Antivirus Soft : Infecter et comment supprimeFermé

Question

Bonjour,

Je viens de me faire infecter par ce faux antivirus et il bloque les gestionnaire de périphériques, l'ajout et suppression de programmes de windows, winrar, et pleins d'autres trucs susceptible de le désinstaller. Ce faux antivirus fait un faux scan du pc, avec de faux résultats, et ordonnant l'utilisateur d'acheter son "antivirus".

Aussi n'utilisez pas ce site, selon moi il est en lien avec le programme, vu que ce virus ne nous permet pas d'installer de .exe alors comment ce site peut-il nous supprimer Antivirus Soft si leur solution est en .exe ?
NE PAS UTILISER CE SITE:
http://fr.pc*threat.com/parasitebyid*-8915fr*.html
J'AI MIS DES ÉTOILES (*) pour que le lien ne s'affiche pas en lien cliquable.

bon pour le supprimer.
Démarrer votre ordinateur en mode sans échec.
(c'est avant que le logo WINDOWS apparaisse lors du démarrage, vous tapez sur un des touches F de votre clavier, de F4 à F12. Habituellement F8 ou F10.)

Ensuite, une fois mode sans échec chargé.
allez dans DÉMARRER.
allez dans EXECUTER.
tapez : regedit
et naviguer dans la liste de dossier de la colonne de gauche en commençant avec HKEY_LOCAL_MACHINE puis en suivant ce chemin jusqu'au dossier RUN :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Supprimez la ligne du programme qui vous infecte, celle ci fait qu'elle exécute le programme a chaque démarrage de l'ordinateur, parcontre les caractères en gras peuvent changer d'un ordinateur à un autre, elle ressemble à ceci :
[arlsknkw] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe

Ensuite, retournez dans la colonne de gauche (tout en haut) du REGEDIT et ouvrez HKEY_CURRENT_USER et suivez ce chemin :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

et supprimez la ligne suivante parce qu'elle servirait au programme à se reconnecter :
ProxyServer = http=127.0.0.1:5555

ensuite, il faut retournez dans la colonne de gauche (mais pas tout en haut), prendre un dossier tout près.
c'est le même chemin que le dernier mais au lieu du dossier "Internet Settings" c'est le dossier "Run".

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

et supprimez cette ligne qui est une copie de la première ligne que vous avez supprimé (si elle existe) :
[arlsknkw] C:\Documents and Settings\user\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe

Fermer ce programme "REGEDIT".

Finalement, il faut supprimer le programme malveillant.
Allez dans Poste de Travail.
Lecteur C: (ou celui que vous avez installé windows) et suivez ce chemin :

C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\

Si vous ne voyez pas le dossier "Local Settings" vous devez allez dans :
Outils > Options des dossiers > (onglet) Affichage > et sélectionner l'option (cercle) "Afficher les fichiers et dossiers cachés"

Puis le programme se trouve dans le dossier "lqtwnu", il peut changer mais c'est un dossier qui porte un nom incompréhensible.

...\lqtwnu\wqcmsysguard.exe

Supprimez le !


Pour finir, faites dont un scan d'ordinateur avec le réputer MalwareBytes Anti-malware qui est gratuit.
https://www.myantispyware.com/2008/08/28/malwarebytes-anti-malware-free-spyware-malware-trojan-remover/

source qui m'a aidé : https://www.myantispyware.com/2010/01/30/how-to-remove-antivirus-soft-uninstall-instructions/

Badiha · Accepted Answer

Je me le suis chopé ce matin, je ne sais pas même pas comment d'ailleurs... Moi qui visite toujours les mêmes sites...

Enfin bref, une info si vous êtes au boulot et que vous ne pouvez pas accéder au mode sans échec ou si tout simplement ça vous embête d'y accéder ;) : Redémarrez votre ordi, faites tout de suite ctrl alt suppr pour ouvrir le gestionnaire de taches. Puis cliquer sur executer et tapez regedit.

