Virus : antimalware doctor bloque tout

Résolu
Profil bloqué -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
un faux antivirus est arrivé sur mon ordi
il s'appelle "antimalware doctor"
il bloque tout
plus rien ne s'ouvre
une fenêtre s'ouvre sans arrêt pour me
demander de payer un antivirus
je fais quoi ?
merci beaucoup
bonne soirée
cloud9

24 réponses

  • 1
  • 2
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonsoir

    redémarrer le pc en mode sans échec avec prise en charge réseau

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    Télécharge rkill

    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:
    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.scr

    Rkill PIF: Rkill PIF:
    http://download.bleepingcomputer.com/grinler/rkill.pif
    http://download.bleepingcomputer.com/grinler/rkill.pif

    une fois qu'il aura terminé

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
    Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . ]Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
    Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0
    1. Profil bloqué
       
      bonjour encore !
      le rapport mbam est là :
      virus : antimalware doctor bloque tout
      comment je fais pour que tu vois celui que j'ai mis sur
      http://www.cijoint.fr/
      merci
      comment je vide la quarantaine ?
      0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    rkill sert à stopper provisoire le malware pour lancer ensuite MBAM

    les liens fournis sont à utiliser pour lancer rkill qui te fera apparaitre brèvement une fenetre noire signe d'une bonne exécution

    si le premier lien échoue, utiliser le suivant jusqu'à cet écran noir

    alors seulement apres cela enchainer avec la procédure MBAM
    0
    1. Profil bloqué
       
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4174

      Windows 5.1.2600 Service Pack 3 (Safe Mode)
      Internet Explorer 8.0.6001.18702

      07/06/2010 13:24:28
      mbam-log-2010-06-07 (13-24-28).txt

      Type d'examen: Examen complet (C:\|E:\|)
      Elément(s) analysé(s): 233421
      Temps écoulé: 27 minute(s), 58 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 26
      Valeur(s) du Registre infectée(s): 11
      Elément(s) de données du Registre infecté(s): 4
      Dossier(s) infecté(s): 5
      Fichier(s) infecté(s): 50

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{a3c36af2-b903-4bc0-94e6-3e9e37e7b167} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a3c36af2-b903-4bc0-94e6-3e9e37e7b167} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3c36af2-b903-4bc0-94e6-3e9e37e7b167} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3c36af2-b903-4bc0-94e6-3e9e37e7b167} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{71839465-e2ff-d68a-7cb8-f27a20928411} (Adware.Adrotator) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\CLSID\{71839465-e2ff-d68a-7cb8-f27a20928411} (Adware.Adrotator) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gotnewupdate000.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsfg9w8gujsokgahi8gysgnsdgefshyjy (Trojan.Downloader) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ihxsgpwd (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ihxsgpwd (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Agent) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gfctghfuqfdpdpdom (Trojan.Agent) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      C:\Documents and Settings\Michel\Application Data\SystemProc (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Application Data\SystemProc (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D} (Worm.Prolaco.M) -> Quarantined and deleted successfully.
      C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Worm.Prolaco.M) -> Quarantined and deleted successfully.
      C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Worm.Prolaco.M) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\Documents and Settings\Michel\Application Data\A177F624DDE81727C84F9E156C0A5CFB\gotnewupdate000.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\Bsl.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\winlogon.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Application Data\potpcthpl\pjcnutitssd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Application Data\asam.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\mmxpoeao.dll (Adware.EZlife) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Application Data\A177F624DDE81727C84F9E156C0A5CFB\gotnewupdate000.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\asam.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\syssvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\potpcthpl\pjcnutitssd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Bsk.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Bsl.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\hexdump.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\ieyih.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\lsass.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\nvsvc32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\wgvyd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\winamp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\winlogon.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\xksbnvznb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\DU6WSKSD\PLAY_MP3[1].exe (Adware.Agent) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\DU6WSKSD\PLAY_MP3[2].exe (Adware.PlayMP3) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Application Data\A177F624DDE81727C84F9E156C0A5CFB\hookdll.dll (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Application Data\syssvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Application Data\Mozilla\Firefox\Profiles\g9g6lftd.default\Cache\BB9D995Ad01 (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Application Data\Mozilla\Firefox\Profiles\g9g6lftd.default\Cache\F0C48634d01 (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\Bsk.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\hexdump.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\ieyih.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\lsass.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\nvsvc32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\wgvyd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\winamp.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\xksbnvznb.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\DU6WSKSD\PLAY_MP3[1].exe (Adware.Agent) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\DU6WSKSD\PLAY_MP3[2].exe (Adware.PlayMP3) -> Quarantined and deleted successfully.
      C:\WINDOWS\Blalya.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
      C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Worm.Prolaco.M) -> Quarantined and deleted successfully.
      C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Worm.Prolaco.M) -> Quarantined and deleted successfully.
      C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Worm.Prolaco.M) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\HelpAssistant\Local Settings\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Michel\Local Settings\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully.
      C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\reswgfbeceggm.dll (Trojan.Agent) -> Quarantined and deleted successfully.
      0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bien

