Attaque thinkpoint puis antimalware doctor

Résolu
Nelly93 -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
Alors voici mes soucis.
Tout d'abord, je vous écris d'un autre ordi.
Mon ordi de bureau a été infecté par thinkpoint tout à l'heure.
Suite aux conseils sur le forum, je pense m'en être débarrassée...
mais les fenêtres intempestives ne disparaissent pas!
tout se bloque, avira, mon anti virus ne veut plus rien savoir.
Je me dis, je vais le désinstaller puis le réinstaller
et là mes soucis arrivent de plus belle!!
antimalware doctor apparait, impossible de réinstaller mon antivirus.
je relance pour la seconde fois malwarebytes, il trouve à nouveau des fichiers infectés, je les supprime, je redemarre, et...
antimalware doctor est toujours là!
que faire???
je suis désemparée... surtout que je n'ai plus de protection pour mon ordi!!
Merci d'avance pour l'aide que vous m'apporterez

40 réponses

  • 1
  • 2
Résumé de la discussion

Une machine sous Windows Vista est perturbée par des fenêtres intempestives liées à Antimalware Doctor, et la tentative de désinstaller puis de réinstaller l'antivirus échoue, laissant le système sans protection. Des outils de nettoyage comme Malwarebytes, RogueKiller et ComboFix sont évoqués; il faut effectuer des scans répétés et supprimer les éléments malveillants. En cas de persistance, des fenêtres de sécurité résistent même en mode sans échec; malgré des rapports après scan Bitdefender, le problème persiste et nécessite une approche coordonnée. D'autres interventions possibles incluent une restauration système à une date antérieure ou le recours à une assistance professionnelle, car une infection profonde peut s'appuyer sur des fichiers résidents et des comportements persistants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Telecharge combofix :
    Faire un clic droit sur le lien
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Choisir : "Enregistrer la cible du lien sous..."
    * Choisir le Bureau comme destination.
    * Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
    * Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.

    Note importante :tu est sous Vista

    la désactivation du Contrôle des comptes utilisateurs est obligatoire

    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

    pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    -Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    !\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

    ::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
    0
    1. Nelly93
       
      Merci pour ton message.
      J'ai téléchargé CCM mais lorsque j'ai double cliqué dessus pour l'installer une fenêtre est apparu :
      c:\32788R22FWJFW8n.pif
      Windows ne parvient pas à accéder au périférique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.
      J'ai bien désactivée UAC.
      Que dois-je faire?
      0
  2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    tu n'a pas lue mon message

    Note importante :tu est sous Vista

    la désactivation du Contrôle des comptes utilisateurs est obligatoire

    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

    pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

    0
  3. Nelly93
     
    Promis, j'avais bien lu!
    en fait, j'ai désactivé par la première méthode du tuto, j'ai décoché et redémarré.
    Voyant que le problème est toujours là, pourtant la case est bien décochée, je tente la deuxième méthode, par MSconfig. Lorsque je clic sue exécuter après être sur désactiver le contrôle... une fenêtre apparait : configuration du système accès refusé.
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )
      0
    2. Nelly93
       
      c'est exactement ce que je fais!
      0
    3. Nelly93
       
      et j'ai énormément de mal à retirer la fenêtre qui apparait, je dois cliquer à mainte reprise
      0
    4. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      en mode sans échec

      Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter.


      Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
      Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
      (Si F8 ne marche pas utilise la touche F5).
      0
  4. Nelly93
     
    Bon bah, je suis vraiment désespérée!
    Un nuit de sommeil et je rallume l'ordi, toujours les même soucis...
    Impossible d'installer CCM, même chose pour l'antivirus... même fenêtre...
    en mode sans echec, c'est exactement la même chose.
    Par contre, j'ai pu installer Ccleaner sans problème.
    Il y a bien quelquechose qui me bloque l'installation de CCM ou les antivirus.
    Y a t il quelqu'un pour m'aider à trouver une solution?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. boogieman83 Messages postés 428 Statut Membre 94
     