Les deux programmes ne seront ainsi plus bloqués par antivirus soft qui va se lancer après. Ensuite dans le gestionnaire de taches il vous suffit de vérifier quels sont les programmes ayant ce chemin C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\  Il faut ensuite le sélectionner et cliquer sur terminer.

Pof vous serez déjà débarrassé du soft sur le bureau. Ensuite comme la procédure l'explique, il faut à la fois aller dans le regedit et supprimer les lignes (moi je n'avais qu'une ligne) du virus (vous devriez avoir repéré son nom grâce au gestionnaire de taches). Enfin rendez-vous dans le dossier C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\  et supprimer le dossier pour de bon !

Vous n'avez plus qu'à redémarrer pour constater que le programme a bel et bien été éradiqué ;)

jl · Answer

merci beaucoup
c'est tres bien expliqué

linx161 · Answer

post très intéressant qui va en aider plus d'un!

indy · Answer

je  vais essayer, mais j'espere que le myantispyware, n'est pas encore un qui nous bloque et nous oblige a acher la "full version"

steph · Answer

Très bonne explication ! Merci
Le fichier à supprimer peu également être nommé : hvsdsftav.ex
Encore merci

indy · Answer

le probleme semble etre résolu, merci.par contre j'ai pas osé myantispyware, du coup, jsuis repassée sur avast...au lieu d'antivir qui semblait m'avoir installé le logiciel malveillant.

si vous avez mieux en gratuit...merci.

pdcm · Answer

merci beaucoup pour l'explication, ça semble avoir fonctionné

dainese · Answer

Bonne explication
Pour info, le nom du fichier peut aussi muter en kglusftav.exe
Merci

Tilde786 · Answer

Je ne suis pas très douée en informatique, et je dois bien avouer que cet "antivirus" me pourrit la vie.
J'arrive à suivre les indications jusqu'à arriver à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
Mais je ne trouve pas le programme qui m'infecte ... Quelqu'un pourrait-il m'aider stp ?
" Supprimez la ligne du programme qui vous infecte, celle ci fait qu'elle exécute le programme a chaque démarrage de l'ordinateur, parcontre les caractères en gras peuvent changer d'un ordinateur à un autre, elle ressemble à ceci : 
[arlsknkw] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe "
Je n'ai aucun programme nommé comme cela à cet endroit.

Badiha · Answer

C'est normal le nom change sur chaque ordinateur. Vérifiez donc quel programme provient de C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data.

Il faudra alors supprimer ce fichier. Moi son nom était aa(quelque chose). Ce n'est jamais le même !

Bon courage ;)

Le Dude · Answer

J'ai chopé vista antivirus 2010 ce soir, j'ai aussi vu le site pc threat qui m'a paru louche,
j'ai tout simplement chargé le dernier point de restauration de vista qui datait d'à peine une heure avant,
et c'est résolu...

alors pour les paresseux ou les ignorants allez dans 'restauration système' et choisissez la date qui vous semble la plus appropriée.

Le Dude

lolo94132 · Answer

Merci pour ces infos. Le nom du virus pour moi était akaasftav ! avant de tomber sur ce site je suis aussi tombe sur le site threat j'ai téléchargé lantivirus et même principe ils tentent de nous forcer a acheté la licence !

qwertz · Answer

Bonsoir,

Merci pour ces explications, sauf que j'ai pas reussi à aller jusqu'au bout :
je n'ai pas (ou ne trouve pas) de dossier "LOCAL SETTINGS"

Voici le chemin que j'ai : C:\Documents and Settings\***\Application Data

J'ai bien essayer de sélectionner "Affichage des dossiers cachés", mais ça ne prend pas en compte mon le changement et toujours rien, je ne retrouve pas mon petit programme que je veux supprimer...

Merci pour votre aide !

Mael · Answer

Mais sa me le fait depuis quelque jour vous aussi je crois car le post est tout recent il a du s'activer pour tout le monde en même temps j'ai encore un probleme moi je peu pas tous les supprimer car il dise qu'il est en cours d'execution .