    tu peux vider la quarantaine

    ensuite pour vérifier le pc

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)

    pour répondre utilises stp "j'ai une réponse"

    2)

    antimalware doctor bloque tout

    il a pourtant été en grande partie supprimé

    3)

    pour l'utilisation de ci joint, tu postes ici le lien qui a été crée sur ci joint à la dépose du rapport

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Profil bloqué
     
    Bonjour
    après avoir scanner avec malwarebytes je n'ai plus de
    mais j'ai un pb avec des fichiers manquants
    mmxpoeao.dll et ujiybuip.dll
    j'ai fais un scan avec zhp le rapport est ici
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijiQg2yh4.txt
    je ne sais plus quoi faire car ils sont toujours manquants
    et mon antivirus ne fonctionne plus
    merci encore et bcp
    cloud9
    0
  7. Profil bloqué
     
    Bonjour moments de grace
    maintenant que je sais faire, je poste !
    voici le rapport mbam
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijS6AzN5W.txt
    je ne sais plus quoi faire !!!
    comment puis je réinstallé ces fichiers manquants
    mmxpoeao.dll et ujiybuip.dll
    ou je les trouve ?
    merci bonne soirée
    cloud9
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    effectivement

    il reste pas mal d'infections

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets provisoirement internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  9. Profil bloqué
     
    bonjour moments de grace,
    merci de ton aide précieuse
    tu portes bien ton nom !!!
    j'ai téléchargé combofix
    voici le rapport
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijxnKwq9G.txt
    on dirait que tout va bien sur mon ordi
    je ne sais pas comment te remercier
    vraiment c'est extraordinaire ce forum
    avec des gens comme toi
    serviable, dévoué et très très compétent
    bonne journée
    Cloud9
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    (sourire)

    attention

    il reste des choses...

    1)

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cloud9, il n'est pas transposable sur un autre ordinateur !

    crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
    Copies y ce texte dedans et enregistres le

    KillAll::

    File::

    c:\windows\system32\jcwsbejiisgngkxly.exe
    c:\windows\system32\jarjukcm.exe

    Folder::

    c:\documents and settings\Michel\Application Data\Street-Ads
    c:\documents and settings\Michel\Local Settings\Application Data\potpcthpl
    c:\documents and settings\Michel\Application Data\Sky-Banners


    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
    http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

    ......................

