Virus qui désactive l'anti virus etc...

Virus qui désactive l'anti virus etc... - Virus/Spywares - Windows & Software

Marsh Posté le 22-05-2009 à 16:28:13    

Bonjour à tous,
 
Je viens de me prendre un bon vieux virus des familles... Non seulement il m'a désactivé mon anti-virus mais en plus : pas moyen d'installer spybot ou autre logiciel pour essayer de m'en débarrasser : j'ai toujours un message d'erreur comme quoi l'application n'est pas "win32 valide" quand il s'agit d'un logiciel pouvant me permettre de supprimer cette saloperie... :/
 
Existe-t-il un moyen de passer outre ? Genre démarrage en mode sans échec ? Ou une manip me permettant de lancer ces logiciels et nettoyer mon PC ou alors vaut-il mieux que je fasse les backup d'usage sur mon disque externe et je balance un bon vieux formatage du disque dur avant de tout réinstaller ?
 
Merci d'avance des conseils. :jap:


---------------
A.K.A. Korrozyf
Reply

Marsh Posté le 22-05-2009 à 16:28:13   

Reply

Marsh Posté le 22-05-2009 à 19:34:35    

Bonjour Cougy,
 
 
Ce problème est très certainement dû à une infection Bagle... Cette infection s'attrape par le téléchargement de cracks, qui sont l'un des principaux vecteurs d'infection aujourd'hui ! Plus d'infos : http://www.libellules.ch/phpBB2/le [...] 28947.html
 
Arrête de télécharger n'importe quoi, et supprime les cracks et keygens que tu as actuellement sur ton ordinateur pour éviter une réinfection !
 
 
Pour désinfecter :
 
• Télécharge FindyKill (de Chiquitine29)
• Fais un clic droit sur le lien --> enregistrer sous --> Bureau ---> FindyKill
• Lance l'installation avec les paramètres par défaut  
• Double clique sur le raccourci FindyKill sur ton Bureau  
• Au menu principal, choisis l'option 1 (Recherche)  
• Poste le rapport C:\FindyKill.txt (il est sauvegardé à la racine du disque dur)
 
Aide en images (Installation)
Aide en images (Recherche)
 
 
 
Attention : les règles du forum interdisent de poster des rapports directement, il faut que tu les héberges ailleurs et que tu postes le lien proposé.
Pour ça, tu peux t'aider de ce tutoriel par exemple.


Message édité par Profil supprimé le 22-05-2009 à 19:37:09
Reply

Marsh Posté le 22-05-2009 à 21:21:31    

Merci énormément pour ta réponse. :jap:

 

Voici donc le lien vers le log que j'ai obtenu. :)

 


Message édité par Cougy le 24-05-2009 à 07:49:06

---------------
A.K.A. Korrozyf
Reply

Marsh Posté le 22-05-2009 à 21:40:06    

C'est bien Bagle...
 
 
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir  
• Relance FindyKill  
• Cette fois, choisis l'option 2 (Suppression) au menu principal
• Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" !  
• Ensuite poste le rapport C:\FindyKill.txt (il est sauvegardé à la racine du disque dur)
 
Aide en images (Nettoyage)
 
 
 
Ensuite, utilise ce logiciel de diagnostic pour vérifier qu'il n'y a pas d'autres infections stp :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages <gras>séparés</gras>
 
Tutoriel illustré pour t'aider : http://forum-aide-contre-virus.be/tutoriel_RSIT.html


Message édité par Profil supprimé le 22-05-2009 à 21:40:42
Reply

Marsh Posté le 23-05-2009 à 13:46:58    

Merci encore pour ton aide. ;)

 

Voici donc le rapport après nettoyage par FindyKill

 

Je suis en train de lancer RSIT en ce moment même.


Message édité par Cougy le 24-05-2009 à 07:49:25

---------------
A.K.A. Korrozyf
Reply

Marsh Posté le 23-05-2009 à 13:51:58    

voici le fichier "info.txt" et le fichier "log.txt"

 

Edit : j'ai pu réinstaller Avast sur mon PC mais j'ai pas l'impression d'être encore bien "désinfecté", je me trompe ?


Message édité par Cougy le 24-05-2009 à 07:49:57

---------------
A.K.A. Korrozyf
Reply

Marsh Posté le 23-05-2009 à 17:46:10    

Les programmes suivants ont été endommagés par l'infection, ils doivent être désinstallés (tu l'as déjà fait pour Avast apparemment) :
a-squared Anti-Malware
Alwil Software
Spybot - Search & Destroy
Unlocker
DAEMON Tools Lite
 
Ensuite, tu peux les réinstaller, mais je te conseille de ne pas remettre a-squared qui est inutile. Attention, si tu remets DAEMON Tools, il ne faut pas installer la barre d'outil qui est proposée lors de l'installation.
 
