Antimalware doctor!! à l'aide!!

Résolu
mary -  
 gen-hackman -
Bonjour,

je suis nouvelle et j'ai cherché des solutions avant de venir vous embeter mais j'en peux plus je vais jeter mon pc par la fenetre si ça continu!!!lol

j'ai chopé antimalware doctor en debut de soirée.

j'ai bien pris note que c'etait un virus et j'ai voulu tenter les differentes solutions que j'ai trouvé sur des forums mais c'est impossible, j'ai meme pas le temps de lancer un antivirus ou quoique se soit d'autre, mon ordi bug et me met toujours la meme petite fenetre :"applications cannot be executed the file avwsc.exe is infected . do you want to activate your antivirus software now?"
ce à quoi je repond non... j'ai raison ou pas???

je sais plus moi. parce que en plus j'ai aussi security suite qui viens me souler en plus!!!

et donc j'ai des pages de truc porno qui s ouvre seule, alors que je vais jamais sur ces sites!!! ça me gave à un point!!!!

pouvez vous m'aider??? mon mail c'est mary6535@hotmail.com

vous remerciant d'avance!!!

mary

28 réponses

  • 1
  • 2
  1. gen-hackman
     
    bonsoir :

    Télécharge rkill :

    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.scr
    ▶ http://download.bleepingcomputer.com/grinler/rkill.pif

    ▶ Enregistre-le sur ton Bureau

    ▶ Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)

    Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne se lance pas,

    change de lien de téléchargement.

    une fois qu'il aura terminé

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    ▶ laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    1
  2. mary
     
    mais je peux le faire en mode sans echec?? parce que en mode normal j arrive a rien...
    0
  3. gen-hackman
     
    mode sans echec avec prise en charge reseau
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. mary
     
    oui bon j'ai oublié de preciser , j suis pas tres douée en informatique, resultat j arrive pas a desactiver antivir, et je sais meme pas si j ai un pare feu....oui oui j ai honte.....;-(
    0
  6. gen-hackman
     
    desactiver antivir :

    clic droit sur le parapluie dans ta barre des taches , decoche activer AntivirGuard
    0
  7. mary
     
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij1NMKdnh.txt

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijdTTqlJJ.txt

    voila j espere que j ai tout fait comme il faut!!!;-)
    0
  8. gen-hackman
     
    bien

    telecharge ,enregistre sur ton bureau, execute avec le clic droit "executer en tant qu'administrateur" puis clique sur "Deactivate"

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/UAC_Control.exe

    ton pc va redemarrer

    ensuite :

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    observe ton bureau une icône "Script" s'est rajouté sur ton bureau

    ▶ crée un nouveau document texte sur ton bureau et copie/colle ce en gras si dessous :


    REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "bdihmfxw"
    FILE:C:\Users\marieludo\AppData\Local\ryobxwwtq
    FILE:C:\Users\marieludo\AppData\Roaming\DCCC339F4BFB93A99F29499A0CE3AD2C
    REM:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyServer"
    ADD:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyEnable" /t REG_DWORD /d 0


    ▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    ▶ effectue un glisser/deposer de ce fichier sur l'icone "Script"

    laisse travailler l'outil

    poste le resultat

    ▶ Ferme List_Kill'em

    Note : le rapport est aussi ici : ?:\Script_.txt

    <gras>ensuite :


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Clean

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    ¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤
    0
  9. mary
     
    il redemarre pas quand je fais deactivate... y a une fenetre noir qui s ouvre tres tres vite derriere et qui s en va aussitot, j ai pas le temps de voir ce que c'est!!
    est ce que je fais redemarrer??
    0
  10. gen-hackman
     
    oui
    0
    1. mary
       
      redemarrer tout court ou faut que je fasse sans echec ou normal?
      0
    2. gen-hackman
       
      tu l'as bien executé avec le clic droit "executer en tant qu'......" ???????
      0
    3. mary
       
      j'en profite pour une autre question en meme temps, le document texte je le fais sur un bloc note?? parce que je travaille sur oppenoffice , ça marche aussi?
      0
    4. mary
       
      bah oui mais il a pas voulu redemarrer... j suis desolée je doit paraitre bien novice!!lol merci en tout cas du temps que tu prends!!!
      0
  11. mary
     
    bon alors j en suis là: j'ai glissé deposé le fichier texte, une fenetre s est ouverte puis effacé apres quelque seconde, et la j ai plus rien.. je le trouve ou le rapport?? et je le poste dans ma reponse ou sur le lien comme tout à l heure?
    0
  12. gen-hackman
     
    dans ta reponse

    il est là :