Keke-77390 · Answer

Franchement merci ! tu me sauve la vie ! c'est super !

Leia · Answer

Merci beaucoup pour cette explication ! 
Je lui ai fait la peau en 10min même si j'ai eu un peu de mal avec le mode échec (je suis même pas certaine de l'avoir enclenché en fait...) mais malwarebytes fait son travail.
Mais, juste une question : Je ne vois pas très bien comment j'ai chopé ce faux-antivus, donc si quelqu'un connait son modus operandi ?

Louiss37 · Answer

Bonjour à tous,
ça fait deux jours que ce virus me pourri la vie. :/
J'ai suivi la méthode de Badiha en ouvrant le Gestionnaire de tâches au démarrage, j'ai ensuite stoppé notre ami "antivirus soft". A ce moment, j'ai commencer à suivre les conseils de MisterJ. 
Mais je suis bloqué. :S à ce passage précis : 
" supprimez la ligne suivante parce qu'elle servirait au programme à se reconnecter : 
ProxyServer = http=127.0.0.1:5555 "
Dans le dossier Internet Settings, je ne trouve rien de tel ...

Merci d'avance ! :)

Mael · Answer

(Juste une parenthese moi j'ai eu deux faux antivirus et vous ? antivirus soft et xp internet Security j'ai deja supprimer le soft mais xp j'y arrive pas)

Merci

habonhabon · Answer

Je me suis chopé cette "saloperie" ce matin. Un grand merci pour ce tutorial simple et efficace. Problème 100% fixé. A suivre.

zelos_waldo · Answer

moi j'est trouvé une solution simple et efficace. Quand l'ordinateur ouvre, faite ctrl alt suppr. et définissez une nouvelle tache avant l'ouverture du virus. Entrer Msconfig pour aller dans le fichier correspondant. Rendu sur se programme, cliqué sur démarrer en haut pour configurer les programmes qui ouvre automatique a l'ouverture de l'ordinateur. Un des programme sera nommé qsxoftav (différent pour certaine personne) pour le trouvé, cherché tout les fichier qui commence avec document and setting et l'un d'eu sera une ensemble de lettre d'environ 5 a 8 lettres. Désactiver le et redémarrer l'ordinateur. Quand l'ordinateur redémarrera, le virus ne s'ouvrira plus jamais. Pour plus de sécurité, aller dans poste de travail, c:, Document and setting, nom de l'administrateur, local setting, application data et il y aura un fichier correspondant au nom du programme de vous avez interdit l'ouverture automatique. Supprimer le et tout va bien aller a présent.

kepitruk · Answer

Bonjour,

Quand je suis dans le dossier Application Data, je dois supprimer le dossier avec un nom à coucher dehors, mais problème...Quand je veux le supprimer, il y a marqué : "Impossible de supprimer dhxksftav.exe : Accès refusé. Vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement." Forcément, le fichier est utilisé actuellement puisqu'il n'arrête pas de m'envoyer des messages d'alertes...Y a t-il une solution ?

Merci d'avance !!

kepitruk · Answer

C'est bon !! Je crois qu'il est parti !! Merci beaucoup pour ces infos ! Merci pour toute l'aide, sincèrement ! Ca me sauve la vie !!

tibo · Answer

Un grand merci pour ces explications grace a vous j'ai sauvé tout mes dossiers que je m'appretait à supprimer. merci beaucoup au revoir.

lulu · Answer

Bonjour,
depuis hier l'antivirus vista 2010 s'est invité sur mon ordinateur bloquant completement mon acces internet et affichant sans cesse des messages d'alertes.
J'ai suivis les intructions postés mais une fois arrivée a RUN, je ne trouve pas de fichier correspondant. Ensuite je vais dans C : \documents and settings\votre nom d'utilisateur mais ma recherche s'arrete là, je n'ai pas de dossier Local settings et encore moins Application Data  
Aidez moi!!!

Merci!

