Cryp FakeAV-17

[pat7111]

Bonjour,

Je suis infecte depuis hier (du moins que je sache) par un virus Cryp FakeAV-17.

Je suis sous Windows XP (SP2 je crois) et j'ai un antivirus PC Cilin Internet Security 14 a jour. Apparamment, il y a aussi un truc appele Total Security qui m'a l'air de venir de Windows mais je ne l'avais jamais remarque.

Le symptome :
-au demarrage, on arrive sur la page ou on choisit le profil d'utilisateur : OK
- Chargement du bureau et apres quelques secondes, le fond d'ecran devient bleu (on garde les icones du bureau) avec un message : WARNING YOU'RE IN DANGER! YOUR COMPUTER IS INFECTED WITH SPYWARE etc...
- Total Security lance un scan et trouve 38 incidents (Virus, vers, Trojans, spywares...), me demande si je veux continuer a etre non protege ou si je veux me debarasser des saloperies. Reponse evidente... La, il me propose d'acheter une protection pour deux ans ou a vie et me demande ma carte bancaire. Machines Stop - Arriere toute...
-PC cilin affiche egalement une fenetre annoncant que la protection anti-virus temps reel a detecte Cryp FakeAV17 et comme action prise que ce fichier montre des signes d'infection par un virus inconnu. Il suggere de faire un scan en demandant la recherche et destruction des Trojans mais il dit ne pas savoir traiter celui que j'ai et recommande d'aller sur leur aide en ligne que je n'ai pas trouvee entre deux plantages. Au cours des scans, je plante en effet regulierement, de memoire, il est question d'un NTFS.sys


Entre temps j'ai des avis recurrents comme quoi je suis infecte et que la machine vient de recuperer d'une grave anomalie. Quand elle ne recupere pas, Ecran bleu et ecriture ASCII et j'arrete en tirant la prise. (du coup, je redige ce message sur le bloc note et sauve tous le s deux mots...).

De temps en temps, j'ai aussi une fenetre d'avertissement
Titre : Security Monitor : WARNING
Texte : Attention! System detected a potential hazard (TrojanSPM/LX) on your computer... etc (il y en a 4 lignes)

Et en bas, une fenetre disant que Windows a detecte une contamination par spyware. The system has recovered from a serious error.

J'ai suivi la procedure indiquee dans le premier message de cette section du forum et joins le fichiers produits en pj.

Merci a tous ceux qui voudront bien y jeter et me conseiller sur la maniere de me debarasser de ces saloperies.

Patrick
-----

[invite4c6c2965]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

[pat7111]

Bonjour et merci de ton aide.

J'ai applique la procedure indiquee et cela semble avoir marche. Apres un premier passage et la suppression de la selection, il a demande de redemarrer pour eliminer certains elements infectes au demarrage. J'ai relance le meme scan rapide qui n'a plus trouve aucun probleme et il n'y a plus de symptome visible. Je ne vois plus rien non plus repondant au nom de Total Security. C'est lui qui me demandait mon numero de carte bancaire au moment ou l'infection avait ete detectee. Est-ce un logiciel de protection connu ou etait-ce un faux-nez du malware ?

Je joins les deux log avant et apres l'elimination des elements infestes. Pour plus de securite, cela vaut-il le coup de faire un scan complet ?

Merci encore

Patrick

[invite4c6c2965]

en ce qui concerne le programme Total Security c'est bien-sur un rogue ou faux utilitaire:
c' est un logiciel malveillant qui feint d’être une application légitime de sécurité du système.
il s’installe généralement par le biais du trojan «Vundo» .

MBAM a fait un excellent travail (tu pourras le garder à la fin de cette procédure pour scanner
ton ordi , après mise à jour, à chaque fois que tu le souhaiteras)


Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[A voir en vidéo sur Futura]

[pat7111]

Voila le log de ComboFix. Apparemment, il restait encore un peu d'infection.

Merci encore

Patrick

[invite4c6c2965]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
c:\windows\Kjavoqatuz.bin       
c:\windows\Kcuwisunog.dat       
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]        
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]     
"ISUSPM Startup"=- 
"ISUSScheduler"=-
"RoxioDragToDisc"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"HP Software Update"=-
"Malwarebytes Anti-Malware (reboot)"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]      
"DisableMonitoring"=dword:00000000 
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]      
"DisableMonitoring"=dword:00000000

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[pat7111]

Bonjour,

J'ai suivi les instructions et voila le log.

Merci Patrick

[invite4c6c2965]

cela semble bon. ceci va supprimer les outils ayant servi à la désinfection:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

Pour finir fais un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :

Poste le rapport final, si infection trouvé.

[pat7111]

Bonjour,

Ci-joints les logs des deux logiciels indiques. Il y avait encore de l'infection a l'issue du scan de BitExtender. Je me suis absente pendant le scan et ai vu une nouvelle detection de virus par PcCilin mais je ne sais pas si cela faisait de ceux trouves et detruit par BitDefender.

Merci

Patrick

[invite4c6c2965]

Bitdefender a nettoyé les points de restauration du système qui étaient infecté.
(le rapport en l'état est illisible,il suffit de changer son extension en .html pour
pouvoir le lire correctement)

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

[pat7111]

(le rapport en l'état est illisible,il suffit de changer son extension en .html pour
pouvoir le lire correctement)

En fait, il est sorti en html et c'est moi qui l'ai change en txt car le forum refusait de joindre un fichier en html.

Merci infiniment pour ta patience et ton expertise (impressionnante !)

Patrick