    C:\Script_.txt
    0
  13. mary
     
    ¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

    User : marieludo (Administrateurs)
    Update on 05/09/2010 by g3n-h@ckm@n ::::: 08.15
    Start at: 03:14:19 | 07/09/2010

    Athlon(tm) Dual Core Processor 4050e
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18943
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local | 143,02 Go (77,64 Go free) [ACER] | NTFS
    D:\ -> Disque amovible | 3,76 Go (99,66 Mo free) | FAT32
    E:\ -> Disque fixe local | 144,89 Go (114,97 Go free) [DATA] | NTFS
    F:\ -> Disque amovible
    G:\ -> Disque CD-ROM

    Switch :

    ¤¤¤¤¤¤¤¤¤¤ Processes

    ¤¤¤¤¤¤¤¤¤¤ Added Keys

    ¤¤¤¤¤¤¤¤¤¤ Removed Keys

    ¤¤¤¤¤¤¤¤¤¤ File|Folder deleted

    ¤¤¤¤¤¤¤¤¤¤ Drivers deleted

    ¤¤¤¤¤¤¤¤¤¤ Object Restored

    ¤¤¤¤¤¤¤¤¤¤ Folder List

    ¤¤¤¤¤¤¤¤¤¤ Read File

    ¤¤¤¤¤¤¤¤¤¤ Sign control

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  14. mary
     
    ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.3 ¤¤¤¤¤¤¤¤¤¤

    User : marieludo (Administrateurs)
    Update on 05/09/2010 by g3n-h@ckm@n ::::: 08.15
    Start at: 03:16:22 | 07/09/2010

    Athlon(tm) Dual Core Processor 4050e
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18943
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local | 143,02 Go (77,64 Go free) [ACER] | NTFS
    E:\ -> Disque fixe local | 144,89 Go (114,97 Go free) [DATA] | NTFS
    F:\ -> Disque amovible
    G:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

    C:\Windows\System32\smss.exe ----720 Ko
    C:\Windows\system32\csrss.exe ----5688 Ko
    C:\Windows\system32\csrss.exe ----7668 Ko
    C:\Windows\system32\wininit.exe ----3748 Ko
    C:\Windows\system32\winlogon.exe ----4204 Ko
    C:\Windows\system32\services.exe ----5220 Ko
    C:\Windows\system32\lsass.exe ----2024 Ko
    C:\Windows\system32\lsm.exe ----3644 Ko
    C:\Windows\system32\svchost.exe ----5060 Ko
    C:\Windows\system32\svchost.exe ----5696 Ko
    C:\Windows\System32\svchost.exe ----31088 Ko
    C:\Windows\System32\svchost.exe ----6136 Ko
    C:\Windows\system32\svchost.exe ----16412 Ko
    C:\Windows\System32\svchost.exe ----8256 Ko
    C:\Windows\system32\svchost.exe ----12188 Ko
    C:\Windows\system32\svchost.exe ----5660 Ko
    C:\Windows\system32\svchost.exe ----9776 Ko
    C:\Windows\system32\svchost.exe ----5392 Ko
    C:\Windows\Explorer.EXE ----51284 Ko
    C:\Program Files\Windows Media Player\wmpnscfg.exe ----4208 Ko
    C:\Windows\system32\wbem\unsecapp.exe ----3924 Ko
    C:\Windows\system32\wbem\wmiprvse.exe ----5748 Ko
    C:\Windows\system32\cmd.exe ----2608 Ko
    C:\Windows\system32\wbem\wmiprvse.exe ----8836 Ko
    C:\Program Files\List_Kill'em\ERUNT.EXE ----4608 Ko
    C:\Program Files\List_Kill'em\pv.exe ----4372 Ko

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\ProgramData\LauncherAccess.dt
    Quarantined & Deleted !! : C:\Program Files\Mozilla FireFox\Components\AskSearch.js

