Virus antimalware doctor

bedaule Messages postés 24 Statut Membre -  
bedaule Messages postés 24 Statut Membre -
Bonjour,
J ai un reel soucis avec mon ordinateur en effet je suis infecté par ce fameux virus antimalware doctor . j ai parcouru plusieurs forums a ce sujet , quand je veux ouvrir un programme il me dit " security warning - application cannot be executed - the file xxx is infected; et bien sur je ne peux aller sur internet sauf pour m afficher des sites porno Oo

donc j ai voulu re demarrer le pc en mode sans echec et la impossible ......
sur mon pc au demarrage je tappotti sur la touche F8 (chose que je fait en temps normal) et la une page bleu inscrit _ atapi DVD A DH18A 1P ou bien ST 3250820AS
donc voyant ca j ai quitté et recommencé avec F2 et la bingoooo !!! j y connais rien page aussi inconnu je peux selectionne :

-standar CMOS setup - advanced setup - advanced chipset setup - integrated peripherals - power management setup - PCI / RNP setup - pc health status - load default settings -supervisor password - user password - save et exit setup -exit without saving

voila mon probleme je suppose et bien detailler je ne sais plus quoi faire merci de votre aide
je suis sous vista:

17 réponses

  1. sherred Messages postés 8605 Statut Membre 351
     
    salut
    si tu le veux , on peu essayer ca ensemble

    Télécharger Rkill de Grinler
    Pour arrêter temporairement l'infection,

    * Télécharge Rkill (de Grinler) sur ton Bureau. fait double clic pour le lancer.
    * Désactive ton antivirus
    * Double clique sur Rkill.exe pour le lancer (si tu es sous Windows Vista ou 7, lance le par un clic-droit --> exécuter en temps qu'administrateur)
    * Une fenêtre à fond noir (très rapide) va apparaître et se refermer.
    Elle indiquera que tout s'est bien déroulé

    Si tu n'arrives pas à le lancer, utilise un de ces deux autres liens :

    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    Ensuite, utilise aussitôt ce logiciel de désinfection
    .télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    ------------------------------
    NORMALEMENT a ce niveau , ca doit deja allez mieux, mais c'est pas fini

    -------------------------------

    * Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Rend toi sur Cijoint http://www.cijoint.fr/
    et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
    Un lien sera généré, copie et colle-le dans ta prochaine réponse.

    --------------------------------
    et soit patient , je te répondrais , soit dans la journée soit demain matin
    a moins qu'un helper prenne la suite
    0
  2. bedaule Messages postés 24 Statut Membre
     
    Impossible de desactiver l antivrus car antivir solution pro ( que je n ai pas telechargé) me bloque l acces et il faut que je paie pour debloquer tout. J ai souvent une bulle m indiquant windows security alerte comme quoi je ne peux pas ouvrir le fichier
    0
  3. sherred Messages postés 8605 Statut Membre 351
     
    tu arrive pas a telecharger Rkill ?
    et MBAM ?
    0
  4. bedaule Messages postés 24 Statut Membre
     
    rebonjour, je viens de telechargé rkill via une clé usb telechargé par un autre pc, je l ai mis sur le pc infecté et je l ai ouvert avec la clé usb. J ai donc rkill bloc note qui s est ouvert est ce que c est normal?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bedaule Messages postés 24 Statut Membre
     
    j avais deja malwarebytes sur mon pc, je ne peux pas faire la mise a jour puisque je n ai aucune connexion internet sur le pc infecté. Ma derniere version de malwarebytes date du 07/06/2010 est ce que je peux le lancer comme ca??
    0
  7. bedaule Messages postés 24 Statut Membre
     
