Bonjour

Voila, ce matin j'allume mon pc et j'ai la mauvaise surprise d'avoir un virus sous forme d'antivirus qui se nomme antivirus action, il m'ouvre plein de fenetres bizarres me disant que mon pc est infecté, je sais que c'est une ruse pour me faire cracher de l'argent et acheter le soit disant antivirus!!! Je ne sais comment faire pour le supprimer, si qqn peut m'aider sa serait super sympa à lui

SVP qqn peut il m'aider pour supprimer sa??

Je ne peux plus travailler

Bonjour et bienvenue sur le forum sécu de PCA.

Redémarre en mode sans échec avec prise en charge réseau.
( au redémarrage, tapoter sur la touche F5 ou F8 )

Télécharge OTL (de OldTimer) sur ton Bureau.

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

• Double-clique sur OTL.scr pour le lancer.
  Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
• Sélectionne l’option tous les utilisateurs.
• Dans la partie Personnalisation, copie/colle la liste suivante.
  
  

netsvcs
Drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata% *.exe /s
%APPDATA%\*.
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

• clique sur le bouton Analyse rapide

• Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise le site http://www.cijoint.fr pour les déposer.
Indique moi ensuite les deux liens crées.

A+

Ok merci bcp a toi, je vais faire sa de suite

je double clike sur OTL.scr mais rien ne se passe!!! LE virus semble bloquer cette action

Pardon autant pour moi, je n'avais pas demarré en, mode sans echec!!

Par contre la je suis sur le mode sans echec et non pas sans echec avec prise en mode reseau!! Sa change qqc??? dois je redemarrer en mode sans echec avc prise en charge reseau ou je peux qd meme bosser comme sa??

Je suis en train de faire l'analyse la

Re,

Le fait d'être en mode sans échec avec prise en charge réseau permet d'avoir accès au net.
Si tu as téléchargé OTL et si tu peux ensuite utiliser un navigateur ( IE, firefox ) pour poster les rapports sur le forum, pas de problème. Tu peux alors rester en mode sans échec.

A+

En effet, pas de net

La g eu les 2 fichiers, je redemarre en prise en charge reseau pr te les envoyer

Voici les liens:

Pour Extra: http://www.cijoint.fr/cjlink.php?file=cj201010/cijd9G2lkn.txt

Pour OTL: http://www.cijoint.fr/cjlink.php?file=cj201010/cijzwet7G7.txt

Merci

Tu arrive a les lire ou pas?? il me semble que non :-(

pour Extra:

http://www.cijoint.fr/cjlink.php?file=cj201010/cij6C4Cay5.txt

Je pense que celui la marchera

Merci de me repondre

parassima,

Reste en mode sans échec avec prise en charge réseau pour effectuer la manip suivante.
Il y a une infection sur les supports amovibles ( clés USB, DD externe ) qu'il faudra ensuite traiter.

------------------------------------------------------------------
Relance OTL.exe.

• Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

instructions:
:OTL
IE - HKU\S-1-5-21-515967899-1035525444-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKU\S-1-5-21-515967899-1035525444-725345543-1003..\Run: [efdcumcx] C:\Documents and Settings\Internet\Local Settings\Temp\tvvcllfbp\asyvbrdyhsn.exe ()
[2010/10/13 21:14:36 | 000,711,168 | ---- | M] () -- C:\Documents and Settings\Internet\Local Settings\Application Data\syssvc.exe

:files
C:\Documents and Settings\Internet\Local Settings\Temp\tvvcllfbp

:Commands
[emptytemp]
[emptyflash]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12262009_xxxxxxxx.log

Tu redémarres sous windows. Regarde si tu as encore les symptomes de cette infection.
Un autre redémarrage sera peut être nécessaire.

A+

Ok, merci, je vais faire ca

En redemarrant je le fais sur quel mode?? normal?

LE OTL est en train de bosser la, je te tiendrai au courant de la suite

Comment traiter aussi les infections des supports amovibles????

