Infection par le rogue Antimalware Doctor Résolu/Fermé

Question

Bonsoir à tous,

J'ai créé ce topic suite à ce que je pense être une infection par Antimalware Doctor. Ce dernier s'est installé tout seul sur mon ordinateur et créé en permanence des pop-up afin de m'inciter à acheter un soit-disant logiciel antivirus. Je m'acharne à refuser mais vu la ténacité du malware, je m'inquiète beaucoup pour mon ordinateur...

J'ai lancé des scans complets de Malwarebytes et demandé de supprimer les fichiers infectés mais rien n'y fait. Je suis donc venue vous demander de l'aide car j'ai vu, après quelques recherches sur CCM à quel point le "remède" à ce rogue semble être complexe et je doûte de pouvoir y arriver seule...

J'ai bien lu la synthèse du projet antimalware et je comprends un peu mieux les risques encourus sur le net et je ferai bien plus attention à l'avenir.


Configuration: Windows 7 / Firefox 3.6.13

Smart91 · Answer

Bonjour,


- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Ensuite ne rdémarre pas ton PC et fais ceci:


* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Celma fait deux rapports à poster

Smart

Cooly007 · Answer

Bonjour Smart et merci de bien vouloir m'aider 

J'ai bien suivi la procédure et voici les rapports :

Roguekiller (j'avoue l'avoir lancé plusieurs fois pour être sûre de ne pas m'être trompée dans les instructions) : http://ww38.toofiles.com/fr/oip/documents/doc/rapportroguekiller.html

Malwarebytes : http://ww38.toofiles.com/fr/oip/documents/doc/rapportmalwarebytes.html

Smart91 · Answer

Tu ne devrais plus avoir Anti-Malware Doctor, RK et MBAM ont fait leur boulot. 
Relance MBAM et vide la quarantaine 

Tu vas ceci:

Télécharge Winrar ==> https://www.commentcamarche.net/telecharger/utilitaires/24097-winrar/

Ensuite télécharge ce fichiers sur ton bureau: http://www.cijoint.fr/cjlink.php?file=cj201102/cijt2zZVoE.zip 

Dézipe le fichier cooly.zip qui se trouve sur ton bureau. Ensuite double clique sur le fichier Cooly.bat. Tu vas obtenir un fichier .rar, poste le via ce site:
https://www.luanagames.com/index.fr.html
Et poste le lien d'accés à ce fichier dans ta réponse
 
Ensuite

On va quand même faire un diagnostic de ton PC afin de voir s'il n'y a pas d'autres infections: 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.  
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Clique sur la loupe pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long.  
-  Ferme ZHPDiag en fin d'analyse.  
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/  
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  
-  Sélectionne le fichier ZHPDiag.txt.  
-  Clique sur "Cliquez ici pour déposer le fichier".  
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.  
-  Copie ce lien dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cooly007 · Answer

Génial ! je ne vois en effet plus aucune trace d'Antimalware Doctor où que ce soit !

Pour la suite j'ai bien téléchargé et dézippé le fichier cooly.zip, mais après double-clic sur cooly.bat, je n'obtient aucun nouveau fichier rar (une fenêtre noire s'ouvre, mais me dit :

"C:\Users\Karine\Desktop>echo Compression du dossier...
Compression du dossier...
'rar' n'est pas reconnu comme an tant que commande interne ou externe, un programme exécutable ou un fichier de commande.
Compression ok... Le fichier se trouve sur le bureau
Appuyez sur une touche pour continuer...")

Alors je possède bien winrar et je ne vois aucun nouveau fichier sur mon bureau. Après avoir appuyé sur une touche la fenêtre se ferme et rien ne se passe...

Smart91 · Answer

Fais un clic droit sur le Cooly.bat > Modifier
Et tu corriges la lignes suivante:
rar a -r -hpinfected "%UserProfile%\Bureau\Backup"
Par celle-ci:
rar a -r -hpinfected "%UserProfile%\Desktop\Backup"
Enregistre le fichier

En fait il faut mettre desktop au llieu de bureau pour W7

Et recommence la procédure

Smart

Tigzy · Answer

salut

Tu peux également aller dans C:/Programmes et me donner le nom du repertoire de winrar?

Cooly007 · Answer

Smart : J'ai bien fait le remplacement, mais rien n'y fait,aucun fichier .rar n'apparait sur mon bureau. 

Tigzy : Je suis vraiment désolée mais je ne parviens pas à trouver le répertoire de Winrar dans C:/Programmes... Je le vois dans C:/Program Files mais pas dans le précédent. 

Veuillez m'excuser de vous causer autant d'ennui.

Est-ce que je passe tout de même à la suite avec ZHPDiag ?

Tigzy · Answer

Fait comme suit:   


Copie ce texte en gras:    


@setlocal  
echo Compression du dossier...  
@echo off  
set path="%ProgramFiles%\WinRAR\";%path%  
rar a -r -hpinfected "%UserProfile%\Desktop\Backup" "C:\Users\Karine\AppData\Roaming\B6F0E330CF228C44CFC58F47983EB061\ut70mbd0pps.exe"  
echo Compression ok ... Le fichier se trouve sur le bureau  
pause  

Démarrer, exécuter (ou rechercher). taper NOTEPAD et valider   
Coller le texte dans le bloc note qui s'est ouvert.   
Fichier => enregistrer sous.   
Faire dérouler le type de fichier, et mettre "Tous les fichiers"   
Dans le nom, mettre save.bat et valider.   

Lance le fichier .bat que tu as créé. L'archive doit avoir été créée   

Contributeur SECURITE *** Développeur de RogueKiller ***   
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil

Smart91 · Answer

@Cooly,

Essaie de faire ce que t'as dit Tigzy. En fait c'est important pour lui d'anlyser le fichier en question. Car c'est le développeur de RogueKiller et il a besoin de ces infos pour améliorer er faire évoluer son outil.

Tu passeras ensuite le san ZHPDiag

Merci

Cooly007 · Answer

Ok, ok ! Pardon pour le retard, je n'étais pas chez moi.

Tigzy : Alors, le répertoire s'appelle WinRAR et se trouve bien sur C: (dans les Program Files ).
J'ai fait comme tu m'as dis, créé le fichier save.bat mais le résultat est le même. Je ne comprends vraiment pas d'où peut venir le problème...

J'ai aussi essayé de re-télécharger winrar par le lien plus haut, là non plus pas de résultat. Peut-être devrai-je le désinstaller et le ré-installer complètement ?

Ah, et je ne sais pas si c'était vraiment utile mais j'ai aussi essayé d'exécuter le save.bat en tant qu'administrateur, mais rien.

Smart91 · Answer

On va faire autrement 
Va sur ce fichier :

C:\Users\Karine\AppData\Roaming\B6F0E330CF228C44CFC58F47983EB061\ut70mbd0pps.exe
et compresse le en RAR avec WinRar sur ton bureau 
Ensuite tu postes le fichier .rar via cijoint 

Si tu as toujour des pb, on verra plus tard 
Et dans ce cas tu fais le scan ZHPDiag et tu poste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cooly007 · Answer

Arg ! j'ai copié/collé le lien dans mon explorateur et l'ai validé, je ne m'attendais pas à ce que ça relance antimalware doctor. 

Bon et bien je pense que je vais devoir tout recommencer, non ? 

Quoiqu'il en soit voici le fichier : 

(Lien supprimé par la modération par mesure de sécurité, les helpeurs ont récupéré le fichier).

Tigzy · Answer

J'ai fait remonter le fichier chez Malwarebytes, merci de ta contribution

http://forums.malwarebytes.org/index.php?showtopic=75108&pid=387337&st=0&

Cooly007 · Answer

Merci à vous plutôt de m'avoir aidée !