Badiha · Answer

Hello Louiss,

Pas besoin de supprimer le truc dont tu me parles (proxy server), le virus se vire de lui-même avec la procédure dont je t'ai parlé ;)

followme13 · Answer

bonjour, mister j ,j'ai suivi les étapes une à une scrupuleusement,saleté de virus enrayé, je te remercie de ton aide. Toutes tes indications sont exactes et précises donc conseil pour tous les autres si vous suivez correctement les indications de mister j vous vous débarrasserez de ce trojan.Je tiens à préciser que je suis sous os windows 7 donc petite précision pour ceux qui auraient des difficultées à trouver documents and setting il faut tout simplement le taper dans menu démarrer et recherche.Petite question:Comment ce virus peut-il s'installer à notre insu , quelle est la faille? si vous avez une réponse je suis preneur merci d'avance et sinon encore merci à mister j qui à fait un travail efficace sur ce trojan.

Badiha · Answer

Hello Followme, je me pose exactement la même question !

dave17 · Answer

le plus simple c de faire retour systeme je viens de le faire plus de probleme

jrcomjr · Answer

Bonjour,
Merci exterminé en 5min grâce au "Tuto MisterJ"...

Chez moi c'était :
[qafjfygt] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\Ixrrvh\jplesftav.exe

@+
Jr

Arold · Answer

[arlsknkw] C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data\lqtwnu\wqcmsysguard.exe 

Mais moi je suis sur vista et y a pas documents and setting, quelqu'un sait comment on fait sur vista pour suivre ce chemin ?

Narbé · Answer

Bonjour, si je poste sur ce topic, c'est que j'ai évidemment été infecté par ce A./:!;à@ :)
merci en tout cas, ce topic m'a bien aidé !! ;)
je voulais juste savoir, est-ce que ce "virus" est considéré comme un trojan ? est-il donc nécessaire de changer les mots de passe important que l'on a utilisé ces derniers temps ?
merci ;)

Zyu · Answer

Un énorme merci !
Ca a marché à la perfection pour moi ;) (Bon j'en ai un peu chié vu que je suis sous vista mais le résultat est là)
Encore merci.

Jef Tombeur · Answer

Attention, le nom change, les clefs à rechercher dans la base de registre ne sont pas les mêmes pour Windows 7 que pour Vista ou XP.
Une méthode sous Windows 7...
Inutile de lancer Microsoft Security Essentials qui ne détecte (à ce jour) rien.

Lancer Windows 7 normalement mais actionner très vite Ctrl+Alt+Del...
Voir ensuite les applications qui se lancent.
Arrêter le processus qui vous semble suspect (en l'occurrence vnrlsftav.exe pour ma seconde attaque d'Antivirus soft).

Passer ensuite dans votre compte d'utilisateur [NOMDUTILISATEUR], généralement en C:, soit c:/Utilisateurs/Nomdutilisateur/AppData/local
Repérer un dossier de six lettres en minuscules.
Ex. obcqpy
Vous devriez y trouver un .exe (ex. nlfnstav.exe).
Supprimer tout...
Attention, vous pouvez avoir plusieurs instances du malware dans divers dossiers.

Passez ensuite sur un navigateur, voyez les conseils pour nettoyer la base de registre.
Le mieux est de lancer une recherche dans HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER avec le nom du programme .exe incriminé.
Donc rechercher, dans cet exemple : vnrlstav.exe
Supprimez les clefs.

Bizarrement, sur ma machine, l'installation du malware s'est faite après avoir cliqué sur des sites de quotidiens anglais. Adobe Reader s'est lancé, générant un message d'erreur...

malicia69 · Answer

Alala
En tout cas ca a été galère pour l'enlever vu que j'ai Windows Vista, c'est tout bizarre...
(environ 6h mai en même temps je suis malade)

Ou alors je suis nul (mai normalement c'est pas le cas je me débrouille toujours en informatique)

Bon débarras et encore merci pour tout ^^
*Je vais aller choper un doliprane*

Et bonne chance a tous les autres = )

