virus antimalware doctorRésolu/Fermé

Question

Bonjour, 

J'ai un problème avec le virus Antimalware doctor. J'ai utilisé MBAM mais le virus est toujours là. Il existerait une technique avec OTL.
Quelqu'un pourrait me renseigner. 
Merci d'avance !

Configuration: Windows XP / Firefox 3.6.11

Utilisateur anonyme · Answer

bonjour,
* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

slideurpro · Answer

Voilà j'ai fait ce que vous m'avez dit
http://www.cijoint.fr/cjlink.php?file=cj201010/cijj9jV4zS.txt
Voici le rapport
Merci de votre aide

Utilisateur anonyme · Answer

ceci va neutraliser une partie du rogue, on traite le reste après :

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

O4 - HKCU\..\Run: [badoversion707001000lux.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\DAMIEN\Application Data\D56E4A4F479C1F1385FCD3080617FCA3\badoversion707001000lux.exe  

O4 - HKUS\S-1-5-21-2949387110-2062273041-2037677758-1005\..\Run: [badoversion707001000lux.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\DAMIEN\Application Data\D56E4A4F479C1F1385FCD3080617FCA3\badoversion707001000 

O42 - Logiciel: Antimalware Doctor - (.Pas de propriÃ©taire.) [HKCU] -- Antimalware Doctor  
[HKCU\Software\Antimalware Doctor Inc]




---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

slideurpro · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijzSJGfwC.txt

Voilà le deuxieme rapport j'ai eu des bugs pour nettoyer, plusieurs logiciels ont cherchés à se désinstaller.
enfin bon j'ai quand même le rapport

Utilisateur anonyme · Answer

on va l'attaquer comme il le faut, il résiste !!!

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

slideurpro · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijte12134.txt

Voilà le texte de combofix le rogue a l'air d'avoir disparu mais bon ne m'y connaissant pas assez je demande confirmation ^^

Utilisateur anonyme · Answer

oui, mais il a bien infecté le pc !

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

* Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

slideurpro · Answer

Bonjour,
Désolé de répondre aussi tard mais j'ai eu des problèmes avec Mozilla Firefox, il ne veut pas se redémarrer. Il me donne cela  comme rapport d'erreur.

"Add-ons: {20a82645-c095-46ed-80e3-08825760534b}:1.2.1,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,jqs@sun.com:1.0,{AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198,fbjmpas1@fbext.fr:1.1.1,fbosef1@fbext.fr:1.1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.11
BuildID: 20101012113537
CrashTime: 1287916298
EMCheckCompatibility: true
FramePoisonBase: 00000000f0de0000
FramePoisonSize: 65536
InstallTime: 1287668544
ProductName: Firefox
ReleaseChannel: release
SecondsSinceLastCrash: 541
StartupTime: 1287916298
Theme: classic/1.0
Throttleable: 1
URL: 
Vendor: Mozilla
Version: 3.6.11

Ce rapport contient également des informations techniques sur l'état de l'application lors du plantage."

Mais sinon j'ai toujours mon problème avec le antimalware doctor
Voici le rapport que vous m'aviez demander avec doctorWeb

http://www.cijoint.fr/cjlink.php?file=cj201010/cij6z54S5g.txt

Utilisateur anonyme · Answer

bonjour,
les fichiers système ont été patchés, du coup, il va falloir tout nettoyer comme il faut,

je t'ai demandé un scan de DR web, pas un rapport de MBAM  :-)

relance MBAM, vide sa quarantaine, fais une mise à jour et lance un autre scan complet, s'il trouve des choses, mets tout en quarantaone, poste son rapport

slideurpro · Answer

Voilà j'ai fait tout ça voici le rapport 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijs2yHZcC.txt

merci encore

Utilisateur anonyme · Answer

relance à nouveau MBAM, vide sa quarantaine, refais une mautre mise à jour et relance un autre scan complet  :-)

on va l'avoir  ;-)

