[Réglé] Rogue Antivirus software alert

[Ask to Old Man]

Bonjour tout le monde,

Voici mon premier message sur votre forum, j'espère que vous pourrez m'aider.


J'ai donc attraper ce virus "ANTIVIRUS SOFTWARE ALERT" sur mon ordinateur qui est enfait un faux anti-virus et il m'empeche d'ouvrir n'importe quel programme que j'essaie d'ouvrir ainsi que ma connexion internet.

Donc j'aurais besoin de votre aide pour savoir comment éliminer cette attaque qui s'affiche chaque seconde avec une fenêtre.

Je suis sous VISTA.

Merci d'avance pour votre aide...

[DouDou9455]

Bonjour & Bienvenue,

Commence par suivre cette procédure .::ICI::.
Et pas de panique un Helper va te prendre en charge

[Skalpel19]

Merci pour votre réponse.

Voici mon rapport:

EDIT Skynet : voir plus bas dans les réponses pour le rapport

Que dois-je faire à présent ?!?

Merci d'avance pour votre aide précieuse.

[Skalpel19]

Merci Admin...

Quelqu'un pourrait m'aider à présent avec ce rapport ?!

Merci d'avance...

[Skynet]

C'est corrigé .

Pourtant dans le lien de DouDou9455 il était précisé :

NOTE: Si ceux ci sont trop long déposez-les sur CiJoint.fr et communiquer au helper le lien correspondant à vos rapports afin qu'il puisse les télécharger

Je te conseille d'ailleurs d'envoyer de nouveau ton rapport là-bas, ça fera gagner du temps aux helpers .

Parce que là j'ai été obligé de le diviser en 6 parties !

[Skalpel19]

Merci,

voici le lient où se trouve le rapport:

http://www.cijoint.fr/cjlink.php?file=c ... xds9Ek.txt

merci

[danakil]

Salut Skalpel19!

Ton PC est trés infecté.

Fais ceci :
1/ Télécharge Navilog1 de IL-MAFIOSO sur ton Bureau et pas ailleurs.

2/ Redémarre ton PC en Mode Sans Echec :
http://www.vista-xp.fr/forum/topic93.html

... lorsque tu seras sur le Bureau en mode sans echec de ta session ...

3/ Double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le Bureau.
(Vista & Seven > clic droit dessus > Exécuter en tant qu'Administrateur)

Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.

< Ne fais pas les choix 2, 3 et 4 sans mon avis >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse en utilisant les balises Quote que tu trouveras en haut de la page de réponse.
Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

[Skynet]

Merci danakil, voici mon nouveau rapport:

Code: Tout sélectionner

Fix Navipromo version 4.0.9 commencé le 28.01.2011 19:34:44.33

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 24.11.2010 à 16h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
BIOS : PhoenixBIOS 4.0 Release 6.1     
USER : Skalp ( Administrator )
BOOT : Fail-safe boot

Antivirus : Norton Internet Security 2007 (Activated)
Firewall  : Norton Internet Security 2007 (Not Activated)

C:\ (Local Disk) - NTFS - Total:105 Go (Free:34 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB) - FAT - Total:1917 Mo (Free:1 Go)


Recherche executée en mode sans échec

Nettoyage executé en mode sans échec


C:\Users\Skalp\AppData\Local\dzpfesp.dat supprimé !
C:\Users\Skalp\AppData\Local\dzpfesp_nav.dat supprimé !
C:\Users\Skalp\AppData\Local\dzpfesp_navps.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Skalp\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !



*** Scan terminé 28.01.2011 19:36:28.02 ***



Que faire à présent ?

[danakil]

Re,

Maintenant fais ceci :
• Télécharge Toolbar S&D de Team IDN sur ton Bureau.
• Lance l'installation du programme en exécutant le fichier téléchargé.
• Double-clique maintenant sur le raccourci de Toolbar S&D.
(Vista\Seven, clic droit dessus > Exécuter en tant qu'administrateur)
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
• Poste le rapport généré : C:\TB.txt <-- celui-là

[Skynet]

Re,

Merci danakil

Voici le rapport pour toolbar:

Code: Tout sélectionner

   -----------\\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 )
   X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
   BIOS : PhoenixBIOS 4.0 Release 6.1     
   USER : Skalp ( Administrator )
   BOOT : Fail-safe boot
   Antivirus : Norton Internet Security 2007 (Activated)
   Firewall  : Norton Internet Security 2007 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:105 Go (Free:32 Go)
   D:\ (Local Disk) - NTFS - Total:6 Go (Free:1 Go)
   E:\ (CD or DVD)
   F:\ (USB) - FAT - Total:1917 Mo (Free:1 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 29.01.2011|20:24 )

   [ UAC => 1 ]

   -----------\\  Recherche de Fichiers / Dossiers ...