    salut
    j'ai eu le meme probleme avec security tool ,c'etait une plaie ouverte ce virus je suis passe en mode sans echec ,j'avais telecharge au prealable sur un autre pc sur une clé usb malawaere byte ,j'ai fait la mise a jour ,ensuite avec ccleaner que j'ai parametre (tres important sinon pas efficace 100% ) il faut tout cocher sauf nettoyer l'espace disque ,ensuite tu corriges les erreurs dans registre toujours avec ccleaner ensuite tu redemarres le pc et tu nettoies avec ton anti virus ou bitdender en ligne
    pour moi ca a marche essaie tu verras et tu nous tiens au courant-
    bon courage
    -
    Le paradis des fous est l'enfer des sages
    0
    1. Nelly93
       
      merci pour ta réponse.
      je relance malawarebytes pour la 5e fois. ensuite je ferai ccleaner et antivirus en ligne
      je vous tiens au courant!
      0
  7. Nelly93
     
    Mon problème est toujours là!
    suite au scan de bitdefender, le report me dit qu'il y a 1 fichier infecté
    j'ai maintenant en plus de la fenetre de antimalware doctor, une fenetre windows defender m'indiquant rogue win 32 fake yak
    helppppppppppp
    j'en peux plus de cet ordi!!!!
    je vais attacher les mains de ma fille qui a surfer sur je ne sais quel site... elle passe son temps a regarder les mangas en streaming
    0
  8. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html
    * Quitte tous tes programmes en cours
    * Lance le.
    * Lorsque demandé, tape 1 et valide
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
    * Si une clé de registre a été détectée, , passez le mode 2. Si vous ne savez pas, faites vous aider.

    et relance combofix
    0
  9. Nelly93
     
    Merci bernurrr d'être à nouveau présent pour moi!
    Alors j'ai pu installer roguekiller

    voici le report :

    RogueKiller V2.2.0 by Tigzy
    contact at www.sur-la-toile.com
    mail: tigzy44<at>hotmail<dot>fr
    Remontées: https://www.luanagames.com/index.fr.html

    Operating System: Windows Vista (6.0.6000 ) version 32 bits
    Mode: Scan

    Bad processes:

    Found:
    \...\RUN\ badoversion707001000lux.exe : C:\Users\oceane chanel\AppData\Roaming\7C483DB4A1B6C4116D46F5FF97D435C1\badoversion707001000lux.exe

    Finished

    Impossible de lancer combofix
    Je vais essayer de le réinstaller pour voir
    0
    1. Nelly93
       
      toujours pareil même en réinstallant
      impossible de lancer CCM
      0
    2. Nelly93
       
      est-ce qu'il existe un autre logiciel comme CCM que j'essaie?
      Là, vraiment rien à faire... impossible de réinstaller un antivirus aussi, même fenêtre!
      0
  10. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    scan complet et non rapide

    télécharge

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

    Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    A la fin du scan clique sur Afficher les résultats

    Vérifier si tout est coché et clic Supprimer la sélection

    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    Et tu poste le rapport générer

    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  11. Nelly93
     
    Voilà, c'est fait!
    Ca a l'air d'aller mieux!
    C'est la première fois que antimalware doctor n'apparait plus!
    Quel bonheur!

    Voici le rapport :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4910

    Windows 6.0.6000 (Safe Mode)
    Internet Explorer 7.0.6000.17037

    22/10/2010 14:57:40
    mbam-log-2010-10-22 (14-57-40).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 381798
    Temps écoulé: 1 heure(s), 8 minute(s), 34 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\badoversion707001000lux.exe (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\oceane chanel\AppData\Roaming\7C483DB4A1B6C4116D46F5FF97D435C1\badoversion707001000lux.exe (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Dois je faire autre chose pour être définitivement débarrassée de cette vilaine bête?
    0
  12. Nelly93
     
    j'ai encore pas mal de soucis,...
    le logiciel works ne fonctionne plus, je suppose que d'autres non plus
    je ne peux toujours pas remettre mon antivirus
    Voici un imprim ecran de ce que ça me marque :
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijHgrRSI0.jpg
    0
  13. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)

