Antimalware doctor

Résolu
-Stef- Messages postés 26 Statut Membre -  
-Stef- Messages postés 26 Statut Membre -
Bonjour,

comme beaucoup ici, je suis touché par ce virus malveillant qui commence à mettre un sacré boxon dans mon PC (tout neuf :( )

Donc j'ai suivi les premiers conseils d'autres posts, un coup de malwarebytes, qui m'aa désinstallé le virus, mais qui continue à m'envoyer ses pop-ups pour que j'enregistre leur produit etc...

Donc voici le lien de mon rapport avec ZHPdiag:

http://ww38.toofiles.com/fr/oip/documents/ZHPDiagstef/zhpdiagste.html

Merci de m'aider là j'ai plus de solutions, je sais plus quoi faire, je suis sous seven.

Merci d'avance!

36 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    bonsoir,
    ton lien est mort,
    essaie de rehéberger ton rapport de zhp, colle le lien ici :-)
    1
  2. Utilisateur anonyme
     
    tu es sous seven 64 bit :

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

    ----------------------------------------------------------

    O4 - HKCU\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe
    O4 - HKUS\S-1-5-21-4131535631-3898437056-3523133336-1001\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe

    C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=16795S&l=dis
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
    [HKCU\Software\Antimalware Doctor Inc]
    O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Ask.com
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis


    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :
    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
    1
  3. Utilisateur anonyme
     
    tout est là, super :-)

    repasse un autre zhpdiag,

    1
  4. Utilisateur anonyme
     
    ok, @++
    1
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      La prochaine fois, tu peux faire passer RogueKiller? normalement c'est pris en charge.
      Ce serait bien de récupérer un dropper aussi depuis la quarantaine ZHP ;)
      0
    2. gen-hackman
       
      non !! lol ^^
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    bonjour,
    @ Tigzy :
    pour la prochaine fois :-)

    @ -Stef- :
    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    https://www.androidworld.fr/ ( Miroir )
    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    désinstalle la versiuon de java 6 uploade 17 de ton pc, par l'ajout suppression de programmes se trouvant dans le panneau de configuration,

    réinstalle la dernière version depuis le site de java :

    https://www.java.com/fr/download/

    donne moi des nouvelles du fonctionnement du pc avant de finaliser la désinfection :-)

    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
    1
  7. -Stef- Messages postés 26 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201010/ciji0CEcCp.txt

    voilà, merci, il n'y avait pas d'extension au fichier, je cherche même plus à comprendre avec ce virus...
    0
  8. -Stef- Messages postés 26 Statut Membre
     
    Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-25-10-2010-19-07-15.txt
    Run by Stef at 25/10/2010 19:07:15
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\Antimalware Doctor Inc => Clé absente
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Clé absente

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe => Valeur absente
    O4 - HKUS\S-1-5-21-4131535631-3898437056-3523133336-1001\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=16795S&l=dis => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files (x86)\Ask.com => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\users\stef\appdata\roaming\183f0c379d3ec2ae073aaaa1dbcbcfab\iso70700ultrabox.exe => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    1 : Logiciel(s)

    End of the scan
    0
  9. -Stef- Messages postés 26 Statut Membre
     
    Voici:

    Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-25-10-2010-19-07-15.txt
    Run by Stef at 25/10/2010 19:07:15
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\Antimalware Doctor Inc => Clé absente
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Clé absente

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe => Valeur absente
    O4 - HKUS\S-1-5-21-4131535631-3898437056-3523133336-1001\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=16795S&l=dis => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files (x86)\Ask.com => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\users\stef\appdata\roaming\183f0c379d3ec2ae073aaaa1dbcbcfab\iso70700ultrabox.exe => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    1 : Logiciel(s)

    End of the scan
    0
  10. -Stef- Messages postés 26 Statut Membre
     
    voici

    Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-25-10-2010-19-07-15.txt
    Run by Stef at 25/10/2010 19:07:15
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\Antimalware Doctor Inc => Clé absente
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Clé absente

