Antivirus IS (malware)

[itofa]

Bonjour,

 

PC sous XP SP3

avec AVG , Spybot, Glary utilities

 

Mon fils (je ne sais pas où il a encore été surfer, mais à 16 ans je me doute ...) c'est ramassé un faux antivirus "ANTIVIRUS IS" qui s'est installé et qui lui bloque son AVG, toutes les applis dès qu'on lance un .exe, et bien sur demande à eradiquer le soit disant malware et pour cela on doit acheter la solution miracle.

 

Le pb, est que je suis à 500 km

J'accède à son PC en Remote via Teamviewer. Je voulais accèder à un antivirus en ligne du type " Secuser.com - Antivirus gratuit en ligne mais cette saloperie bloque l'ouverture des URLs et propose son éradiquation.

 

Comment l'en sortir ?

 

Merci d'avance de votre aide

Itofa

[itofa]

Pour compléter voici un snapshot de son écran :

 

Impossible de lancer ne serait-ce que l'explorateur windows, ou autres applis , sans avoir ce type d'écran

[pear]

Bonjour,

 

 

Essayer d'abord une restauration antérieure au problème.

 

Vous pouvez trouver et renommer le fichier infectieux ici:

c:\documents & settings \ nom de session \ local settings \ application data \ 12314678.exe ou de 4 à 10 chifres ou lettres aléatoires

Essayez de le supprimer ou de le renommer

 

 

Si internet n'est pas accessible,utilisez une machine saine pour installer les outils sur clé usb

 

Installer Process explorer sur le bureau

Renommez le Firefox.pif

Process Explorer a des fonctions qui vont vous permettre de rechercher des processus infectieux.

Il n'installe rien sur le système et peut s'exécuter à partir d'une clé USB

Il peut remplacer le gestionnaire des taches

Pour cela, il suffit de cocher dans les options : Replace Task Manager

C'est particulièrement intéressant lorsqu'un malware désactive le gestionnaire de tâches.

Onglet View->Select Columns

Cochez:

Process name

Pid

Description

Company Name

Command line

et validez

 

Recherchez et supprimez, si vous le trouvez, un processus:

12314678.exe ou de 4 à 10 chifres ou lettres aléatoires

 

Bureau inaccessible :

File -->Run --> tapez %UserProfile%\bureau et validez

 

Vous pourriez ainsi accéder à votre bureau

 

Désactiver antivirus et anti-spyware par un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil.

 

Télécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Téléchargez MBAM

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour renommer:

Clic droit sur http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Choisir "Enregistrer la cible du lien..sous....Winlogon.pif

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->Winlogon.pif

Cliquez enfin sur -> Enregistrer

Lancez winlogon.pif

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[itofa]

Bonjour Pear et merci de ton retour.

 

J'ai essayé la restau système, et/ou aller dans windows explorer faire ce que tu suggères

 

Mais les .exe associés à ses actions sont systématiquement bloquées avec ce soit disant pop-up fichiers infectés.

 

Cela étant, ayant le PC de ma fille également en Remote, je vais faire les process que tu suggères, tout mettre sur une clé USB, puis, en espérant que ce malware laisse accèder la clé sur le PC de mon fils voir ce que cela donne.

 

Je ferai un retour

@+

Itofa