Infection malware doctor

[Résolu/Fermé]
Signaler
-
 Utilisateur anonyme -
Hello!!

J'ai un énorme problème concernant ce malware doctor , il me semble que ce problème revient souvent sur le forum, mais je savais pas si je pouvais appliquer n'importe quoi à mon ordi.

Je vous explique. Je laisse quelqu'un d'autre se rendre sur mon ordi dans la session Invité, et par hasard en entrant moi même dans la session je découvre des alertes de malware doctor je pense que c'est un logiciel, j'essaie de le supprimer et bien sur: Impossible.
Je fais des recherches et me rends compte que c'est un malware puissant qui peut dégrader ton ordi sauvagement, et pourtant je ne me suis jamais rendu compte de rien alors qu'il était la apparament depuis le 26/09

Maintenant j'essaie de le supprimer par Malwarebytes mais je n'y arrive pas; le logiciel a pourtant l'air de trouver un fichier infecté mais quand après la mise en quarentaine et la suppression je me rends compte que le malware est toujours là. J'ai tenté de le faire en mode sans échec mais je ne peux pas acceder à la session invité de cette manière, puis quand je lance Malwarebytes sur ma session normale il ne trouve rien.

Pour l'instant tout ce que j'ai pu faire c'est désactiver la session invité. Je flippe sincerement, quelqu'un pourrait me dire quoi faire pour m'en débarasser s'il vous plait ?

59 réponses

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
bonjour

redémarrer le pc en mode sans échec avec prise en charge réseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe
https://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.scr



une fois qu'il aura terminé


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. ]Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Bonjour!! Tout d'abord merci d'avoir répondu à ma detresse!
J'aurais juste une petite question avant de commencer à faire toutes ces manipulations, je le fais sur la session administrateur ou sur la session invité ou malware bytes détecté le probleme ?
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
=> session administrateur

Vala c'est fait!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4780

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

08/10/2010 19:40:44
mbam-log-2010-10-08 (19-40-44).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 288428
Temps écoulé: 35 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Invité\AppData\Local\Temp\Qbd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Invité\AppData\Local\Temp\Qbe.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Invité\AppData\Roaming\CB6CB97B6E80F65EC5695DEF1799D729\handlerfix70700en00.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Invité\AppData\Roaming\CB6CB97B6E80F65EC5695DEF1799D729\mainfull70707.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Public\Documents\Server\server.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Célestine\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
ok

tu peux vider la quarantaine

puis en mode normal

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)


Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


Voilà
|
v

http://www.cijoint.fr/cjlink.php?file=cj201010/cij6rLcZ71.txt
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
le reste du pc est plutôt bien


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)


Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Fais de même avec more.txt qui se trouve sur ton bureau

Juste pour etre sure; J'ai voulu désactiver mon pare-feu et y'avait marqué "ces parametres sont gérés par l'application du fournisseur McAfee Personal Firewall alors je l'ai désactivé sur McAfee, c'est bon hein ? Par ce que j'ai l'impression que McAfee lui est toujours activé à moins que en désactivant le pare-feu j'ai désactivé McAfee ?

Et Pis ptit en cliquant sur "search" de List_Kill'em j'ai eu le msg : "windows ne trouve pas list'em.bat verifiez que vous avez zntré le nom correct, puis réssayez" Je comprends pas trop :s
salut tu as lancé l installation en tant qu'admin aussi ?

j ai compris elle regarde dans le dossier demarrer/programmes....

ou alors directement executé d internet sans l enregistrer
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 636
tu as été dans ton disque dure systéme le C dans le dossier programmes sur xp c'est program files et dans le dossier de list&kill"em ??

sinon dans le dossier ou tu as trouver le list&kill"em que tu me dis tu clique droit sur list&kill"em et sur propriété comme cela tu aura le chemin ou il est installé !!

Merci à vous ça a marché! Par contre y'a pas moyen de désactiver McAfee qui veut pas donner son autorisation de démarrer, jpeux lancer la recherche en mode sans echec ?
Utilisateur anonyme
oui

Ok merci beaucoup ^^

Voilà ce que j'ai eu

Rapport : http://www.cijoint.fr/cjlink.php?file=cj201010/cijicLdCTz.txt

More : http://www.cijoint.fr/cjlink.php?file=cj201010/cijOZnfJbB.txt
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
hello les helpers !!