Voici le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201102/cijIINETKX.txt

Tigzy · Answer

Pour moi c'est bon

* Télécharge DELFix de Xplode
* Lance le.
* A l'invite, tape 2 (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

----------

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------

Tu peux garder Malwarebytes pour un scan de temps à autres


-----

Pense à marquer le fil comme résolu

Smart91 · Answer

J'interviens en cours de route. As-tu toujours les alertes antiMalware doctor 
Si c'est oui, il faur relancer RK en mode 2  
Tiens moi au courant en attendant je regarde ton dernier rapport ZHPDiag. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cooly007 · Answer

Tigzy : Fait ! et voilà le rapport :

# DelFix v7.4 - Rapport créé le 11/02/2011 à 12:06
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : Karine - KARINE-PC (Administrateur)
# Exécuté depuis : C:\Users\Karine\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Karine\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Karine\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Karine\Downloads\RogueKiller(2).exe
Supprimé : C:\Users\Karine\Downloads\RogueKiller(3).exe
Supprimé : C:\Users\Karine\Downloads\RogueKiller.exe
Supprimé : C:\Users\Karine\Downloads\RKreport.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1222 octets] ##########


Smart : Merci beaucoup, et non, plus aucune manifestation d'Antimalware Doctor (ouf)

Smart91 · Answer

Oui mais il me semble que tu as d'autre infections que j'ai repéré dans le rapport ZHPDiag.

Je n'aurais pas désinstaller les outils tout de suite.

Si tu veux continuer. Il faut que retéléchatge ZHPDiag refaire un scan et poster le rapport vi cijoint

Smart

Smart91 · Answer

Il reste des traces et des barres d'outils inutiles et certaines infectées

Tu vas faire ceci:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM][64Bits] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}
[HKCU\Software\Antimalware Doctor Inc]
[HKCU\Software\AppDataLow\Software\Hotbar]
[HKCU\Software\AppDataLow\Software\pdfforge]
[HKCU\Software\Search Settings]
O43 - CFD: 10/02/2011 - 07:33:08 ----D- C:\Program Files (x86)\Application Updater
O43 - CFD: 10/02/2011 - 07:33:08 ----D- C:\Program Files (x86)\pdfforge Toolbar
[MD5.3698D11B67CA54B1F38BC985762F2532] [SRI] (.It Systems - Covering Software.) -- C:\Users\Karine\AppData\Roaming\B6F0E330CF228C44CFC58F47983EB061\ut70mbd0pps.exe   [1041920]
[HKCU\Software\Search Settings]
R3 - URLSearchHook: (no name) - {0fc85f5d-6207-4515-a490-45a549d285c0} Clé orpheline
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline
O42 - Logiciel: Radio Bar 1 Toolbar - (.Radio Bar 1.) [HKLM][64Bits] -- Radio_Bar_1 Toolbar
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\Radio_Bar_1]
[HKCU\Software\Conduit]
O43 - CFD: 08/07/2010 - 19:49:02 ----D- C:\Program Files (x86)\Conduit
O43 - CFD: 08/07/2010 - 19:49:02 ----D- C:\Program Files (x86)\Radio_Bar_1
[MD5.3A5627E0AB06F3CA7FB238CE5EE8CDF9] [SPRF] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Karine\AppData\Local\Temp\prxGLFDCDD.tmp.tbVuze.dll   [175400]
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [NPSStartup] Clé orpheline
O23 - Service:  (AMD External Events Utility) - Clé orpheline
O23 - Service:  (hpsrv) - Clé orpheline
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine
[HKCU\Software\AppDataLow\Software\conduitEngine]
O43 - CFD: 29/01/2011 - 20:07:46 ----D- C:\Program Files (x86)\ConduitEngine
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

Cooly007 · Answer

Wow en tant qu'ignorante en informatique, je suis vraiment impressionnée par tout ce que vous savez faire.

Bref, voici le rapport. Il s'est bloqué deux fois vers la fin en disant qu'il avait été stoppé mais je n'ai fait aucune manip. Antimalware Doctor fait de la résistance ?