   C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65

   -----------\\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
   "Local Page"="C:\\Windows\\system32\\blank.htm"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Default_Page_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
   "Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
   "Default_Page_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
   "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"


   --------------------\\  Recherche d'autres infections
Aucune autre infection trouvée  !

   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 29.01.2011|20:24 - Option : [1]

   -----------\\  Fin du rapport a 20:24:55.85


Prochaine étape à effectuer ?

merci

[danakil]

Salut!

1/
> Relance Toolbar S&D > Option n°2.
> Poste le rapport.

2/
• Télécharge ZHPDiag de Nicolas coolman sur ton Bureau.
• Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche "Créer une icône sur le bureau")
• Lance ZHPDiag en double cliquant sur l'icône présente sur ton Bureau [Clique droit -> Exécuter en tant qu'Administrateur ( Vista/seven )]
• Clique sur la loupe en haut à gauche, puis laisse l'outil scanner le PC.
• Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton Bureau.
• Poste le contenu du rapport dans ta prochaine réponse en utilisant ce site : http://www.cijoint.fr/

> ... sur le site de cijoint :
• Clique sur Parcourir pour rechercher le rapport puis sur Cliquez ici pour déposer le fichier
• Copie et colle ici le lien web qui te sera donné.
• Il est de type : http://www.cijoint.fr/cjlink.php?file=c ... 8MD0zB.txt

[Skalpel19]

Yes danakil,

1/ voici le rapport n°2 de ToolBar:

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : Skalp ( Administrator )
BOOT : Normal boot
Antivirus : Norton Internet Security 2007 (Activated)
Firewall : Norton Internet Security 2007 (Not Activated)
C:\ (Local Disk) - NTFS - Total:105 Go (Free:30 Go)
D:\ (Local Disk) - NTFS - Total:6 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB) - FAT - Total:1917 Mo (Free:1 Go)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 30.01.2011|17:00 )

[ UAC => 1 ]

-----------\\ SUPPRESSION

Supprime! - C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Default_Page_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.msn.com/"
"Default_Page_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_CH&c=73&bd=Pavilion&pf=laptop"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

[ UAC => 1 ]


1 - "C:\ToolBar SD\TB_1.txt" - 29.01.2011|20:24 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 30.01.2011|17:00 - Option : [2]

-----------\\ Fin du rapport a 17:00:45.74

[Skalpel19]

Re,

2/

et voici le rapport pour ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=c ... OWLRpW.txt

Merci pour la suite de ton aide...

[danakil]

Salut Skalpel19!

On continu le nettoyage.

• Télécharge OTM de Old_Timer sur ton Bureau.
• Double-clique sur OTM.exe pour le lancer.
Vista\Seven > Clic droit sur l'icône > "lancer en tant qu'Administrateur".
• Copie correctement tout le texte qui se trouve dans l'encadré ci-dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved

Code: Tout sélectionner

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"smss32.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Regedit32"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"vrjtytgu"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

:files
c:\program files\ask.com\genericasktoolbar.dll
c:\windows\system32\smss32.exe
c:\windows\system32\regedit.exe
c:\users\skalp\appdata\local\temp\jkonehtrn\jcnnsedsjmo.exe
c:\program files\ask.com\updatetask.exe
c:\users\skalp\appdata\local\syssvc.exe
C:\Users\Skalp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet
C:\Windows\system32\drivers\iqrgzujp.sys
C:\Windows\System32\l3codecp.acm
C:\Program Files\Bonjour\mDNSResponder.exe

:commands
[emptyflash]
[emptytemp]
[purity]


• Clique sur MoveIt! pour lancer la suppression.
• Si OTMoveIt te propose de redémarrer le PC > Accepte.
• Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
• Copie et colle le rapport de OTMoveIt situé dans ce dossier > C:\_OTMoveIt\MovedFiles.txt <-- le rapport

[Skalpel19]

Que voilà danakil:

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"smss32.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Regedit32"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"vrjtytgu"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

:files
c:\program files\ask.com\genericasktoolbar.dll
c:\windows\system32\smss32.exe
c:\windows\system32\regedit.exe
c:\users\skalp\appdata\local\temp\jkonehtrn\jcnnsedsjmo.exe
c:\program files\ask.com\updatetask.exe
c:\users\skalp\appdata\local\syssvc.exe
C:\Users\Skalp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet
C:\Windows\system32\drivers\iqrgzujp.sys
C:\Windows\System32\l3codecp.acm
C:\Program Files\Bonjour\mDNSResponder.exe

:commands
[emptyflash]
[emptytemp]
[purity]


suite des opérations ?