[Résolu] Virus "antivirus software alert"

[FOIN]

Bonjour à tous,

 

Il m'est arrivé d'avoir eu ce virus auparavant et de trouver une aide grandiose sur votre forum.

Rassurez-vous ce n'est pas que j'ai avoir ce virus c'est la machine de la fille d'une collègue qui est infectée.

 

J'attends vos directives. Pour le moment il est impossible d'accéder à internet avec son ordinateur infecté et j'utiliserai une clef USB pour transférer les fichiers de logiciel pour analyser et faire les rapports que vous me demanderez.

 

Un petit point important : NE M'ENVOYEZ PAS D'AIDE PAR MESSAGE. Je sais que c'est interdit et je ferais de la délation sans problème. Qui sait si vous n'êtes pas un mauvais farceur qui me ferait planter la machine ?

Modifié le 23 mai 2010 par FOIN

[Apollo]

Bonjour,

 

Puisque tu vas devoir télécharger via une clé usb, je te conseille de télécharger les outils suivants, mais de ne t'en servir que lorsque cela te sera demandé avec la procédure habituelle.

 

RKILL: les 4 fichiers:

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

Enregistrer le fichier sur le Bureau.

 

MalwareBytes antimalware sur le bureau: Malwarebytes' Anti-Malware (MBAM)

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau.

 

Lorsque tu auras transféré tous ces exécutables, dis-le moi et on pourra commencer la désinfection.

 

@++

[FOIN]

C'est bon j'ai tout sur la clef et je vais transférer.

[Apollo]

Ok,

 

Ne touche à ComboFix que si je le demande

 

Voici les deux premières procédures à suivre:

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

-------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

++

[FOIN]

Bon j'ai eu un peu de mal avec le virus qui pop des fenêtre toutes les secondes mais j'ai pu lancer rKill juste avec double clique et exécuter en tant qu'administrateur car avec un clique droit je ne trouvais pas.

Le windows est pourtant bien vista à ce que j'ai vu.

 

Malwarebytes est en train de travailler je posterai surement demain le temps qu'il fasse son office

 

Merci pour l'aide c'est toujours aimable et appréciable !

[FOIN]

Bien voilà les rapports. Pour tout supprimer Malwarebytes a du redémarrer et apparemment il s'est occupé du virus le plus gênant (antivirus software). Par contre j'ai une petite erreur, surement un virus pas tout à fait éliminé, au démarrage de session.

Voici le message :

 

 

Rapport rKill :

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Lise on 20/05/2010 at 21:49:06.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Users\Lise\AppData\Local\Temp\n7tp95.exe

C:\Users\Lise\cskcomka.exe

C:\Users\Lise\AppData\Local\Temp\Qz2.exe

C:\Users\Lise\AppData\Local\Temp\qffty.exe

C:\Users\Lise\AppData\Local\Temp\lsass.exe

C:\Users\Lise\AppData\Local\Temp\taskmgr.exe

C:\Users\Lise\AppData\Local\asam.exe

C:\Users\Lise\AppData\Local\nkfydlwtv\oxtysqltssd.exe

C:\Users\Lise\Desktop\rkill.scr

 

 

Rkill completed on 20/05/2010 at 21:49:10.

 

 

Rapport malwarebytes :

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4060

 

Windows 6.0.6000

Internet Explorer 7.0.6000.17037

 

20/05/2010 23:26:07

mbam-log-2010-05-20 (23-26-07).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 223098

Temps écoulé: 1 heure(s), 20 minute(s), 10 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 10

Valeur(s) du Registre infectée(s): 11

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 39

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\Users\Lise\AppData\Local\Temp\cm25x39i.dll (Trojan.Ertfor) -> No action taken.

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.

HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Ertfor) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Ertfor) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cskcomka (Trojan.Downloader) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87efjhdsf87f3jfsdi7fhsujfd (Trojan.Clicker) -> No action taken.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xysgjtps (Rogue.AntivirusSuite.Gen) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsfg9w8gujsokgahi8gysgnsdgefshyjy (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Agent) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Lise\AppData\Local\Temp\cm25x39i.dll (Trojan.Ertfor) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\n7tp95.exe (Trojan.Ertfor) -> No action taken.

C:\Users\Lise\cskcomka.exe (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\taskmgr.exe (Trojan.Clicker) -> No action taken.

C:\Users\Lise\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CJXFX8QR\rvqxfn[1].htm (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CJXFX8QR\hypwhc[1].htm (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DT6E3SNZ\wzdcjrp[1].htm (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\A046.tmp (Rootkit.Agent) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\rcxmnewsao.exe (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\rknfl.exe (Rootkit.Agent) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\win.exe (Trojan.Clicker) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\xwsceronam.exe (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\~TM122C.tmp (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\~TM6DE1.tmp (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\ncoasemwrx.exe (Rogue.APManager.Gen) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\faiuwsc0.exe (Trojan.Ertfor) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\eoxcwsmnra.exe (Rootkit.Dropper) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\svchost.exe (Trojan.Clicker) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\v8vb8b6ym4pe.exe (Trojan.Clicker) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\mdm.exe (Trojan.Clicker) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\B7CA.tmp (Rootkit.Agent) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\BNC34E.tmp (Trojan.Sasfis) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\BNE81C.tmp (Trojan.Sasfis) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\C036.tmp (Rootkit.Agent) -> No action taken.

C:\Users\Lise\AppData\Local\VirtualStore\Windows\System32\net.net (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algeki32.exe (Trojan.Downloader) -> No action taken.

C:\Windows\System32\drivers\usdpklvl.sys (Rootkit.Agent) -> No action taken.

C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\Qz2.exe (Trojan.FakeAlert) -> No action taken.

C:\Users\Lise\AppData\Local\nkfydlwtv\oxtysqltssd.exe (Rogue.AntivirusSuite.Gen) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\lsass.exe (Trojan.Agent) -> No action taken.

C:\Windows\Temp\wpv741274224046.exe (Trojan.Agent) -> No action taken.

C:\Users\Lise\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

C:\Users\Lise\AppData\Roaming\sdra64.exe (Trojan.Agent) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> No action taken.

C:\Users\Lise\AppData\Roaming\avdrn.dat (Malware.Trace) -> No action taken.

C:\Users\Lise\AppData\Local\Temp\win16.exe (Trojan.Agent) -> No action taken.

C:\Users\Lise\AppData\Local\asam.exe (Trojan.Agent) -> No action taken.

 

 

Voilà comme je le pensais j'ai bien fait de venir ici pour que son ordinateur soit bien nettoyé et pas seulement essayer de supprimer que ce fameux virus juste avec les outils que vous m'aviez conseillé auparavant pour protéger les ordinateurs (Malwarebytes et antivir).

 

Ah oui petite info : On m'a signalé que l'antivirus avait été désinstallé à la suite de l'infection pensant qu'il ne fonctionnait plus normalement. Je pense donc que je peux installer n'importe quel autre, vous me conseillerez antivir je pense non ?

 

 

Edit : je ne comprends pas pourquoi ça écrit : "No action taken", alors que y avait bien tout de coché et que j'ai bien cliqué sur supprimé comme demandé...

Modifié le 20 mai 2010 par FOIN

[Apollo]

Si tu es sûr(e) d'avoir corrigé les problèmes ça va.

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

--> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.

 

Sous l'onglet Main, choisis : Select All

Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-------------------------------

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

@++

[FOIN]

Je ne suis pas sûr d'avoir corrigé les problèmes mais juste sûr que Malwarebytes a travaillé ^^ Du au fait que le virus n'est plus actif en apparence.

 

Par contre là je vais me coucher et je reviendrai (serai disponible et entreprendrai les nouvelles démarches) demain vers 13h.

Bonne nuit à toi Apollo.

[Apollo]

Bonne nuit

 

ComboFix peut être mis à la corbeille car il sera périmé demain; si on en avait besoin on reprendrait une nouvelle copie.

 

@ demain.

[FOIN]

Bonjour,

 

Ok j'ai mis la machine sur internet et la je vais lancer RSit comme ça elle pourra télécharger ce qu'elle veut et j'aurais plus besoin de passer d'une machine à l'autre ^^