virus : antimalware doctor bloque tout Résolu/Fermé

Question

Bonjour, 
un faux antivirus est arrivé sur mon ordi
il s'appelle "antimalware doctor"
il bloque tout 
plus rien ne s'ouvre
une fenêtre s'ouvre sans arrêt pour me
demander de payer un antivirus 
je fais quoi ?
merci beaucoup
bonne soirée 
cloud9

Configuration: Windows XP / Firefox 3.6.3

moment de grace · Answer

bonsoir

redémarrer le pc en mode sans échec avec prise en charge réseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 

Rkill PIF: Rkill PIF: 
http://download.bleepingcomputer.com/grinler/rkill.pif 
http://download.bleepingcomputer.com/grinler/rkill.pif

une fois qu'il aura terminé


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. ]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

moment de grace · Answer

rkill sert à stopper provisoire le malware pour lancer ensuite MBAM

les liens fournis sont à utiliser pour lancer rkill qui te fera apparaitre brèvement une fenetre noire signe d'une bonne exécution

si le premier lien échoue, utiliser le suivant jusqu'à cet écran noir

alors seulement apres cela enchainer avec la procédure MBAM

moment de grace · Answer

bien

tu peux vider la quarantaine

ensuite pour vérifier le pc

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

moment de grace · Answer

1)

pour répondre utilises stp "j'ai une réponse"

2)

antimalware doctor bloque tout 

il a pourtant été en grande partie supprimé

3)

pour l'utilisation de ci joint, tu postes ici le lien qui a été crée sur ci joint à la dépose du rapport

cloud9 · Answer

Bonjour
après avoir scanner avec malwarebytes  je n'ai plus de
mais j'ai un pb avec des fichiers manquants
mmxpoeao.dll et ujiybuip.dll
j'ai fais un scan avec  zhp le rapport est ici
http://www.cijoint.fr/cjlink.php?file=cj201006/cijiQg2yh4.txt
je ne sais plus quoi faire car ils sont toujours manquants
et mon antivirus ne fonctionne plus
merci encore et bcp
cloud9

cloud9 · Answer

Bonjour moments de grace
maintenant que je sais faire, je poste !
voici le rapport mbam
http://www.cijoint.fr/cjlink.php?file=cj201006/cijS6AzN5W.txt
je ne sais plus quoi faire !!!
comment puis je réinstallé ces fichiers manquants
mmxpoeao.dll et ujiybuip.dll 
ou je les trouve ?
merci bonne soirée
cloud9

moment de grace · Answer

effectivement

il reste pas mal d'infections

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

cloud9 · Answer

bonjour moments de grace,
merci de ton aide précieuse
tu portes bien ton nom !!!
j'ai téléchargé combofix
voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201006/cijxnKwq9G.txt
on dirait que tout va bien sur mon ordi
je ne sais pas comment te remercier
vraiment c'est extraordinaire ce forum
avec des gens comme toi 
serviable, dévoué et très très compétent
bonne journée
Cloud9

moment de grace · Answer

(sourire)

attention

il reste des choses...

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cloud9, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


File::

c:\windows\system32\jcwsbejiisgngkxly.exe
c:\windows\system32\jarjukcm.exe   



Folder::

c:\documents and settings\Michel\Application Data\Street-Ads
c:\documents and settings\Michel\Local Settings\Application Data\potpcthpl  
c:\documents and settings\Michel\Application Data\Sky-Banners   


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

......................

2)

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f 
* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

cloud9 · Answer

Bonjour et merci
je croyais que c'était bon !!!
je fais ce que tu m'as dit mais il y a un truc qui gène un résidu de vieil antivirus bitdefender qui est là et que je ne sais pas comment virer
du coup combofix ne veut pas s'exécuter 
l'installation à échouer
merci
je ne sais pas quoi faire !!
merci

cloud9 · Answer

Bonjour
finalement il a voulu faire ce scan voici le rapport ici
http://www.cijoint.fr/cjlink.php?file=cj201006/cijfRVmmJH.txt
je continue avec mbr
merci pour tout vraiment tu es trop sympa et patient avec moi !!!
je te tiens au courant de la suite
cloud9

cloud9 · Answer

Bonjour
voici le rapport de mbr.log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x012A14C00 
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


Par contre je n' ai pas eu ceci :
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 

donc qu'est ce que je dois faire maintenant ?
est ce que c'est bon ?
merci pour bitdefender j'ai enfin pu le virer
merci bcp

cloud9 · Answer

Bonjour, Moments de grace
j'ai éteint et rallumé
maintenant il me dit que le fichier
eeqzrxgc.dll est introuvable !!!
mais ça à l'air de fonctionner
voila je m'en remet à toi car cela dépasse mes compétences !!
merci encore bonne journée soirée même
Cloud9

moment de grace · Answer

fais la suite

* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: "%userprofile%\Bureau\mbr" -f 
* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

...................

