Sujet Précédent Sujet Suivant

Supprimer antimalware doctor! Comment faire?!

Résolu/Fermé
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012 - 4 oct. 2010 à 12:59
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012 - 5 oct. 2010 à 19:37
Bonjour à tous!
Bon voilà, mon problème est simple et pas très rare non plus mais j'ai été infecté par ce satané Antimalware doctor et mes connaissances informatiques sont quelque peu limitées!
Au début, au demarrage de mon ordinateur, juste après avoir tapé mon mot de passe pour ouvrir ma session, un truc du non de " Antispy safeware" se lancer (avant même que le bureau n'arrive) et me proposait un scan que j'étais obligée d'effectuer. Une fois le scan effectué, le bureau arrivait, et j'avais deux choix: "install heuristic module" ou "continue unprotected".

Tout ce petit cirque m'a empeché d'ouvrir presque tous mes explorateurs internet (IE, mozilla, safari, chrome) à part Browser. Pas possible de réinstaller Avast, ou encore de restaurer le système à l'aide du CD de restauration.
J'ai aussi remarqué l'apparition d'antimalware doctor sur mon pc.
J'ai cherché antispy safeware pensant le trouver sur mon pc mais il restait introuvable, ensuite j'ai essayé de désinstaller antimalware, mais sans succès également.

Ensuite j'ai téléchargé malwarebytes antimalware, effectué un examen rapide de mon ordinateur, et supprimé toutes les menaces. Mais elles n'ont pas toutes été supprimées par MBAM...

Et pour finir, j'ai essayé de le supprimer manuellement en recherchant tous les dossiers portant le nom du rogue qui m'a infecté et en les supprimant, j'ai aussi pensé à arreter le processus avec le gestionnaire de taches mais ne sachant pas le nom du processus d'antimalware, je n'ai rien pu faire.

Enfin bref, je vous envoi aussi le rapport que m'a donné MBAM à la fin de la suppression des menaces, et si vous avez une idée de comment m'aider, n'hesitez pas!
Merci!!!
Ah et à noter également qu'après le scan et la suppression de certaines menaces, "antispysafeware" n'apparait plus du tout pour l'instant, il ne reste qu'antimalware doctor.
Je peux également rouvrir le navigateur internet que j'utilisais (google chrome), mes téléchargement ont repris du poil de la bête, m'enfin je crois que mon ordi ne rame plus autant quoi...
Mais bon antimalware doctor lui, est toujours la...
A voir également:

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
4 oct. 2010 à 16:46
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

1
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 17:09
OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201010/cijc4qh4Ye.txt

Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201010/cijkjB3HvI.txt
0
Réponse 2 / 6
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 13:00
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4736

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

03/10/2010 23:14:19
mbam-log-2010-10-03 (23-14-19).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153352
Temps écoulé: 24 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 8
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 33
Valeur(s) du Registre infectée(s): 18
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 36

Processus mémoire infecté(s):
C:\Users\S.A.M\AppData\Roaming\hotfix.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Local\Temp\t811ipiyqm.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Local\Temp\x75im.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Local\Temp\x75im.exe (Malware.Packer.Gen) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Local\Temp\cmd.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Local\Temp\wininst.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Local\Temp\nvsvc32.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\Users\S.A.M\AppData\Roaming\sdra64.exe (Spyware.Zbot) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\Users\S.A.M\AppData\Local\Temp\r88dch9e.dll (Trojan.Downloader) -> Delete on reboot.
C:\Users\S.A.M\AppData\Local\Temp\tte5js.dll (Trojan.Downloader) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d8560ac2-21b5-4c1a-bdd4-bd12bc83b082} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shoppingreport (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cskcomka (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvifczkfgrawe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvhghfngeowc (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvifczkfgsqc (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvhghfngeo (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mwnacxesro.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvifczkfgrrb (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvifczkfgnz (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvhghfngnb (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvifczkfgsre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvhghfngruf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvifczkfgpw+ (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvhghfngsfp (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Spyware.Zbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Program Files\ShoppingReport\Bin (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Program Files\ShoppingReport\Bin\2.5.0 (Adware.ShopperReports) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\S.A.M\cskcomka.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Roaming\hotfix.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\r88dch9e.dll (Trojan.Downloader) -> Delete on reboot.
C:\Users\S.A.M\AppData\Local\Temp\t811ipiyqm.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\tte5js.dll (Trojan.Downloader) -> Delete on reboot.
C:\Users\S.A.M\AppData\Local\Temp\x75im.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\mwnacxesro.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\taskmgr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\cmd.exe (Trojan.Downloader) -> Delete on reboot.
C:\Users\S.A.M\AppData\Local\Temp\wininst.exe (Trojan.Downloader) -> Delete on reboot.
C:\Users\S.A.M\AppData\Local\Temp\nvsvc32.exe (Trojan.Downloader) -> Delete on reboot.
C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Windows\system32\Drivers\demuptio.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\n8xbm8zc.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\j739denrb6vaj5.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\talshpmt.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\p21rvcvfox.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\wrenocaxsm.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\yyed.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\iexplorer.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\omcarwxnes.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\7265.tmp (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\cmaroewxsn.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\404E.tmp (Trojan.Dropper.Gen) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\e2uhfpq.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\Temp\nsl5604.tmp\NSISdl.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Windows\Temp\nsq1981.tmp\NSISdl.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Windows\Temp\nsb659E.tmp\NSISdl.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\Program Files\ShoppingReport\Uninst.exe (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Roaming\jsdfgs.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Roaming\sdra64.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\S.A.M\AppData\Local\Temp\skaioejiesfjoee.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
4 oct. 2010 à 13:01
Salut,


