Infecter par antimalware doctor

jojothevip Messages postés 13 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
sa fait plus de 3 jours que mon ordi a reçut un virus et la antimalware doctor c'est introduit.

voila j'essaye de le supprimer par "panneaux de configuration" puis "ajout et suppression de matérielle" mais la sa ne veut pas se désinstaller .

voila je suis embarrasser car il y a plein de dossier important .

pouvez vous m'aidez SVP

cordialement

13 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    redémarrer le pc en mode sans échec avec prise en charge reseau

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    Télécharge rkill

    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:

    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.scr

    une fois qu'il aura terminé lance

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
    Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . [b]Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
    Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller


    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0
  2. roro04 Messages postés 1200 Statut Contributeur 179
     
    Salut
    Tu es infecter par un rogue.

    Je vais te faire démarrer en Mode Sans Echec (mode alléger de Windows) Pour cela:

    Redémarre ton ordinateur et avant l'apparition de logo Windows, tapotes la touche F8 de ton clavier.
    Avec les flèche directionnels "Haut" et "Bas" Déplace toi jusqu'a Mode sans Echec avec prise en charge Réseau puis valide par la touche Entrée
    Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
    (Si F8 ne marche pas utilise la touche F5)
    -------------------------------------------------------------------------------------------------------

    Tu va devoir désactiver l'UAC (controle des comptes utilisateur) Pour cela:
    Ici

    -------------------------------------------------------------------------------------------------------

    > Télécharges RogueKiller (de tigzy) sur ton bureau.
    > Quittes tous tes programmes en cours
    > Lances-le. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
    > Lorsque demandé, tape 1 et valide par Entrée.

    Remarque: Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    > Poste le rapport qui s'ouvre.
    -------------------------------------------------------------------------------------------------------

    > Télécharge ZHPDiag (de Nicolas coolman) sur ton bureau.
    > Un fois le téléchargement terminé, double clique sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
    > Coche la case Créer une îcone sur le bureau lors de l'installation.
    > A la fin de l'installation, ZHPDiag va se lancer tout seul.
    > Clique sur l'icône représentant une loupe.
    > En fin de scan, enregistre le rapport sur ton Bureau. Pour cela, clique sur l'îcone représentant une disquette.

    > Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    @++
    0
  3. jojothevip Messages postés 13 Statut Membre
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 6.0.6001 Service Pack 1 (Safe Mode)
    Internet Explorer 7.0.6001.18000

    30/10/2010 15:41:51
    mbam-log-2010-10-30 (15-41-51).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 285476
    Temps écoulé: 1 heure(s), 7 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    vide la quarantaine

    puis en mode normal

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jojothevip Messages postés 13 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201010/cijb2jurPK.txt
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    vu

    1)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
    [HKCU\Software\Antimalware Doctor Inc] (Rogue.AntimalwareDoctor)
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://websearch.ask.com


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ..........................

    2)

    Téléchargez USBFIX de El Desaparecido, C_xx

    http://www.teamxscript.org/usbfixTelechargement.html

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    Double clic sur le raccourci UsbFix présent sur le bureau .

    Choisir l'option suppression
    (d'autres options disponibles, voir le tutoriel).
    Laissez travailler l'outil.
    Le menu démarrer et les icônes vont disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

    Il est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    ......................

    3)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Users\gilles\AppData\Roaming\3B4F22252C5C24E974F7D77FC0131F63\rfcm700newfix.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.


    Copie le lien de Virus Total dans ta réponse.


    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK


    tuto pour t'aider


    http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
    0
  8. jojothevip Messages postés 13 Statut Membre
     
    Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-30-10-2010-20-27-58.txt
    Run by gilles at 30/10/2010 20:27:58
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Elément(s) de donnée du Registre ==========
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Donnée remplacée avec succès

    ========== Logiciel(s) ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    1 : Elément(s) de donnée du Registre
    1 : Logiciel(s)

    End of the scan
    0
    1. jojothevip Messages postés 13 Statut Membre
       
      c'est le 1)
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      (sourire)

      oui merci de me me le préciser...
      0
  9. jojothevip Messages postés 13 Statut Membre
     
    http://www.virustotal.com/file-scan/report.html?id=2b9a14bd69a30368a803bd1c8030ff74c938a635b78c42567ae450f69d34a174-1288464211
    0
    1. jojothevip Messages postés 13 Statut Membre
       
      voila le lien
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      il me manque le 2) => USBfix
      0
    3. jojothevip Messages postés 13 Statut Membre
       
      mais je n'ai pas le clé infecter
      0
    4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      fais le quand même stp...
      0
  10. jojothevip Messages postés 13 Statut Membre
     
    ############################## | UsbFix 7.034 | [Suppression]

    Utilisateur: gilles (Administrateur) # PC-DE-GILLES [ASUSTeK Computer Inc. F7Se]
    Mis à jour le 25/10/10 par El Desaparecido / C_XX
    Lancé à 20:55:18 | 30/10/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000

    Pare-feu Windows: Activé
    RAM -> 3070 Mo
    C:\ (%systemdrive%) -> Disque fixe # 116 Go (17 Go libre(s) - 15%) [VistaOS] # NTFS
    D:\ -> Disque fixe # 109 Go (108 Go libre(s) - 100%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque fixe # 466 Go (360 Go libre(s) - 77%) [] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3589021279-10998710-1995209092-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3589021279-10998710-1995209092-1000

