PC infecté par "antivirus action" [Résolu] • page 3

[anonyme_46957]

Merci pour votre aide!

Par contre ce logiciel ne marche pas sur mon ordi! Encore une fois il fige completement mon ordi et meme en attendant 1heure entiere ca ne change rien!
Que faut il qe je fasse?

[marvel]

Décidemment, il est bien accroché le "bestiau".
Le temps de relire toute cette affaire et je te poste une procédure ... p'tit 1/4 heure, please

[marvel]

On va va procéder comme ceci:
(suis bien les différentes étapes dans l'ordre)

#1/
• Crée sur ton Bureau un Nouveau Document Texte > clic droit sur le Bureau ... copie et colle dedans cette citation :

Code: Tout sélectionner

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater]

:files
c:\program files\pdfforge toolbar\searchsettings.dll
c:\program files\ask.com\genericasktoolbar.dll
c:\program files\pdfforge toolbar\searchsettings.exe
c:\program files\application updater\applicationupdater.exe
c:\Program files\Ask.com\GenericAskToolbar.dll

:commands
[emptytemp]
[purity]
[reboot]


> ferme ce document et accepte l'Enregistrement

#2/
• Télécharge RKill sur ton Bureau.
• Double clics sur l'icône présente sur le Bureau pour le lancer.
* Vista et Seven > Exécuter en tant qu'Administrateur ...
• Copie et colle ici le rapport que tu obtiendras.
(ce rapport contiendra la liste des "Méchants" dont l'action est désactivées).
Ne redémarre pas le PC.

#3/
• Lance maintenant OTM > il est sur ton Bureau.
• Met dedans la liste que je t'ai donné et que tu auras également enregistrée dans le Nouveau Document Texte
Pour mémoire :

• Copie-colle le Code dans la partie gauche de la fenêtre d'OTM dans le cadre Paste Instructions for Items to be Moved.
• Clique ensuite sur le bouton MoveIt.
(l'outil lance la suppression, ne pas l'interrompre ...).
• L'outil te demandera de redémarrer le PC > tu acceptes.
• Le résultat apparait dans le cadre Results
• Clique sur Exit pour fermer OTM.
• Poste le contenu du rapport situé dans C:\_OTM\MovedFiles\********_******.log <-- celui en gras
(les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure).
• Tout cela fait > relance Hijackthis > Do a system scan only > Poste moi le rapport.

** Si tu vois qu'une étape bloque sur une des procédures citées ci-dessus, n'attend pas une heure, desuite compte-rendu ici en décrivant les symptômes.

[anonyme_46957]

Bon j'ai toujours des soucis!

Tout va bien jusqu'a OTM, je suis toutes les etapes que vous m'avez dit et au moment ou je fait "move it", des resultats apparaissent dans la fenetre "results" et apres OTM devient "not responding" puis blanc et l'ordinateur encore fige!
J'ai du debrancher mon cable d'alimentation et re-alumer mon ordinateur.

Je sais plus quoi faire!!!

[marvel]

Te décourage pas! on va l'avoir ton squatter.

Relance RKill > Poste moi le rapport.

[anonyme_46957]

Ok merci beaucoup!

Voici mon rapport

Code: Tout sélectionner

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Agnes-Chloe on 17/11/2010 at 15:36:14.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Users\AGNES-~1\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Agnes-Chloe\Desktop\rkill.com


Rkill completed on 17/11/2010  at 15:36:22.


[marvel]

• Télécharge Gmer sur ton Bureau.
• Enregistre le fichier sur ton Bureau et exécute le. (Clic droit > Exécuter en tant qu'Administrateur ...)
Il se lancera automatiquement.

**! Attention !**
GMER peut produire des faux positif. Ne prends pas d'actions seul sur les "ROOTKIT entries".

• Enregistre le rapport sur ton Bureau et copie/colle le contenu ici en réponse.

