Sujet Précédent Sujet Suivant

Virus dr guard

Résolu/Fermé
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010 - 1 mars 2010 à 22:29
 Caroline - 13 mars 2010 à 21:38
Bonjour,
aujourd'hui je travaillais sur le pc windows xp d'une amie
et j'ai chopé dr guard...
je dois absolument faire un montage pour demain
et je ne dois perdre aucune donnée! ahi ahi ahi ahi...
Je n'ai pas l'habitude de windows.
au débout j'ai essayé de désinstaller,
j'ai supprimer le fichier drguard.exe....rien!
J'ai lu le tutoriel, je suis en mode sans échec
autrement l'ordi se bloque en me bombardant de fenêtres au démarrage.
j'ai installé malaware et déjà effectué une recherche rapide,
je joins après le rapport.
je suis en train d'effectuer une recherche complète.
La question est:
est-ce que je supprime le fichiers en quarantaine?

Merci beaucoup,
vous faites un boulot énorme!

PREMIER RAPPORT:


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

01/03/2010 22:05:02
mbam-log-2010-03-01 (22-05-02).txt

Type de recherche: Examen rapide
Eléments examinés: 105089
Temps écoulé: 3 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
D:\WINDOWS\system32\q62oodsy.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
D:\Documents and Settings\All Users\Application Data\81890430 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
D:\WINDOWS\system32\q62oodsy.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\RECYCLER\S-1-5-21-8305405887-3471156058-896259140-4692\nissan.exe (Worm.Autorun.B) -> Delete on reboot.
D:\WINDOWS\system32\q9na7pqc.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\yx8ufbbj.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\dhdhtrdhdrtr5y (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
A voir également:

87 réponses

Précédent
Réponse 41 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 22:30
Que faire?
0
Réponse 42 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 22:32
Re,


maintenant , on bosse en mode normal ! ... cela derviat fonctionner ...



dans l'ordre :


1- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
d:\documents and settings\All Users\Application Data\fiosejgfse.dll
d:\documents and settings\sbettius 2\Application Data\pdytbs.dat

Folder::
d:\windows\_VOIDfqqmqipjki



* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


==========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 43 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 22:45
en mode normal l'ordi est toujours bloqué

- fond d'écran bleu
- souris qui bouge, mais ce qui est ouvert reste figé.
- je ne peux pas ni me déconnecter, ni bloquer toutes les défenses.

Je fait la manipulation en mode sans échec avec réseau?


merci, merci, merci
0
Réponse 44 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 22:47
qu'est-ce que tu en dis si je désinstalle complétement Avast
et je télécharge pour l'installer après Avira?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 22:53
re,


1 - On ne touche pas aux AV avec un PC instable !!!


2- fais la manipe en mode sans échec ... on avisera ensuite ...


poste les rapports demandés ...


c'est vraiment le merdier cette affaire ....


0
Réponse 46 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 22:53
wow.....
je dois me déconnecter et continuer comme tu as dit?

je désinstalle avast?
0
Réponse 47 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 22:55
re,

je dois me déconnecter et continuer comme tu as dit?

je désinstalle avast?


?????


tout est dis ici > https://forums.commentcamarche.net/forum/affich-16834145-virus-dr-guard?page=3#47


0
Réponse 48 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 22:56
on dirait on miracle.
je continue comme tu as indiqué,
mais j'ai envie d'enlever avast....
c'est inutile?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 22:58
tu ne désinstalles pas Avast !!!! .... c'est clair non ? ...


tu le désactives si tu peux et tu lances la manipe en mse ....


et qu'entends tu par "miracle" ?


0
Réponse 49 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:04
alors,
l'ordi s'est débloqué comme par magie et l'icône avec comme trois ordis en réseau est apparue.
- retour de la barre des tâches et ses icônes.
- je peux utiliser l'ordi!
- j'ai arrêté avast et toutes les options au démarrage:

ETAT DE PROTECTION Arrêté.
J'ai désactivé le pare-feux.

Prêt à faire ce que tu m'a dis,
c'est cool si tu peux me dire ok!

j'imagine qu'il faut de la patiente pour toi....
merci!....
0
Réponse 50 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 23:07
Prêt à faire ce que tu m'a dis,
c'est cool si tu peux me dire ok!


ouf .... vas-y , envoye la sauce ! ....


Puis poste moi les rapports demandés ...
0
Réponse 51 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:29
Le scan Combo s'est lancé,

l'ordi a coomencé à s'eteindre.

maintenant:

ecran bleu avec:

"DRIVER_IRQL_NOT_LESS_OR_EQUAL
Si vous voyez cet écran d'erreur.......
Contactez votre....

J'éteinds avec interrupteur et rallume?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 23:34
non ...


y a pas d'autre possiblité ? ....


0
Réponse 52 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:35
la page figé et l'ordi ne bouge pas....
ne s'eteint ni travaille pas
??????
ach du scheisse
0
Réponse 53 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 23:38
grrr ... :(


redémarre manuellement ...


poste moi le rapport Combofix si possible ....


0
Réponse 54 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:41
Voilà ce qui affiché en bas de page:

Informations techniques:
***STOP: 0x000000D1 (0xF79572A4, 0x000000FF, 0x00000000, 0xF79572A4)

*** mbr.sys - Address F79572 base at F79572A4, DateStamp 00000000
*** mbr.sys - Address F79572 base at F79572A4, DateStamp 00000000

Début du vidage de la mémoire physique.
Vidage de la mémoire physique terminée.
Contacter votre.....pour plus

Je pensais qu'on y était....
0
Réponse 55 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:41
ok je redemarre et je cherche le rapport
0
Réponse 56 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 23:43
bon ...


ça pu le prb matériel ...


tu es arrivé sur ton bureau ? ....


0
Réponse 57 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:47
j'ai redémarré,
ça paraissait mieux, une icone de plus (croix rouge protection) sur la barre des tâches.
j'ai ouvert le poste de travail pour chercher le rapport,
et voilà à nouveau une fenêtre bloqué....
ordi qui bloque!
.....
ahi ahi ahi ahi....

que faire?
(a part balancer l'ordi par la fenêtre, me fâcher avec mon amie et ne pas avoir de montage demain?)
0
Réponse 58 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mars 2010 à 23:49
Re,


pour ces histoires de bloquage ... patiente ! ... la fenètre va s'ouvrir ....

( je pense qu'il y a un prb matériel en plus ... )



0
Réponse 59 / 87
frati Messages postés 60 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 5 mars 2010
2 mars 2010 à 23:55
ordi débloqué,
pourquoi il se débloque d'un coup?
je peux travailler tant qu'il marche?
faire une copie des fichiers sur disque externe?
0
Réponse 60 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mars 2010 à 00:03
re,

faire une copie des fichiers sur disque externe?


le soucis , c'est que tu as une infection à ce niveau là , et je ne suis pas sûr qu'elle soit complètement erradiqué ...



j'aimerai essayer la partition avec Vista pour voir ...

dis moi si tu rencontres les même blocages ... fait moi un scan ZHPdiag depuis là bas et poste moi rapport obtenu ....



0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Musique Générique Dr House
Tekalex -
bloodist -

28 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Musique Générique Dr.House
pitchounou38 -
vincent -

4 réponses