Infection & Suppression "antivirus scan" vista
Dernière réponse : dans Sécurité
Bonjour,
mon ordinateur est infecté par le virus "antivirus scan".
Je ne peux donc pas utiliser vista en mode normal car ce virus m'empêche d'ouvrir des applications...
Je me suis donc mis en mode sans-échec avec connexion, j'ai enlevé l'option proxy dans IE pour pouvoir utiliser internet, puis j'ai utilisé malwarebytes ainsi que spybot - search & destroy pour éliminer les menaces détectées (elles étaient nombreuses). Mais quand je redémarre vista en mode normal, "antivirus scan" se lance toujours au démarrage et bloque le fonctionnement normal de vista ! Il n'est pas totalement disparu !
J'ai donc décidé d'utiliser le logiciel OTL pour générer les deux scans (comme vu précédemment sur des posts dans ce forum).
Voici ces deux scans générés :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijRC7cw...
http://www.cijoint.fr/cjlink.php?file=cj201101/cijjTmon...
Ainsi que le rapport généré par malwarebytes (scan effectué la deuxième fois : après première suppression des menaces) :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijdoLTh...
Si avec ces rapports, vous pourriez me donner un diagnostic se serait gentil.
Merci d'avance.
mon ordinateur est infecté par le virus "antivirus scan".
Je ne peux donc pas utiliser vista en mode normal car ce virus m'empêche d'ouvrir des applications...
Je me suis donc mis en mode sans-échec avec connexion, j'ai enlevé l'option proxy dans IE pour pouvoir utiliser internet, puis j'ai utilisé malwarebytes ainsi que spybot - search & destroy pour éliminer les menaces détectées (elles étaient nombreuses). Mais quand je redémarre vista en mode normal, "antivirus scan" se lance toujours au démarrage et bloque le fonctionnement normal de vista ! Il n'est pas totalement disparu !
J'ai donc décidé d'utiliser le logiciel OTL pour générer les deux scans (comme vu précédemment sur des posts dans ce forum).
Voici ces deux scans générés :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijRC7cw...
http://www.cijoint.fr/cjlink.php?file=cj201101/cijjTmon...
Ainsi que le rapport généré par malwarebytes (scan effectué la deuxième fois : après première suppression des menaces) :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijdoLTh...
Si avec ces rapports, vous pourriez me donner un diagnostic se serait gentil.
Merci d'avance.
Autres pages sur : infection suppression antivirus scan vista
Lassé par la pub ? Créez un compte
Bonjour,
Internet explorer pas a jour a voir a la fin
Malwarebytes' Anti-Malware 1.46
MBAM pas a jour! Supprimes le on le réinstallera plus tard
Ad-Aware tu peux virer il ne sert a rien !
Spybot tu fais comme tu veux juste pour info il est obsolète si tu le gardes fais ce qui suit pour le bon déroulement de la désinfection!
Tu vas Désactiver le TeaTimer de Spybot
Lance Spybot
Clique sur Mode, puis coche Mode avancé
Clique sur Outils puis sur Résident
Décoche la case Résident "Tea Timer"
Ferme Spybot
Télécharge sur ton bureau: http://support.kaspersky.com/downloads/utils/tdsskiller.zip , dezippe le et execute le , un rapport sera crée ici:
C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu
tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/utils/tdsskiller.exe
execute le , La fenêtre suivante va s'ouvrir::
![]()
Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:
![]()
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien coché.
Si TDSS.tdl4(mbr) est détecté assure toi que Cure est bien coché.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).
Relance OTL.exe.
Sous l'onglet Personnalisation en bas de la fenêtre, Copies et colles le contenu de cette citation ci dessous depuis rien
![]()
Puis clique sur le bouton Correction en haut de la fenêtre.
Laisse le programme travailler sans te servir du PC!!!!!
Copie et colle le rapport dans ta réponse stp
Internet explorer pas a jour a voir a la fin
Malwarebytes' Anti-Malware 1.46
MBAM pas a jour! Supprimes le on le réinstallera plus tard
Ad-Aware tu peux virer il ne sert a rien !
Spybot tu fais comme tu veux juste pour info il est obsolète si tu le gardes fais ce qui suit pour le bon déroulement de la désinfection!
Tu vas Désactiver le TeaTimer de Spybot
Lance Spybot
Clique sur Mode, puis coche Mode avancé
Clique sur Outils puis sur Résident
Décoche la case Résident "Tea Timer"
Ferme Spybot
Télécharge sur ton bureau: http://support.kaspersky.com/downloads/utils/tdsskiller.zip , dezippe le et execute le , un rapport sera crée ici:
C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu
tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/utils/tdsskiller.exe
execute le , La fenêtre suivante va s'ouvrir::
Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien coché.
Si TDSS.tdl4(mbr) est détecté assure toi que Cure est bien coché.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).
Relance OTL.exe.
Sous l'onglet Personnalisation en bas de la fenêtre, Copies et colles le contenu de cette citation ci dessous depuis rien
Rien
:OTL
SRV - (RelevantKnowledge) -- C:\Program Files\RelevantKnowledge\rlservice.exe File not found
DRV - (TpChoice) -- C:\Windows\System32\DRIVERS\TpChoice.sys File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8074
FF - HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge
FF - HKLM\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions
[2008/06/28 20:10:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jéré\AppData\Roaming\mozilla\Extensions
[2011/01/10 00:24:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jéré\AppData\Roaming\mozilla\Firefox\Profiles\tjnzcy5j.default\extensions
[2010/10/14 21:16:23 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Jéré\AppData\Roaming\mozilla\Firefox\Profiles\tjnzcy5j.default\extensions\toolbar@ask.com
[2011/01/10 00:24:44 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{635ABD67-4FE9-1B23-4F01-E679FA7484C1}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\EAFO3FFLAUNCHER@EA.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\FIREFOX@TVUNETWORKS.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\TOOLBAR@ASK.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [HWSetup] File not found
O4 - HKLM..\Run: [NDSTray.exe] File not found
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKCU..\Run: [cujpxqht] C:\Users\JRD581~1\AppData\Local\Temp\pspwsiivh\xipgtpwlajb.exe ()
O9 - Extra Button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found
O9 - Extra Button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - File not found
O33 - MountPoints2\{45a89514-6c8c-11dd-9f00-001b38aab880}\Shell - "" = AutoRun
O33 - MountPoints2\{45a89514-6c8c-11dd-9f00-001b38aab880}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\{a0857285-55ca-11de-88c7-001b38aab880}\Shell\AutoRun\command - "" = H:\WDSetup.exe -- File not found
O33 - MountPoints2\{f5f40f62-d5d7-11dd-8515-001b38aab880}\Shell\Auto\command - "" = G:\RavMonE.exe -- File not found
[2010/12/21 21:28:43 | 000,000,000 | ---D | C] -- C:\ProgramData\QuestBrowse
[2010/12/21 21:28:43 | 000,000,000 | ---D | C] -- C:\Program Files\QuestBrowse
[4 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[4 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2010/03/04 06:57:28 | 000,000,016 | ---- | C] () -- C:\Users\Jéré\AppData\Roaming\rbuwzv.dat
[2010/04/17 19:55:10 | 000,000,000 | ---D | M] -- C:\Users\Jéré\AppData\Roaming\freeTVRadio
:files
ipconfig /flushdns /c
@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:4BF2F6B5
:Reg
:Commands
[emptytemp]
[resethosts]
[purity]
[EMPTYFLASH]
[CREATERESTOREPOINT]
:OTL
SRV - (RelevantKnowledge) -- C:\Program Files\RelevantKnowledge\rlservice.exe File not found
DRV - (TpChoice) -- C:\Windows\System32\DRIVERS\TpChoice.sys File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8074
FF - HKLM\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Program Files\RelevantKnowledge
FF - HKLM\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions
[2008/06/28 20:10:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jéré\AppData\Roaming\mozilla\Extensions
[2011/01/10 00:24:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Jéré\AppData\Roaming\mozilla\Firefox\Profiles\tjnzcy5j.default\extensions
[2010/10/14 21:16:23 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Jéré\AppData\Roaming\mozilla\Firefox\Profiles\tjnzcy5j.default\extensions\toolbar@ask.com
[2011/01/10 00:24:44 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{635ABD67-4FE9-1B23-4F01-E679FA7484C1}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\{B9DB16A4-6EDC-47EC-A1F4-B86292ED211D}
