[phil33]

Bonjour,

Depuis quelques jours, il y a sans cesse sur l'ordinateur portable de ma fille (sous Windows XP) un message d'alerte Centre de Sécurité Windows qui indique la présence de virus et autres problèmes divers. Un scan automatique démarre et lui indique les infections, mais quand on clique pour demander les corrections apparait une proposition d'abonnement...De plus lorsqu'on va sur le Centre de Sécurité Windows via le panneau de configuration il est indiqué que tout est ok, à jour, protégé et sans virus. Je ne sais pas comment on appelle ce type de logiciels malveillants...mais je souhaiterais le supprimer le plus rapidement possible car il se met en route toutes les 5 minutes...
Par avance merci à celles et ceux qui pourront m'apporter une solution
phil33

[Haribo76]

Bonjour phil33

Ta fille à attrapé un rogue.

On va s'en occuper.

On va commencer par un pré-nettoyage pour préparer le terrain

Voici un programme de désinfection en quelques étapes que je t'ai préparé. Nous allons le suivre ensemble.
Je te demande à l'avance de les suivre à la lettre. Ne fais rien de plus et rien de moins de ce qui te sera demandé et tout se passera correctement .Je me ferais également une joie de répondre à toutes tes questions, concernant les procédures ou non .

1°) Passe un coup de CCleaner(Merci à Marie pour le tuto)

2°)Télécharge et Installe Malwarebyte's Anti-Malware (Attend quelques secondes un encadré de téléchargement va s'afficher)

• Une fois installé, démarre Malwarebyte's Anti-Malware
  
• Fais bien les mises à jour, pour cela va dans:
  
  
  • L'onglet "Mise à jour"
    
  • Lance la mise à jour en cliquant sur "Recherche de mise à jour"
    
  
  
• Redémarre ensuite ton PC en mode sans echec (Tapote la touche F8 à l'affichage du BIOS)
  
• Lance Malwarebyte's Anti-Malware
  
• Dans l'onglet "Recherche" coche la case "Exécuter un examen complet"
  
• Choisis tout tes disques dur
  
• Lance l'Examen
  
• Met tout ce qu'il trouve en quarantaine
  
• Fais moi un copier collé du rapport qui sera généré
  

Remarque: En mode sans échec tu n'as pas accés à internet. Je te conseil donc d'imprimer la procédure ou de la noter sur une feuille

3°) Fais un scan en ligne avec BitDefender (Tuto BitDefender)

• Commence tout d'abord par couper ton Anti-virus ainsi que d'autres éventuelles protections en temps réel afin d'éviter tout conflit
  
• Il faut obligatoirement que tu utilises Internet Explorer pour le scan
  
• Fais moi un copié/collé du rapport qui sera généré stp
• Réactive ton Anti-virus
  

Si tu rencontres un problème pendant l'utilisation de cette procédure. N'hésite surtout pas à venir m'en parler.

A très bientôt
_________________
En vac, de retour dans quelques jours, soyez patient

[phil33]

Bonjour Haribo76 !

Pardon pour cette réponse tardive en raison d'une absence pour raisons professionnelles.

Le point 1 s'est passé sans problème !

Le point 2 m'a posé le problème suivant : je n'ai jamais pu redémarrer en mode sans échec. A chaque fois j'obtiens un écran sur fond bleu avec un très long texte en lettres blanches qui ne s'affiche que deux secondes et ne permet pas d'être lu qui me dit que je ne peux pas démarrer en mode sans échec. J'ai donc réalisé le point deux en redémarrant en mode nomal.

Le point 3 s'est passé sans problème

Voici les deux rapports mais je comprends que l'ordinateur est toujours semble t-il infecté...A noter cependant que le rogue a disparu

Dans l'attente de vos remarques...

Ma fille vous adresse dores et déjà ses premiers remerciements et vous informe qu'elle est une inconditionnelle....des bonbons Haribo

phil33

Malwarebytes' Anti-Malware 1.28
Database version: 1248
Windows 5.1.2600 Service Pack 3

12/10/2008 11:37:37
mbam-log-2008-10-12 (11-37-30).txt

Scan type: Quick Scan
Objects scanned: 54132
Time elapsed: 4 minute(s), 21 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 20
Registry Values Infected: 4
Registry Data Items Infected: 3
Folders Infected: 12
Files Infected: 21

