virus total security (résolu)

[nikigabal]

Bonjour,

 

Ma fille viens d'acquérir un ordi portable avec windows vista et internet explorer 7.

 

Après à peine 2 jours d'utilisation, elle attrape un virus (heureusement que son antivirus l'a détecté) qui est total security.

En fait il se présente sous la forme d'un antivirus à télécharger et s'installe dans les programmes. Impossible de le supprimer par ajout/suppression programmes.

 

Pouvez vous me dire comment faire pour l'éliminer totalement ?

Modifié le 25 août 2009 par nikigabal

[Falkra]

Bonjour,

 

c'est un coriace, mais le problème, c'est d'infecter la machine aussi vite, il va falloir prendre plus de précautions.

 

Poste un rapport HijackThis dans ta prochaine réponse stp.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

 

 

-----

 

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[nikigabal]

Bonjour,

 

Merci de ta réponse je la vois juste aujourd'hui car j'ai eu quelques soucis de connections.

 

A priori total security a été éliminé mais je ne sais comment...

Par contre maintenant elle a un cheval de troie intitulé JS:FakeWarn-A (Trj).

Ma fille a fait une recherche avec SmithFraudFix.

Maintenant est ce que quelqu'un peut me dire quoi faire.

Merci par avance.

 

Voici le rapport :

 

SmitFraudFix v2.423

 

Scan done at 0:48:10,19, 18/08/2009

Run from C:\Users\Super Banane\Desktop\SmitfraudFix

OS: Microsoft Windows [version 6.0.6001] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

::1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 

C:\Users\Super Banane\Application Data\Microsoft\Internet Explorer\Quick Launch\TSC.lnk Deleted

C:\Program Files\TSC\ Deleted

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{332E06B8-CC0A-4686-9DBD-C75EF927A7C5}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A426066D-9E16-4708-996A-7AE02ABF36CD}: DhcpNameServer=172.168.30.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{332E06B8-CC0A-4686-9DBD-C75EF927A7C5}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{A426066D-9E16-4708-996A-7AE02ABF36CD}: DhcpNameServer=172.168.30.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{332E06B8-CC0A-4686-9DBD-C75EF927A7C5}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{A426066D-9E16-4708-996A-7AE02ABF36CD}: DhcpNameServer=172.168.30.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK.2

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

[Falkra]

A priori total security a été éliminé mais je ne sais comment...

Par contre maintenant elle a un cheval de troie intitulé JS:FakeWarn-A (Trj).

Ma fille a fait une recherche avec SmithFraudFix.

 

Fais ce que j'ai indiqué stp, ça ira plus vite pour tout le monde.

NB : il est dangereux de jouer au hasard avec les outils... ne copie pas une procédure pour un autre PC trouvée via google, si le gars en face n'était... pas au top disons, c'est plus que risqué pour ta machine, au mieux inutile.

 

Supprime SmitFraudFix et poste le rapport MBAM stp.

 

@ toute

[nikigabal]

ok je fais ça et l'envoie dés que possible.

 

Merci

[nikigabal]

Mince de mince....

 

Je ne peux accéder au téléchargement car il me faut un compte avec mot de passe. Et d'après ce qu'ils me disent il faut avoir acheter le logiciel pour avoir accés.

Je fais quoi ?

[Falkra]

Je t'ai donné le lien officiel, il n'y a aucun mot de passe d'aucune sorte et ça marche en version gratuite. Vérifie que tu es bien sur le bon site.

[nikigabal]

Je t'ai donné le lien officiel, il n'y a aucun mot de passe d'aucune sorte et ça marche en version gratuite. Vérifie que tu es bien sur le bon site.

 

Bonjour,

 

Je n'arrive toujours pas a accéder au site. En faite je copie le lien que j'essaie d'ouvrir sur l'ordi de ma fille (puisque c'est celui là qui est infecté). Crois tu que ça ait un rapport ?

[Falkra]

Nikigabal, on continue autrement.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[nikigabal]

Nikigabal, on continue autrement.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Ok merci je fais sur le pc de ma fille et je te tiens au courant