    Voici le log de Malwarebytes

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4282

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18928

    07/08/2010 11:56:23
    mbam-log-2010-08-07 (11-56-23).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 124751
    Temps écoulé: 5 minute(s), 58 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmgdkhbf (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Céline\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Users\Céline\AppData\Local\hhtrsvyim\ammyqsdtssd.exe (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
    0
  8. bedaule Messages postés 24 Statut Membre
     
    je viens d effectuer le scan avec ZHPdiag, j ai enregistré le log sur mon bureau mais je n ai pas acces a internet pour le deposer sur internet. Est ce que je peux mettre le log sur la clé usb de maniere a deposer le log sur internet via un autre pc?
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      oui
      mais pourquoi tu n'a pas acces a internet
      0
  9. bedaule Messages postés 24 Statut Membre
     
    Petite erreur de ma part pour la connexion internet, ca c est bon. je viens de faire le transfert sur le site cijoint.fr seulement il me dise que : Les fichiers avec l'extension .exe ne peuvent pas être déposés . Je fais comment?
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      ben tu t'es trompé de fichier , c'est pas une extension exe mais .txt

      essaye de bien suivre les manips, normalement chaque phrase que je te note a une utilité
      sinon je me fatiguerai pas à l'écrire ;)

      * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
      * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
      et là il te propose d'enregistrer sous ce nom "ZHPDiag.Txt"
      sans doute dans tes documents , enfin tu peu l'enregistrer dans ton bureau si tu veux le retrouver plus facilement
      ensuite , Rend toi sur Cijoint http://www.cijoint.fr/
      et indique l'emplacement du rapport "ZHPDiag.Txt"à l'aide du bouton "Parcourir..sur tes documents ou ton bureau .....ce que tu aura choisi ." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
      Un lien sera généré, copie et colle-le dans ta prochaine réponse.
      0
  10. bedaule
     
    J avais suivi correctement les manipulations mais j ai du me tromper dans
    l emplacement. Le virus revient, il recommence a geler tout . voici le lien
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijgUPf17q.txt
    0
  11. sherred Messages postés 8605 Statut Membre 351
     
    oui on l'a paralysé mais pas tué

    en plus tu a plusieurs anti-virus , c'est une erreur....les antivirus se contredisent
    et au lieu d'améliorer ils ont tendance a annuler ta protection

    tu va suivre ceci dans l'ordre

    1

    Désactiver le TeaTimer de Spybot

    Pour désactiver le TeaTimer :
    => Ouvrir Spybot S&D
    => Dans le menu "Mode", séléctionner le mode avancé.
    => Une fenêtre demande confirmation cliquer sur "oui".
    => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
    => Cliquer sur Résident.
    => La partie Résident comporte deux lignes qui sont normalement cochées :
    *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

    * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

    => Décocher la ligne TeaTimer.
    => Redémarrer Spybot (le fermer et le réouvrir)
    => Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.

    2
    combofix
    Télécharge combofix.exe sur ton bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    double clique combofix.exe.
    touche 1 (Yes) pour démarrer le scan.
    une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve également ici : C:\Combofix.txt

    Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.

    arrête provisoirement les anti virus et autres protections pendant l'analyse
    durant la durée de l'analyse ne te sert pas de ton pc

    une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares
    sauf Spybot

    3
    repasse MBAM en mode rapide et poste également sont rapport , sauf si il n'a rien trouvé

    0
  12. bedaule Messages postés 24 Statut Membre
     
    Voici le log de combo, MBAM n a rien trouvé

    ComboFix 10-08-08.01 - Céline 09/08/2010 11:36:25.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.767.319 [GMT 2:00]
    Lancé depuis: c:\users\Céline\Desktop\ComboFix.exe
    SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\Céline\AppData\Roaming\102487063028963872707EBDC2E6F570
    c:\users\Céline\AppData\Roaming\102487063028963872707EBDC2E6F570\enemies-names.txt
    c:\users\Céline\AppData\Roaming\102487063028963872707EBDC2E6F570\local.ini
    c:\users\Céline\AppData\Roaming\102487063028963872707EBDC2E6F570\lsrslt.ini