Memory Processes Infected:
C:\Program Files\SAV\SAV.exe (Rogue.SystemAntivirus) -> No action taken.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\rxresult.rxresultfilter (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\rxresult.rxresultfilter.1 (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2ab289ae-4b90-4281-b2ae-1f4bb034b647} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\PCPrivacyCleaner (Rogue.PCPrivacyCleaner) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\rxtoolbar.tbinfo (Adware.RXToolbar) -> No action taken.
HKEY_CLASSES_ROOT\rxtoolbar.tbinfo.1 (Adware.RXToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RXToolBar (Adware.RXToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{59879fa4-4790-461c-a1cc-4ec4de4ca483} (Adware.BHO) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.SystemAntivirus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.SystemAntivirus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\p2p networking (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSFox (Trojan.FakeAlert) -> No action taken.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
C:\Program Files\RXToolBar (Adware.RXToolbar) -> No action taken.
C:\Program Files\RXToolBar\Cache (Adware.RXToolbar) -> No action taken.
C:\Program Files\RXToolBar\graphics (Adware.RXToolbar) -> No action taken.
C:\Program Files\RXToolBar\HTML (Adware.RXToolbar) -> No action taken.
C:\Program Files\RXToolBar\Semantic Insight (Adware.RXToolbar) -> No action taken.
C:\Program Files\VirusRemover2008 (Rogue.VirusRemove) -> No action taken.
C:\Documents and Settings\Nathalie\Application Data\VirusRemover2008 (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Nathalie\Application Data\VirusRemover2008\Logs (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Maman\Application Data\VirusRemover2008 (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Maman\Application Data\VirusRemover2008\Logs (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Malige\Application Data\VirusRemover2008 (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Malige\Application Data\VirusRemover2008\Logs (Rogue.VirusRemover) -> No action taken.

Files Infected:
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> No action taken.
C:\Program Files\RXToolBar\rxtoolbar.cfg (Adware.RXToolbar) -> No action taken.
C:\Program Files\RXToolBar\sfcont.bin (Adware.RXToolbar) -> No action taken.
C:\Program Files\RXToolBar\Semantic Insight\SemanticInsight.dat (Adware.RXToolbar) -> No action taken.
C:\Documents and Settings\Nathalie\Application Data\VirusRemover2008\Logs\scns.log (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Maman\Application Data\VirusRemover2008\Logs\scns.log (Rogue.VirusRemover) -> No action taken.
C:\Documents and Settings\Malige\Application Data\VirusRemover2008\Logs\scns.log (Rogue.VirusRemover) -> No action taken.
C:\Program Files\SAV\SAV.exe (Rogue.SystemAntivirus) -> No action taken.
C:\WINDOWS\system32\MSVolume.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\SAV.cpl (Rogue.SystemAntivirus2008) -> No action taken.
C:\Program Files\SAV\SAV.cpl (Rogue.SystemAntivirus) -> No action taken.
C:\Program Files\SAV\sav0.dat (Rogue.SystemAntivirus) -> No action taken.
C:\Program Files\SAV\sav1.dat (Rogue.SystemAntivirus) -> No action taken.
C:\Program Files\SAV\sav.ooo (Rogue.SystemAntivirus) -> No action taken.
C:\WINDOWS\system32\ (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Nathalie\Local Settings\Temp\video1181.cfg.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Nathalie\Application Data\Microsoft\Internet Explorer\Quick Launch\VirusRemover2008.lnk (Rogue.VirusRemove) -> No action taken.
C:\Documents and Settings\Nathalie\Local Settings\Temp\5492.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Nathalie\Local Settings\Temp\video1181.cfg (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.



BitDefender Online Scanner - Rapport virus en temps réel



Généré à: Sun, Oct 12, 2008 - 15:22:06


--------------------------------------------------------------------------------





Info d'analyse



Fichiers scannés
165815

Infectés Fichiers
3








Virus Détectés



Trojan.Agent.AKKZ
1

Trojan.FakeAlert.AGU
1

Trojan.Renos.NEG
1










--------------------------------------------------------------------------------



Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

[Haribo76]

Re

As tu bien mis en quarantaine (= supprimer la sélection) tout ce qu'a trouvé MalwareByte's?

si non refais un scan en supprimant la séléction

++
_________________
En vac, de retour dans quelques jours, soyez patient

[phil33]

Bonsoir Haribo76

La réponse est oui.

J'ai refait plusieurs fois la même opération aujourd'hui mais à chaque fois le scan s'arrête maintenant sur :

C:\Windows\Temps\Historique\History.IES\desktop.ini

et ensuite le programme ne répond plus...

P'tite question : Il y a 4 utiisateurs déclarés sur l'ordinateur de ma fille. Faut-il faire le scan en se connectant successivement sous les quatre utilisateurs ? J'ai essayé à tout hasard mais cela ne change rien...

Bien à vous

phil33

[Haribo76]

Re

Essaye de repasser un bon coup de CCleaner avant pour vider le fichier temp.

Réessaye ensuite
_________________
En vac, de retour dans quelques jours, soyez patient