Supression impossible antimalware doctor Résolu

Question

Bonjour à tous, En surfant sur le net, un logiciel s'est installé tout seul (antimalware doctor ) et d'après mes recherches ca a l'air assez compliqué, et différents pour chaque personnes de le supprimer.

Pouvez-vous m'aider s'il vous plaît ?
Merci d'avance ! 



Configuration: Windows XP / Firefox 3.5.16

jfkpresident · Accepted Answer

Hello,

* Télécharge sur le bureau RogueKiller (par tigzy)
* Lance le.
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse.

Utilisateur anonyme · Answer

Bonjour tout d'abord il vous faut nettoyer avec CCleaner si vous avez pour commencer a faire le ménage :
ici:https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
pour la suite faire une désinfection avec malawarebytes
ici:https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
après cela si malawerbytes trouve quelques choses supprimé le .
Pour la suite passez ZHPDiag2 ici :  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html        
 pour faire un rapport complet et poster le ici merci

donuts12 · Answer

Tout d'abord voici le rapport de roguekiller :
RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 24/12/2010 12:02:15

Bad processes:
Killed c:\documents and settings\darse\application data\c06473f17446a98b2fed53ed191e8960\rpegmode700bin.exe
Killed c:\docume~1\darse\locals~1\temp\ez5.exe
Killed c:\docume~1\darse\locals~1\temp\vjcamapjl\pjxqgrnlajb.exe
Killed c:\docume~1\darse\locals~1\temp\ez2.exe
Killed C:\WINDOWS\system32\sshnas21.dll

Found:
HKCU\...\RUN\ rpegmode700bin.exe : C:\Documents and Settings\Darse\Application Data\C06473F17446A98B2FED53ED191E8960\rpegmode700bin.exe
HKCU\...\RUN\ B60JHDGR6V : C:\DOCUME~1\Darse\LOCALS~1\Temp\Ez0.exe
HKCU\...\RUN\ JP595IR86O : C:\DOCUME~1\Darse\LOCALS~1\Temp\Ez2.exe
HKCU\...\RUN\ vtcoccfk : C:\DOCUME~1\Darse\LOCALS~1\Temp\vjcamapjl\pjxqgrnlajb.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:8074
HKLM\SYSTEM\ControlSet001\services\SSHNAS -> LocalSystem
Task -> {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : C:\DOCUME~1\Darse\LOCALS~1\Temp\Ez4.exe
Task -> {22116563-108C-42c0-A7CE-60161B75E508}.job : C:\DOCUME~1\Darse\LOCALS~1\Temp\Ez2.exe

Finished

J'enchaine directement avec malawarebytes ?

jfkpresident · Answer

Fait ceci ensuite :

Ne redémarre pas ton pc pour l'instant /!\

 Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

jfkpresident · Answer

st ce que j'abandonne le scan de Malwarebytes'.. ??

Si tu l'a lancé ,finis le et( colle moi le rapport .

donuts12 · Answer

rapport Malwarebytes:http://www.cijoint.fr/cjlink.php?file=cj201012/cijIFWpFmA.txt

faut il que je supprime tout ce que le scan a trouver ? sans risques ?

jfkpresident · Answer

Tu m'as collé le rapport ZhpDiag et non le rapport MBAM ...Tu peux directement le coller dans ta prochaine réponse .

donuts12 · Answer

desoler jai mal lu sur le site Cijoint , voila le rapport :http://www.cijoint.fr/cjlink.php?file=cj201012/cijfs0AIiQ.txt

jfkpresident · Answer

La version n'est pas tres importante dans ce cas présent puisque antimalware-doctor est détecté depuis un petit moment .

Supprimes tout ce qu'a trouvé MBAM et colle moi le rapport de suppression sans l'héberger (colle directement dans ta prochaine réponse) .

PS: Coucou Al ,t'as préparé le diner ? :)

donuts12 · Answer

Un message s'affiche a la fin de la suppression "impossible de supprimer certains éléments" et cela m'indique quil faut que je redémarre lordi.

rapport : http://www.cijoint.fr/cjlink.php?file=cj201012/cij59Ert4q.txt

donuts12 · Answer

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5387

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

24/12/2010 15:29:51
mbam-log-2010-12-24 (15-29-51).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 263309
Temps écoulé: 2 heure(s), 29 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
c:\WINDOWS\Ecocya.exe (Rootkit.Agent) -> 4056 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Rootkit.Agent) -> Delete on reboot.
c:\documents and settings\all users\application data\Adobe\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{96AFBE69-C3B0-4b00-8578-D933D2896EE2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96AFBE69-C3B0-4B00-8578-D933D2896EE2} (TrojanProxy.Agent) -> Value: {96AFBE69-C3B0-4B00-8578-D933D2896EE2} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runpegmode700bin.exe (Trojan.FakeAlert) -> Value: rpegmode700bin.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\B60JHDGR6V (Rootkit.Agent) -> Value: B60JHDGR6V -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Rootkit.Agent) -> Value: JP595IR86O -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vtcoccfk (Trojan.FakeAlert) -> Value: vtcoccfk -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96AFBE69-C3B0-4b00-8578-D933D2896EE2} (TrojanProxy.Agent) -> Value: {96AFBE69-C3B0-4b00-8578-D933D2896EE2} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
etsvc (TrojanProxy.Agent) -> Value: netsvc -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\Ecocya.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Rootkit.Agent) -> Delete on reboot.
c:\documents and settings\all users\application data\Adobe\sp.DLL (TrojanProxy.Agent) -> Delete on reboot.
c:\documents and settings\Darse\application data\c06473f17446a98b2fed53ed191e8960pegmode700bin.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\Darse\local settings\Temp\Ez0.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Darse\local settings\Temp\Ez2.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Darse\local settings\Temp\vjcamapjl\pjxqgrnlajb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\Adobe\sp.dll_ (TrojanProxy.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Darse\local settings\Temp\Ez4.exe (Rootkit.Agent) -> Delete on reboot.
c:\WINDOWS\Ecocyb.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

jfkpresident · Answer

Tres bien ,maintenant recolle moi un dernier et nouveau log ZhpDiag afin de fignoler le nettoyage .