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-09 au 2010-08-09 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-09 09:46 . 2010-08-09 09:46 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-08-07 10:03 . 2010-08-07 10:12 -------- d-----w- c:\program files\ZHPDiag
    2010-07-26 14:01 . 2010-07-26 14:01 -------- d-----w- c:\program files\iPod
    2010-07-26 14:01 . 2010-07-26 14:02 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-07-26 14:01 . 2010-07-26 14:02 -------- d-----w- c:\program files\iTunes
    2010-07-26 13:57 . 2010-07-26 13:58 -------- d-----w- c:\program files\QuickTime
    2010-07-26 13:52 . 2010-07-26 13:52 -------- d-----w- c:\program files\Bonjour
    2010-07-26 13:49 . 2010-07-26 13:49 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
    2010-07-20 15:20 . 2010-07-20 15:20 -------- d-----w- c:\program files\ESET
    2010-07-12 13:08 . 2010-08-03 16:49 -------- d-----w- c:\program files\Defraggler
    2010-07-12 11:32 . 2010-07-12 11:32 -------- d-----w- c:\program files\Quicksys
    2010-07-11 13:21 . 2010-07-11 13:29 -------- d-----w- c:\programdata\Nero
    2010-07-11 13:05 . 2009-09-04 15:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
    2010-07-11 13:04 . 2009-09-04 15:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
    2010-07-11 13:04 . 2008-10-15 04:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-09 09:27 . 2009-01-01 16:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-07-26 14:01 . 2009-01-10 12:26 -------- d-----w- c:\program files\Common Files\Apple
    2010-07-14 15:58 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-07-12 11:27 . 2009-05-29 16:43 -------- d-----w- c:\program files\CCleaner
    2010-07-11 15:26 . 2010-01-01 23:22 -------- d-----w- c:\programdata\Roxio
    2010-07-06 14:48 . 2007-01-19 02:53 -------- d-----w- c:\program files\Google
    2010-07-01 10:36 . 2010-01-03 13:45 -------- d-----w- c:\program files\Microsoft.NET
    2010-06-25 22:07 . 2007-01-19 11:23 683090 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-25 22:07 . 2007-01-19 11:23 129878 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-23 09:58 . 2010-06-23 09:58 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb6CD8.tmp.exe
    2010-06-18 15:21 . 2010-06-08 18:56 -------- d-----w- c:\program files\Common Files\Adobe AIR
    2010-06-18 13:10 . 2010-06-08 18:56 53632 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
    2010-06-18 07:21 . 2010-02-14 23:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-15 21:23 . 2010-06-15 21:12 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
    2010-05-26 17:06 . 2010-06-09 09:42 34304 ----a-w- c:\windows\system32\atmlib.dll
    2010-05-26 14:47 . 2010-06-09 09:42 289792 ----a-w- c:\windows\system32\atmfd.dll
    2010-05-21 12:14 . 2009-10-02 16:43 221568 ------w- c:\windows\system32\MpSigStub.exe
    2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-05-18 14:35 . 2010-05-18 14:35 197920 ----a-w- c:\windows\system32\dnssdX.dll
    2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2007-01-19 11:26 . 2007-01-19 11:26 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 1092152]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 3784704]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-08-25 221184]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2010-06-09 08:06 976832 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2010-06-17 06:24 40368 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
    2009-01-01 16:07 29744 ----a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
    2006-11-14 13:55 50736 ----a-w- c:\program files\Common Files\aol\1169174836\ee\aolsoftware.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)]
    2010-04-29 13:39 1090952 ----a-w- c:\program files\Malwarebytes' Anti-Malware\mbam.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
    2006-11-20 20:08 228088 ----a-w- c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
    2008-01-19 07:38 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile-based device management]
    2006-11-02 09:45 215552 ----a-w- c:\windows\WindowsMobile\wmdSync.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
    2008-01-19 07:33 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "<NO NAME>"=
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background
    "StartCCC"=c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "<NO NAME>"=
    "MSConfig"="c:\windows\system32\msconfig.exe" /auto
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
    "SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):37,8d,5b,43,c0,3d,ca,01