13NRV è_é · Answer

HEY ! ^^

Salut tout le monde ! Comme vous je me suis fait infecter par ce virus de *,/'"è**... bref et je viens demander de l'aide pour tous ceux qui comme moi ont "VISTA" et qui ne trouve pas de solution ! J'ai lu tous les commentaire et j'ai bien compris que le nom change suivant XP, windows 7... Mais le truc c'est que moi sur vista, quand je vais dans "LOCAL MACHINE / run" ou "CURRENT USER", j'ai carrément aucun fichier qui pourrait correspondre, comme si il existait pas ! Mais quand je suis aller dans le lecteur C genre j'ai trouvé "xjnesftav.exe" ! XD Et maintenant je sais pas quoi faire donc si quelqu'un à trouvé la solution sur Vista, je lui dirais tout simplement: Pitié, AIDE MOOOOOOIIII ! Merci ^^

Detrak57 · Answer

Jl'ai chopé jsais pas comment non plus !

Et pour te répondre chez moi il s'appelait twjdsftav.exe ! la fin est pareille pour toi donc jsuppose que tu peux le supprimer sans trop de risque. Moi en tout cas, visiblement ça a marché.
Mais jte conseille bien de faire la recherche du nom de ton *.exe  dans le registre pour vraiment supprimer toute trace

sarah · Answer

Ma soeur a chopé ce virus cet aprem, et grâce au toturial, plus aucun souci. Merci beaucoup !

lotremond · Answer

salut , merci merci pour ces info on ne peut plus precieuses et serieuse.
juste un petit inconvenient pour ma part a propos de la derniere etape qui consiste
a supprimer le fichier dans C:\Documents and Settings\*UTILISATEUR*\Local Settings\Application Data
en effet je suis sous vista et comme il est overprotegé je n'ai pas acces a document and setting meme en tant qu'administrateur et tout le bataclan.
je n'est donc pas pu supprimé le fichier qui permettra a ce virus de se reinstaller.
c'est embetant.
y aurait il une solution s'il vous plait.
merci d'avance, n'hesitez pas a me contacter par mail
thomas.fullana@hotmail.fr
tom

Julyegypt · Answer

Un grand merci à la tribu "comment ça Marche", qui nous a permis de nous débarrasser de ce fichu logiciel malveillant !

benjy38 · Answer

Merci beaucoup a tous j'ai réussit a supprimé ce virus pourrit de mon ordi sous VISTA
Mais il y a beaucoup plus simple pour le supprimé sous VISTA:

Pas besoin de chercher le chemin sous:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run              (dans le registre)

IL vous suffit juste d'aller dans :
démarrer/ORDINATEUR/lecteurC:/
Normalement vous devrier déja voir un dossier portant un nom a 6 LETTRES MINUSCULE, ouvrer ce dossier et supprimé le fichier portant un nom débile et finissant par "tav" (par exemple moi c'était : "tvygsftav") 
voila c finit redémarrer et plus de p*tin de virus...

Si vous ne le trouvé pas dans:
démarrer/ORDINATEUR/lecteurC:/
aller dans:
démarrer/ORDINATEUR/ et taper "Local" dans "rechercher"
Vous aller avoir plusieurs dossier Local et dans un de ces dossier ( souvent le premier ) vous retrouverer les même dossier que dans :
démarrer/ORDINATEUR/lecteurC:/
Mais sous le chemin:
C:/utilisateur/votrenom/AppData/Local ( un truc comme ca )
et vous aurez ducou ce dossier a 6 lettres minuscules (au pire afficher temporairement le dossiers cachés)
SUPPRIMER LE et C FINI

Encore merci a tous pour vos réponse ca ma permit de trouver comment faire sous vista

Et si quelqu'un a les compétences pour supprimer ce virus d'internet ou d'interdire le site "Antivirus software" qu'il le face ce sera un héros

sumpremier · Answer

Salut,

Hé bien voilà, je viens d'être infecté à mon tour. Heureusement que j'ai trouvé le forum sur mon lieu de travail. J'essaierai la méthode dès ce soir en espérant que ça fonctionne. Merci d'avance.