Merci enormement

Re voici le lien du log que j'ai eu au redemarrage

http://www.cijoint.fr/cjlink.php?file=cj201010/cijJKTZSkK.txt

Je ne vois plus la menace, par contre IE ne fonctionne pas :S

Re,

Il n'y a que pour IE que cela ne marche pas ?
Est-ce que tu utilises un proxy pour te connecter au net ?

-------------------------------------------------------------------------

Télécharge UsbFix (de El Desaparecido ) sur ton Bureau :
http://www.teamxscript.org/too/UsbFix.exe

• Double clic sur UsbFix.exe présent sur ton bureau.
• clique sur Recherche .
• Un message t’avertira de brancher les supports amovibles.
  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
  Fais - le
• Laisse travailler l'outil.

Poste ensuite le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Y a aussi Msn et Skype qui ne fonctionnent pas, et l'ordi rame terriblement!!

En gros il n'ya que Firefox qui marche mais qui est tres lent aussi!

Je ne suis pas tres douée en informatique, dons je n'ai pas tres bien compris pour le proxy!!???

Au fait c un ordi qui est branché en reseau par un switch, donc le net je l'ai par le cable qui va au switch quoi :(

Au fait je viens de voir que MSn et Skype fonctionnent, c'est juste que ca a mis tellement de temps a s'ouvrir que j'ai pensé que sa ne marchait pas!!!

Est ce que l'ordi va rester lent comme ça?? ou y a qqc a faire pour que sa s'arrange??

MErci bcp pour ton aide

Re,

OK, fais la manip suivante avant d'aller plus loin.

va dans le panneau de configuration --> options internet --> connexions --> paramètres réseau

• Clique sur l'onglet serveur proxy.

• Puis rentre les paramètres : 127.0.0.1 pour l'adresse et 29775 pour le port.

Valide ensuite les fenêtres.

Redémarre le PC et dis moi si il y a du mieux.

A+

Ok je vais faire sa, je n'ai pas encore telechargé le UsbFix

Je vais d'abord faire ce que tu me demande ds le panneau de config, mais sa sert à quoi exactement??? J'aime bien savoir, au moins je dormirai moins bete ce soir

Ben dans l'onglet :Serveur Proxy l'adresse et le port sont grisés, donc impossible d'intervenir dessus ou de noter quoi que ce soit!!

A moins de cliquer sur Avancé et dans ce cas il m'ouvre une autre fenetre: PArametre du Proxy mais la les chiffres inscrits correspondent à ceux que tu m'as donné, donc ce n'est pas necessaire de les changer non??

Re,

Il faut que tu cliques sur l'onglet au-dessus : " Utiliser un serveur .... "
après tu pourras rentrer les paramètres.

A+

MEme en cliquant sur ça, ca ne degrise pas les zones, et comme je t dis il n'ya qu'en clikant sur Avancé que je peux acceder a ces données, mais sa correspond a celle que tu m'as donné, donc pas besoin de les changer quoi

parissimana,

Dans la fénêtre options internet, vérifie que l'onglet " utiliser un serveur proxy .... " soit coché.
dans la partie grisée, y-a-t-il les paramètres que je t'indiquais ?

Si oui, ensuite, redémarre le PC.

-------------------------------------------------------------

Au redémarrage, relance OTL et choisis analyse rapide.
Poste le rapport obtenu.

A+

Au fait je t'explique, l'onglet "utiliser un serveur...." est bien coché, et dans la partie grisée il n'ya rien d'inscrit, par contre a droite il ya un onglet "Avancé" et la qd je clique dessus il m'ouvre une autre fenetre "Parametres du Proxy" avec une serie de 4 lignes avec chacune 2 cases, et dans la premiere ligne il ya bien les parametres que toi tu m'indique

J'espere avoir été assez claire avec mon langage pas tres pro en onfo, et que tu m'auras comprise

Donc la je peux faire un redemarrage et lancer l'analyse rapide de OTL puisque les parametres sont les bons???

