malware fraud.antivirus doktorFermé

Question

Bonjour,
Depuis quelques temps  mon centre de sécurité est désactivé et impossible de l'activer quelque soit la méthode.
J'ai comme  protection avast, zone alarm et spybot.
J'ai scanner mon disque par malwarebytes et spybot.
Après plusieurs scan  spybot me trouve  ce malware: fraud.antivirusDoktor qu'il n'arrive pas  supprimer.
comment faire pour m'en débarasser?
Est cela qui faitque je n'arrive pas à activer  le centre de sécurité ,ni l'infrastructure de gestion?
Help please?

jfkpresident · Answer

Hello ;

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

==>Double-clique sur RSIT.exe afin de lancer RSIT.

==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :

log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

==>Rend toi sur ce site: https://www.cjoint.com/

==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .

==>Copie/colle ce lien dans ta prochaine réponse .

Aide en images si besoin

jfkpresident · Answer

Tout d'abord ,est ce que spybot te donne le chemin d'acces du fichier infcté ?

• Télécharge et install UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

jfkpresident · Answer

Tout d'abord ,est ce que spybot te donne le chemin d'acces du fichier infecté ? 

Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

Ensuite essaie de relancer UsbFix.

jfkpresident · Answer

Le chemin d'acces du fichier infecté doit ressembler a : C:\User\xxxxxxx\xxxxx.exe

jfkpresident · Answer

Télécharge SF.exe de C_XX .

*Double clique sur SF.exe ("éxécuter en tant qu'administrateur pour vista) .

*Une fenetre Cmd va s'ouvrir .

*Tape AVP 2009  dans cette fenetre et "entrée" .

*Patiente pendant la recherche .

*Une fenetre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe


:Reg


:files
C:\ProgramData\AVP 2009
C:\Users\All Users\AVP 2009
:services

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

jfkpresident · Answer

Tu peux refaire un scan avec Spybot histoire de voir si le probleme est réglé ?

gaetko · Answer

bonsoir
le problème reste le même. spybot detecte toujours fraud.antivirusdoktor

jfkpresident · Answer

Sur quel fichier détecte t'il ce virus ?

jfkpresident · Answer

Bonjour jfkpresident
c'est toujours le même fichier à savoir:
C\ User\All Users\AVP2009

Pourtant je l'ai supprimé avec OTM .....

On va vérifier si il est toujours la :

*Double clique sur SF.exe ("éxécuter en tant qu'administrateur pour vista) .

*Une fenetre Cmd va s'ouvrir .

*Tape AVP 2009 dans cette fenetre et "entrée" .

*Patiente pendant la recherche .

*Une fenetre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

jfkpresident · Answer

Le fichier n'est plus présent sur ton pc (fichier +registre) ,alors pourquoi ton AV le détecte ?!

jfkpresident · Answer

télécharge lopS&D

*double-cliquez dessus pour installer le programme.
* Un raccourci sera créé sur votre bureau , double-cliquez dessus pour lancer l'outil.
*choisis la langue .
*choisis l'option 1 (recherche) .
*copie/colle le rapport sur le forum.
                                                  =================
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

gaetko · Answer

bonsoir jfkpresident,

le rapport de malwarebyte


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3092
Windows 6.0.6001

03/11/2009 20:35:11
mbam-log-2009-11-03 (20-35-11).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 249027
Temps écoulé: 1 hour(s), 1 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorFrNE (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jfkpresident · Answer

Ok ,peux tu me coller un nouveau log RSIT histoire de voir ou on en est (avec Cijoint si possible ) .

jfkpresident · Answer

As tu branché une nouvelle clé USB ou disques externes sur ton pc ?

jfkpresident · Answer

Peux tu relancer UsbFix comme décrit dans le post#3 (option 1 uniquement ) .

jfkpresident · Answer

Verifie que le rapport ne soit pas ici : C:\UsbFix.txt

ghulit1602 · Answer

slt moi ossi j'ai le mm problem je c vraiment pas quoi faire SA M SAOULE!!!!!!!

jfkpresident · Answer

c'est vraiment très "'gonflant" et jfkpresident qui essayait de me guider semble très pris par sa famille et son boulot. 

non pas tout a fait ...En fait un bug permanent sur CCM m'empechait de voir certaines réponses qui auraient du s'afficher en gras  :(

étrange que tu ne trouve pas ce rapport de UsbFix ...