Par contre, juste avant d'être infecté, j'ai norton qui m'avait indiqué avoir bloqué une tentative d'intrusion... Et meme après l'infection, j'ai lancé une analyse complète avec norton, et il ne m'a rien trouvé d'anormal???

Autre chose qui m'a interpelé, c'est que j'ai lu l'un d'entre vous qui a parlé d'une mise à jour d'adobe reader... Effectivement, hier j'ai eu une mise à jour de ce dernier. Bizarre non?

JOSELEN · Answer

Merci beaucoup MisterJ pour cette aide précieuse. Je suis enfin débarrassée de ce faux antivirus très pénible !

sumpremier · Answer

A mon tour, je remercie grandement MisterJ pour son aide. J'ai en effet réussi à m'en débarrasser. Il n'y a que sur internet que l'on trouve autant de solidarité grâce au partage.
Encore merci...

olele · Answer

super, j'ai eu cette m...e de antivirus soft et j'ai suivi la procédure. Les fichiers à supprimer n'avaient pas tout à fait le même nom, mais ça a marché super.

merci encore

alioffoff · Answer

Merci Beaucoup. que dieu te garde.

Showbass · Answer

Merci beaucoup ! En ce qui me concerne je n'ai supprimé que deux fichiers (le fichier proxy n'y était pas dans mon cas).

Ce problème peut il être lié à Antivir ? Car ce logiciel me propose souvent également des ''pubs'' pour que j'achète la version complète.

yohann · Answer

merci beaucoup suprimmer sans probleme .

Brutalcasimir · Answer

Bien joué Mister J ! Une solution efficace et simple. Fallait juste y penser.

Grâce aux gens comme toi, l'informatique n'est plus un monde de barbares :)

maxwelhouse · Answer

+1 ;-) merci infiniment

malicia69 · Answer

Y'as un truc que je comprend pas:
En fait j'ai fait tout les procedure et ca a marcher 

Puis quelques jour plus tard, j'étais tranquillement en train d'utiliser internet (mes sites habituel) et une fenêtre du programme Adobe Acrobat 7.0 s'ouvre et me dit que le programme que je veut ouvrir est incompatible avec vista.
En fait, ca c'est normal par ce qu'avec vista, ce programme "a des problemes de compatibiliter avec cet version de windows".

Mais le truc que je comprend pas c'est que je n'ai clique nul part pour ouvrir un doc sur ma fenetre °_°
Après avoir cliquer dessus, mon ami Antivirus soft est de retour!!!!!
Mais le problème aussi c'est que soit je fait "Exécuter le programme" soit je fait "annuler" et si j'annule, il fait planter tout Mozilla et je suis obliger de le fermer et ca me soul...

J'ai refait les procédures mais... (je trouve qu'il y a beaucoup de mais) de temps en temps, par ci par la, une fenêtre Adobe Acrobat 7.0 s'ouvre me demandant si je veut ouvrir avec un doc alors que bien sur, je n'ai cliquer sur aucun truc pour ouvrir ce "document".

Donc voila j'aimerai vous demander si il y a une solution à ce probleme s'il vous plait, merci ^^

Hélène · Answer

merci beaucoup !!

tine59 · Answer

bonjour a tous 
y a beaucoup plus simple comme je n y connais rien ou pas trop j ai essaye et ca a fontionne car cette methode m avais l air tres compliquee
j ai demare mon pc en mode sans echec et la on m a propose une restauration de systeme a laquelle je n avais pas acces au depart je l ai faite a 5 jours plus tot et  miracle tout est rentre dans l ordre 
merci quand meme pour ces explications qui auraient ete tres utile si ca n avait pas fonctionne
tine

jop · Answer

merci pour tout

kekou8978 · Answer

merci beaucoup :-)

Antivirus Soft : Infecter et comment supprime

54 réponses

Discussions similaires

Newsletters