    Quarantined & Deleted !! : C:\Windows\System32\_ISource.dll
    Quarantined & Deleted !! : C:\Windows\System32\_ISource30.dll
    Quarantined & Deleted !! : C:\Windows\Temp\27e7f895bda4481273474ead.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\29408e28a6050464523b37e6.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\3687ab7e44f668e9257dd6a6.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\4c83a7791dfb90ac73f65d52.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\4da9d1e3cde5eeb5c1ff1efa.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\5388fc7b440d50d637a7f6e6.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\5392bd3dd938ffb2c1327ea4.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\60ad8317a4f093e919a18f1.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\625211c89eb78da19120aca.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\62d64d4d5d5b3433dce825.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\639315fc828cd4517e0612b0.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\6ab954dee93dfb0e88de4413.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\796552781533c96f2e60d5be.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\8c4696aff32cfd72237257aa.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\b1d7e360de845636e7d01f84.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\b42e19b2932c08d69463884d.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\cdea1ed4323d430d81fe5fb1.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\dfee0a911d2c14b43348c2db.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\ea9381863c15119658fe4902.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\eda0f8dfe63afd41ddc3533a.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\f1f352c516c633ad4b81c0d0.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\fdcb66ae309a81a824f34e98.tmp
    Quarantined & Deleted !! : C:\Users\marieludo\AppData\Local\d3d9caps.dat
    Quarantined & Deleted !! : C:\Users\marieludo\AppData\Local\GDIPFONTCACHEV1.DAT
    Quarantined & Deleted !! : C:\Users\marieludo\LOCAL Settings\Temp\jre-6u20-windows-i586-iftw-rv.exe
    Quarantined & Deleted !! : C:\Users\marieludo\LOCAL Settings\Temp\nrxeswcaom.exe
    Quarantined & Deleted !! : C:\Users\marieludo\LOCAL Settings\Temp\sxcfgslr.exe
    Quarantined & Deleted !! : C:\Users\marieludo\LOCAL Settings\Temp\xarcosewmn.exe
    Quarantined & Deleted !! : C:\Users\marieludo\LOCAL Settings\Temp\MFPL7014.DLL
    Deleted !! : C:\$Recycle.bin\S-1-5-21-3918554763-1525867736-386816696-1000\$I0S0LXG.exe
    Deleted !! : C:\$Recycle.bin\S-1-5-21-3918554763-1525867736-386816696-1000\$INQ0QFE.txt
    Deleted !! : C:\$Recycle.bin\S-1-5-21-3918554763-1525867736-386816696-1000\$R0S0LXG.exe
    Deleted !! : C:\$Recycle.bin\S-1-5-21-3918554763-1525867736-386816696-1000\$RNQ0QFE.txt

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.hugedomains.com/domain_profile.cfm?d=duxet&e=com
    Local Page = C:\Windows\System32\blank.htm
    Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.google.com/?gws_rd=ssl
    Local Page = C:\WINDOWS\system32\blank.htm
    Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval = 0 (0x0)
    FirewallDisableNotify = 0 (0x0)
    AntiVirusDisableNotify = 0 (0x0)
    UpdatesDisableNotify = 0 (0x0)

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    Ndisuio : Start = 3
    EapHost : Start = 2
    Wlansvc : Start = 2
    SharedAccess : Start = 2
    windefend : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    Disk Cleaned
    anti-ver blaster : OK
    Prefetch cleaned
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    FEATURE_BROWSER_EMULATION | svchost :
    ====================================

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys
    kernel: MBR read successfully
    user & kernel MBR OK

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    je fais quoi maintenant??lol
    0
  15. gen-hackman
     
    tu as desactivé tes protections ?
    tu l as executé avec le clic droit executer en tant qu'administrateur ?
    0
  16. mary
     
    bon, je ne peux pas rester, j'ai un bébé qui va demander le biberon dans 3h alors faut que je dorme un peu!!!
    je laisse mon ordi tel quel, je reprendrais demain matin si tu m'a repondu!;-)
    en tout cas merci beaucoup pour tout!!
    a demain!!
    0
  17. mary
     
    j'suis la!!!lol
    bah ecoute oui je crois avoir fait comme tu as dit...
    quelque chose ne va pas???
    0
  • 1
  • 2