Bonjour

Voila, ce matin j'allume mon pc et j'ai la mauvaise surprise d'avoir un virus sous forme d'antivirus qui se nomme antivirus action, il m'ouvre plein de fenetres bizarres me disant que mon pc est infecté, je sais que c'est une ruse pour me faire cracher de l'argent et acheter le soit disant antivirus!!! Je ne sais comment faire pour le supprimer, si qqn peut m'aider sa serait super sympa à lui

SVP qqn peut il m'aider pour supprimer sa??

Je ne peux plus travailler

Bonjour et bienvenue sur le forum sécu de PCA.

Redémarre en mode sans échec avec prise en charge réseau.
( au redémarrage, tapoter sur la touche F5 ou F8 )

Télécharge OTL (de OldTimer) sur ton Bureau.

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

• Double-clique sur OTL.scr pour le lancer.
  Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
• Sélectionne l’option tous les utilisateurs.
• Dans la partie Personnalisation, copie/colle la liste suivante.
  
  

netsvcs
Drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata% *.exe /s
%APPDATA%\*.
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

• clique sur le bouton Analyse rapide

• Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise le site http://www.cijoint.fr pour les déposer.
Indique moi ensuite les deux liens crées.

A+

Ok merci bcp a toi, je vais faire sa de suite

je double clike sur OTL.scr mais rien ne se passe!!! LE virus semble bloquer cette action

Pardon autant pour moi, je n'avais pas demarré en, mode sans echec!!

Par contre la je suis sur le mode sans echec et non pas sans echec avec prise en mode reseau!! Sa change qqc??? dois je redemarrer en mode sans echec avc prise en charge reseau ou je peux qd meme bosser comme sa??

Je suis en train de faire l'analyse la

Re,

Le fait d'être en mode sans échec avec prise en charge réseau permet d'avoir accès au net.
Si tu as téléchargé OTL et si tu peux ensuite utiliser un navigateur ( IE, firefox ) pour poster les rapports sur le forum, pas de problème. Tu peux alors rester en mode sans échec.

A+

En effet, pas de net

La g eu les 2 fichiers, je redemarre en prise en charge reseau pr te les envoyer

Voici les liens:

Pour Extra: http://www.cijoint.fr/cjlink.php?file=cj201010/cijd9G2lkn.txt

Pour OTL: http://www.cijoint.fr/cjlink.php?file=cj201010/cijzwet7G7.txt

Merci

Tu arrive a les lire ou pas?? il me semble que non :-(

pour Extra:

http://www.cijoint.fr/cjlink.php?file=cj201010/cij6C4Cay5.txt

Je pense que celui la marchera

Merci de me repondre

parassima,

Reste en mode sans échec avec prise en charge réseau pour effectuer la manip suivante.
Il y a une infection sur les supports amovibles ( clés USB, DD externe ) qu'il faudra ensuite traiter.

------------------------------------------------------------------
Relance OTL.exe.

• Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

instructions:
:OTL
IE - HKU\S-1-5-21-515967899-1035525444-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-515967899-1035525444-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKU\S-1-5-21-515967899-1035525444-725345543-1003..\Run: [efdcumcx] C:\Documents and Settings\Internet\Local Settings\Temp\tvvcllfbp\asyvbrdyhsn.exe ()
[2010/10/13 21:14:36 | 000,711,168 | ---- | M] () -- C:\Documents and Settings\Internet\Local Settings\Application Data\syssvc.exe

:files
C:\Documents and Settings\Internet\Local Settings\Temp\tvvcllfbp

:Commands
[emptytemp]
[emptyflash]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12262009_xxxxxxxx.log

Tu redémarres sous windows. Regarde si tu as encore les symptomes de cette infection.
Un autre redémarrage sera peut être nécessaire.

A+

Ok, merci, je vais faire ca

En redemarrant je le fais sur quel mode?? normal?

LE OTL est en train de bosser la, je te tiendrai au courant de la suite

Comment traiter aussi les infections des supports amovibles????

Merci enormement

Re voici le lien du log que j'ai eu au redemarrage

http://www.cijoint.fr/cjlink.php?file=cj201010/cijJKTZSkK.txt

Je ne vois plus la menace, par contre IE ne fonctionne pas :S

Re,

Il n'y a que pour IE que cela ne marche pas ?
Est-ce que tu utilises un proxy pour te connecter au net ?

-------------------------------------------------------------------------

Télécharge UsbFix (de El Desaparecido ) sur ton Bureau :
http://www.teamxscript.org/too/UsbFix.exe

• Double clic sur UsbFix.exe présent sur ton bureau.
• clique sur Recherche .
• Un message t’avertira de brancher les supports amovibles.
  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
  Fais - le
• Laisse travailler l'outil.

Poste ensuite le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Y a aussi Msn et Skype qui ne fonctionnent pas, et l'ordi rame terriblement!!

En gros il n'ya que Firefox qui marche mais qui est tres lent aussi!

Je ne suis pas tres douée en informatique, dons je n'ai pas tres bien compris pour le proxy!!???

Au fait c un ordi qui est branché en reseau par un switch, donc le net je l'ai par le cable qui va au switch quoi :(

Au fait je viens de voir que MSn et Skype fonctionnent, c'est juste que ca a mis tellement de temps a s'ouvrir que j'ai pensé que sa ne marchait pas!!!

Est ce que l'ordi va rester lent comme ça?? ou y a qqc a faire pour que sa s'arrange??

MErci bcp pour ton aide

Re,

OK, fais la manip suivante avant d'aller plus loin.

va dans le panneau de configuration --> options internet --> connexions --> paramètres réseau

• Clique sur l'onglet serveur proxy.

• Puis rentre les paramètres : 127.0.0.1 pour l'adresse et 29775 pour le port.

Valide ensuite les fenêtres.

Redémarre le PC et dis moi si il y a du mieux.

A+

Ok je vais faire sa, je n'ai pas encore telechargé le UsbFix

Je vais d'abord faire ce que tu me demande ds le panneau de config, mais sa sert à quoi exactement??? J'aime bien savoir, au moins je dormirai moins bete ce soir

Ben dans l'onglet :Serveur Proxy l'adresse et le port sont grisés, donc impossible d'intervenir dessus ou de noter quoi que ce soit!!

A moins de cliquer sur Avancé et dans ce cas il m'ouvre une autre fenetre: PArametre du Proxy mais la les chiffres inscrits correspondent à ceux que tu m'as donné, donc ce n'est pas necessaire de les changer non??

Re,

Il faut que tu cliques sur l'onglet au-dessus : " Utiliser un serveur .... "
après tu pourras rentrer les paramètres.

A+

MEme en cliquant sur ça, ca ne degrise pas les zones, et comme je t dis il n'ya qu'en clikant sur Avancé que je peux acceder a ces données, mais sa correspond a celle que tu m'as donné, donc pas besoin de les changer quoi