    Télécharge ici :List_Kill'em de gen-hackman

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    et enregistre le sur ton bureau

    windows 7 => clic droit "exécuter en tant que administrateur

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Exécuter List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agrée"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ------ NE LE POSTE PAS SUR LE FORUM-------

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier C:\List'em.txt

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  14. Nelly93
     
    Alors voilà, j'ai suivi les consignes.
    list kill'em est installé
    mais au moment de travailler, la même fenêtre s'ouvre
    voici l'imprim ecran

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij2PDotBL.jpg

    j'ai cliqué sur ok, je laisse travailler mais j'ai l'impression que rien ne se passe!
    benurrr, tu mentionnes que c'est un peu long, ça donne quoi en temps? 1heure, 2?
    0
    1. Nelly93
       
      2 heures que cela tourne, aucun changement...??? malwarebytes n'a mis qu'une heure en complet?
      0
  15. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    clic droit "exécuter en tant qu'administrateur" pour Vista/7 )
    0
  16. Nelly93
     
    j'en reviens au même problème!
    le logiciel démarre, pourquoi je dois faire clic droit
    as-tu vu mon imprim écran?
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      oui j'avais vue
      0
  17. Nelly93
     
    Voici un imprim ecran montrant que l'uac est désactivé.
    http://www.cijoint.fr/cjlink.php?file=cj201010/cij9rfTaaF.jpg
    pour installer list kill'em j'ai bien fait clic droit executer en tant qu'administrateur
    j'ai fait search et le logiciel a démaré en même temps la fenêtre est apparu
    j'ai fait ok et depuis j'attends mais rien ne se passe... pas de fenêtre blanche, pas de rapport.
    Que dois-je faire?
    0
  18. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    en mode standard

    > Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
    - Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;
    - Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
    - Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    - De retour à la fenêtre principale : clique pour activer <Analyse complète>
    - Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    - Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autres). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    - Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    - Ferme Dr.Web Cureit
    - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
    0
  19. nelly93
     
    Ca y est
    Dr web a travaillé cette nuit
    Voici le rapport :
    HappyHourSetup.exe/data002\{app}\Happy Hour 1.0.1.exe;C:\Documents and Settings\oceane chanel\Documents\Transfert\sauvegarde nelly\Logiciels\logiciels\Latest 41 Reflexive Arcade Gam;Trojan.DownLoad1.58294;;
    data002;C:\Documents and Settings\oceane chanel\Documents\Transfert\sauvegarde nelly\Logiciels\logiciels\Latest 41 Reflexive Arcade Gam;Conteneur comporte des objets infectés;;
    HappyHourSetup.exe;C:\Documents and Settings\oceane chanel\Documents\Transfert\sauvegarde nelly\Logiciels\logiciels\Latest 41 Reflexive Arcade Gam;Conteneur comporte des objets infectés;Quarantaine.;
    NannyManiaSetup.exe/data002\{app}\NannyMania.exe;C:\Documents and Settings\oceane chanel\Documents\Transfert\sauvegarde nelly\Logiciels\logiciels\Latest 41 Reflexive Arcade Gam;Trojan.DownLoad1.34947;;
    data002;C:\Documents and Settings\oceane chanel\Documents\Transfert\sauvegarde nelly\Logiciels\logiciels\Latest 41 Reflexive Arcade Gam;Conteneur comporte des objets infectés;;
    NannyManiaSetup.exe;C:\Documents and Settings\oceane chanel\Documents\Transfert\sauvegarde nelly\Logiciels\logiciels\Latest 41 Reflexive Arcade Gam;Conteneur comporte des objets infectés;Quarantaine.;
    Proc_end.exe;C:\Program Files\List_Kill'em;Tool.Killproc.3;;
    Prt.exe;C:\Program Files\List_Kill'em;Program.FPort.20;;
    0
  20. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    comment va ton pc ?
    0
  21. nelly93
     
    je ne peux toujours pas installer mon antivirus.
    cette fichu fenêtre s'affiche toujours!
    sinon, plus d'antimalware doctor (à priori)
    0
  • 1
  • 2