Infecté par doctor antimalware

Fermé
noun73 - 20 oct. 2010 à 20:29
 Utilisateur anonyme - 21 oct. 2010 à 07:02
Bonjour,

mon ordi est infecté par ce malware, impossible de l'enlever;

Ca fait un moment que je parcours les forums, j'ai installé antimalware malware bytes, l ma trouvé les fichiers infectés, je les ai effacés, mais le doctor malware est toujours bien présent!

Je ne sais plus quoi faire, si quelqu'un peut m'aider...

je suis sous windows 7
A voir également:
  • Infecté par doctor antimalware
  • Pc doctor - Télécharger - Optimisation
  • Disk doctor - Télécharger - Récupération de données
  • Antimalware - Télécharger - Antivirus & Antimalwares
  • Car doctor - Télécharger - Vie quotidienne
  • Spyware doctor - Télécharger - Antivirus & Antimalwares

8 réponses

Utilisateur anonyme
20 oct. 2010 à 20:31
Bonjour

On va faire une analyse de ton systéme.


* Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ).
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
ok, merci pour ton aide,

je suis en train de dl le logiciel en question
0
Voilà le rapport,

il est en .doc, parce qu'en .txt, le site cijoint ne fonctionnait pas?!

http://www.cijoint.fr/cjlink.php?file=cj201010/cijyPEy3JR.doc
0
Utilisateur anonyme
20 oct. 2010 à 21:10
A faire dans l'ordre.

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified
O4 - HKCU\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe
O4 - HKCU\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKCU\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe
O4 - HKCU\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [exe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\exe.exe
O4 - HKUS\S-1-5-18\..\Run: [10712151] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\10712151.exe
O4 - HKUS\S-1-5-18\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [exe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\exe.exe
O4 - HKUS\S-1-5-18\..\Run: [10712151] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\10712151.exe
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.)
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.)
O4 - Global Startup: C:\Documents And Settings\Gagou\Desktop\Corbeille.lnk - Clé orpheline
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Everest Poker
O64 - Services: CurCS - C:\Windows\system32\Drivers\appdrv01.sys - Application Driver (01) (appdrv01) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946}
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR





----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
======================================================
Lance Mbrcheck ( via le raccourci sur ton Bureau,)

ou

Télécharger, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:

* http://www.geekstogo.com/forum/files/file/441-mbrcheck/

* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe

* http://www.kernelmode.info/MBRCheck.exe]



=> Sous XP : Double clique sur MBRCHeck.exe
=> Sous Vista/7 : Fais un clic droit sur MBRCheck.exe et sélectionne "Exécuter en tant qu'administrateur"

Une fenêtre s'ouvre :
* Si tu as un message de ce genre : Done! Press ENTER to exit...
Appuie sur Entrée
* Si tu as un message de ce genre : Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Appuie sur la touche N puis ur Entrée

? Un fichier texte de la forme MBRCheck_xx.xx.xx_xx.xx.xx s'est crée sur ton bureau, copie/colle son contenu dans ta réponse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
le fichier zhp fix :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijMkYMOpB.doc

et le fichier MBR Check : http://www.cijoint.fr/cjlink.php?file=cj201010/cijlps5XAg.txt

je tiens à te remercier d'avance
0
Utilisateur anonyme
20 oct. 2010 à 21:35
Colles les rapports a la suite du topic pour un meilleur suivis .
le rapport zhpfix est vide .Mets le rapport afin que je puisse constater ce qu'il a viré.

=>Relance l'outil MBRCheck.exe cette fois ci enregistrer sous | Bureau:

Tu verras ceci :
Found non-standard or infected MBR.



Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Tape la lettre Y puis valide avec la touche [Entrée]

Ensuite, tu auras ceci :
Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.



Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]


Ensuite, tu verras ceci :
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):


Tape le chiffre 0 puis valide avec [Entrée]


Tu auras maintenant un choix à faire, avec des codes de MBR :
Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel


Vous devez choisir votre version de Windows à partir de la liste.
Pour exemple:
Entrer 0 ou 1 pour XP ou entrer 3 pour Vista.....etc. Appuyez sur Entrée.

Ensuite, tu verras ceci :
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:


Ici, tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

...suivi de "Please reboot your computer to complete the fix."

Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 3 minutes. Après les 3 minutes, démarre la machine normalement, puis colles le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).
0
rapport zhp fix :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre :
Run by Gagou at 20/10/2010 20:18:50
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\Windows\system32\Drivers\appdrv01.sys - Application Driver (01) (appdrv01) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946} (appdrv01.fs.{A7E56839-0B44-4261-8167-6DCA58E79946}) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPDRV01.FS.{A7E56839-0B44-4261-8167-6DCA58E79946} => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Security Driver (secdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SECDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Security Processor Loader Driver (spldr) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPLDR => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [exe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\exe.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [10712151] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\10712151.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [sarneomcwx.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Local\Temp\sarneomcwx.exe => Valeur absente
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [bbotxxxxxx.exe] C:\bbotxxxxxx.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [terrapoint700x0main.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Gagou\AppData\Roaming\81D6477A34102B7D85E11C12835AA128\terrapoint700x0main.exe => Valeur absente
O4 - HKUS\S-1-5-21-4159272785-1885340863-1975231842-1000\..\Run: [SndVkill] rundll32 "C:\Users\Gagou\AppData\Local\Temp\diskvate.dll (.not file.) => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files (x86)\Everest Poker => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\gagou\appdata\local\temp\sarneomcwx.exe => Supprimé et mis en quarantaine
c:\bbotxxxxxx.exe => Supprimé et mis en quarantaine
c:\users\gagou\appdata\roaming\81d6477a34102b7d85e11c12835aa128\terrapoint700x0main.exe => Supprimé et mis en quarantaine
c:\users\gagou\appdata\local\temp\diskvate.dll => Supprimé et mis en quarantaine
c:\windows\temp\exe.exe => Supprimé et mis en quarantaine
c:\windows\temp\10712151.exe => Supprimé et mis en quarantaine
c:\documents and settings\gagou\desktop\corbeille.lnk => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
7 : Fichier(s)


End of the scan

maintenant, je m'attaque à la suite.
0
Utilisateur anonyme
20 oct. 2010 à 21:56
ok
0
mon ordi a fait 38 mises à jour;

je te mets le lien du rapport : http://www.cijoint.fr/cjlink.php?file=cj201010/cijTwLA7Xq.txt
0
Utilisateur anonyme
20 oct. 2010 à 22:32
* Télécharge :https://www.superantispyware.com/
* Choisis "enregistrer" et enregistre-le sur ton bureau.
* Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
* Créé une icône sur le bureau.
* Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
* Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
* Sous Configuration and Preferences, clique sur le bouton "Preferences"
* Clique sur l'onglet "Scanning Control "
* Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining
* Laisse les autres lignes décochées.
* Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
* Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
* Dans la colonne de gauche, coche C:\Fixed Drive.
* Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
* Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
* A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
* Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
* Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
* Pour recopier les informations sur le forum, fais ceci :
* après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
* Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
* Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
* Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
* Copie son contenu dans ta réponse.
* Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
* https://www.malekal.com/?s=SUPERAntiSpyware
0
j'ai l'impression que ça marche bien mieux maintenant.

le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijMOfzq3j.doc


Peux tu me dire si tout est ok maintenant ou s'il y a encore des manips à faire?

En tout cas, je ne peux que te remercier pour l'aide précieuse que tu m'as apporté. Ce sont des valeurs qui se perdent de nos jours.
0
Utilisateur anonyme
21 oct. 2010 à 07:02
Si ton pc fonctionne correctement de mon coté les derniers rapports sont propres.
0