Votre question

Infection & Suppression "antivirus scan" vista

Tags :
  • Scan
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Janvier 2011 03:11:41

Bonjour,

mon ordinateur est infecté par le virus "antivirus scan".
Je ne peux donc pas utiliser vista en mode normal car ce virus m'empêche d'ouvrir des applications...
Je me suis donc mis en mode sans-échec avec connexion, j'ai enlevé l'option proxy dans IE pour pouvoir utiliser internet, puis j'ai utilisé malwarebytes ainsi que spybot - search & destroy pour éliminer les menaces détectées (elles étaient nombreuses). Mais quand je redémarre vista en mode normal, "antivirus scan" se lance toujours au démarrage et bloque le fonctionnement normal de vista ! Il n'est pas totalement disparu !

J'ai donc décidé d'utiliser le logiciel OTL pour générer les deux scans (comme vu précédemment sur des posts dans ce forum).
Voici ces deux scans générés :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijRC7cw...

http://www.cijoint.fr/cjlink.php?file=cj201101/cijjTmon...

Ainsi que le rapport généré par malwarebytes (scan effectué la deuxième fois : après première suppression des menaces) :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijdoLTh...

Si avec ces rapports, vous pourriez me donner un diagnostic se serait gentil.

Merci d'avance.


Autres pages sur : infection amp suppression antivirus scan vista

10 Janvier 2011 09:09:09

Bonjour,

Internet explorer pas a jour a voir a la fin

Malwarebytes' Anti-Malware 1.46
MBAM pas a jour! Supprimes le on le réinstallera plus tard

Ad-Aware tu peux virer il ne sert a rien !

Spybot tu fais comme tu veux juste pour info il est obsolète si tu le gardes fais ce qui suit pour le bon déroulement de la désinfection!

Tu vas Désactiver le TeaTimer de Spybot
Lance Spybot
Clique sur Mode, puis coche Mode avancé

Clique sur Outils puis sur Résident
Décoche la case Résident "Tea Timer"

Ferme Spybot

Télécharge sur ton bureau: http://support.kaspersky.com/downloads/utils/tdsskiller.zip , dezippe le et execute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/utils/tdsskiller.exe

execute le , La fenêtre suivante va s'ouvrir::



Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:



Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

Si TDSS.tdl3 est détecté assure toi que Cure est bien coché.

Si TDSS.tdl4(mbr) est détecté assure toi que Cure est bien coché.

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).



Relance OTL.exe.

Sous l'onglet Personnalisation en bas de la fenêtre, Copies et colles le contenu de cette citation ci dessous depuis rien



Rien
:OTL
SRV - (RelevantKnowledge) -- C:\Program Files\RelevantKnowledge\rlservice.exe File not found
DRV - (TpChoice) -- C:\Windows\System32\DRIVERS\TpChoice.sys File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8074
FF - HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge
FF - HKLM\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions
[2008/06/28 20:10:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jéré\AppData\Roaming\mozilla\Extensions
[2011/01/10 00:24:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jéré\AppData\Roaming\mozilla\Firefox\Profiles\tjnzcy5j.default\extensions
[2010/10/14 21:16:23 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Jéré\AppData\Roaming\mozilla\Firefox\Profiles\tjnzcy5j.default\extensions\toolbar@ask.com
[2011/01/10 00:24:44 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{635ABD67-4FE9-1B23-4F01-E679FA7484C1}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\EAFO3FFLAUNCHER@EA.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\FIREFOX@TVUNETWORKS.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\TOOLBAR@ASK.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [HWSetup] File not found
O4 - HKLM..\Run: [NDSTray.exe] File not found
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKCU..\Run: [cujpxqht] C:\Users\JRD581~1\AppData\Local\Temp\pspwsiivh\xipgtpwlajb.exe ()
O9 - Extra Button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found
O9 - Extra Button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - File not found
O33 - MountPoints2\{45a89514-6c8c-11dd-9f00-001b38aab880}\Shell - "" = AutoRun
O33 - MountPoints2\{45a89514-6c8c-11dd-9f00-001b38aab880}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\{a0857285-55ca-11de-88c7-001b38aab880}\Shell\AutoRun\command - "" = H:\WDSetup.exe -- File not found
O33 - MountPoints2\{f5f40f62-d5d7-11dd-8515-001b38aab880}\Shell\Auto\command - "" = G:\RavMonE.exe -- File not found
[2010/12/21 21:28:43 | 000,000,000 | ---D | C] -- C:\ProgramData\QuestBrowse
[2010/12/21 21:28:43 | 000,000,000 | ---D | C] -- C:\Program Files\QuestBrowse
[4 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[4 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2010/03/04 06:57:28 | 000,000,016 | ---- | C] () -- C:\Users\Jéré\AppData\Roaming\rbuwzv.dat
[2010/04/17 19:55:10 | 000,000,000 | ---D | M] -- C:\Users\Jéré\AppData\Roaming\freeTVRadio
:files
ipconfig /flushdns /c
@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:4BF2F6B5
:Reg
:Commands
[emptytemp]
[resethosts]
[purity]
[EMPTYFLASH]
[CREATERESTOREPOINT]



  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler sans te servir du PC!!!!!
  • Copie et colle le rapport dans ta réponse stp
    10 Janvier 2011 12:20:16

    Bonjour et merci pour la rapidité de cette réponse.

    Voici le rapport de TDSSKiller (il n'a rien détecté de suspect) :

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijqot3T...

    Puis j'ai effectué la manip avec OTL, j'ai redémarré en mode normal vista et le malware "antivirus scan" semble disparru puisqu'il ne se lance plus automatiquement au démarrage de windows.
    J'ai donc relancer une analyse avec OTL et il en a résulté un seul fichier cette fois-ci (OTL.txt) :

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijpNmkX...

    Pouvez-vous m'indiquer s'il persiste encore des menaces...

    Merci d'avance.




    10 Janvier 2011 14:59:00

    Citation :
    Pouvez-vous m'indiquer s'il persiste encore des menaces...

    On va vérifier , a premiére vue c'est bon !!!!

    Relance OTL.exe.

    Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le contenu du cadre ci dessous

    :Commands
    [purity]
    [resethosts]
    [emptytemp]
    [EMPTYFLASH]
    [CREATERESTOREPOINT]
    [Reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler sans te servir du PC!!!!!
  • Copie et colle le rapport dans ta réponse stp




    Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :



  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen rapide".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
  • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
  • Si des infections sont présentes, clic sur "Afficher les résultats"
    puis sur "Supprimer la sélection".

    Enregistre le rapport sur ton Bureau.
  • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    Télécharge Security Check by screen317 ICI ou ICI sur le bureau.
    Double-clique sur SecurityCheck.exe et suis les instructions à l'écran à l'intérieur de la boîte noire.
    Un document du Bloc-notes doit s'ouvrir checkup.txt
    Poste moi le contenu de ce document.
    Ferme Security Check
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS