Antimalware Doctor Résolu/Fermé

Question

Bonjour, 

J'ai antimalware doctor, qui s'est mis sur mon ordi ce week end, et j'essaye de trouver une solution de le supprimer, sans reformater mon ordi, car je l'ai fait il y a pas longtemps. J'ai essayé de voir une solution, mais il y a 3 tonnes d'explications. Alors y aurait il une solution, qui ne semble pas trop compliqué? Je vous remercie par avance...


Configuration: Windows Vista / Safari 534.10

Excessimo · Answer

[x] Télécharge sur le bureau RogueKiller (merci à tigzy)
https://www.luanagames.com/index.fr.html

[x] ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

[x] Ferme tous tes programmes
[x] Exécute RogueKiller.exe
[x] Lorsqu'il te le sera demandé, tape 2 et valide
[x] Un rapport (RKreport.txt) va apparaître sur le bureau.
* Si le programme a été bloqué, renomme le en winlogon et relance le, ne pas hésiter a essayer de le relancer plusieurs fois, si ça ne marche toujours pas, essaye en mode sans échec :)

Ne redémarre surtout PAS ton pc, cela invaliderait l'effet de Rogue Killer.
Postes le rapport RogueKiller.

############### Malwarebytes' Anti-Malware ###############

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

http://www.malwarebytes.org/mbam-download.php

* NB : pour lancer le téléchargement, cliquer à doite sur "download now"

[x] Désactive ton Antivirus pour éviter les conflits

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

[x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " SUPPRIMER LA SELECTION !!! ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.

* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

bouiboui15 · Answer

Je te remercie pour ce post, j'essayerai de faire ca demain soir. A quoi va servir de poster le rapport sur le forum ?? Merci encore

Excessimo · Answer

postes moi le rapport malwarebytes' (il se trouve dans l'onget logs du programmes)

et comme antimalware n'arrive jamais seul,

===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

bouiboui15 · Answer

Voila le rapport : 


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

18/01/2011 20:23:55
mbam-log-2011-01-18 (20-23-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 141564
Temps écoulé: 46 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*reshostaction.exe (Trojan.FakeAlert) -> Value: *reshostaction.exe -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Boui\AppData\Roaming\microsoft\Windows\start menu\Programs\Startupeshostaction.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\Boui\AppData\Local\Temp\wnrceamosx.exe (Trojan.Downloader) -> No action taken.
c:\Users\Boui\downloads\unconfirmed 75978.download (Trojan.Dropper) -> No action taken.
c:\Users\Boui\downloads\vlc-player (1).exe (Trojan.Dropper) -> No action taken.
c:\Users\Boui\downloads\vlc-player (2).exe (Trojan.Dropper) -> No action taken.
c:\Users\Boui\downloads\vlc-player.exe (Trojan.Dropper) -> No action taken.
c:\Users\Boui\local settings	emporary internet files\Content.IE5\HZ3CRR20\configdat700mod[1].exe (Trojan.FakeAlert) -> No action taken.
c:\Users\Boui\local settings	emporary internet files\Content.IE5\LV2SZF45\configdat700mod[1].exe (Trojan.FakeAlert) -> No action taken.

Excessimo · Answer

c'est pour virer les autres infections liées à antimalware donctor

===============ZHPDIAG==================== 

On va faire un diagnostic du PC : 

[*]Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic ») 
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 

https://www.cjoint.com/ 

tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

bouiboui15 · Answer

Oui j'avais vu, mais il sert à quoi ?? Car j'installe pas mal de logiciel mdr

Excessimo · Answer

Non ça ne te supprime rien,

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

    * Copie les lignes suivantes :