(sourire)

........................

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN


laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse




La encore pas moyen de faire clean quand je clique dessus, une fenêtre noire apparait et disparait aussitôt, j'ai même pas le temps de lire ce qu'il y marqué dedans, pourtant j'ai bien fait clique droit "executer en tant qu'administrateur"...
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
en mode sans echec comme tout à l'heure

Je suis restée en mode sans échec, et je peux pas y acceder...
Peut-être qu'il y a un chemin par le dossier List_kill'em ?_?
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
Excuse-moi mais ça veut dire qu'une fois que je suis dans le dossier je reclique sur List_kill'em avec le dessin d'engrenage comme pour l'étape précédente ?

Ah non, c'est bon j'ai trouvé pardon
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
oui en clic doit etc
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 636
NON pour le scan clean c'est del_reg lui aussi avec l'engrenage ; sinon tu vas relancer la recherche

Voili voilà

------------------------

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.9 ¤¤¤¤¤¤¤¤¤¤

User : Célestine (Administrateurs)
Update on 04/10/2010 by g3n-h@ckm@n ::::: 21.00
Start at: 23:59:53 | 08/10/2010

Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 232,88 Go (180,71 Go free) [WINDOWS] | NTFS
D:\ -> Disque fixe local | 232,49 Go (224,74 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤ Files/folders :


Quarantined & Deleted !! : C:\Windows\System32\log.txt
Quarantined & Deleted !! : C:\Windows\Temp\Cab7B96.tmp
Quarantined & Deleted !! : C:\Windows\Temp\dat3A33.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMI1E39.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMI21A3.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMI447E.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMI7389.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMICB88.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMICE84.tmp
Quarantined & Deleted !! : C:\Windows\Temp\DMIED89.tmp
Quarantined & Deleted !! : C:\Windows\Temp\E_S965.tmp
Quarantined & Deleted !! : C:\Windows\Temp\E_S985.tmp
Quarantined & Deleted !! : C:\Windows\Temp\GUR694C.tmp
Quarantined & Deleted !! : C:\Windows\Temp\GUR77EC.tmp
Quarantined & Deleted !! : C:\Windows\Temp\Tar7B97.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_204.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_4E4F.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_53AC.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_5D9C.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_60A9.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_629E.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_7303.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_77A6.tmp
Quarantined & Deleted !! : C:\Windows\Temp\TS_8241.tmp
Quarantined & Deleted !! : C:\Windows\Temp\ver21B8.tmp
Quarantined & Deleted !! : C:\Windows\Temp\ver3358.tmp
Quarantined & Deleted !! : C:\Windows\Temp\ver3365.tmp
Quarantined & Deleted !! : C:\Users\C'lestine\AppData\Local\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Users\C'lestine\Local Settings\Temp\OAU.log
Quarantined & Deleted !! : C:\Users\C'lestine\Local Settings\Temp\VP6.reg
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\EAD2D75.exe
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\EADAC07.exe
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\ose00000.exe
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\VP6Install.exe
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\_is89EF.exe
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\_is8BFA.exe
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\catchme.dll
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\UninstallEADM.dll
Quarantined & Deleted !! : C:\Users\C'lestine\LOCAL Settings\Temp\VP6VFW.dll
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$I74THBJ
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$ID0B0KO
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$IKW5Z0R.txt
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$ITCEVSL.jpg
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$IWWIESU.lnk
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$IYKJLTB.txt
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$RKW5Z0R.txt
Deleted !! : C:\$Recycle.bin\S-1-5-21-3281196454-1858286291-4274000369-1001\$RYKJLTB.txt

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop
Deleted : HKCU\Software\Conduit
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
Deleted : HKLM\Software\Conduit

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 3
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
impec et merci jacques , je ne connaissais pas le truc

Miss Nethelie

comment va le pc et tes soucis de départ ?
fais un nouveau rapport ZHPdiag

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message



Fait

http://www.cijoint.fr/cjlink.php?file=cj201010/ciji7ZZWYh.txt
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 252
comment va le pc et tes soucis de départ ?

Je suis retournée dans la session Invité ou le malware posait problème; il se trouve qu'une fenêtre ne s'affiche plus directe dès que la session est ouverte, mais en allant dans mes programmes je l'ai trouvé quand même et il affaichait cette fois être installé le 07/10/2010 soit hier (ou plutôt avant hier)...