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe => Valeur absente
    O4 - HKUS\S-1-5-21-4131535631-3898437056-3523133336-1001\..\Run: [iso70700ultrabox.exe] . (.?????????? ?????????? - ??????????? ??? Windows.) -- C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=16795S&l=dis => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files (x86)\Ask.com => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\users\stef\appdata\roaming\183f0c379d3ec2ae073aaaa1dbcbcfab\iso70700ultrabox.exe => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    1 : Logiciel(s)

    End of the scan
    0
  11. -Stef- Messages postés 26 Statut Membre
     
    Je n'arrive pas à tout copier, j'ai fait un screen, voici le rapport:

    http://img139.imageshack.us/img139/7687/rapportg.png
    0
  12. -Stef- Messages postés 26 Statut Membre
     
    Merci d ta patience et de ta rapidité, tu es vraiment un expert, je te dérange pas plus pour ce soir je dois y aller je mettrai mon rapport ce soir ou demain soir, onc on continue le diag plus tard, merci ;)
    0
  13. -Stef- Messages postés 26 Statut Membre
     
    Voici:

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij9Xj10YZ.docx
    0
  14. -Stef- Messages postés 26 Statut Membre
     
    Voilà, j'ai fait tout ce que tu mas demandé.

    A signaler que le virus était parti avec le redémarrage de l'ordi suite au nettoyage avec ZHP fix.

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 25/10/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:53:01 le 26/10/2010, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    Stef@STEF-TOSH (TOSHIBA Satellite L670)

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Users\Stef\AppData\LocalLow\AskToolbar

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Stef\AppData\Roaming\Mozilla\FireFox\Profiles\mg6a4po0.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
    Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");
    Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
    Ligne supprimée: user_pref("browser.search.selectedEngine", "Ask.com");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HWSetup

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.11 (fr)] **

    -- C:\Users\Stef\AppData\Roaming\Mozilla\FireFox\Profiles\mg6a4po0.default\Prefs.js --
    browser.startup.homepage, hxxp://www.google.fr/
    browser.startup.homepage_override.mstone, rv:1.9.2.11

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 3 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 26/10/2010 (2815 Octet(s))

    Fin à: 18:53:59, 26/10/2010

    ============== E.O.F ==============
    0
  15. -Stef- Messages postés 26 Statut Membre
     
    Et ce "ask.com" était un virus aussi? Parce que c'était une barre de tâche installée à l'origine sur mon PC.
    0
  16. -Stef- Messages postés 26 Statut Membre
     
    Voici:

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij6xgJKNE.docx
    0
  17. Utilisateur anonyme
     
    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

    ----------------------------------------------------------

    O4 - HKUS\S-1-5-21-4131535631-3898437056-3523133336-1001\..\Run: [iso70700ultrabox.exe] C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe (.not file.)

    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :
    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    après un redemarrage, donne moi des nouvelles du fonctionnement du pc :-)

    0
  18. -Stef- Messages postés 26 Statut Membre
     
    Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-26-10-2010-21-06-11.txt
    Run by Stef at 26/10/2010 21:06:11
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Valeur(s) du Registre ==========
    O4 - HKUS\S-1-5-21-4131535631-3898437056-3523133336-1001\..\Run: [iso70700ultrabox.exe] C:\Users\Stef\AppData\Roaming\183F0C379D3EC2AE073AAAA1DBCBCFAB\iso70700ultrabox.exe (.not file.) => Valeur supprimée avec succès

    ========== Fichier(s) ==========
    c:\users\stef\appdata\roaming\183f0c379d3ec2ae073aaaa1dbcbcfab\iso70700ultrabox.exe => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    1 : Valeur(s) du Registre
    1 : Fichier(s)
    1 : Logiciel(s)

    End of the scan

    ----------------------

    Je redémarre ;)
    0
  19. -Stef- Messages postés 26 Statut Membre
     
    Si j'ai bien compris javais encore des saletés? J'ai du mal à suivre là, je vois pas d'où ça peut venir :(
    0
  20. Utilisateur anonyme
     
    un pc ne se désinfecte pas en un clique !

    ça prend un certain de temps :-)

    ce ne sont que les clés de registre sans fichiers, j'avais viré les fihciers dés mon premier poste ;-)

    comment va le pc après un redemarrage avant de finaliser la désinfection ?
    0
  • 1
  • 2