Virus antimalware doctor

Résolu/Fermé
-
 Utilisateur anonyme -
Bonjour,

J'ai un problème avec le virus Antimalware doctor. J'ai utilisé MBAM mais le virus est toujours là. Il existerait une technique avec OTL.
Quelqu'un pourrait me renseigner.
Merci d'avance !

39 réponses


bonjour,
* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Voilà j'ai fait ce que vous m'avez dit
http://www.cijoint.fr/cjlink.php?file=cj201010/cijj9jV4zS.txt
Voici le rapport
Merci de votre aide

ceci va neutraliser une partie du rogue, on traite le reste après :

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

----------------------------------------------------------

O4 - HKCU\..\Run: [badoversion707001000lux.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\DAMIEN\Application Data\D56E4A4F479C1F1385FCD3080617FCA3\badoversion707001000lux.exe

O4 - HKUS\S-1-5-21-2949387110-2062273041-2037677758-1005\..\Run: [badoversion707001000lux.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Documents and Settings\DAMIEN\Application Data\D56E4A4F479C1F1385FCD3080617FCA3\badoversion707001000

O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
[HKCU\Software\Antimalware Doctor Inc]





----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html


http://www.cijoint.fr/cjlink.php?file=cj201010/cijzSJGfwC.txt

Voilà le deuxieme rapport j'ai eu des bugs pour nettoyer, plusieurs logiciels ont cherchés à se désinstaller.
enfin bon j'ai quand même le rapport

on va l'attaquer comme il le faut, il résiste !!!

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!



► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

► ferme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
http://www.cijoint.fr/cjlink.php?file=cj201010/cijte12134.txt

Voilà le texte de combofix le rogue a l'air d'avoir disparu mais bon ne m'y connaissant pas assez je demande confirmation ^^

oui, mais il a bien infecté le pc !

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!


* Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

Bonjour,
Désolé de répondre aussi tard mais j'ai eu des problèmes avec Mozilla Firefox, il ne veut pas se redémarrer. Il me donne cela comme rapport d'erreur.

"Add-ons: {20a82645-c095-46ed-80e3-08825760534b}:1.2.1,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,jqs@sun.com:1.0,{AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198,fbjmpas1@fbext.fr:1.1.1,fbosef1@fbext.fr:1.1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.11
BuildID: 20101012113537
CrashTime: 1287916298
EMCheckCompatibility: true
FramePoisonBase: 00000000f0de0000
FramePoisonSize: 65536
InstallTime: 1287668544
ProductName: Firefox
ReleaseChannel: release
SecondsSinceLastCrash: 541
StartupTime: 1287916298
Theme: classic/1.0
Throttleable: 1
URL:
Vendor: Mozilla
Version: 3.6.11

Ce rapport contient également des informations techniques sur l'état de l'application lors du plantage."

Mais sinon j'ai toujours mon problème avec le antimalware doctor
Voici le rapport que vous m'aviez demander avec doctorWeb

http://www.cijoint.fr/cjlink.php?file=cj201010/cij6z54S5g.txt

bonjour,
les fichiers système ont été patchés, du coup, il va falloir tout nettoyer comme il faut,

je t'ai demandé un scan de DR web, pas un rapport de MBAM :-)

relance MBAM, vide sa quarantaine, fais une mise à jour et lance un autre scan complet, s'il trouve des choses, mets tout en quarantaone, poste son rapport
Voilà j'ai fait tout ça voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201010/cijs2yHZcC.txt

merci encore

relance à nouveau MBAM, vide sa quarantaine, refais une mautre mise à jour et relance un autre scan complet :-)

on va l'avoir ;-)
Bon MBAM n'a rien détecté mais des problèmes persistent notamment avec EPLORER celui-ci a du mal à s'exécuter au démarrage et impossible de le relancer via le gzstionnaire des tâches. Il faut que je me log vite au démarage pour que le bureau se lance. Mozilla firefox ne veut plus redémarrer je pense qu'il faut que je le réinstalle. Mais pour explorer c'est quand même plus chiant, dailleurs au démarage il me propose de booter sur un windows recovery en m'indiquant "(débogage activé) "un truc dans ce style.
Voici quand même le dernier rapport de MBAM
http://www.cijoint.fr/cjlink.php?file=cj201010/cij6Mdc1Yw.txt

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!


antimalaware doctor a patché tes fichiers de windows !

les outils désinfectent mais il se peut que ton système soit endommagé !

Télécharge SEAF.exe (de C_XX) sur ton bureau.

? Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .

? Coche les cases:
- Chercher également dans le registre
- Informations supplémentaires


? Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :

explorer.exe


? Patiente pendant la recherche, et ne touche a rien ...

? Une fenêtre avec un log .txt va s'afficher.

? Copie/colle ce rapport dans ta prochaine réponse.

Tuto :
https://forum.pcastuces.com/default.asp



recomence l'opération avec ceci :

winlogon.exe
Messages postés
7496
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
581
Hello, on dirait plutôt du Batimal :)
http://www.cijoint.fr/cjlink.php?file=cj201010/cijVjxCcLy.txt

voilà le rapport pour explorer.exe

http://www.cijoint.fr/cjlink.php?file=cj201010/cijH7YMn1S.txt

et celui pour winlogon.exe

tu es sous xp familiale sp3 ?

bizzare que tu n'as pas de répertoire i386 pour les fichiers seins !!!

il va falloire remplacer ces fichiers, je peux te les donner depuis mon pc de boulot sous xp sp3 si tu es d'accord :-)

ok no pb comment tu me les passe? tu pourras les avoir que demain au boulot c'est ça?

j'ai mon portable de boulot,
je les transfère sur une clé usb, héberge sur Cijoint ou autre site, à voir,
tu les télécharges sur ton bureau, puis on les remplace avec un logiciel :-)


juste le temps de redemarrer mon pc :-)
ok ça me va !!