Infecté par doctor antimalware
noun73
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
mon ordi est infecté par ce malware, impossible de l'enlever;
Ca fait un moment que je parcours les forums, j'ai installé antimalware malware bytes, l ma trouvé les fichiers infectés, je les ai effacés, mais le doctor malware est toujours bien présent!
Je ne sais plus quoi faire, si quelqu'un peut m'aider...
je suis sous windows 7
mon ordi est infecté par ce malware, impossible de l'enlever;
Ca fait un moment que je parcours les forums, j'ai installé antimalware malware bytes, l ma trouvé les fichiers infectés, je les ai effacés, mais le doctor malware est toujours bien présent!
Je ne sais plus quoi faire, si quelqu'un peut m'aider...
je suis sous windows 7
8 réponses
-
Bonjour
On va faire une analyse de ton systéme.
* Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ).
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum -
-
Voilà le rapport,
il est en .doc, parce qu'en .txt, le site cijoint ne fonctionnait pas?!
http://www.cijoint.fr/cjlink.php?file=cj201010/cijyPEy3JR.doc -
A faire dans l'ordre.
1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
----------------------------------------------------------
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified
O4 - HKCU\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe
O4 - HKCU\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKCU\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe
O4 - HKCU\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [exe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\exe.exe
O4 - HKUS\S-1-5-18\..\Run: [10712151] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\10712151.exe
O4 - HKUS\S-1-5-18\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [exe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\exe.exe
O4 - HKUS\S-1-5-18\..\Run: [10712151] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\10712151.exe
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.)
O4 - Global Startup: C:\Documents And Settings\Gagou\Desktop\Corbeille.lnk - Clé orpheline
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Everest Poker
O64 - Services: CurCS - C:\Windows\system32\Drivers\appdrv01.sys - Application Driver (01) (appdrv01) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946}
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR
----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
======================================================
Lance Mbrcheck ( via le raccourci sur ton Bureau,)
ou
Télécharger, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:
* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe]
=> Sous XP : Double clique sur MBRCHeck.exe
=> Sous Vista/7 : Fais un clic droit sur MBRCheck.exe et sélectionne "Exécuter en tant qu'administrateur"
Une fenêtre s'ouvre :
* Si tu as un message de ce genre : Done! Press ENTER to exit...
Appuie sur Entrée
* Si tu as un message de ce genre : Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Appuie sur la touche N puis ur Entrée
? Un fichier texte de la forme MBRCheck_xx.xx.xx_xx.xx.xx s'est crée sur ton bureau, copie/colle son contenu dans ta réponse -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
le fichier zhp fix :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijMkYMOpB.doc
et le fichier MBR Check : http://www.cijoint.fr/cjlink.php?file=cj201010/cijlps5XAg.txt
je tiens à te remercier d'avance -
Colles les rapports a la suite du topic pour un meilleur suivis .
le rapport zhpfix est vide .Mets le rapport afin que je puisse constater ce qu'il a viré.
=>Relance l'outil MBRCheck.exe cette fois ci enregistrer sous | Bureau:
Tu verras ceci :
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Tape la lettre Y puis valide avec la touche [Entrée]
Ensuite, tu auras ceci :
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.
Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]
Ensuite, tu verras ceci :
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
Tape le chiffre 0 puis valide avec [Entrée]
Tu auras maintenant un choix à faire, avec des codes de MBR :
Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel
Vous devez choisir votre version de Windows à partir de la liste.
Pour exemple:
Entrer 0 ou 1 pour XP ou entrer 3 pour Vista.....etc. Appuyez sur Entrée.
Ensuite, tu verras ceci :
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:
Ici, tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]
En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."
Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 3 minutes. Après les 3 minutes, démarre la machine normalement, puis colles le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau). -
rapport zhp fix :
Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre :
Run by Gagou at 20/10/2010 20:18:50
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\Windows\system32\Drivers\appdrv01.sys - Application Driver (01) (appdrv01) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946} => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [exe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\exe.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [10712151] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\10712151.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe => Valeur absente
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe => Valeur absente
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.) => Valeur absente
========== Elément(s) de donnée du Registre ==========
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified => Donnée supprimée avec succès
========== Dossier(s) ==========
C:\Program Files (x86)\Everest Poker => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\users\gagou\appdata\local\temp\sarneomcwx.exe => Supprimé et mis en quarantaine
c:\bbotxxxxxx.exe => Supprimé et mis en quarantaine
c:\users\gagou\appdata\roaming\81d6477a34102b7d85e11c12835aa128\terrapoint700x0main.exe => Supprimé et mis en quarantaine
c:\users\gagou\appdata\local\temp\diskvate.dll => Supprimé et mis en quarantaine
c:\windows\temp\exe.exe => Supprimé et mis en quarantaine
c:\windows\temp\10712151.exe => Supprimé et mis en quarantaine
c:\documents and settings\gagou\desktop\corbeille.lnk => Supprimé et mis en quarantaine
========== Récapitulatif ==========
4 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
7 : Fichier(s)
End of the scan
maintenant, je m'attaque à la suite.-
-
-
* Télécharge :https://www.superantispyware.com/
* Choisis "enregistrer" et enregistre-le sur ton bureau.
* Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
* Créé une icône sur le bureau.
* Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
* Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
* Sous Configuration and Preferences, clique sur le bouton "Preferences"
* Clique sur l'onglet "Scanning Control "
* Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining
* Laisse les autres lignes décochées.
* Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
* Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
* Dans la colonne de gauche, coche C:\Fixed Drive.
* Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
* Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
* A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
* Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
* Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
* Pour recopier les informations sur le forum, fais ceci :
* après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
* Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
* Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
* Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
* Copie son contenu dans ta réponse.
* Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
* https://www.malekal.com/?s=SUPERAntiSpyware
-
-
j'ai l'impression que ça marche bien mieux maintenant.
le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijMOfzq3j.doc
Peux tu me dire si tout est ok maintenant ou s'il y a encore des manips à faire?
En tout cas, je ne peux que te remercier pour l'aide précieuse que tu m'as apporté. Ce sont des valeurs qui se perdent de nos jours.