Virus Vista antispyware 2010 PC Camille

[olivier-53]

Bonjour,

Le PC de ma fille Camille est infecté par le virus "Vista antispyware 2010" depuis 2 jours. Je ne l'ai pas considéré comme un virus au départ mais comme un message d'alerte de Vista.
Me demandant un service payant, je me suis retouné vers le nouvelle antivirus de windows "Microsoft security essentials".
Celui-ci me semble t-il a correctement nettoyer ce PC.

Hier, c'est le portable de mon autre fille qui est atteint par le même symptôme. j'y applique donc le même remède mais cette fois sans effet.

C'est en parcourant le net que je découvre qu'il s'agit en fait d'un spyware.

Celui-ci est apparu pendant une connexion vers le même site de streaming.

Je vous écris sur ce forum car je pense que ces PC ne sont aps totalement nettoyés.

Je vous joints les 2 rapports comme décrit dans votre dossier "premier geste pour désinfecter".

Pouvez-vous les regarder et me dire si ce PC est toujours infecté ?

Merci pour votre aide.

Je posterai un autre tuto pour mon secon PC.

A+
-----

[invitec04351b8]

Bonjour,

il y a des restes d'une infection bagle.

===

Télécharge FindyKill de Chiquitine29 sur ton Bureau :

http://pagesperso-orange.fr/NosTools.../FindyKill.exe
hxxp://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

! Déconnecte-toi d'Internet et ferme toutes les applications en cours.

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "Exécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [Entrée] .

• Au second menu choisis l'option 2 (Suppression) et tape sur [Entrée]

• Le pc va redémarrer automatiquement ...

• Le programme va travailler , ne touche à rien ... , ton Bureau ne sera pas accessible, c'est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[olivier-53]

Bonjour,

Le site en lien pour le téléchargement de "Findykill" n'existe plus. J'ai utilisé le lien proposé sur une autre discussion sur ce forum.

En pièce jointe le rapport de "Findykill". J'ai transmis le fichier zip sur le site pour contribution.

Je joins également le rapport de "Malware Byte's Antimalware"

Merci.

A+

[invitec04351b8]

Re,

ouvre l'Explorateur Windows et supprime ce répertoire :

C:\Users\Olivier\AppData\Roami ng\m

@+

[A voir en vidéo sur Futura]

[olivier-53]

Bonjour,

Voila, j'ai supprimé ce répertoire.

Je pense que la désinfection est terminé.

Je te remercie pour ton aide.
Bonne fin de journée.

Merci.

[invitec04351b8]

Bonjour,

il faut regarder un fichier.

Par l'Explorateur Windows, cherche :

C:\Windows\system32\ActiveTool Band.dll

Fais un clic droit et Propriétés.

Dans l'onglet général, tu as la taille et dans l'onglet Version, tu as l'entreprise.

Donne moi les 2.

@+

[olivier-53]

Bonsoir,

La taille est de 292ko, parcontre je n'ai pas d'onglet Version.
J'ai bien un onglet détail avec la version du fichier 3.0.0.2 et version du produit 3.0.0.1 mais sans nom de l'entreprise.

D'autre part, j'ai installlé l'antivirus Antivir sur ce PC, tu me l'avais conseillé sur l'autre donc je me suis dit que je pouvais faire de même sur celui-ci.
J'ai procédé de la même façon, celui m'a trouver un fichier douteux.
Je te joins le rapport.

J'ai supprimer ce fichier de la quarantaine.

Après redemarrage, antivir re-scan le PC, apparament, uniquement la fonction "recherche de rootkits". Cette fonction étant assez longue, j'ai tenté de naviguer sur le net. Par 2 fois cela a totalement planté mon PC. Clavier inactif, CTRL+ALT+SUP inactif également, obligation de faire un hard reset pour redemarrer.

Quel est ton avis ?

Merci encore.

[invitec04351b8]

Re,

le fichier ActiveTool Band.dll est sain.

L'autre, c'est le désinstallateur de BitComet.

Pour le reste, j'attends le résultat de l'analyse anti-rootkit.

Tu ne constates pas de redirection dans les recherches Google ?

@+

[olivier-53]

Bonjour,

Non, aucune redirection apparente dans google.
Le problème de plantage semble avoir disparu.

En pièce jointe le rapport.

Merci

[invitec04351b8]

Bonsoir,

alors on peut en terminer.

On désinstalle les outils :

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.


hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clic droit et exécuter en tant qu'administrateur.

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

@+