    2)

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f
    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    0
  11. Profil bloqué
     
    Bonjour et merci
    je croyais que c'était bon !!!
    je fais ce que tu m'as dit mais il y a un truc qui gène un résidu de vieil antivirus bitdefender qui est là et que je ne sais pas comment virer
    du coup combofix ne veut pas s'exécuter
    l'installation à échouer
    merci
    je ne sais pas quoi faire !!
    merci
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      pour desinstaller bitdefender
      https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#bitdefender

      l'installation à échouer

      il n'y a rien à installer

      combofix ne veut pas s'exécuter

      il a pourtant fonctionné avant..?
      0
  12. Profil bloqué
     
    Bonjour
    finalement il a voulu faire ce scan voici le rapport ici
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijfRVmmJH.txt
    je continue avec mbr
    merci pour tout vraiment tu es trop sympa et patient avec moi !!!
    je te tiens au courant de la suite
    cloud9
    0
  13. Profil bloqué
     
    Bonjour
    voici le rapport de mbr.log

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    copy of MBR has been found in sector 0x012A14C00
    malicious code @ sector 0x012A14C03 !
    PE file found in sector at 0x012A14C19 !
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

    Par contre je n' ai pas eu ceci :
    En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

    donc qu'est ce que je dois faire maintenant ?
    est ce que c'est bon ?
    merci pour bitdefender j'ai enfin pu le virer
    merci bcp
    0
  14. Profil bloqué
     
    Bonjour, Moments de grace
    j'ai éteint et rallumé
    maintenant il me dit que le fichier
    eeqzrxgc.dll est introuvable !!!
    mais ça à l'air de fonctionner
    voila je m'en remet à toi car cela dépasse mes compétences !!
    merci encore bonne journée soirée même
    Cloud9
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    fais la suite

    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f
    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ...................

    2)

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cloud9, il n'est pas transposable sur un autre ordinateur !

    crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
    Copies y ce texte dedans et enregistres le

    KillAll::

    File::

    c:\windows\system32\qpjzvnhq.dll

    Folder::

    c:\documents and settings\Cathy\Application Data\Street-Ads
    c:\documents and settings\Cathy\Application Data\Sky-Banners


    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
    http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
    0
  16. Profil bloqué
     
    Bonsoir
    voici le rapport que tu me demandes
    je continue de faire la suite
    je te remercie infiniment

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    copy of MBR has been found in sector 0x012A14C00
    malicious code @ sector 0x012A14C03 !
    PE file found in sector at 0x012A14C19 !
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
    original MBR restored successfully !

    bonne soirée
    Cloud9
    0
  17. Profil bloqué
     
    Bonsoir
    tout c'est passé comme tu le disais
    voici le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijhUWZ595.txt

    et celui de mbr
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x012A14C00
    malicious code @ sector 0x012A14C03 !
    PE file found in sector at 0x012A14C19 !

    Mais j'ai toujours le même pb à savoir qu'au démarrage
    j'ai un avertissement de rundull qui me dit que
    le fichier ecqzrxgc.dll est introuvable

    merci beaucoup
    0
  18. cloud9
     
    Salut et
    excuses moi je me suis trompée
    c'est le fichier eeqzrxgc.dll au lieu de ecqzrxgc.dll
    qui manquent mille excuses encore et merci bcp
    ClouD9
    0
  19. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il doit rester quelque cles j'imagine

    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

    * Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

    * Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    eeqzrxgc.dll

    * Au niveau des " options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    * Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

    * Clique sur " Lancer la recherche " et laisse travailler l'outil ...
    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )


    Je cherche beaucoup...et maintenant je trouve !
    (sourire)
    0
  20. Profil bloqué
     
    Bonjour Moment de grace
    voici le rapport de SEAF
    il a été très court à faire ce rapport
    je en sais pas si c'est un élément important pour toi

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijrnVJFVG.txt

    encore merci beaucoup de ton aide
    Cloud9
    0
  21. Profil bloqué
     
    Bonjour Moment de grace
    le problème persiste toujours avec ce module manquant
    on dirait qu'il empêche l'antivirus de faire sa mise à jour
    si je demande une mise à jour manuelle il veut bien la faire
    (ce qui est un progrès par rapport à avant)
    mais à l'ouverture de la session il fait comme
    s'il faisait la mise à jour sans la faire et
    en affichant le message de rundll
    je ne sais pas quoi faire !!!
    j'attends ta réponse
    merci bcp
    Cloud9
    0
  • 1
  • 2