Virus très malveillant

[MamzelleMeuh]

Bonjour à tous! Depuis 2 jours, mon ordinateur est infecté par un virus particulièrement méchant dont je n'arrive pas à me débarrasser. Ce virus c'est ANTIVIRUS PROTECTION 2012.

je ne sais pas comment il est arrivé là, mais mon ordi s'est mis d'un seul coup à m'afficher des messages d'erreurs et de virus type avast (fenêtre en bas à droite) me disant que mon ordi était infecté par 47 spymachin, et quand je clique sur la croix, ca ouvre une fenêtre me disant que je dois rentrer une clé de licence et quand je ferme cette même fenêtre, re-belote, message a droite etc. Ces fenetres m'empechent d'accéder a mon bureau (derrière la fenêtre c'est translucide et pas moyen de cliquer), je peux quand même avoir mon menu démarrer en cliquant sur le clavier mais bon...

Donc je me suis renseigné sur ce truc sur mon iphone, bam, virus, et je trouve des conseils, comme télécharger Killer Trojan. Je le fais, je le lance en mode normal, il me trouve 145 dossiers infectés, et pour les éradiquer je dois payer... Bon! je télécharge avast (version gratuites de 30jours), qui identifie de suite le programme ANTIVIRUS PROTECTION 2012 comme un programme suspect. Mais après analyse, il ne le supprime pas ou ne le mets en quarantaine parce "qu'il n'y a pas assez de preuves pour indiquer ce programme comme malveillant gnia gnia", du coup je coche l'option l'ouvrir dans la Send box. Ca marche pas mal, le virus s'ouvre mais avast le bloque sans cesse, et je cherche a m'en débarrasser, quand même!
Je tente d'aller dans Desinstallation des programmes (sait-on jamais) et quand je clique sur le prog Antivirus protection 2012 puis sur supprimer, l'ordi crash et reboot. Si je fais de même en mode sans échec, il m'affiche le message suivant Setpro a eu un problème et ne fonctionne pas correctement, etc.

Donc je lance une analyse complète d'avast sur mon ordi, il me trouve un tas de fichiers infectés, et les colle en quarantaine. Problème, depuis, lorsque j'allume l'ordi en mode normal, il reste 2sec sur mon bureau et ecran avec message blanc (pas le temps de lire) qui s'efface vite, et reboot. En mode sans échec, ca marche, mais bon, ca reste le mode sans échec. Du coup je télécharge autre chose, Multi Virus cleaner 2012. L'analyse est longuuuuuuue très longue, et ne donne rien puisque ca plante.

Donc ma question est la suivante: Comment me débarrassser de ce virus?!!! Est-ce que l'écran bleu est dçu à la mise en quarantaine de certains fichier par avast? Que faire, pitié, aidez-moi!!

Merci de votre attention, j'attends vos réponses!

[bernard53]

Bonjour

Fait ceci s.t.p
Télécharger sur le bureau<< RogueKiller >> (by tigzy)
Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad
ensuite:
Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

Puis:: Installe Malewarebytes' Antimalware,

http://malwarebytes.org/products/malwarebytes_free

Prends bien la version FREE
*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

et pour contrôle .

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s
%temp%\smtmp\1\*.* /s
%temp%\smtmp\2\*.* /s
%temp%\smtmp\4\*.* /s
nslookup http://www.google.fr /c
SAVEMBR:0
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

[MamzelleMeuh]

Merci de ta réponse, je fais maintenant. Mais j'ai une question. Quand au début, tu me dis de copier coller les rapports de Rogue killer etc, je les colle la dans ce topic ou je les colle dans un fichier lambda, crée par moi?

[MamzelleMeuh]

Bon, au cas où...

Rapport RogueKiller 1
http://cjoint.com/12ma/BCAmBNRgvDQ.htm

Rapport RogueKiller 2
http://cjoint.com/12ma/BCAmC5aDnRM.htm

Rapport Malwarebytes
http://cjoint.com/12ma/BCAmDDEJfW0.htm

[MamzelleMeuh]

Juste pour dire. Apres le scan Malwarebytes, l'ordi a redémarré et ce en mode normal. J'ai laissé faire, et ca s'est ouvert, le bureau s'est affiché... Et bam ecran bleu, reboot... Normal?