Oui, tu peux redémarrer le PC.
je verrais suivant le rapport.

A+

Ok je vais faire ca :)

Au fait tous ca sa sert a quoi exactement?? A ce que IE refonctionne, ou c'est pour autre chose???

Oui, on va voir si IE va refonctionner correctement.

A+

OK ok, j'espere que ca sera le cas :)

Alors voici le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijqr5Qswb.txt

Et en core merci pour ton aide precieuse

Re,

Le faux antivirus qui a infecté le PC a modifié ces paramètres de proxy.
Je me demandais si il fallait ou pas garder les paramètres que je t'ai demandé de vérifier.

Ils sont à supprimer.

Donc, tu réouvres le panneau de configuration, options internet, connexions, paramètres réseau.
Il faut décocher l'onglet " utiliser un serveur proxy ... ".

Valide, redémarre le PC et regarde si les connexions au net ( IE, MSN, ... ) sont correctes.

A+

Ok

Youpiiiiiiiiiiiiiiiiiiiiiii, excellent, IE remarche

T un vrai pro merci bcp

Une deriniere qst stp??

Y a t-il un moyen d'eviter de chopper ces faux antivirus?? Je tiens un cyber et j'avoue que ce n'est pas la premiere fois que sa m'arrive en gros a cause de clients qui vont sur d sites de Q ou je ne sais pas ou, car je ne peux surveiller tous le monde malheuresement :S

y aurait il un logiciel ou antispyware qui puisse proteger de ca???

Ah j'allais oublier, dois ej faire la manip la pour l'usb ou pas??

Re,

y aurait il un logiciel ou antispyware qui puisse proteger de ca???

Te protéger des surfs douteux des internautes. Non.
Il y a un outil que je vais te demander d'utiliser tout à l'heure qui propose dans sa version payante une protection en temps réel ( en fait c'est un filtrage d'adresse IP ).
C'est outil, Malwarebytes est un excellent antimalware et il détecte ( dans sa version gratuite ) et nettoie très bien beaucoup d'infections, dont ces rogues ou faux antivirus.

Tu l'utiliseras tout à l'heure et tu pourras également l'installer sur les postes.
Quitte à toi après de le lancer régulièrement.

-------------------------------------------------

Tu vas utiliser USBFix, qui s'occupe des infections par support amovible ( clés, DD externe, appareil photo, lecteur MP3, ... ).
Il permet de nettoyer les clés et les vaccine également, c'est-à-dire qu'il empêche ce type d'infection de se propager.

Comme tu travailles dans un cyber café, il faudra également passer l'outil sur tous les postes pour les nettoyer et les vacciner.

Télécharge UsbFix (de El Desaparecido ) sur ton Bureau :
http://www.teamxscript.org/too/UsbFix.exe

• Double clic sur UsbFix.exe présent sur ton bureau.
• clique sur Recherche .
• Un message t’avertira de brancher les supports amovibles.
  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
  Fais - le
• Laisse travailler l'outil.

Poste ensuite le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

A+

donc si j'ai bien compris pr le UsbFix je dois le lancer a chaque fois qu'un client connecte un support amovible????!!!!! Ou simplement l'installer sur les pc et le laisser bosser tous seul??

Il te suffit de passer USBFix ( option nettoyage ) une fois.
cela va supprimer les infections sur le PC et également vacciner le PC.

Comment cela se passe cette étape de vaccination ?
l'outil USBFix crée un fichier autorun.inf sur chaque lecteur ( C:, D:, .... ) , fichier généralement crée par ce type d'infection.
Comme ce fichier existera, il sera impossible de contaminer la machine et donc de propager l'infection sur des utilisateurs qui brancheraient leur support.

A+

MAis pr utiliser cette option nettoyage je suis obligée de connecter une clé a chake fois, car c'est ce qui est dit ds ton message??

Si c'est le cas, je met n'importe quelle clé ou autre support?? j'avoue que je n'ai pas tres bien compris cette partie la