mon antivirus est infectéééFermé

Question

Bonjour, 

mon probleme c'est que jai une fenetre qui saffiche "warning!your pc is infected" et pourtant mon antivirus avast est bien activé!!on me demande d'activer le "system tool" qui est payant...je ne peu plus aller sur net mon pc beugg tropp.... helppppp

Configuration: Windows 7 / Internet Explorer 8.0

gen-hackman · Answer

salut

redemarre ton pc en mode sans echec avec prise en charge reseau puis

https://www.luanagames.com/index.fr.html

# * Télécharge sur le bureau RogueKiller (lien ci-dessus)
# * Quitte tous tes programmes en cours
# * Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
# * Sinon lance simplement RogueKiller.exe
# * Lorsque demandé, tape 2 et valide
# * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, donner son contenu à la personne qui vous aide
# * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

fatima · Answer

je peu telecharger roguekiller sur un autre site, parce que le lien ne marche pa

gen-hackman · Answer

essaie ce lien :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijfYb0V0O.zip

fatima · Answer

je clike sur execution pour le premier lien que tu ma donné , mais il se passe rien, jai toujour la fenetre qui apparait du systeme tool

gen-hackman · Answer

# * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

fatima · Answer

c bon jai executé, c'est parce que javais pas rdemarrer en mode echec!! apré execution j'ai deregistred: finished

fatima · Answer

je fais quoi aprés??

gen-hackman · Answer

je peux avoir le rapport ?

fatima · Answer

RogueKiller V3.5.1 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows 7 (6.1.7600 ) version 32 bits Mode: Remove -- Time : 25/12/2010 21:55:36 Bad processes: Deregistred: Finished

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au debut 

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

fatima · Answer

voila le lien http://www.cijoint.fr/cjlink.php?file=cj201012/cijanDt5NT.txt

fatima · Answer

http://www.cijoint.fr/cjlink.php?file=cj201012/cijctt1jA2.txt 
pour more.txt

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

fatima · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.8 ¤¤¤¤¤¤¤¤¤¤ 
 
User : fatima (Administrateurs) 
Update on 25/12/2010 by g3n-h@ckm@n ::::: 04.00
Start at: 23:11:40 | 25/12/2010

Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows 7 Édition Starter  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 137,12 Go (97,63 Go free) | NTFS
D:\ -> Disque fixe local | 11,74 Go (1,96 Go free) [RECOVERY] | NTFS
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Users\fatima\AppData\Local\GDIPFONTCACHEV1.DAT   
Quarantined & Deleted !! : C:\Windows\System32\x64   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	0 (0x0) 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\System32\userinit.exe, 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: FUJITSU_ rev.8919 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll 
C:\Windows\system32\DRIVERS\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
1 ntkrnlpa!IofCallDriver[0x81A8A458] -> \Device\Harddisk0\DR0[0x84A4A030]
3 CLASSPNP[0x8699559E] -> ntkrnlpa!IofCallDriver[0x81A8A458] -> \Device\Ide\IAAStorageDevice-0[0x8338C028]
kernel: MBR read successfully
user & kernel MBR OK 
 


End of Scan : 23:12:57,67

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\system32\2hps.ico      
c:\windows\system32\elevator.exe      
c:\windows\system32\migwiz.lnk      

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

fatima · Answer

on me dit que lanalyse a été deja faite precedemment...

gen-hackman · Answer

clic sur reanalyze

fatima · Answer

http://www.virustotal.com/file-scan/report.html?id=2151bc7fc2e2ca30e55c9a7fdd942b1e89eae87f9a6d4bd662cbdbab24aa6533-1293318139

fatima · Answer

http://www.virustotal.com/file-scan/report.html?id=2151bc7fc2e2ca30e55c9a7fdd942b1e89eae87f9a6d4bd662cbdbab24aa6533-1293318139

http://www.virustotal.com/file-scan/report.html?id=22c24ea4bdb02b5a617c8a4551cd9d5245f978bc15c3ad02d28be7e78d22eca7-1293318082

http://www.virustotal.com/file-scan/report.html?id=75a311401e5f73ae88d02964f9763d8ecc9c09e082555b9f16dd4276119e7de0-1293318271

gen-hackman · Answer

ok pour celui-ci

fatima · Answer

ok jtai envoyé les 3, regarde en haut :)

fatima · Answer

??

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

fatima · Answer

jai etein mon pc la nuit, je peux toujour continuer la desinfection....

gen-hackman · Answer

oui

fatima · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

26/12/2010 19:27:55
mbam-log-2010-12-26 (19-27-55).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 245676
Temps écoulé: 27 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata
cklm07400
cklm07400.exe (Rogue.SystemTool) -> Quarantined and deleted successfully.

fatima · Answer

merci!!!!jai redemarrer et le pb est regléé :)) vous etes les meilleurssss:))

gen-hackman · Answer

pas fini :)

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Mon antivirus est infectééé

28 réponses

Discussions similaires

Newsletters