donuts12 · Answer

voila :...

je précise que j'ai redemarrer l'ordi suite a la demande de Mbam pour finir de supprimer.

jfkpresident · Answer

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "importer un rapport ZhpDiag" puis "ok" .

3/Laisse travailler l'outil.

4/Coche ces cases (et pas d'autres !):

M0 - MFSP: prefs.js [Darse - 1ix3zu72.default] http://home.sweetim.com  
[HKCU\Software\SweetIM]     
[HKLM\Software\BrowserChoice]      
[HKLM\Software\SweetIM]       
O43 - CFD: 24/12/2010 - 12:50:20 ----D- C:\Program Files\SweetIM      
O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe  
M2 - MFEP: prefs.js [Darse - 1ix3zu72.default\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.1.0.2 (.SweetIM Technologies LTD..)       
[HKCU\Software\B60JHDGR6V]  
 [HKCU\Software\qni8hj710fdl]     

5/Pour finir clique sur "Nettoyer" .


6/colle le rapport obtenu .

Dis moi comment va le pc ?

donuts12 · Answer

Le rapport : Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-24-12-2010-16-03-25.txt
Run by Darse at 24/12/2010 16:03:25
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\B60JHDGR6V  => Clé supprimée avec succès
HKCU\Software\SweetIM  => Clé supprimée avec succès
HKCU\Software\qni8hj710fdl  => Clé supprimée avec succès
HKLM\Software\BrowserChoice  => Clé supprimée avec succès
HKLM\Software\SweetIM  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe  => Clé supprimée avec succès

========== Préférences navigateur ==========
C:\Documents and Settings\Darse\Local Settings\Application Data\Mozilla\Firefox\Profiles\1ix3zu72.default\prefs.js  => Fichier absent

========== Dossier(s) ==========
C:\Documents and Settings\Darse\Application Data\Mozilla\Firefox\Profiles\1ix3zu72.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}  => Supprimé et mis en quarantaine
C:\Program Files\SweetIM  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\sweetim\messenger\sweetim.exe ()   => Fichier absent


========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Dossier(s)
1 : Fichier(s)
1 : Préférences navigateur


End of the scan

        google-chrome essaye de m'ouvrir la page d'acceuil : http://home.sweetim.com/?barid={01594DDC-0F44-11E0-A9E9-20CF30B05819} et le message d'erreur saffiche : Unable to connect to the proxy server
A proxy server is a server that acts as an intermediary between your computer and other servers. Right now, your system is configured to use a proxy, but Google Chrome can't connect to it.
Voici quelques suggestions :
If you use a proxy server, check your proxy settings or check with your network administrator to make sure the proxy server is working.
If you don't believe you should be using a proxy server, try the following steps: Go to Wrench menu > Options > Under the Hood > Change proxy settings > LAN Settings and deselect "Use a proxy server for your LAN."
Erreur 130 (net::ERR_PROXY_CONNECTION_FAILED) : Proxy server connection failed.  voila je pense que c'est le seul problème.

jfkpresident · Answer

Tu n'a plus de page d'accueil quand tu ouvre ton navigateur ?

donuts12 · Answer

La lien de la page d'acceuil été encore sweet IM mais cela n'a pas d'importance, Puisque jai un message d'erreur qui s'affiche :


 Unable to connect to the proxy server
A proxy server is a server that acts as an intermediary between your computer and other servers. Right now, your system is configured to use a proxy, but Google Chrome can't connect to it.
Voici quelques suggestions :
If you use a proxy server, check your proxy settings or check with your network administrator to make sure the proxy server is working.
If you don't believe you should be using a proxy server, try the following steps: Go to Wrench menu > Options > Under the Hood > Change proxy settings > LAN Settings and deselect "Use a proxy server for your LAN."
Erreur 130 (net::ERR_PROXY_CONNECTION_FAILED) : Proxy server connection failed.


jai mis google en page d'acceuil ce qui n'a rien changer et ma box (sfr) n'a plus eu de tel et d'internet depuis quelque heure

Je tien a signaler que mozilla marche étant donné que j'écrit.

donuts12 · Answer

c'est bon tout est rétablie c'était juste un paramètre dans les options concernant les proxy.
Mon ordi va beaucoup mieux =) 

Merci beaucoup jfkpresident, pour ta patience ;) et ton aide précieuse la veille de noel =)

jfkpresident · Answer

Pour finir :

==*Nettoyage des outils*==

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

=============

Met a jour IE (meme si tu ne l'utilises pas) : https://support.microsoft.com/fr-fr/allproducts

Met a jour également ta console Java : https://www.java.com/fr/download/manual.jsp

=============

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

Je te souhaite un bon surf et m'en vais de ce pas feter noel !

Je met en "résolu"

donuts12 · Answer

Merci beaucoup. Ordinateur comme neuf =D.
 
Bonne fête =)

Supression impossible antimalware doctor

20 réponses

Votre réponse

Discussions similaires

Newsletters