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
    R3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-01-01 29744]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-03-15 108289]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    WindowsMobile REG_MULTI_SZ wcescomm rapimgr
    LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    Contenu du dossier 'Tâches planifiées'

    2010-08-09 c:\windows\Tasks\Extension de garantie.job
    - c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-01-19 16:38]

    2010-08-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:44]

    2010-08-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:44]

    2010-08-09 c:\windows\Tasks\Recovery DVD Creator.job
    - c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-01-19 16:34]

    2010-08-09 c:\windows\Tasks\User_Feed_Synchronization-{32331E1F-2FDD-451A-99DB-34FD75003F33}.job
    - c:\windows\system32\msfeedssync.exe [2010-06-09 04:30]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.yahoo.fr/
    uInternet Settings,ProxyOverride = <local>
    uInternet Settings,ProxyServer = http=127.0.0.1:6522
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKLM-Run-EoEngine - (no file)
    MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
    MSConfigStartUp-IS CfgWiz - c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe
    MSConfigStartUp-OODefragTray - c:\program files\OO Software\Defrag\oodtray.exe
    ActiveSetup-ccc-core-static - msiexec

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-08-09 11:46
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
    "OODEFRAG11.00.00.01WORKSTATION"="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"
    .
    Heure de fin: 2010-08-09 11:51:05
    ComboFix-quarantined-files.txt 2010-08-09 09:51

    Avant-CF: 153 494 491 136 octets libres
    Après-CF: 153 420 701 696 octets libres

    - - End Of File - - 8AB95ADC2506A188AD5747358A833A43
    0
  13. sherred Messages postés 8605 Statut Membre 351
     
    et MBAM ?
    0
    1. bedaule Messages postés 24 Statut Membre
       
      il y a rien sur MBAM mais par contre je n arrive pas a metre la fin du log de combo fix ....
      0
  14. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut sherred,

    Quelques rapports ont été décoincés ;-).
    Bonne continuation.
    0
    1. bedaule Messages postés 24 Statut Membre
       
      désolée j ai fais que des bétises j'ai effacer les doublons
      0
    2. bedaule Messages postés 24 Statut Membre
       
      oui je viens de le voir a l instant ! merci !! :p
      0
  15. sherred Messages postés 8605 Statut Membre 351
     
    tu peu me refaire un ZHPDiag stp
    0
    1. bedaule Messages postés 24 Statut Membre
       
      tu l'as eu ?
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      non
      0
    3. bedaule Messages postés 24 Statut Membre
       
      il n y a pas un autre moyen de deposer le log ailleurs.. ici rien a faire ca ne fonctionne pas
      0
    4. sherred Messages postés 8605 Statut Membre 351
       
      je ne t'ai pas dit de le deposer ici

      fait comme la derniere fois

      http://www.cijoint.fr
      0
    5. bedaule Messages postés 24 Statut Membre
       
      oups pardon , voila

      http://www.cijoint.fr/cjlink.php?file=cj201008/cijzkEhAF6.txt
      0
  16. sherred Messages postés 8605 Statut Membre 351
     
    tu peu desinstaller Spybot Search & Destroy
    ca t'encombre inutilement

    ensuite Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-remover située sur ton bureau
    ? au menu principal choisi l'option "nettoyage"
    ? Postes le rapport qui apparait à la fin .

    --> le programme va travailler ...

    * Postes le rapport qui apparait à la fin

    ( le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.txt

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    puis
    clic droit sur le raccourci Ad-remover et choisi démarrer en tant qu'administrateur
    0
  17. bedaule Messages postés 24 Statut Membre
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:42:43 le 09/08/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    Céline@PC-DE-CÉLINE (Packard Bell BV ISTART C5055 AIO)

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Users\Céline\AppData\Roaming\EoRezo
    0,Dossier supprimé: C:\ProgramData\Viewpoint
    0,Dossier supprimé: C:\Program Files\Viewpoint