[anonyme_46957]

merci voici le rapport:

Code: Tout sélectionner

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-11-17 16:07:40
Windows 6.0.6000  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST980811AS rev.3.ALD
Running: 6jbyfk3x.exe; Driver: C:\Users\AGNES-~1\AppData\Local\Temp\aflcipog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1  Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


[marvel]

Désactive tes logiciels de protection (antivirus, Antispyware etc) et ferme tous les programmes ouverts.
Double-clics sur le fichier GMER présent sur le Bureau.
(Vista\Sevan > clic droit > "Exécuter en tant qu'Administrateur").

• Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
• Des lignes rouges doivent apparaître en cas d'infection :
• Sur ces lignes rouges:

Services : Clic-droit puis delete service
Process : Clic-droit puis kill process
Adl, file : Clic-droit puis delete files

Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.
A la fin des lignes tu devrais voir (en cas d'infections) les extensions suivantes :

.dat
.exe
_nav.dat
_navps.dat
.sys

Exemple de détection :


Ceci fait, lance MalwareByte's > Mise à jour > Scan complet.
tutoriel-malwarebytes-anti-malware-vt-46564.html

[anonyme_46957]

Losque j'effectue le scan au bout de quelques minutes mon ecran devient tout bleu et message indique ceci "your computer need to shut down to prevent serious damage"... Je n'ai pas pu donc finir mon scan completement..

[marvel]

OK!

Tu as un sacré locataire sur le PC.
Nous allons travailler maintenant en Mode Sans Echec afin de le chopper.
Effectue ceci afin de s'assurer que l'accès ne soit pas bloquée:
http://www.vista-xp.fr/forum/topic93.html
Ne t'inquiètes pas de l'apparence de ton Bureau à son affichage ...
> Redémarre simplement ensuite et confirme moi (demain) que tu as réussi!

Je te poste une procédure demain en fin d'AM.
Dans l'immédiat, je passe en position du guetteur aérien

[anonyme_46957]

Ok je sais deja comment passer en mode sans echec..
J'attends quelque chose de votre part demain..
Merci beaucoup et bonne soiree..

[marvel]

Salut!

Je suis convaincu que tu as un intru sur ton PC et que ces dysfonctiennements avec des logiciels puissants ne peuvent pas être que forcément dûs à un défaut sur un de tes logiciels habituels. Nous allons travailler mais seulement en activant les systèmes de Windows.

Pour ceci il y aura 2 étapes.

La première va consister à retirer tous les logiciels de nettoyages de ce PC. On y verra plus clair!

Procède ainsi :
> Télécharge ToolsCleaner2 de A.Rothstein & dj QUIOU) sur ton Bureau.
> Double-clics dessus pour lancer.
Si l'UAC est activé, fais un clic droit dessus > Exécuter en tant qu'Administrateur ...
> Clique sur le bouton "Recherche" et laisse le scan se dérouler (il peut durer quelques minutes).

* Durant le scan de recherche, ne clique pas dans la fenêtre active, cela provoquerait un bug du programme.
* Si la mention "ne réponds pas" apparaît dans la fenêtre de ToolsCleaner, ne t'en soucis pas et laisse le programme se terminer.

> A la fin de la recherche, Clique sur le bouton "Suppression".
* N'utilise aucunes des options facultatives ...

> Enfin Poste ici le contenu du rapport de suppression.


Après lecture, je te donnerai la deuxième procédure.

[anonyme_46957]

Voici le rapport:

Code: Tout sélectionner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\_OTM: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\Agnes-Chloe\Desktop\OTM.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Users\Agnes-Chloe\Desktop\OTM.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

[marvel]

Télécharge ComboFix de sUBs sur ton Bureau et pas ailleurs!
(Vista et Seven > Clic-droit et "Exécuter en tant qu'Administrateur".
> Une fois sur le Bureau renomme Combofix en Prc et valide cette modification.

Maintenant redémarre ton PC en Mode Sans Echec.

> Lorsque tu accéderas au Bureau > lance le logiciel nommé --> Prc.exe
(suis les instructions).
> Le scan lancé > Ne touche à plus rien sur ton PC et surtout ne cliques pas dans la fenêtre de scan
> Lorsque le scan sera complet ton PC redémarrera < si ce n'est le cas fais le.

Ton PC ayant redémarré :
> Recherche son rapport que tu trouveras ici --> C:\Combofix.txt <-- le fichier en gras
> Copie le et poste le moi.