    ---------------------------------------------------

G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.2613.41 (Activé)
O4 - HKCU\..\RunOnce: [*autoevtscab.exe] . (.It Systems - Covering Software.) -- C:\Users\Boui\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\autoevtscab.exe
O4 - HKUS\S-1-5-21-3017188484-574311882-1536512409-1000\..\RunOnce: [*autoevtscab.exe] . (.It Systems - Covering Software.) -- C:\Users\Boui\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\autoevtscab.exe
O23 - Service:  (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC. - Service scanner interface.) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {41EBC322-660F-4D16-A0DF-53147210CBDB}
[HKLM\Software\OfferBox]
O43 - CFD: 20/09/2010 - 10:07:30 ----D- C:\Users\Boui\AppData\Roaming\OfferBox
[MD5.31E49EB3823294040151C5C7E8EB6CDE] [SRI] (.It Systems - Covering Software.) -- C:\Users\Boui\AppData\Roaming\0594107EB26CE67B72B964066B39552D\configdat700mod.exe   [1052672]
[MD5.A4B5DA4B247CD53BFC9F292D9C40D507] [SRI] (.It Systems - Covering Software.) -- C:\Users\Boui\AppData\Roaming\0594107EB26CE67B72B964066B39552D\upd_debug.exe   [148480]
SR - | Auto 05/11/2010 327000 |  (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe
O4 - Global Startup: C:\Users\Boui\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PartyPoker.fr.lnk . (.Pas de propriétaire.)  -- C:\Programs\PartyFrance\PartyFrance.exe
O9 - Extra button: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} . (.Pas de propriétaire - Pas de description.) -- C:\Programs\PartyFrance\PartyPokerFr\images\ppicon.ico
O23 - Service:  (CLTNetCnService) - Clé orpheline
O42 - Logiciel: PartyPoker.fr - (.PartyFrance.) [HKLM] -- PartyPokerFr
[HKCU\Software\PartyFrance]
[MD5.3E7A365D6765186261C13CBE65076DE4] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Boui\AppData\Local\Temp\pPartyPokerFrSetup.exe   [6621596]
R3 - URLSearchHook: Audacity-tools Toolbar - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} . (.Conduit Ltd. - Conduit Toolbar.) (5, 6, 0, 23) -- C:\Program Files\Audacity-tools	bAuda.dll
R3 - URLSearchHook: Audacity-tools Toolbar - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} . (.Conduit Ltd. - Conduit Toolbar.) (5, 6, 0, 23) -- C:\Program Files\Audacity-tools	bAuda.dll
O2 - BHO: Audacity-tools Toolbar - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Audacity-tools	bAuda.dll
O3 - Toolbar: Audacity-tools Toolbar - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Audacity-tools	bAuda.dll
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\Conduit]
[HKLM\Software\Conduit]
O43 - CFD: 11/09/2010 - 10:31:06 ----D- C:\Program Files\Conduit


    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »

postes le rapport

Excessimo · Answer

redémarre ton PC 

commence par mettre à jour Windows c'est très très important !
Pour ce faire, va dans le menu démarrer, tous les programmes, puis windows update, tu fais rechercher les mises à jours et tu les installent, tu répètes l'opération jusqu'à ce qu'il n'y en ait plus :)

1- NOUS ALLONS METTRE A JOUR TON PC

Tout dabord désinstalles tout ce qui ne te sert pas, ça te fait de l'espace en plus

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

1ère étape : Java

> Télécharge JavaRa puis décompresse le sur ton bureau.
> Ouvre le dossier JavaRa puis exécute JavaRa.exe.
> Clique sur "Search For Updates".
> Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
> Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
> Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
> Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
> Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader

> Si tu utilises adobe reader, il est important qu'il soit à jour.
> Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC
> Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]

3ème étape : Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

> Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
> Télécharge USBfix puis lance le. (Clique droit/Exéuter en tant qu'administrateur pour Vista/7).
> Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner].
> Appuie sur [Ok] au message de confirmation.
> Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

> Télécharge DelFix sur ton bureau.
> Lance le.
> Clique sur Supression puis valide en appuyant sur [Entrée].
> Patiente pendant le scan jusqu'à l'ouverture du rapport.
> Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch


4- Optimisation

1ère étape : Suppression des fichiers inutiles

> Télécharge CCleaner
> Installe le, puis lance le.
> Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
> Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
> Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées].
> Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après 

la suppression )
> Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
> Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Defragmenter maintenant] puis sélectionne le disque dur à défragmenter (le C:\ en temps normal).

3ème étape : Vérification des disques

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
> Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

> Lance CCleaner
> Va dans [Outils] puis [Démarrage]
> Désactives les lignes que tu jugent inutiles
> Veilles à ne pas désactiver la/les lignes correspondantes à ton antivirus

4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

> Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

> Tutoriels :

- Windows XP
- Windows Vista
- Windows 7

N'oublies pas de réactiver la restauration système.


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Secunia PSI

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

->met à jour les autres avec secunia téléchargeable ici.
->TUTO

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Bon surf et @+++ ;) 
(je te conseille de garder Malwarebyte's et de passer des scans complet de temps en temps, ne pas oublier de le mettre à jour avant un scan ;)
Et n'oublies pas de passer ton sujet en RESOLU.

[FIN]

Antimalware Doctor

8 réponses

Discussions similaires