infection rogue avasoft antivirus

[tiagin]

Bonjour,
mon pc portable est infecté par un rogue.
Il s'agit de avasoft profesionnal antivirus.
Est-ce que vous pouvez m'aider à m'en débarrasser ?
Mes connaissances informatiques sont très limitées.
Par où commencer ?
Merci

[HexCrunch]

Bonsoir,

Je me nomme Wahib Mkadmi et je viens de prendre connaissance de ton message et te propose mon aide pour ainsi sortir de cette situation.

On va regarder ce qui se passe sur ton système, mais pendant la désinfection, tu ne dois rien télécharger de toi même

Pour cela il faudra installer des outils à ne désinstallerqu'à la fin de la désinfection, quand je te le dirai.

Petites questions :

• Quels systèmes d'exploitation as-tu (Xp, Vista, Seven, 32 ou 64 Bit) :?:
  
• Quelle a été ta dernière action ? (téléchargement d'un logiciel, Msn, installation d'un périphérique etc...) Plus tu m'en diras, et mieux je pourrai cibler ton problème.
  
• As-tu un message d'alerte sur ton bureau, ou autre symptômes :?:
  
• Tu as quel AV installé ?
  
• Ton AV détecte une menace ? quel est son nom si c'est le cas ?
  
• Ton AV détecte une menace ? quel est son nom si c'est le cas ?
  
• Expliques mieux ton problème stp

On va mettre quelque règles de désinfection

• Ne fais rien de ta propre initiative
• Ne quitte pas le sujet même si ton PC va mieux

NOTE: Au moindre souci pour exécuter les applications qui suivront, ne pas hésiter à questionner
(Ne pas faire de manipulations hasardeuses et souvent malencontreuses, s'il te plaît.)

Fais ceci:

• démarrez/redémarrez votre PC ;
• dès le moment de l'amorcage appuyez sur F8 ou sur F5 (soit une pression continue soit une pression toutes les secondes) ;
• une page noire s'affiche avec plusieurs choix disponibles ;
• sélectionnez Mode Sans Échec avec prise en charge réseau (déplacez vous avec les flèches du clavier et sélectionnez avec la touche entrée) ;
• le système va se charger
• et vous voila en mode sans echec.. pour revenir en mode normal..redémarrez le PC
• Le mode d'affichage a changé car ce n'est pas le pilote habituel qui est chargé par le système d'exploitation, mais un pilote de base

Puis

Télécharges RogueKiller

sur ton bureau


Lances le en faisant clic droit exécuter en tant qu'administrateur sous Vista/7/8

ATTENDRE LA FIN DU PRESCAN !

Une fenêtres apparaît, clic sur Accepter



Puis clic sur Scan en haut à droite.



Attends la fin de celui çi :



Le rapport à été crée sur ton bureau :

Décoches les éventuelle faut positif dans l'onglets registres du logiciel.

Clic sur Suppression et attends la fin de celle çi.



Le rapports est crée sur le bureau :

Postes le contenu du dernier rapport sur http://www.cjoint.com[/quote]


Ensuite

• Télécharge OTL de Old_Timer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
• Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'adminsitrateur.
• Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées.
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT


• Clique ensuite sur Analyse et patiente le temps du scan

[list][*]A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
[*]Les rapports étant trop longs pour le forum, héberge-les sur Cjoint et indique les liens fournis dans ta réponse.



Cordialement,


A+

[tiagin]

Merci Wahib !

je travaille sur windows vista.
je ne sais pas vraiment ce qui s'est passé, parce que ce n'est pas moi qui utilisait le PC au moment de l'infection...
Y a-t-il eu un clic malheureux? je n'en sais trop rien.
J'utilise clamwin free antivirus, mais je ne suis pas sûre qu'il était à jour au moment de l'infection.
Je crois que de manière générale, je ne suis pas assez attentive au mises à jour : adobe, java...
L'antivirus n'arrive pas à terminer un scan car le rogue prend sa place avant d'avoir terminer son travail.

je reçois plein de messages d'alerte : votre PC est infecté (achetez le logiciel antispyware...) et je n'arrive quasi plus à me connecter sur internet. Même mes documents sont infectés... En plus, par méconnaissance, j'ai ouvert plusieurs programmes style windows defender et à chaque ouverture, nouvelle infection...

Pour le moment, je suis sur un autre PC. Je vais suivre vos instructions et posterai le rapport demain matin de ce PC.
Merci !

[HexCrunch]

Bonsoir,

J'ai une bonne nouvelle pour toi, tes documents ne sont pas infectés, ce sont de fausses alertes générées par ton rogue pour te pousser a l'acheter, ne le fais surtout pas !

PS: j'ai édité mon post, j'y ai mis de nouvelles instructions

Apluch !

[tiagin]

Bonsoir,

voilà j'ai installé et exécuté roguekiller. Il y avait bien un rogue.
Ce que je n'ai pas compris, c'est que durant le scan, il a trouvé deux fichiers infectés, mais qu'il n'en a supprimé qu'un seul.
voilà le lien : http://cjoint.com/?CCzt3ERKJBP
Il y a aussi deux fichiers qui ont été remplacés. je ne sais pas si c'était des faux positifs ?

J'attaque la deuxième partie de la procédure .

[HexCrunch]

B'jour,

RogueKiller a fait du beau boulor, j'attends le reste de la procedure.
Attention, ne quitte pas maintenant, il est fort possible qu'il y ait d'autres infections !

[tiagin]

Bonjour Wahib !

J'ai bien effectué le scan OTL.
J'ai les deux rapports d'analyse, mais je ne les ai pas encore posté.
J'ai vu qu'il s'agissait de rapports très complets sur le coeur de mon PC et j'ai eu tout à coup très peur de livrer
toute cette information sur le net. N'y at-il pas de risques de piratage?

J'ai effectué une autre opération (malgré tes consignes, sorry!).
Après avoir affiché les programmes cachés, je suis allée dans programme data et là, j'ai trouvé un drôle de fichier,
constitué d'une suite de chiffres et de lettres (date de création : le soir de l'infection, bingo!). Je l'ai ensuite placé dans la corbeille puis supprimé.

En fait, j'ai encore fait autre chose (2Xsorry) : j'ai téléchargé malwarebytes et l'ai fait tourné. Il n'a détecté aucune infection. J'ai redémarré le PC en mode normal et là, en tout cas, en apparence, il n'y avait plus rien...

J'attends de tes nouvelles...

[HexCrunch]

Hello,

Au fait, tu avais fait une partie de mon travail tu n'as pas respecté mes consignes, mais tu as bien fait

Pour le rapport OTL, il ne dévoile rien, au pire le nom de ta session, il ne recueille aucune info personnelle. Tu dois voir qu'il ne vérifie que quelques points du registre susceptibles de contenir une infection, et il liste leur contenu, ainsi que les derniers fichiers crées

Tu peux me les poster ici sans risque, si tu es trop parano, MP les moi

A+

[tiagin]

Ok, merci pour tes précisions !
Je poste les rapports OTL et malwarebytes ce soir.
Pour le moment, je suis au boulot, donc pas d'accès à mon pc.

A tout à l'heure !

[tiagin]

Bonjour Wahib,

est-ce que tu as reçu mon mail avec les rapports OTL ?

Bonne journée !

[HexCrunch]

Bonsoir,

Non, je n'ai rien reçu de ta part par mail, tu peux me les MP stp ?