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\EAFO3FFLAUNCHER@EA.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\FIREFOX@TVUNETWORKS.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\TOOLBAR@ASK.COM
File not found (No name found) -- C:\USERS\JéRé\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\TJNZCY5J.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [HWSetup] File not found
O4 - HKLM..\Run: [NDSTray.exe] File not found
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKCU..\Run: [cujpxqht] C:\Users\JRD581~1\AppData\Local\Temp\pspwsiivh\xipgtpwlajb.exe ()
O9 - Extra Button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found
O9 - Extra Button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - File not found
O33 - MountPoints2\{45a89514-6c8c-11dd-9f00-001b38aab880}\Shell - "" = AutoRun
O33 - MountPoints2\{45a89514-6c8c-11dd-9f00-001b38aab880}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
O33 - MountPoints2\{a0857285-55ca-11de-88c7-001b38aab880}\Shell\AutoRun\command - "" = H:\WDSetup.exe -- File not found
O33 - MountPoints2\{f5f40f62-d5d7-11dd-8515-001b38aab880}\Shell\Auto\command - "" = G:\RavMonE.exe -- File not found
[2010/12/21 21:28:43 | 000,000,000 | ---D | C] -- C:\ProgramData\QuestBrowse
[2010/12/21 21:28:43 | 000,000,000 | ---D | C] -- C:\Program Files\QuestBrowse
[4 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[4 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[2 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2010/03/04 06:57:28 | 000,000,016 | ---- | C] () -- C:\Users\Jéré\AppData\Roaming\rbuwzv.dat
[2010/04/17 19:55:10 | 000,000,000 | ---D | M] -- C:\Users\Jéré\AppData\Roaming\freeTVRadio
:files
ipconfig /flushdns /c
@Alternate Data Stream - 150 bytes -> C:\ProgramData\TEMP:4BF2F6B5
:Reg
:Commands
[emptytemp]
[resethosts]
[purity]
[EMPTYFLASH]
[CREATERESTOREPOINT]
Bonjour et merci pour la rapidité de cette réponse.
Voici le rapport de TDSSKiller (il n'a rien détecté de suspect) :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijqot3T...
Puis j'ai effectué la manip avec OTL, j'ai redémarré en mode normal vista et le malware "antivirus scan" semble disparru puisqu'il ne se lance plus automatiquement au démarrage de windows.
J'ai donc relancer une analyse avec OTL et il en a résulté un seul fichier cette fois-ci (OTL.txt) :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijpNmkX...
Pouvez-vous m'indiquer s'il persiste encore des menaces...
Merci d'avance.
Voici le rapport de TDSSKiller (il n'a rien détecté de suspect) :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijqot3T...
Puis j'ai effectué la manip avec OTL, j'ai redémarré en mode normal vista et le malware "antivirus scan" semble disparru puisqu'il ne se lance plus automatiquement au démarrage de windows.
J'ai donc relancer une analyse avec OTL et il en a résulté un seul fichier cette fois-ci (OTL.txt) :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijpNmkX...
Pouvez-vous m'indiquer s'il persiste encore des menaces...
Merci d'avance.
Citation :
Pouvez-vous m'indiquer s'il persiste encore des menaces... On va vérifier , a premiére vue c'est bon !!!!
Relance OTL.exe.
Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le contenu du cadre ci dessous
:Commands
[purity]
[resethosts]
[emptytemp]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot]
[purity]
[resethosts]
[emptytemp]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot]
Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Une fois l'installation et la mise à jour effectuées :
puis sur "Supprimer la sélection".
Enregistre le rapport sur ton Bureau.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Télécharge Security Check by screen317 ICI ou ICI sur le bureau.
Double-clique sur SecurityCheck.exe et suis les instructions à l'écran à l'intérieur de la boîte noire.
Un document du Bloc-notes doit s'ouvrir checkup.txt
Poste moi le contenu de ce document.
Ferme Security Check
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumInfection xp antivirus pro
- ForumInfection windows antivirus pro
- ForumInfecte par antivirus vista 2008
- ForumInfection sous vista .
- solutionsSuppression vista
- ForumInfection antivirus xp 2008 s
- ForumInfection virus win32 olmarik, suppression
- ForumSuppression de vista
- ForumInfection par le virus antivirus 2009
- ForumInstallation antivirus infection
- Voir plus