[MamzelleMeuh]

Rapport OTL

Rapport Extras
http://cjoint.com/12ma/BCAmSDruE93.htm

Rapport OTL.txt
http://cjoint.com/12ma/BCAmTbsQ0sY.htm

[bernard53]

ok fait ceci s.t.p



* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
MOD - C:\Users\Valentine\AppData\Roaming\Mozilla\Firefox\Profiles\bqohvglc.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}\components\RadioWMPCoreGecko9.dll ()
DRV - (UIUSys) -- system32\DRIVERS\UIUSYS.SYS File not found
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (igfx) -- system32\DRIVERS\igdkmd32.sys File not found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKLM\..\URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBitt.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{7E1DDACE-0EB4-440A-AE99-C13214A82071}: "URL" = http://www.google.fr/search?hl=fr&q={searchTerms}&meta=
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2849852 =
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
IE - HKCU\..\URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBitt.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKCU\..\SearchScopes\{7E1DDACE-0EB4-440A-AE99-C13214A82071}: "URL" = http://www.google.fr/search?hl=fr&q={searchTerms}&meta=
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2849852
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
FF - user.js - File not found
[2012/03/06 16:30:08 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Valentine\AppData\Roaming\mozilla\Firefox\Profiles\bqohvglc.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2012/03/12 14:27:38 | 000,000,000 | ---D | M] (BittorrentBar_FR Community Toolbar) -- C:\Users\Valentine\AppData\Roaming\mozilla\Firefox\Profiles\bqohvglc.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
[2012/03/06 16:30:06 | 000,003,915 | ---- | M] () -- C:\Users\Valentine\AppData\Roaming\Mozilla\Firefox\Profiles\bqohvglc.default\searchplugins\sweetim.xml
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O2 - BHO: (BittorrentBar_FR Toolbar) - {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBitt.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) =
O3 - HKLM\..\Toolbar: (BittorrentBar_FR Toolbar) - {ef79f67a-6ad7-4715-a0f8-932fca442023} - C:\Program Files\BittorrentBar_FR\prxtbBitt.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (BittorrentBar_FR Toolbar) - {EF79F67A-6AD7-4715-A0F8-932FCA442023} - C:\Program Files\BittorrentBar_FR\prxtbBitt.dll (Conduit Ltd.)
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found
[2012/03/06 16:29:55 | 000,000,000 | ---D | C] -- C:\ProgramData\SweetIM
[2012/03/06 16:29:55 | 000,000,000 | ---D | C] -- C:\Program Files\SweetIM
:Commands
[emptytemp]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.

http://cjoint.com/


Puis:: Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
http://general-changelog-team.fr/telech ... adwcleaner

Lance le, clique sur [Suppression]puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[MamzelleMeuh]

Je fais comme tu me dis avec OTL mais après scan, mon ordi ne me laisse d'autres choix que de redémarrer. et après aucun rapport ne s'ouvre. Et pas moyen de trouver le rapport OTL.log. Recherche dans les dossiers, dans l'ordi, je ne trouve rien... :(

[MamzelleMeuh]

Pareil pour Adwarecleaner, ca fait le scan, ca redémarre, et pas de rapports qui s'ouvrent, et je ne les trouve pas dans l'ordi!
En tout cas merci beaucoup de ton aide!

[bernard53]

Même sous C:\ pas de rapport?

Comment va ton pc maintenant?

[MamzelleMeuh]

Ah si! Rapport AdwareCleaner
http://cjoint.com/12ma/BCAtWS529Nf.htm

[MamzelleMeuh]

Et OTL vraiment rien...

[MamzelleMeuh]

Et mon PC, pire qu'avant je crois... Quand je démarre, écran noir avec écriture blanche "the safe boot is processing" je crois, il trouve pas un systeme lecture machin aussi... Bref, il me propose le démarrage normal ou sans echec (comme si j'appuyais sur F7 alors que je ne l'ai pas fait) et si je démarre normalement quand même, mon bureau a le fond d'écran noir (d'habitude c'est garfield) avec marqué mode sans échec (comme en mode sans echec en fait) et il redémarre presque instantanément, m'obligeant à choisir le mode sans échec...

[bernard53]

ok dans ce cas répare le démarrage comme ceci.
http://www.commentcamarche.net/faq/1621 ... e-de-vista
Pas de soucis cela dure environ 5 a 10 minutes.
Si tu n'as pas le DVD de Vista as tu WINRE pour faire cette réparation.

[MamzelleMeuh]

Je n'ai pas de cd Vista, et je ne sais pas ce que c'est winre...