, pour convertir les rapports RSIT en page Web et ne poster que leurs adresses .
Comment poster les rapports RSIT.
• Aller sur le site : http://cjoint.com/
• Appuyez sur [Parcourir] et chercher les rapports sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
>> dans la page suivante --> une adresse http//..... sera créé,,
• Copier /coller cette adresse dans votre prochain message.
• Recommencez cette procédure pour l'autre rapport..
_________________________________________________________________
• Lancez Windows Update pour vérifier s'il y aurait pas de mise à jours disponible.
Marsh Posté le 16-08-2009 à 23:23:15
Voici les deux liens:
http://cjoint.com/?iqxo5RHKFq
http://cjoint.com/?iqxpQvaIus
Pour l'antivirus, je préfère conserver avast, est-il impératif de changer d'antivirus?
Merci
Marsh Posté le 17-08-2009 à 02:10:35
re,
Avez vous les résultats des scan de fichiers chez Virus Total.
>>>>>>> Faites les procédures dans la séquence proposée.
Relancer HijackThis
• Appuyer sur [Do a system scan only],
• Cochez (à gauche) les lignes suivantes (de R0 à 020)
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur [Fix Checked] pour les supprimer.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\Propriétaire\msword98.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O15 - Trusted Zone: http//*.mappy.com
O15 - Trusted Zone: http//*.orange.fr
O15 - Trusted Zone: http//rw.search.ke.voila.fr
O15 - Trusted Zone: http//orange.weborama.fr
O20 - AppInit_DLLs: cru629.dat
_________________________________________________________________
Nettoyage des fichiers temporaires, Cookies..
Téléchargez >> CCleaner version Slim << - & - Tutoriel.
• Installer et lancer CCleaner,
• Décochez la mise à jour automatique,
•.Lancez Ccleaner avec l'icône créé sur le bureau,
• Cliquez sur "Option" et --> "Avancé" et Décochez >> Effacer uniquement les fichiers temporaire .. de plus de 48 heures,
• Sélectionnez "Nettoyeur" et cliquez sur --> "Windows", allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du perfetch",
• Sélectionnez le bouton [Analyse].., lorsque complété,
• Cliquer sur [Nettoyage] aussi souvent..que nécessaire, jusqu’à ce que la fenêtre soit vide.
Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options --> Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du perfetch" dans Nettoyeur -->Windows
Utiliser CCleaner après chaque session sur le net, installation de logiciels et/ou avant de fermer le PC.
_________________________________________________________________
Désinfection avec Malwarebytes
Malwarebytes >> Téléchargement <<,
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la mise à jours de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>>>>>>> [Supprimer la sélection].
>> Redémarrer si nécessaire..
► Postez le rapport Malwarebytes.
_________________________________________________________________
Outil de détection/suppression de Kaspersky, màj et téléchargeable quotidiennement.
Téléchargement : Kaspersky Virus Removal Tool (39Mo).
• Lancez l’installation,
• Cochez les items tel qu'à l'image suivante..
• Appuyez sur [Scan] pour lancer la détection/suppression.
>> Une 2ième fenêtre va s'ouvrir.
>> la recherche va commencer "+-30min.".
• Vérifiez "après le scan", s'il y avaient des infections d'afficher dans l'onglet Detected.
Lorsque le scan sera complété,
• Appuyez sur [Reports..] (en bas).
• Sauvegardez le rapport de Kaspersky sur votre bureau.
Peut-être aurez vous à valider les "Actions" de suppressions.
_________________________________________________________________
La procédure suivante doit être faite en mode sans échec.
Redémarrer votre PC en >> mode sans échec <<.
Suppression d'infections
• Ouvrer le Bloc-note (Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller le contenu de la citation suivante dans le Bloc-Note,
• Dans le bloc-note sélectionner Fichier -> Enregistrer sous..
• Sauvegarder le Bloc-Note sous Sup_Inf.Bat (sur le bureau)
• Double-cliquer sur le fichier Sup_Inf.Bat
Citation : del /F /S /Q "C:\Documents and Settings\Propriétaire\msword98.exe" |
Un répertoire (A_Scanner) devrait avoir été créé sur votre bureau.
Si les fichiers (apel.com et enip.com) n'ont pas été supprimés par Malwarebytes ou Kaspersky.
Ce répertoire contiendra ces fichiers à scanner "avec une 30aines d'antivirus" chez Virus Total.
_________________________________________________________________
• Désactivez et réactivez la >> Restauration du système <<, pour la purger.