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.EB_ExplorerBar
    0,Clé supprimée: HKLM\Software\Classes\Toolband.EB_ExplorerBar.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.FH_HookEventSink
    0,Clé supprimée: HKLM\Software\Classes\Toolband.FH_HookEventSink.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.IPM_PrintListItem
    0,Clé supprimée: HKLM\Software\Classes\Toolband.IPM_PrintListItem.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_DialogEventsHandler
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_DialogEventsHandler.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_Launcher
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_Launcher.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_PrintManager
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PM_PrintManager.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_BindStatusCallback
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_BindStatusCallback.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_CancelButtonEventHandler
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_CancelButtonEventHandler.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_PrintDialogCallback
    0,Clé supprimée: HKLM\Software\Classes\Toolband.PR_PrintDialogCallback.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.TBToolband
    0,Clé supprimée: HKLM\Software\Classes\Toolband.TBToolband.1
    0,Clé supprimée: HKLM\Software\Classes\Toolband.UserOptions
    0,Clé supprimée: HKLM\Software\Classes\Toolband.UserOptions.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
    0,Clé supprimée: HKLM\Software\MetaStream
    0,Clé supprimée: HKLM\Software\Viewpoint
    0,Clé supprimée: HKCU\Software\EoRezo
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [8.0.6001.18928] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 41 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 09/08/2010 (5035 Octet(s))

    Fin à: 15:45:26, 09/08/2010

    ============== E.O.F ==============
    0
  18. sherred Messages postés 8605 Statut Membre 351
     
    comment ce comporte ton pc ?

    et a tu desinstaller Spybot Search & Destroy ?

    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
    1. bedaule Messages postés 24 Statut Membre
       
      Bien ecoute ca a l'air de fonctionner ... a part qu il choisit tout seul la page de démarrage d' I.E mais ce n'est qu un détail c'est pas grave ..
      Par contre pour spybot je peux le laisser ?? c'est pas une obligation de l enlever ?
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      c'est pas une obligation , c'est un conseil
      spybot est desuet et t'encombre, et n'empeche pas les infections , la preuve

      il ne supprime que quelques traces et cookies

      donc tu peu le garder ou le retirer , ca n'a aucune importance

      par contre pour la protection explorer et ta page de demarrage
      télécharge SpywareBlaster qui va t'aider à completer la protection de ton navigateur
      https://www.01net.com/outils/telecharger/windows/Securite/anti-spyware/fiches/tele28872.html
      Lancer SpywareBlaster, sélection de l'onglet Updates

      "puis cliquer sur Check for Updates
      pour la mise à jour des définitions comportant une base de données
      de signatures des contrôles AvtiveX hostiles connus"

      Après le téléchargement, cliquer sur Enable Protection for All Unprotected Items
      Ou lors d'une premier installation sans mise à jour de la base des définitions,
      cliquer sur Protection Status puis sur Enable All Protection ,
      Un fois que cela est fini vous allez voir 0 items have protections disabled
      -----------------------------
      un peu de nettoyage
      Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
      *Décocher dans le menu Options - sous-menu Avancé :
      Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
      tu fait le nettoyage
      Fichiers temporaires de Windows
      Cookies, cache, historique d'Internet Explorer, Opera et Firefox
      Documents récents de Windows
      et ensuite dans erreurs tu fait une réparation de la base de registre.
      https://www.malekal.com/tutoriel-ccleaner/
      ------------------------------

      et pour supprimer les log que l'on a utilisé
      sous xp et éventuellement vista
      ToolsCleaner, merci A.Rothstein & Dj Quiou,
      https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

      > http://pc-system.fr/
      qui va désinstaller les outils que l'on a utilisés
      qui peuvent être dangereux pour ton PC
      tu supprime tous ce qu'il trouve,,,,
      et tu en profite pour utiliser ces autre options
      dans cet ordre
      -corbeille
      -fichiers temp
      -pt restauration
      -sauv.registre
      0
    3. bedaule Messages postés 24 Statut Membre
       
      sinon que me conseil tu as la place de spybot ?
      sinon je te remercie beaucoup de ton aide precieuse !!
      0