Sujet Précédent Sujet Suivant

PC infecté : VIRUS PROTECTION 2012

Fermé
sinseremi Messages postés 14 Date d'inscription lundi 20 juin 2011 Statut Membre Dernière intervention 10 juin 2012 - 22 avril 2012 à 11:18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 23 avril 2012 à 10:53
Bonjour à tous...
J'ai un problème depuis ce matin, lors du démarrage de mon Pc, un virus s'est manifestement introduit...
Après quelques recherches il semblerait qu'il se nomme Antivirus Protection 2012, il me lance des fenêtres comme s'il s'agissait d'un vrai anti virus, et me bloque toutes mes applications (là j'ai réussi à démarrer le gestionnaire des tâches avant qu'il ne se lance au démarrage pour tuer le processus, donc j'ai pu accéder à firefox...mais j'ai toujours des fenêtres qui viennent de temps en temps)
J'ai lancé une recherche sous Kaspersky, il me trouve le bon dossier, où s'installe le virus, mais il ne se supprime pas pour autant...

Je ne sais plus quoi faire... Merci d'avance...
A voir également:

8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
22 avril 2012 à 11:22
Salut,


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

0
Réponse 2 / 8
sinseremi Messages postés 14 Date d'inscription lundi 20 juin 2011 Statut Membre Dernière intervention 10 juin 2012
22 avril 2012 à 11:30
Salut, voilà ce que ça me donne :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: HP_Administrateur [Droits d'admin]
Mode: Suppression -- Date: 22/04/2012 11:30:17

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] tmpD.tmp -- C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\tmpD.tmp -> KILLED [TermProc]

¤¤¤ Entrees de registre: 3 ¤¤¤
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.1001-search.info
127.0.0.1 1001-search.info
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.10sek.com
127.0.0.1 10sek.com
127.0.0.1 www.123topsearch.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3320820AS +++++
--- User ---
[MBR] e20767056ca890076de523570a641a6b
[BSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 298261 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 610839495 | Size: 6981 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Réponse 3 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
22 avril 2012 à 11:36
ok,

fais ça :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.


0
Réponse 4 / 8
sinseremi Messages postés 14 Date d'inscription lundi 20 juin 2011 Statut Membre Dernière intervention 10 juin 2012
22 avril 2012 à 12:28
Voilà, désolé cela a prit un peu de temps...

pour OTL.txt : https://pjjoint.malekal.com/files.php?id=20120422_g9j9t7o6q8

pour Extras.txt : https://pjjoint.malekal.com/files.php?id=20120422_h6e10y15s9p5
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
22 avril 2012 à 12:54
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Lire :
Les toolbars c'est pas obligatoire!


* Pour Windows XP : Allez dans le Panneau de Configuration puis Ajout/Suppression de programmes
Cherchez et désinstaller :
Bingbar
Conduit Engine
Google Toolbar
Yahoo Toollbar


~~

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2011/03/27 08:01:39 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\2vcy7x2s.default\extensions\engine@conduit.com
[2012/01/25 20:57:56 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\2vcy7x2s.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012/02/14 21:40:04 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\2vcy7x2s.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
IE - HKU\S-1-5-21-3471907528-2558743339-1734396377-1007\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
[2012/04/22 11:04:17 | 000,025,277 | ---- | M] () -- C:\WINDOWS\System32\941767141.dll
[2010/02/19 09:30:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Administrateur\Application Data\freeTVRadio
[2011/07/31 18:52:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\HP_Administrateur\Application Data\PriceGong

* redemarre le pc sous windows et poste le rapport ici


Le faux antivirus ne se lance plus ?
0
Réponse 6 / 8
sinseremi Messages postés 14 Date d'inscription lundi 20 juin 2011 Statut Membre Dernière intervention 10 juin 2012
22 avril 2012 à 13:29
========== OTL ==========
Folder C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\2vcy7x2s.default\extensions\engine@conduit.com\ not found.
Folder C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\2vcy7x2s.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\ not found.
Folder C:\Documents and Settings\HP_Administrateur\Application Data\Mozilla\Firefox\Profiles\2vcy7x2s.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
Registry key HKEY_USERS\S-1-5-21-3471907528-2558743339-1734396377-1007\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
File C:\WINDOWS\System32\941767141.dll not found.
Folder C:\Documents and Settings\HP_Administrateur\Application Data\freeTVRadio\ not found.
Folder C:\Documents and Settings\HP_Administrateur\Application Data\PriceGong\ not found.

OTL by OldTimer - Version 3.2.40.0 log created on 04222012_132810


J'ai redémarré l'ordi après l'avoir fait, mais il y avait toujours le truc qui se lançait...
En killant les processus concernés plus rien ne s'affiche, mais au démarrage...
0
Réponse 7 / 8
sinseremi Messages postés 14 Date d'inscription lundi 20 juin 2011 Statut Membre Dernière intervention 10 juin 2012
22 avril 2012 à 13:48
Peut-être que le problème, c'est que depuis le dossier Hp_administrateur, le dossier Application Data n'est pas directement visible...
0
Réponse 8 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 634
Modifié par Malekal_morte- le 23/04/2012 à 10:53
Tu as fait OTL depuis la session infectée ou pas ?

Si tu as le nom du processus de Virus PROTECTION, fais une recherche et supprime le.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0