Go go go !


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]combofix.exe[/url] et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 13:54
Alors, Antimalware avait déja desactivé avast, mais quand je lance Combofix, celui ci me dit que norton est toujours en cours (sachant que je n'ai jamais renouvelé norton depuis l'achat de mon ordinateur, et que celui ci est donc périmé...) dois-je le désinstaller?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
4 oct. 2010 à 13:58
c'pas grave continue.
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 14:13
Est ce que malwarebytes ou rkill ou autres peuvent interagir avec combofix comme Norton ou Avast?
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 14:13
PS: Merci pour l'aide, j'en ai vraiment besoin...
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 16:39
Alors, ça a été fait mais j'ai pas eu de rapport ... juste un message d'erreur de windows qui a fait redemarrer le PC... je vais reessayer en mode sans echec
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
4 oct. 2010 à 17:24
ha ouais mais tu m'étonnes que Combofix il plante, c'est le b*rdel là \o

T'as un rootkit et par dessus Norton Internet Security (et Norton Security Scan avec...) + Avast! :/

pitaing

Déjà tu choisis Avast! ou Norton et tu désinstalles un des deux.

Ensuite.... :

* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
demuptio
Files to delete:
C:\Windows\System32\drivers\demuptio.sys

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Relance Combofix et poste le rapport ici.


~~

Ensuite :

Relance OTL.
o sous Peronnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
O4 - HKCU..\Run: [smartcore70700bin.exe] C:\Users\S.A.M\AppData\Roaming\421CC4F1ADF8F862240337C2F7829963\smartcore70700bin.exe ()
O4 - HKCU..\Run: [uPc+nYyKfeefngbJsiv] C:\Users\SA2620~1.M\AppData\Local\Temp\tte5js.DLL File not found
O4 - HKCU..\Run: [uPc+nYyKfeefnRaaGuo] C:\Users\SA2620~1.M\AppData\Local\Temp\r88dch9e.DLL File not found

* redemarre le pc sous windows et poste le rapport ici


Ensuite :

T'as Search Settings / Dealio Toolbar , à désinstaller, cf : https://forum.malekal.com/viewtopic.php?t=21599&start=

et pendant que tu y es, fais du ménage dans ces barres d'outils qui doivent transformer ton navigateur WEB en sapin de noel et accessoirement le ralentir :

O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll (Symantec Corporation)
O3 - HKLM\..\Toolbar: (myBabylon English Toolbar) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (P2P Max France Toolbar) - {fe37be35-b028-49f9-bb0c-6a38c4e55b97} - C:\Program Files\P2P_Max_France\tbP2P1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (myBabylon English Toolbar) - {B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - C:\Program Files\myBabylon_English\tbmyBa.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (P2P Max France Toolbar) - {FE37BE35-B028-49F9-BB0C-6A38C4E55B97} - C:\Program Files\P2P_Max_France\tbP2P1.dll (Conduit Ltd.)


Poste les rapports.
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 17:49
Alors voilà d'abord le rapport de swandog.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "demuptio" deleted successfully.
File "C:\Windows\System32\drivers\demuptio.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
4 oct. 2010 à 18:57
Maintenant c'est combofix qui refuse de fonctionner correctement... j'ai droit à la barre de chargement, puis à ça:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijFWnKtIx.jpg

Puis plus rien la fenêtre bleue ne s'ouvre pas...

C'est vraiment désespérant...