Télécharge Flash_Disinfector de sUBs ici 
: 
https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
. 
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : 
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok 

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!" 

Appuye sur "Ok", pour faire réapparaitre le bureau

jfkpresident · Answer

Comme un certain temps s'est écoulé entre les réponses je voudrais que tu me colle un nouveau log RSIT .

Utilise le site Cijoint pour me le faire parvenir .

jfkpresident · Answer

Branche tes DD externes et clés USB .

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe


:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e64234a-32df-11dd-af92-806e6f6e6963}]       

:files
F:\auto.exe       
:services

:commands
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Utilisateur anonyme · Answer

Salut ; 

L user est sous vista , demander d éxécuter usbfix avec les droit admin aurait été judicieux ..

Bonne suite ;)

jfkpresident · Answer

Coucou Cédric ;)

Ceci dis UsbFix peut fonctionner avec l'Uac actif...

Du coup j'ai pas pensé a le faire utiliser "en tant qu'admin.."  :(

jfkpresident · Answer

Tu t'es trompé de rapports ^^

jfkpresident · Answer

• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

jfkpresident · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

jfkpresident · Answer

j'espère qu'on va bientôt arriver au biout de ce ver ca çà commence vraiment à .......... 

Certaines désinfections sont quelques fois longues mais je ne voudrais pas te laisser repartir avec pc encore infecté -;)

Une derniere chose apres on conclut si tout va bien :

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X : https://www.bitdefender.com/toolbox/ 

la barre anti-popup du SP2 (en haut) va se mettre à clignoter, 
clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus. 
Une fois qu'il a terminé colle le rapport ici stp 

Copie/Colle le rapport 

tutoriel

jfkpresident · Answer

C'est tout bon ...On va pouvoir conclure :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

=========================

Désactive ta restauration systeme puis recréé un point de sauvegarde sain comme suit : https://wiki.securite-academie.fr/index.php/Tutoriaux_Les_points_de_restauration

========================

Installe Ccleaner si tu ne l'as pas déja :

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

Vu que tu utilises Bitorent ,je te conseille de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

Si tu as des questions ;n'hésites pas ..

jfkpresident · Answer

j'ai utilisé ccleaner comme tu me l'a s dit mais quand je clic quitter il ne mle donne pas le rapport. il s'affiche accès refusé. 

tu n'as pas besoin de rapport avec Ccleaner .

De plus l'adresse suivante wiki.securite-academie ...etc quand je clique dessus çà me dit connexion non sécurisée. dois je quand même poursuivre? 

Oui ,c'est un wiki publique ...c'est normal .

gaetko · Answer

jfk
comme je te l'avais au début, je  ne suis pas un crack de l'informatique, comment désactive t'on le système de restauration?.

jfkpresident · Answer

Regarde la : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

jfkpresident · Answer

Salut ,je ne comprend pas pourquoi tu n'arrive pas a activer le centre de sécurité puisque je ne vois aucunes traces de clés nocives qui le désactiverait ??!

Une question: est ce qu'en passant éventuellement au Windows 7 j'aurais encore ce pb car çà commence vraiment à me gonfler!!!!, excuse le terme. 

évidemment si tu réinstalle un nouvel OS ,le probleme ne se posera plus ..

jfkpresident · Answer

Je n'ai pas tout a fait saisi ...Tu me parle de disque D:\  puis de lecteur CD ??!

Si c'est bien du lecteur CD que tu parles ,je pense que windows 7 ne trouve pas la pilote compatible pour qu'il fonctionne sous cet OS .

Regarde ici si tu trouve ton bonheur .

jfkpresident · Answer

Salut ;

%APPDATA% est une variable qui correspond au dossier : c:\utilisateurs
om de session\AppData

Il faut afficher les fichiers et dossiers cachés pour y avoir acces .

Un début de solution ici ?

jfkpresident · Answer

Salut ,

Mes interventions ne s'affichent pas toujours .....:((

As tu essayé comme ceci :

Panneau de configuration > Paramètres système avancés > Variables d'environnement ensuite tu rentre ce chemin (différent sous 7,je pense) : C:\Utilisateurs\Gaetan\AppData\Roaming

Malware fraud.antivirus doktor

35 réponses

Discussions similaires

Newsletters