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{36b59061-c700-11df-8baa-001fc6ea3f77}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{81f3992a-d895-11df-afc8-001fc6ea3f77}

    ################## | Listing |

    [03/03/2010 - 05:20:24 | N | 712192] C:\$$DeleteMe.WindowsCodecs.dll.01cabad7b9690920.0000
    [30/10/2010 - 20:56:18 | SHD ] C:\$RECYCLE.BIN
    [10/05/2008 - 10:17:10 | D ] C:\ADOBE
    [15/12/2008 - 13:54:38 | D ] C:\APIBAT
    [18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
    [30/10/2010 - 20:33:24 | RASHD ] C:\Autorun.inf
    [28/07/2010 - 19:52:28 | D ] C:\Boot
    [19/01/2008 - 09:45:45 | RASH | 333203] C:\bootmgr
    [18/04/2007 - 11:26:27 | N | 8192] C:\BOOTSECT.BAK
    [04/04/2007 - 06:01:54 | N | 19] C:\CA13.txt
    [18/09/2006 - 23:43:37 | N | 10] C:\config.sys
    [19/12/2009 - 14:46:47 | N | 0] C:\conmgr.log
    [10/05/2008 - 13:06:12 | N | 20885] C:\devlist.txt
    [02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
    [14/09/2008 - 13:53:13 | D ] C:\Données Ciel
    [09/01/2008 - 08:28:55 | N | 1048576] C:\F7Seas.BIN
    [17/12/2007 - 06:17:19 | N | 16] C:\F7Se_Vista.10
    [10/05/2008 - 13:02:50 | N | 9] C:\Finish.log
    [30/10/2010 - 19:32:59 | ASH | 3220430848] C:\hiberfil.sys
    [10/05/2008 - 11:59:27 | D ] C:\Intel
    [12/12/2008 - 16:13:25 | N | 0] C:\IO.SYS
    [12/12/2008 - 16:13:25 | N | 0] C:\MSDOS.SYS
    [19/07/2010 - 23:37:41 | RHD ] C:\MSOCache
    [07/08/2007 - 23:43:02 | N | 15] C:\NERO.LOG
    [10/05/2008 - 10:13:04 | D ] C:\NIS
    [17/05/2007 - 05:35:24 | N | 15] C:\NIS2007_A.TXT
    [16/03/2007 - 01:18:45 | N | 25] C:\OFFICE2007_A.TXT
    [30/10/2010 - 19:32:57 | ASH | 3534204928] C:\pagefile.sys
    [17/12/2009 - 20:54:04 | D ] C:\PagesPro2009
    [10/05/2008 - 00:00:07 | N | 105] C:\Pass.txt
    [31/03/2008 - 04:09:26 | N | 1807] C:\Patch.LOG
    [28/07/2010 - 19:40:07 | D ] C:\PerfLogs
    [09/05/2008 - 23:08:55 | D ] C:\Preload
    [30/10/2010 - 19:39:13 | D ] C:\Program Files
    [29/10/2010 - 02:31:17 | HD ] C:\ProgramData
    [10/05/2008 - 12:33:36 | D ] C:\RaidTool
    [24/05/2007 - 00:43:40 | N | 17] C:\READER_A.TXT
    [10/12/2007 - 03:51:17 | N | 24] C:\RECOVERY.DAT
    [10/05/2008 - 12:16:42 | N | 426] C:\RHDSetup.log
    [30/10/2010 - 19:04:16 | N | 444] C:\rkill.log
    [10/05/2008 - 12:19:16 | N | 86] C:\setup.log
    [16/05/2006 - 02:22:24 | N | 5] C:\store.log
    [10/05/2008 - 10:03:11 | N | 166] C:\SumHidd.txt
    [10/05/2008 - 10:02:16 | N | 98] C:\SumOS.txt
    [29/10/2010 - 22:44:04 | SHD ] C:\System Volume Information
    [30/10/2010 - 20:56:18 | D ] C:\UsbFix
    [30/10/2010 - 20:55:21 | A | 3572] C:\UsbFix.txt
    [30/10/2010 - 20:33:25 | N | 16704] C:\UsbFix_Upload_Me_PC-DE-GILLES.zip
    [03/08/2008 - 14:08:07 | D ] C:\Users
    [06/12/2007 - 22:22:16 | N | 23] C:\V54.TXT
    [29/10/2010 - 02:44:38 | D ] C:\Windows
    [30/10/2010 - 20:56:18 | SHD ] D:\$RECYCLE.BIN
    [30/10/2010 - 20:33:24 | RASHD ] D:\Autorun.inf
    [16/09/2008 - 21:34:11 | D ] D:\ebp
    [10/05/2008 - 09:22:42 | SHD ] D:\System Volume Information

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-GILLES.zip
    http://www.teamxscript.org/Sample/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
    1. jojothevip Messages postés 13 Statut Membre
       
      voila c'est fait
      0
    2. jojothevip Messages postés 13 Statut Membre
       
      alors ??
      0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    encore des soucis ?

    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
  12. roro04 Messages postés 1200 Statut Contributeur 179
     
    Salut moment de grace.

    Tu veux continuer???
    jojothevip, tu peux lui faire confiance. ;-)

    @++
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      je continue avec un zhpfix à venir au prochain ZHPdiag
      0
  13. jojothevip Messages postés 13 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201010/cij1JxSbBT.txt
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Run by gilles at 30/10/2010 19:40:59

    c'est le rapport d'hier

    il m'en faudrait un nouveau stp
    0