slideurpro · Answer

Bon MBAM n'a rien détecté mais des problèmes persistent notamment avec EPLORER celui-ci a du mal à s'exécuter au démarrage et impossible de le relancer via le gzstionnaire des tâches. Il faut que je me log vite au démarage pour que le bureau se lance. Mozilla firefox ne veut plus redémarrer je pense qu'il faut que je le réinstalle. Mais pour explorer c'est quand même plus chiant, dailleurs au démarage il me propose de booter sur un windows recovery  en m'indiquant "(débogage activé) "un truc dans ce style.
Voici quand même le dernier rapport de MBAM
http://www.cijoint.fr/cjlink.php?file=cj201010/cij6Mdc1Yw.txt

Utilisateur anonyme · Answer

c:\windows\system32\winlogon.exe . . . est infecté!! 

c:\windows\explorer.exe . . . est infecté!! 

antimalaware doctor a patché tes fichiers de windows !

les outils désinfectent mais il se peut que ton système soit endommagé !

Télécharge SEAF.exe (de C_XX) sur ton bureau. 

? Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) . 

? Coche les cases: 
- Chercher également dans le registre 
- Informations supplémentaires 


? Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] : 

explorer.exe 


? Patiente pendant la recherche, et ne touche a rien ... 

? Une fenêtre avec un log .txt va s'afficher. 

? Copie/colle ce rapport dans ta prochaine réponse.

Tuto :
https://forum.pcastuces.com/default.asp



recomence l'opération avec ceci :

winlogon.exe

slideurpro · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijVjxCcLy.txt 

voilà le rapport pour explorer.exe

http://www.cijoint.fr/cjlink.php?file=cj201010/cijH7YMn1S.txt 

et celui pour winlogon.exe

Utilisateur anonyme · Answer

tu es sous xp familiale sp3 ?

slideurpro · Answer

XP pro SP3

Utilisateur anonyme · Answer

bizzare que tu n'as pas de répertoire i386 pour les fichiers seins !!!

il va falloire remplacer ces fichiers, je peux te les donner depuis mon pc de boulot sous xp sp3 si tu es d'accord  :-)

slideurpro · Answer

ok no pb comment tu me les passe? tu pourras les avoir que demain au boulot c'est ça?

Utilisateur anonyme · Answer

j'ai mon portable de boulot,
je les transfère sur une clé usb, héberge sur Cijoint ou autre site, à voir,
tu les télécharges sur ton bureau, puis on les remplace avec un logiciel  :-)


juste le temps de redemarrer mon pc  :-)

slideurpro · Answer

ok ça me va !!

Utilisateur anonyme · Answer

enregistre ces fichiers sur ton bureau :
http://ww38.toofiles.com/fr/oip/documents/exe/3960_explorer.html

http://ww38.toofiles.com/fr/oip/documents/exe/1605_winlogon.html

$une fois que tu les as sur ton pc,

relance une recherche de fichiers juste avec SEAF pour explorer.exe et winlogon.exe


il doit trouver les fichiers sur ton bureau et ceux de ton pc  :-)

copie et colle les rapports sur ton prochain message  :-)

slideurpro · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cij58PiatR.txt 

pour explorer et pour winlogon :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijKVZaySs.txt

Utilisateur anonyme · Answer

supprime ceci des noms de fichiers que je t'ai envoyés, ils sont sur ton bureau :


1605_   de winlogon.exe
3960_  de explorer.exe


ouvre ton bloc note,
copie et colle ce qui est marqué en gras ci dessous là dedans  :

KillAll:: 

FCopy:: 
C:\Documents and Settings\DAMIEN\Bureau\winlogon.exe | C:\WINDOWS\system32\winlogon.exe

C:\Documents and Settings\DAMIEN\Bureau\explorer.exe | C:\WINDOWS\explorer.exe


enegistre le sous nom de CFSCRIPT sur ton bureau,

fais un déposer Glisser de ce fichier sur le fichier executable de Combofix qui doit être sur ton bureau et laisse la travailler

poste son rapport quand il términe  :-)

slideurpro · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijWwnSB6z.txt

voilà le rapport

Utilisateur anonyme · Answer

tu as juste oublié de glisser le script sur l'executable de combofix,

on recommence :

» ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:


KillAll::  

FCopy::  
C:\Documents and Settings\DAMIEN\Bureau\winlogon.exe | C:\WINDOWS\system32\winlogon.exe 

C:\Documents and Settings\DAMIEN\Bureau\explorer.exe | C:\WINDOWS\explorer.exe 



[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript.txt 
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijIZNFmfO.gif

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

slideurpro · Answer

http://ww38.toofiles.com/fr/oip/documents/txt/69cxha-yisqu7-ctnov4.html

Voilà le rapport mais comme la première fois j'ai l'impression d'avoir bien fait les choses mais le même processus se lance
Je vois pas où j'aurais pu faire faux.

Utilisateur anonyme · Answer

bonjour,
il y a une manipe que tu ne fais pas come il faut,
on recommence ,

change le nom des fichiers que je t'ai envoyés comme ceci :
1605_ winlogon.exe ==>winlogon.exe
3960_ explorer.exe ==> explorer.exe


*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

FCOPY:
C:\WINDOWS\system32\winlogon.exe | C:\Documents and Settings\DAMIEN\Bureau\winlogon.exe

C:\WINDOWS\explorer.exe | C:\Documents and Settings\DAMIEN\Bureau\explorer.exe 


---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html




je file bosser, @ ++

slideurpro · Answer

http://ww38.toofiles.com/en/oip/documents/txt/combofix.html

j'ai fait ça avec comboxfix, comme un con au début je croyais qu'il fallait supprimer les fichiers 1605_ de winlogon.exe et 3960_ de explorer.exe.
Voilà j'espère que le rapport est util^^

Utilisateur anonyme · Answer

bonsoir,
super,
redemarre ton pc,

repasse una utre combofix seul, poste son rapport

slideurpro · Answer

http://ww38.toofiles.com/en/oip/documents/txt/8557_log.html
voilà !

Utilisateur anonyme · Answer

bonjour,
comment va le pc avant de finaliser la désinfection ?

est ce que tout fonctionne correctement  ?

@++

slideurpro · Answer

Non j'ai des logiciels qui ne fonctionnent plus comme mozilla firefox. Microsoft office également mais sinon dans l'ensemble ça a l'air de fonctionner. Je dois juste réinstaller les logiciels qui bug.
Mais sinon le pc est désinfecté?

Utilisateur anonyme · Answer

les fichiers infectés ont été remplacer par combofix  :-)

ton pc refonctionne normalement, mais pour les programmes qui ne fonctionne ou mal, il suffit de les réparer ou réinstaller  :-)

repasse un autre zhpdiag,

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

slideurpro · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cij6wGNjTk.txt

voilà la dernier rapport ! désolé du retard

Utilisateur anonyme · Answer

bonjour,
comment va le pc ?

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

M2 - MFEP: prefs.js [DAMIEN - 7i9f71q3.default\fbjmpas1@fbext.fr] [] Facebook J'aime pas  (.Sebastien Proton.)  
M2 - MFEP: prefs.js [DAMIEN - 7i9f71q3.default\fbosef1@fbext.fr] [] Facebook On s'en fout  (.Sebastien Proton.)  



---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html


Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.	

Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

slideurpro · Answer

http://ww38.toofiles.com/fr/oip/documents/log/javara.html

http://ww38.toofiles.com/fr/oip/documents/txt/zhpfix2.html

voilà !!

Utilisateur anonyme · Answer

super  :-)

comment va le pc avant de finaliser la désinfection ?

slideurpro · Answer

bah ça a l'air d'aller je note rien de spécial :)

Utilisateur anonyme · Answer

bonjour,

qu'on en finisse  :-)

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner




*	pour supprimer les outils de désinfection
:
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information 


*	fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Virus antimalware doctor

39 réponses

Discussions similaires

Newsletters