(Merci de prendre le temps de m'aider en tout cas...)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
5 oct. 2010 à 00:00
Bha on va faire sans.

Refais un OTL pour voir s'il reste encore des trucs et après on fera un scan en ligne.
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 01:46
http://www.cijoint.fr/cjlink.php?file=cj201010/cij4BMqCAv.txt
voilà voilà!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
5 oct. 2010 à 09:34
T'as pas désinstaller Dealio et Search Settings v1.2.3
et t'as encore bcp de barre d'outils, tjrs P2P barre doutils.


Relance OTL.
o sous Peronnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.)
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [HWSetup] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - HKCU..\Run: [msdrm] File not found
O4 - HKCU..\Run: [smartcore70700bin.exe] C:\Users\S.A.M\AppData\Roaming\421CC4F1ADF8F862240337C2F7829963\smartcore70700bin.exe ()
O4 - HKCU..\Run: [TOSCDSPD] File not found
O4 - HKCU..\Run: [uPc+nYyKfeefngbJsiv] C:\Users\SA2620~1.M\AppData\Local\Temp\tte5js.DLL File not found
O4 - HKCU..\Run: [uPc+nYyKfeefnRaaGuo] C:\Users\SA2620~1.M\AppData\Local\Temp\r88dch9e.DLL File not found
:file
C:\Program Files\Search Settings
C:\Program Files\Dealio Toolbar

* redemarre le pc sous windows et poste le rapport ici

On va faire un scan en ligne ensuite, ça devrait rouler.
Histoire de voir les restes.

Le Pc va mieux ?

Fais un scan en ligne Kaspersky et envoie le rapport sur cijoint : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 13:43
C'est le PC familial donc y'a beaucoup de truc qui ne servent absolument à rien, je vais les desinstaller avant de lancer OTL !

Et Pour le PC, il rame un peu moins depuis la première analyse / suppression malwarebytes mais bon les fenetres intempestives d'antimalware doctor font vraiment perdre la tête...
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 14:10
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
File C:\Program Files\Search Settings\SearchSettings.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
File C:\Program Files\Search Settings\SearchSettings.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\HWSetup deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\msdrm deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\smartcore70700bin.exe deleted successfully.
C:\Users\S.A.M\AppData\Roaming\421CC4F1ADF8F862240337C2F7829963\smartcore70700bin.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\TOSCDSPD deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\uPc+nYyKfeefngbJsiv deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\uPc+nYyKfeefnRaaGuo deleted successfully.
Error: Unable to interpret <:file > in the current context!
Error: Unable to interpret <C:\Program Files\Search Settings > in the current context!
Error: Unable to interpret <C:\Program Files\Dealio Toolbar > in the current context!

OTL by OldTimer - Version 3.2.14.1 log created on 10052010_140756
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 16:17
Re bonjour! J'ai lancé le scan Kaspersky y'a un peu plus d'une heure maintenant et apparemment il est encore loin d'avoir fini, est-ce que c'est normal?
impression d'écran du scan: http://www.cijoint.fr/cjlink.php?file=cj201010/cijqsuEkJm.jpg
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 17:38
Wow, là pendant le scan kaspersky (ça faisait au moin deux heures qu'il était en route), une des fenêtres intempestives d'antimalware doctor est apparue et a fait bugué tout l'ordinateur, j'ai donc éteint et redemarré l'ordi, et la plus rien, plus de fenêtres antimalware doctor, et il est plus sur ma liste des programme (panneau de configuration) ... peut être que ça veut pas dire qu'il a disparu pour autant enfin je sais pas...
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
5 oct. 2010 à 18:34
yep ça peux être long le scan Kaspersky, c'normal :)
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 18:52
Ah d'accord mais pendant le scan une des fenêtres intempestives d'antimalware doctor est apparue et a fait bugué tout l'ordinateur, j'ai donc éteint et redemarré l'ordi, et la plus rien, plus de fenêtres antimalware doctor, et il est plus sur ma liste des programme (panneau de configuration) est-ce une victoire? :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
5 oct. 2010 à 18:53
ça pue être les suppressions OTL.

Ce serait bien de faire le scan Kaspersky quand mm histoire de, mais ça urge pas si tu peux pas ce soir :)
0
Ave Maria Messages postés 31 Date d'inscription lundi 4 octobre 2010 Statut Membre Dernière intervention 15 juillet 2012
5 oct. 2010 à 19:37
Oki je ferai ça quand j'aurais le temps, et je te le posterai!
0

Discussions similaires

Antimalware service Executable consomme 45% de RAM.
KalenShiv -
KalenShiv -

8 réponses