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-02-2011-21-36-39.txt
Run by Karine at 11/02/2011 21:36:38
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Module(s) mémoire ==========
C:\Users\Karine\AppData\Local\Temp\prxGLFDCDD.tmp.tbVuze.dll [175400]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor  => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
HKCU\Software\Antimalware Doctor Inc  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Hotbar  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\pdfforge  => Clé supprimée avec succès
HKCU\Software\Search Settings  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Radio_Bar_1  => Clé supprimée avec succès
HKCU\Software\Conduit  => Clé supprimée avec succès
O23 - Service: (AMD External Events Utility) - Clé orpheline  => Clé supprimée avec succès
O23 - Service: (hpsrv) - Clé orpheline  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\conduitEngine  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - {0fc85f5d-6207-4515-a490-45a549d285c0} Clé orpheline  => Valeur supprimée avec succès
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline  => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] Clé orpheline  => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] Clé orpheline  => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [NPSStartup] Clé orpheline  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files (x86)\Application Updater  => Supprimé et mis en quarantaine
C:\Program Files (x86)\pdfforge Toolbar  => Fichier supprimé au reboot
C:\Program Files (x86)\Conduit  => Supprimé et mis en quarantaine
C:\Program Files (x86)\Radio_Bar_1  => Supprimé et mis en quarantaine
C:\Program Files (x86)\ConduitEngine  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\karine\appdata\roaming\b6f0e330cf228c44cfc58f47983eb061\ut70mbd0pps.exe  => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM][64Bits] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}  => Logiciel déjà supprimé
O42 - Logiciel: Radio Bar 1 Toolbar - (.Radio Bar 1.) [HKLM][64Bits] -- Radio_Bar_1 Toolbar  => Logiciel déjà supprimé
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine  => Logiciel déjà supprimé


========== Récapitulatif ==========
1 : Module(s) mémoire
11 : Clé(s) du Registre
5 : Valeur(s) du Registre
5 : Dossier(s)
1 : Fichier(s)
3 : Logiciel(s)


End of the scan

Smart91 · Answer

Refais un scan dernier scan ZHPDiag et poste le rapport, pour vérifier tout cela.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Cooly007 · Answer

Ok voilà le rapport du scan : http://www.cijoint.fr/cjlink.php?file=cj201102/cij8jRIvEI.txt

Sinon pour les mises à jour et suite aux lectures que vous m'avez donné j'ai installé quelques petites choses. J'ai rajouté Adblock plus et Noscript à Mozilla, et puis j'ai mis à jour windows live et HP. Après je ne sais pas quoi faire d'autre donc c'est avec plaisir que je suivrai vos indications.

Smart91 · Answer

Fais les mise à jour suivantes:

Mise à jour Java 6 update 23 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 23

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
EmptyTemp
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files (x86)\Java\jre6\bin\jusched.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O4 - HKUS\S-1-5-21-880152538-3610415835-674685412-1001\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - Global Startup: C:\Users\Karine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OFFICE One 6.0.lnk . (.Pas de propriétaire.)  -- C:\Program Files (x86)\OFFICE One6.0\program\quickstart.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
[HKCU\Software\BrowserChoice]
[HKLM\Software\BrowserChoice]
OPT:SR - | Auto 07/10/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Cooly007 · Answer

OK, j'ai fais tout ce que tu m'as dit mais la mauvaise nouvelle c'est que j'ai perdu le rapport de ZHPFix en cours de route. Je suppose que le relancer serait inutile car le rapport ne serait pas le même que le précédent ? ...

Sinon j'ai fait tout le nettoyage demandé avec Ccleaner et désactivé puis réactivé la restauration système de Windows.

Merci encore pour cette précieuse aide !

Smart91 · Answer

C'est OK.

Heureux de t'avoir aidé

Smart

Infection par le rogue Antimalware Doctor

25 réponses

Discussions similaires

Newsletters