Animalwar doctor ! Comment le supprimé ?!!! Fermé

Question

Bonjour, 

J'ai récemment attrapé le virus Animalwar doctor ! Comment puis-je l'enlever ? 
Merci d'avance !!


Configuration: Windows Vista / Firefox 3.0.19

kalimusic · Accepted Answer

Bonjour et bienvenue sur CCM,

Tu es infecté par un rogue (faux logiciel de sécurité). 

Imprime les instructions si tu peux car il est nécessaire de fermer toutes les fenêtres qui sont ouvertes pendant la procédure.

1. Télécharge rkill (de Grinler) sur le bureau.

!! Ne pas tenir compte des messages du rogue disant que rkill est infecté !!

    * Double-clique sur le rkill.exe 
    * Patiente pendant le travail de l'outil (le programme cherche et termine les programmes malveillants)
    * A la fin, la fenêtre noire va se fermer automatiquement et tu peux passer à l'étape suivante. 

!! Ne redémarre pas l'ordinateur après l'exécution de rkill sinon les programmes malveillants vont recommencer !!

Si rkill ne se lance pas, essaye les liens alternatifs suivants :
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com 

2. Télécharge MBAM  et installe le selon l'emplacement par défaut
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression 

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +

moment de grace · Answer

bonjour kali

je me retire..

bonne chasse



CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

powersky12 · Answer

Merci , je vais faire ça et je reviens vous prevenir !

jfkpresident · Answer

Salut a tous -;)

Doublon !!

Powersky12: reste sur celui-ci et n'ouvre aucuns autres topiques ...

kalimusic · Answer

Ok, 

N'hésite pas à me faire part d'éventuelles difficultés.

A +

moment de grace · Answer

et bien les choses sont ainsi tranchées...

merci Président !

powersky12 · Answer

Pardon pour le doublon :/
Donc oui excusez moi hier l'analyse prenant du temps je me suis endormi :S  mais voici le rapport

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4525

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

02/09/2010 07:43:18
mbam-log-2010-09-02 (07-43-18).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 305486
Temps écoulé: 1 heure(s), 32 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XBV6RD5SZF (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mediafix70700en02.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*upd_debug.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xbv6rd5szf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\metropolis (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\virginie\AppData\Roaming\1140B91353666268D1FAE08BFB601DEA\mediafix70700en02.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\virginie\AppData\Roaming\1140B91353666268D1FAE08BFB601DEA\upd_debug.exe (Malware.Packer.Gen) -> Delete on reboot.
C:\Users\virginie\AppData\Local\Temp\wxnocemsra.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Program Files\Cpuinf32.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uipl.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uiplA6.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uiplM5.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uiplM6.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\UIPLP5.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uiplP6.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uiplPX.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uiplW7.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uipp.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\uipp8x.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\virginie\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

vide la qurantaine

puis

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

kalimusic · Answer

Bonjour,

Malwarebytes a fait du ménage mais tu es bien infecté. Nous allons cet outil de diagnostic afin d'identifier les problèmes restant sur ton ordinateur. 

Télécharge OTL  (de OldTimer) sur ton Bureau.

 Ferme toutes tes applications en cours

    * Lance OTL.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation" , copie/colle la liste en citation :

netsvcs
drivers32
/md5start
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
vaxscsi.sys
nvatabus.sys
SiSRaid.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.  
* Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de  Extras.txt (réduit dans la barre des tâches) 
* Ne les poste pas sur le forum, ils seraient trop long 
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.

A +

powersky12 · Answer

Et voilà le lien :-)

http://www.cijoint.fr/cjlink.php?file=cj201009/cijT1aZYy6.txt

kalimusic · Answer

Powersky12,
Non laisse tomber, j'avais pas vu le message de mdg, Je croyais qu'il m'avait laissé la main.
Je vous salut tout les 2 et bonne continuation car je dois partir
Je te laisse entre 2 bonnes mains :)

powersky12 · Answer

Kali voici les liens de l'analyse :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijJwGLQz3.txt

http://www.cijoint.fr/cjlink.php?file=cj201009/cijlriOxRt.txt

moment de grace · Answer

il est gonfle ce Kali...(sourire)

bon je te laisse définitivement la main, mon zhp n'est pas complet et olt je suis pas bon

donc, c'est toi qui drive

@ powersky12

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

Miroir: 

https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

powersky12 · Answer

Voila le rapport : 