_________________________________________________________________
• Relancez Rist
► Et ne postez que le rapport log.txt (soit l'adresse http//.... de C-Joint).
Marsh Posté le 17-08-2009 à 16:11:10
re,
Après avoir suivit les procédures du message précédent et postez les rapports.
Vous changerez vos mot-de-passe, en commençant par les institutions financières.
_________________________________________________________________
Mettez à jours.
Java : http://www.java.com/fr/download/manual.jsp
Adobe ..
Faites les mise à jours proposées par Sumo Lite ou Secunia.
>>>>> À utiliser/vérifier aux 15jours.
Important pour prévenir les failles de sécurités des logiciels ayant accès à Internet.
Marsh Posté le 17-08-2009 à 18:27:42
re,
Ok Nathalie.
Je n'étais pas au fait pour les rapports de ComboFix, qui sont au même titre que ceux de Hijackthis et RSIT, régi par l'utilisation d'un hébergeur tel que C-Joint.
Alors comme mentionné par le modérateur, vous devrez modifier tout vos messages (ici et la) où ils y a des rapports de ComboFix.
Soit en effaçant ces rapports(plus vraiment utile pour nous) ou en remplaçant les rapports par leurs adresses http//......, que vous devrez créer chez C-joint (utile pour les autre qui ont ce problème).
Comment modifier un message; en appuyant sur
Y apporter la modification et le sauvegarder.
Marsh Posté le 17-08-2009 à 18:52:11
Merci beaucoup Mido pour ton aide mais je crois que ça devient trop compliqué pour moi, je vais déplacer mes documents sur un disque dur externe et formater le disque dur de mon PC infecté.
Y a-t-il un risque de retrouver ce virus en faisant cela?
Marsh Posté le 17-08-2009 à 20:48:41
Comment va votre PC.
Si c'est à cause du changement des mots-de-passes.
Vous n'aurez pas le choix de les changer.
Parmi la collection d'infections que ce PC_Antispyware 2010 a placées, vous aviez entre autre infections, un backdoor. De changer, par mesure de préventition les mot de passes, est de mise dans ce cas.
Alors que vous formatiez ou non, cela n'aura aucune incidence.
Puisque la désinfection est pratiquement complétée.
L'utilisation de Hijackthis; pour enlever des entrées registre, dans votre cas des traces de l'infection, plus qu'autre chose, est fréquente.
Et de scanner avec Malwarebytes et Kaspesky(qui sont de puissant scanner), lorsque l'ont complète une désinfection, sont tous des procédure usuelles.
Le rapport log.txt de Rsit n'est que pour vérifier que l'infection est clean.
Et pour "peut-être" si l'utilisateur le veut, procéder à l'optimisation des ressources systèmes, pour ajouter aux performances du PC.
Avec tout ce que vous avez fait jusque là, ces quelques procédures sont du bonbon.
Citation : Y a-t-il un risque de retrouver ce virus en faisant cela |
Ça ne devrait pas. Pourriez toujours les scanner pour vérifier.
Marsh Posté le 18-08-2009 à 13:55:59
Merci beaucoup.
J'ai reformaté car après toutes les procédures que vous m'avez indiquées
le virus était toujours solidement installé (pc spyware 2010).
Merci de m'avoir consacré un peu de votre temps à titre gracieux.
Mais je n'ai pas bien compris votre réponse à ma question:
Si je mets toutes mes données sur un disque dur externe, que je formate mon pc infecté et que j'y remette toutes mes données après avoir réinstallé windows , y a-t-il un risque de retrouverce maudit virus (qui se serait faufilé dans mes documents)?????
Marsh Posté le 16-08-2009 à 12:11:03
1)J'ai démarré mon PC aujourd'hui et il s'est mis à redémarrer à chaque fois.
2)J'ai débranché le cable RJ45 qui le relie à internet et du coup il ne redémarrait plus mais je vois que AVAST est désactivé et je n'arrive pas à le réactiver et j'ai un message-info bulle qui me dit que mon pc est infecté et qu'il faut cliquer pour télécharger "PC antisyware 2010", c'est évidemment un piège.
3) Je viens de réaliser que mon firewall windows était OFF depuis plus d'un mois et que je n'vais donc plus de firewall depuis 1 mois.
Quelqu'un connaît une solution?
Y a-t-il un antispyware que je puisse télécharger et mettre à jour sur un autre PC afin de désinfecter mon PC défaillant?
Merci pour toute aide.