Comment supprimer virus "BestSeller antivirus" ?

[invite70a5d319]

Salut à tous,

Il y a 2 mois de cela j'ai malencontreusement installé ce fichu virus sur mon pc. Je précise que celui ci tourne sous vista, ca aura certainement son importance pour la suite.
Mes symptomes sont : icones dans mes favoris IE et sur le bureau, mais surtout suppresion de mon explorer.exe par moment ce qui m'oblige a le relancer, tentatives de modification du registre (bloquées par spybot)...etc.
J'ai bien lancé des analyses avec AVG, Avast!, Adaware, CCleaner, spybot mais sans grand succes.

Donc je me demandais comment éradiquer ce virus ?
merci

PS: pour DiagHelp le seul truc qui ressemble a un log que j'ai obtenu est ce fichier "catchme", j'espere que ca suffira.
-----

[yoda1234]

Bonjour et bienvenue sur FSG.

Pour Diaghelp, le log se nomme "Résultat".

Message déplacé.

[invite70a5d319]

Bonjour et bienvenue sur FSG.

Pour Diaghelp, le log se nomme "Résultat".

Message déplacé.

Ah ?!! Je n'ai aucun log a ce nom...Il serait bien sur le bureau si je l'avait? Le probleme vient surement du fait qu'a la fin lorsque qu'il faut envoyer le fichier a l'adresse http...etc ca me met "fichier invalide" au moment de l'upload, du coup ca ne l'envoit pas et donc ca doit pas me creer le log. Comment faut il faire pour envoyer ce fameux fichier? on fait parcourir, on selectionne le fichier zip en entier et c'est bon normalement non?

[invite70a5d319]

mea culpa je l'ai trouvé
Mais comment se fait il que l"option gere les fichiers joints ne soit pas dispo??

[A voir en vidéo sur Futura]

[invite70a5d319]

Donc ca donne ca :

[invite70a5d319]

Alors personne pour m'aider?

[yoda1234]

Bonjour,

un peu de patience, les membres du groupe sont très occupés....

[invite70a5d319]

Je vois ca

[Cyrrus]

Bonsoir,

Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.

Double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.

Poste le, en pièce jointe, dans ta prochaine réponse.

Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Bonne soirée
Cyrrus

[invite70a5d319]

Voila, désolé du retard :

[Cyrrus]

Bonsoir,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée
Cyrrus

[invite70a5d319]

Voila, le log combofix est "log1"

[Cyrrus]

Bonjour,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée
Cyrrus

[invite70a5d319]

Bonjour,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée
Cyrrus

J'ai bien tout fait comme tu me l'a dit mais quand je double clique sur runthis.bat, rien ne se passe, enfin si ; un fenetre dos s'ouvre durant un 1/4 de seconde et se referme aussi tot, je n'ai rien le temps de faire...

[Cyrrus]

Bonsoir,

C'est normal. Je n'avais pas vu que tu avais Vista.

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).

Bonne soirée
Cyrrus

[invite70a5d319]

Voila les 2 fichiers txt en pieces jointes :

[Cyrrus]

Bonsoir,

Télécharge le fichier suivant (clic droit - Enregistrer sous) : http://pagesperso-orange.fr/ruscry/CFScript.txt

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :


R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {01E12966-073B-49DB-AF47-56A2456B9201} - (no file)
O2 - BHO: (no name) - {0760E77D-4865-4A98-9777-11BF17539450} - (no file)
O2 - BHO: (no name) - {09373ABE-2594-4FA9-B380-09D0C353EFBE} - (no file)
O2 - BHO: (no name) - {0B628234-E8A4-45EC-A6B9-2DA4AE4F0602} - (no file)
O2 - BHO: (no name) - {0E765A0B-42A4-4A26-BE02-28BAF4E50F8C} - (no file)
O2 - BHO: (no name) - {103E5AE8-97A7-4B33-8783-882E97F68FEB} - (no file)
O2 - BHO: (no name) - {15D5EA17-6456-43C6-8565-B272A06E2AEB} - (no file)
O2 - BHO: (no name) - {30784684-B24B-4886-9994-719AE471E73F} - (no file)
O2 - BHO: (no name) - {393EE476-9345-4916-AE08-2521F4FD34E1} - (no file)
O2 - BHO: (no name) - {399FF667-4A64-4907-A067-03FA0CBDEEB9} - (no file)
O2 - BHO: (no name) - {3BEFDD02-32F2-41BB-89BF-763AC0EA9671} - (no file)
O2 - BHO: (no name) - {50E5AA52-C6DE-49F9-9E10-F9731C69BAD9} - (no file)
O2 - BHO: (no name) - {57D0BDCD-D628-44E0-946C-F6B7D2DEAC1A} - (no file)
O2 - BHO: (no name) - {591CC388-8C77-48AB-9D49-2FB32BCFB113} - (no file)
O2 - BHO: (no name) - {689E68EA-9B14-4B9A-959C-097086026490} - (no file)
O2 - BHO: (no name) - {6A813DF9-CC9D-47FB-B1D3-FD7495740C70} - (no file)
O2 - BHO: (no name) - {708FD694-BB5A-4E87-A31D-2107574FCCA9} - (no file)
O2 - BHO: (no name) - {7206B2A2-2954-4FB7-A061-8D74776FEEA3} - (no file)
O2 - BHO: (no name) - {73C58A8B-6294-43F7-9B08-6AA7026CE48D} - C:\Windows\system32\ddcyx.dll (file missing)
2 - BHO: (no name) - {76D0355B-D40A-4B7F-91B8-E59C5D8A5A4C} - (no file)
O2 - BHO: (no name) - {7CB6D6E5-25A8-4C65-A6DA-04585F898CA8} - (no file)
O2 - BHO: (no name) - {7E57D153-4F7C-4DFE-8DC2-AD8C8BC01E88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8DF94526-7457-4A3A-90B6-FB725A87C9B0} - (no file)
O2 - BHO: (no name) - {A0B9779A-8DE3-4F11-ACC2-50D713DB0ACE} - (no file)
O2 - BHO: (no name) - {A16445FC-68FF-4003-87AC-32B36B52B7F3} - (no file)
O2 - BHO: (no name) - {A20462EC-BB86-497E-9E5D-38A1C2E363E4} - (no file)
O2 - BHO: (no name) - {A2B09DF8-4A09-4099-A05B-8137E7F10E48} - (no file)
O2 - BHO: (no name) - {AD242148-CABF-4829-9656-7842B7428664} - (no file)
O2 - BHO: (no name) - {AD4B7DF9-4307-4D31-9263-56AA1A566419} - (no file)
O2 - BHO: (no name) - {B105F5A7-B37D-4EE3-959B-C19302BB6C94} - (no file)
O2 - BHO: (no name) - {B9632B9A-D7CF-4A46-BFB5-9B5829E6EE08} - (no file)
O2 - BHO: (no name) - {BC6A7C4D-4CE7-4127-A525-2A959EB8567E} - (no file)
O2 - BHO: (no name) - {BD8ED3A6-F0B4-4530-AF2C-53322FE7DDCA} - (no file)
O2 - BHO: (no name) - {C6243687-E4BA-44B7-86BD-565E5F94052C} - (no file)
O2 - BHO: (no name) - {C9121C06-3B6F-464C-B318-4CD0227E2078} - (no file)
O2 - BHO: (no name) - {C91F6E20-09B5-413B-B786-552A8F9A444D} - (no file)
O2 - BHO: (no name) - {CAD010E6-470D-4358-B94C-B661E40CEA1B} - (no file)
O2 - BHO: (no name) - {dddddbb9-af88-455f-abd4-3f64338e9b96} - (no file)
O2 - BHO: (no name) - {E3405FC0-8914-471F-BC65-6F8C546E922A} - (no file)
O2 - BHO: (no name) - {F112EC56-757E-4218-BE2B-12D91CF4982F} - (no file)
O2 - BHO: (no name) - {F3DBEA08-2411-44D4-B4F2-6A23CECF8F32} - (no file)
O2 - BHO: (no name) - {F9A34BC5-7150-4111-BF37-5745E5CFDBE5} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\__c00A1645 .dat
O20 - Winlogon Notify: qommnmj - C:\Windows\system32\qommnmj.dl l (file missing)


Clique sur Fix Checked.

3. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Poste le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"


Poste moi le rapport de Combofix, le rapport de Vundofix ainsi qu'un nouveau log Hijackthis.

Bonne soirée
Cyrrus

[invite70a5d319]

Voila voila :

PS : par contre Vundo ne m'a trouvé aucune fichier infecté...

[Cyrrus]

Bonsoir,

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).

Cyrrus

[invite70a5d319]

Et maintenant ....?

[Cyrrus]

Comme demandé :

Poste les rapports de DSS

Cyrrus

[invite70a5d319]

Oups désolé j'avais pas vu la page 2.
Voila le main.txt :

[Cyrrus]

Bonsoir,

Désolé du délais.

As tu encore des symptômes ?

Bonne soirée
Cyrrus

[invite70a5d319]

Non plus de symptomes apparents en tous cas, mon explorere ne s'éteint plus tout seul, plus d'icones..Non pour l'instant ca a l'air d'avoir supprimmé ce virus. Merci

[Cyrrus]

Bonjour,


Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne journée
Cyrrus