======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 01/09/10 à 16:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:37:17 le 02/09/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique  Service Pack 1 (X86) 
virginie@PC-DE-GINIE (eMachines eMachines E625) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
0,Dossier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\extensions	oolbar@ask.com
0,Fichier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\prefs.js.ask.bak
0,Fichier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\ask.uk.xml
0,Fichier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\cherche.xml
0,Fichier supprimé: C:\Users\virginie\scriptjava.html
0,Fichier supprimé: C:\Users\virginie	emp1.6
0,Dossier supprimé: C:\Program Files\Ask Search Assistant
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Users\virginie\AppData\Local\AskToolbar
0,Dossier supprimé: C:\Users\virginie\AppData\LocalLow\AskToolbar
0,Dossier supprimé: C:\Users\virginie\AppData\Roaming\DesktopIcon
3,Fichier supprimé: C:\Windows\Installer\1ac0310.msi 

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\Prefs.js --
Ligne supprimée: user_pref("extensions.asktb.cbid", "EV"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&... 
Ligne supprimée: user_pref("extensions.asktb.fresh-install", false); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1283351793609"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR"); 
Ligne supprimée: user_pref("extensions.asktb.nero.userName", ""); 
Ligne supprimée: user_pref("extensions.asktb.o", "101917"); 
Ligne supprimée: user_pref("extensions.asktb.options-lang", "fr"); 
Ligne supprimée: user_pref("extensions.asktb.options-locale", "UK"); 
Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.asktb.r", "2"); 
Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.5.2.106,illimitux@illimitux.net:3.2,{636fae0... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskSearchAsst
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
0,Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar (Error code: 1)

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.19 (fr)] **

-- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\Prefs.js --
browser.download.dir, C:\Users\virginie\Desktop
browser.download.lastDir, C:\Users\virginie\Pictures
browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.0.19
keyword.URL, hxxp://search.freecause.com/search?fr=freecause&ourmark=3&type=61101&p=

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\bc95t27t.default\Prefs.js --
browser.download.dir, C:\Users\Invité\Downloads
browser.download.lastDir, C:\Users\InvitÃ©\Downloads
browser.startup.homepage_override.mstone, rv:1.9.0.19

========================================

** Internet Explorer Version [7.0.6001.18000] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 132 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/09/2010 (7091 Octet(s)) 

Fin à: 12:40:06, 02/09/2010 
 
============== E.O.F ==============

kalimusic · Answer

Bonjour à tous,

il est gonfle ce Kali...(sourire) Attention, je n'ai pas beaucoup d'humour ;)

******************************

@powersky12

1. Relance OTL
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * L'interface principale s'ouvre :
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation :


:OTL
PRC - C:\Windows\Ugofed.exe (OpenSC Project) 
SRV - (Norton Internet Security) -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe File not found     
SRV - (ekrn) -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe File not found     
DRV - (SRTSPX) -- C:\Windows\System32\drivers\NIS\1000000.07D\SRTSPX.SYS File not found 
DRV - (SRTSP) -- C:\Windows\System32\drivers\NIS\1000000.07D\SRTSP.SYS File not found 
DRV - (NAVEX15) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS File not found     
DRV - (NAVENG) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS File not found      
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://ww12.cherche.us 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://ww12.cherche.us 
[2010/06/26 19:10:29 | 000,000,000 | ---D | M] -- C:\Users\virginie\AppData\Roaming\mozilla\Firefox\Profiles\6o285eeo.default\extensions	oolbar@ask.com     
[2009/07/28 15:21:48 | 000,001,681 | ---- | M] () -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\ask.uk.xml 
[2009/12/25 20:18:16 | 000,001,584 | ---- | M] () -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\cherche.xml 
[2010/06/16 19:07:16 | 000,001,734 | ---- | M] () -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\search-the-web.xml 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
O4 - HKCU\..\Run: [20W6RLKX65] C:\Users\virginie\AppData\Local\Temp\Ud2.exe (OpenSC Project) 
O13 - gopher Prefix: missing 
O15 - HKCU\..Trusted Domains: chat-land.org ([]* in Trusted sites) 
O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet) 
O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 

:Files
C:\Windows\Ugofed.exe 
C:\Windows\Ugofec.exe 
C:\Windows\Ugofeb.exe 
C:\Windows\Ugofea.exe 
C:\Users\virginie\AppData\Roaming\1140B91353666268D1FAE08BFB601DEA

:Commands 
[emptyflash]
[emptytemp]
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.   
    * Accepte en cliquant sur OK 
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément   
    * Copie/colle le dans ton prochain message   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. Télécharge et enregistre List_Kill'em (de gen-hackman)  sur le Bureau.

!! Important => Désactive ton antivirus !! 

    * Lance l'installation
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
     * Fait l'installation par défaut en cliquant à chaque fois sur suivant
    * Clique enfin sur "Terminer" et le programme va se lancer
    * Choisis l'option "Search"
    * Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
    * A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
    * Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
    * Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
    * Héberge le rapport sur http://www.cijoint.fr

A +

Animalwar doctor ! Comment le supprimé ?!!!

15 réponses

Discussions similaires