2)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cloud9, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::



File::

c:\windows\system32\qpjzvnhq.dll

Folder::

c:\documents and settings\Cathy\Application Data\Street-Ads
c:\documents and settings\Cathy\Application Data\Sky-Banners   


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

cloud9 · Answer

Bonsoir
voici le rapport que tu me demandes
je continue de faire la suite
je te remercie infiniment

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x012A14C00 
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

bonne soirée
Cloud9

cloud9 · Answer

Bonsoir 
tout c'est passé comme tu le disais
voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijhUWZ595.txt

et celui de mbr
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x012A14C00 
malicious code @ sector 0x012A14C03 !
PE file found in sector at 0x012A14C19 !

Mais j'ai toujours le même pb à savoir qu'au démarrage 
j'ai un avertissement de rundull qui me dit que
le fichier ecqzrxgc.dll  est introuvable

merci beaucoup

cloud9 · Answer

Salut et 
excuses moi je me suis trompée 
c'est le fichier eeqzrxgc.dll au lieu de ecqzrxgc.dll
qui manquent mille excuses encore et merci bcp
ClouD9

moment de grace · Answer

il doit rester quelque cles j'imagine 

Télécharge SEAF ( de C__XX ) sur ton bureau :  

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe  


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.  

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :  

eeqzrxgc.dll 


* Au niveau des " options des fichiers ", fait les réglages suivant :  
> A "Calculer le checksum" , choisis : MD5  
> Coche la case devant " Info. supplémentaire ".  
> Coche la case devant " Afficher les ADS "  

* Au niveau des " options du registre " :  
> coche " chercher également dans le registre "  

( ne touche à aucun autre réglage )  

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...  
( cela peut-être plus ou moins long suivant les cas ).  

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt ) 





Je cherche beaucoup...et maintenant je trouve !  
(sourire)

cloud9 · Answer

Bonjour Moment de grace
voici le rapport de SEAF
il a été très court à faire ce rapport
je en sais pas si c'est un élément important pour toi

http://www.cijoint.fr/cjlink.php?file=cj201006/cijrnVJFVG.txt

encore merci beaucoup de ton aide
Cloud9

cloud9 · Answer

Bonjour Moment de grace
le problème persiste toujours avec ce module manquant
on dirait qu'il empêche l'antivirus de faire sa mise à jour
si je demande une mise à jour manuelle il veut bien la faire
(ce qui est un progrès par rapport à avant)
mais à l'ouverture de la session il fait comme 
s'il faisait la mise à jour sans la faire et 
en affichant le message de rundll
je ne sais pas quoi faire !!!
j'attends ta réponse
merci bcp
Cloud9

moment de grace · Answer

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cloud9, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Registry::

[HKEY_CLASSES_ROOT\AppID\{84C3C236-F588-4c93-84F4-147B2ABBE67B}\apps\{38061EDC-40BB-4618-A8DA-E56353347E6D}]""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{84C3C236-F588-4c93-84F4-147B2ABBE67B}\apps\{38061EDC-40BB-4618-A8DA-E56353347E6D}]""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"skb"=-




* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

.........................

2)

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/...

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer Shortcut
 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

cloud9 · Answer

Bonjour
j'ai fais exactement ce que tu m'as dit
voici le premier 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijvfDuUAe.txt
et le deuxième 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlxm3m2P.txt
est ce que tout est bon ?
il semblerai qu'il n'y ait plus de module manquant 
j'attends ta réponse pour mettre le sujet "résolu"
en tout cas je te remercie infiniment
tu es vraiment extraordinaire
merci encore
Cloud9

moment de grace · Answer

je ne suis pas sûr que la manoeuvre combofix est fonctionné

sinon

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

....................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

.................

si apres tout ca plus le message d'erreur

alors nous finaliserons ton sujet avant de le mettre comme résolu

cloud9 · Answer

Salut 
et merci encore
il n'y avait plus de message d'erreur
j'ai pensé que c'était bon
j'ai donc ramené l'ordi à ma mère
on va voir si tout se passe bien
sinon je ferai ce que tu me dis
je marque le message comme résolu
bonne soirée
merci
ClouD9

Virus : antimalware doctor bloque tout

24 réponses

Discussions similaires