 
Le rapport RSIT montre aussi une infection de disque amovible :
 
Télécharge UsbFix (de Chiquitine29 et C_XX) sur ton Bureau
• Lance l'installation avec les paramètres par défaut
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Fais un clic droit sur le raccourci d'UsbFix et choisis 'Exécuter en tant qu'administrateur'.
• Au menu principal, choisis l'option 2 (Suppression)
• Un rapport USBFix.txt apparaitra à la fin, poste le dans ta prochaine réponse stp
 
 
Ensuite, fais ce scan de vérification stp :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"  
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
 
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Reply

Marsh Posté le 23-05-2009 à 18:09:05    

Je viens de faire le scan de Malwarebytes' et le résultat est "vierge" : rien d'infectieux n'a été détecté. :)
 
J'ai aussi réinstallé les logiciels qui avaient étés contaminés et donc profité pour aussi mettre à jour spybot et scanner le PC avec et corriger les quelques soucis détectés.
 
Je peux maintenant considérer que mon PC est sain ?
 
En tout cas merci pour ton aide. :jap:


---------------
A.K.A. Korrozyf
Reply

Marsh Posté le 23-05-2009 à 19:18:21    

Très bien, ton ordinateur n'est plus infecté :)
 
Avant de retourner surfer sur internet, il y a certaines choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).
 
 
 
1) Sécurise ton ordinateur
 
Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.  
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast
 
Si tu choisis Antivir pour le remplacer, télécharge le ici.
 
Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement (« Updates »), tous les 15 jours environ, et activer toutes les protections (« Enable all protection »)  
* En complément, garde MalwareBytes pour son scan de nettoyage performant.
 
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
 
• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker
 
 
 
2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :  
 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')    
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe    
 
Ensuite, clique sur "Fix checked"  
 
 
 
3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Pour le lancer, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ». Puis clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.  
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
 
 
 
4) Télécharge et installe CCleaner (si ce n’est déjà fait).
 
Lance CCleaner
Clique sur Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
 
(Tu peux garder ce logiciel et l'utiliser régulièrement).
 
 
 
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés).  
 
• Menu démarrer --> clic droit sur ordinateur --> propriétés --> protection du système
• Désactive la restauration du système sur tous les lecteurs
• Clique sur OK.  
 
Puis refais la manipulation inverse pour réactiver la restauration système.  
 
 
 
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
 
 
 
 
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Reply

Marsh Posté le 23-05-2009 à 21:31:55    

J'ai l'impression de me répéter mais vraiment, merci beaucoup pour ton aide. :jap:
 
Je connais tout de même quelques astuces (entre autre l'utilisation de Firefox et de certains logiciels) que tu donnes car étant moi même dans le domaine de l'informatique mais tes conseils sont tellement clairs et précis que je ne peux que m'incliner. ;)
 
C'est surtout que pour le coup je ne m'étais jamais retrouvé face à un virus "aussi méchant" et comme je ne suis pas spécialiste dans le domaine, je me suis retrouvé un peu dépassé avec mon antivirus désactivé et les outils que je connaissais qui ne se lançaient même plus. :D
 
Je vais donc suivre ces derniers conseils (pour ceux que je ne connaissais pas déjà).
 
Merci encore pour ton aide. Je me voyais déjà obligé de tout formater pour réinstaller ce qui certes n'est pas compliqué mais reste long et on ne peut plus fastidieux. :D


---------------
A.K.A. Korrozyf
Reply

Marsh Posté le 23-05-2009 à 21:31:55   

Reply

Marsh Posté le 24-05-2009 à 06:45:52    

De rien ;)
 
Bagle s'attrape en téléchargeant des cracks, mais par ce biais tu aurais pu tomber sur des infections beaucoup plus coriaces que celle là, crois moi (exemple : Virut)
Les conseils de sécurité que j'ai pu te donner garantissent une bonne protection contre certains types d'infections, mais si tu continues à télécharger n'importe quoi, ces mesures ne te sauveront pas à chaque fois.
 
Bonne continuation :)

Reply

Marsh Posté le 24-05-2009 à 07:30:47    

Ici c'était un cas très exceptionnel. Et c'est pas près de m'arriver de nouveau c'est clair. Mais c'est pas le débat. ;)
 
Bonne continuation à toi aussi.


---------------
A.K.A. Korrozyf
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed