Bonjour,
Je vous contacte car j'ai un problème : hier, mon ordinateur a été infecté par un programme malveillant : Vista Security 2012. D'avance, merci pour votre aide et désolé de mon ignorance, je n'y connais rien.
Le contexte :
Je venais d'installer un nouveau jeu acheté chez un marchand fiable, mais qui m'a installé microsoft net framework 4. J'ai également, suite au jeu (qui n'a pas posé de probleme et aucune alerte en vue) été sur internet et en regardant une page quelconque mais non officielle, soudain j'ai une alerte Antivir d'un élément dangereux, auquel je refuse l'accès. malheureusement, mes protections se coupent instantanément et ce Vista Security 2012 me pop a la figure, suivi ensuite de demandes d'installations diverses. Je lance mon navigateur net qui s'est coupé entretemps mais tout est bloqué a moins que je ne m'inscrive a leur soit disant service, puis il me lance des erreurs systèmes et matérielle avant que mon pc ne s'éteigne sous mes yeux horrifiés. EN le relançant, même galère, mon fond d'écran a disparut
Mon PC :
un portable toshiba ayant comme OS vista familial.
Ce que j'ai fais jusqu'à présent :
j'ai coupé mon wifi sur l'ordi pour l'isoler.
J'ai redémarré en mode sans échec et ensuite j'ai lancé MalewareBytes et j'effectue un scan rapide. Il me trouve deux infections : Hijack.startmenu
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Explorer\Advanced\Start_ShowMyComputer
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Explorer\Advanced\Start_ShowSearch
j'ai réparé ces deux erreurs de registre.
Je lance Spybot et effectue un scan. Il me trouve une modification du registre : 1 élément sécurity de type microsoft.windows.fileexe et le détail : HKEY_CLASSES_ROOT\.exe\(is not) exefile avec un code SB1 $D204F52E
Je supprime cette modification du registre.
Je lance un scan complet de MalewareBytes, il ne trouve rien.
Je lance un scan complet d'Antivir, il me pop deux infections dans la tête :
une alerte avec juste un chemin d'accès : C:\users\mon nom\AppData\LocalLow\...\35ace28a-5eac2b81
une alerte disant 'recognition pattern of EXP/CVE-2010-0840.1 exploit' et avec comme chemin d'accès : C:\users\mon nom\AppData\LocalLow\Sun\...\88743cf-517a9cfa
Je mets ces deux éléments en quarantaine. La le scan se poursuit et par erreur, je l'interrompt. Je le relance et il ne me trouve 1 warning.
Je relance donc l'ordi en mode normal. Tout mon bureau est vide, ma barre de lancement est vide, plus d'éléments, et je peux acceder à mon ordinateur, mais tout semble vide. Pourtant dans les scans, tous mes fichiers ont défilé. Je tente donc d'afficher les dossiers cachés. Et effectivement, ils sont tous la !
J'ai relancé internet, pas de pb, et c'est comme cela que je vous parle. J'ai besoin de votre aide et je veux pas faire autre chose maintenant avant d'avoir lancé d'autres tests. A savoir plusieurs choses : ça fait très longtemps que j'ai pas fait de scans complets de mon PC, vacances oblige, donc il se peut que ce que j'ai trouvé ne soit pas lié à la saleté vista security 2012. j'avais consigné mes actions depuis hier, mais j'ai à un moment donné d'un scan (je ne me souviens plus quand) trouvé une alerte du programme suivant : TR/Graftor.11617.1[trojan] a l'emplacement C:\Users\mon nom\AppData\local\temp\
J'aimerai savoir si je peux sortir certains documents de travail sur une clé USB sans risque d'infecter celle ci ? Puis je d'ailleurs copier des documents cachés sans problème ?
N'est-il par risqué de me connecter à internet de nouveau ? Je veux dire, je n'y connais rien mais ce programme peut-il chercher mes mots de passes ou meme mes coordonnées bancaires ? Enfin, cela va paraitre encore plus bete, puis je acceder à mes différents comptes sur un autre ordi ?
Pouvez vous m'indiquer la marche à suivre pour m'aider a enlever ce programme et remettre de l'ordre dans ce qu'il a dérangé, j'entends tous les fichiers cachés, les icones de lancement rapide disparues ? Dois je d'abord lancer un pré scan (lien récent ?) ? Puis je tenter de sortir des fichiers avant toute chose ?
Je vous remercie a nouveau pour votre attention, patience et assistance, en ce moment des fêtes en plus.
Merci,
madduck.
<config>Windows Vista / Firefox 3.6.25</config>'