[Fermé] blocage infection vista

bonjour
Je vous envoie cette question pour ma fille car elle ne peut plus se connecter et je vais essayer, grâce à vous, de l'aider;
Quand elle allume son ordi, il s'allume normalement jusqu'à l'ouverture de session; ensuite il ouvre une page noire et le bureau ne s'affiche pas ni la barre d'outils windows. Juste un écran noir sur lequel s'affiche la fenêtre Centre de SécuritéWindows".
Quelques secondes plus tard, s'ouvre une fenêtre "Antivirus Vista 2010 - unregistred version " qui lance (toute seule) un scan. Et lui signale 25 infections trouvées (tout ça en anglais !).A la fin du scan, il ouvre une fenêtre : attention danger : alert ! et plein d'alertes suivies de points d'exclamations. A la fin il met : click register to register your copy of antivirus vista 2010 and perform threat removal on your system. The list of infections and vulnerabilities detected will become available after registration.
Il propose alors : soit de cliquer sur Register, soit de cliquer sur Remind me later;
Quand elle clique sur Register : s'ouvre une page internet sans aucune barre d'outils/ recherche/adresse, la page s'appelle "Antivirus Vista 2010" et propose d'acheter le nouvel antivirus Vista 2010.
Quand elle choisit "Remind me later" ou qu'elle clique sur n'importe quelle proposition de la fenêtre, cela ouvre une autre fenêtre qui s'appelle aussi "Antivirus vista 2010 - unregistred version" et qui propose "purchase full version" ou "manual activation". Le clic sur "purchase" rouvre la fenêtre qui propose d'acheter l'antivirus; le clic sur "manual" demande la clé.

J'ai essayé de vous donner un maximum de précisions car ce n'est pas facile à distance !

Merci de l'aider!

Finalement elle a réussi à accéder à son bureau en passant par le gestionnaire des tâches pour terminer les programmes encombrants, et elle a réussi à se connecter à internet de la même façon.Je lui ai fait télécharger Maleware bytes antimalware, qui est en ce moment en train de scanner son pc; je vous enverrai le rapport.

J'attends vos conseils, merci !

Bonjour Mariep17

Bien vu l'idée de passer par le gestionnaire des tâches pour arrêter les processus en cause et relancer le bureau.

En attente du rapport de Malwarebytes. Le plus simple, c'est qu'elle s'inscrive sur le forum.

Bonne journée

merci, je vais en effet lui conseiller de s'inscrire sur le forum.
En attendant, voici son rapport Maleware. Elle a supprimé les fichiers infectés, je ne sais pas si elle a bien fait.

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3767
Windows 6.0.6000
Internet Explorer 7.0.6000.16982
21/02/2010 00:09:10
mbam-log-2010-02-21 (00-09-10).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 270726
Temps écoulé: 1 hour(s), 2 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\kmi\AppData\Local\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Users\kmi\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully.

Bonjour Mariep17

mariep17 a écrit:

Elle a supprimé les fichiers infectés, je ne sais pas si elle a bien fait.

C'est ok.


Lorsque ta fille s'inscrira, elle pourra suivre ces quatre étapes supplémentaires pour voir ce qu'il en est :
Avant, j'attire ton attention sur le fait que les logiciels que je te demande d'utiliser doivent être lancés via clic droit sur leur icône >> lancer en tant qu'administrateur.


Etape 1

Clique ici pour télécharger TFC (de Old Timer) sur le bureau

• TFC va fermer toutes les fenêtres, je te conseille d'enregistrer ton travail puis de les fermer par toi même pour éviter de perdre ton travail
  
• Double clique sur TFC.exe pour le lancer.
  
• Clique sur le bouton Start et patiente quelques instants.
  
• Une fois le nettoyage terminé, le pc va redémarrer. Si il ne le fait pas, redémarre le toi même pour terminer le nettoyage

Etape 2


Clique ici pour télécharger OTL (de Old Timer) sur ton bureau

• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  
• Coche Lop Check et Purity check
  
• Sous Custom Scans (en bas), copie/colle ceci
  
  %SYSTEMDRIVE%\*.*
  %PROGRAMFILES%\*.*
  %PROGRAMFILES%\*.
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  /md5start
  eventlog.dll
  scecli.dll
  netlogon.dll
  cngaudit.dll
  sceclt.dll
  ntelogon.dll
  logevent.dll
  iaStor.sys
  nvstor.sys
  atapi.sys
  IdeChnDr.sys
  viasraid.sys
  AGP440.sys
  vaxscsi.sys
  nvatabus.sys
  viamraid.sys
  nvata.sys
  nvgts.sys
  iastorv.sys
  ViPrt.sys
  eNetHook.dll
  ahcix86.sys
  KR10N.sys
  nvstor32.sys
  ahcix86s.sys
  nvrd32.sys
  symmpi.sys
  adp3132.sys
  mv61xx.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  CREATERESTOREPOINT
  
  
• Clique sur le bouton Run Scan en haut à gauche puis patiente quelques instants.
  
  
  
  • A la fin du scan, deux rapports s'ouvriront (OTL.Txt et Extras.Txt). Copie/colle ici l'ensemble des rapports.
  
  PS : Les rapport sont aussi enregistrés sur le bureau

Etape 3

Clique ici pour télécharger Gmer sur ton bureau.

• Ferme tous tes programmes et déconnecte toi d'internet.
  
• Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
  
  
• Décompresse le sur ton bureau et double clique sur Gmer.exe pour le lancer.
  
  • Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
  
  
• Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware.
  
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  
  
• Clique sur le bouton Scan.
  
  • Laisse Gmer travailler et ne touche plus à ton ordinateur.
    
  • Patiente car le scan peut être long.
  
  
• A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici.
  
• Quitte Gmer et réactive tes logiciels de sécurité.
  

Attention à ne rien tenter par toi même !!



Etape 4

Les rapports sont longs, essaie de les héberger ici svp http://cjoint.com/ et communique moi le lien
Vérifie qu'ils sont complets.

ok je lui transmets le message.
et merci !

De rien

Bonjour

Toujours besoin d'aide ?

Bonsoir GrosBébé
Merci pour ton aide, je viens d'avoir ma fille au téléphone : elle est débordée de travail et n'a pas trop eu le temps de s'occuper de son ordi....elle me dit qu'elle n'a pas réussi à télécharger le 1° "nettoyeur" (je ne sais pas comment ça s'appelle) (TFC), elle espère avoir le temps de s'en occuper lundi.
Elle s'inquiète un peu de devoir télécharger plein de trucs, mais je viens de la rassurer en lui disant que pour chacun de mes problèmes ça s'était passé comme ça et que vous (les bibou helpers) aviez réussi à résoudre les problèmes, et qu'après on les enlève de l'ordi donc ça ne le charge pas.
Bref j'espère qu'elle va trouver du temps et s'occuper de se débarrasser complètement de ses virus.
Merci et à bientôt.

Bonjour

Ok, merci
Par contre, juste pour info, les sujets inactifs sont fermés, donc même si je ferme le sujet, ce n'est pas grave car on pourra le réouvrir.

Bonne journée

Sujet fermé en raison de l'inactivité. Si vous souhaitez réouvrir ce sujet, faites en la demande par MP en indiquant la raison et le lien vers ce sujet. Cela ne s'applique qu'à mariep17. Pour les autres, créez votre propre sujet svp.