Infection par le rogue Antimalware Doctor

Résolu
Cooly007 Messages postés 23 Statut Membre -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonsoir à tous,

J'ai créé ce topic suite à ce que je pense être une infection par Antimalware Doctor. Ce dernier s'est installé tout seul sur mon ordinateur et créé en permanence des pop-up afin de m'inciter à acheter un soit-disant logiciel antivirus. Je m'acharne à refuser mais vu la ténacité du malware, je m'inquiète beaucoup pour mon ordinateur...

J'ai lancé des scans complets de Malwarebytes et demandé de supprimer les fichiers infectés mais rien n'y fait. Je suis donc venue vous demander de l'aide car j'ai vu, après quelques recherches sur CCM à quel point le "remède" à ce rogue semble être complexe et je doûte de pouvoir y arriver seule...

J'ai bien lu la synthèse du projet antimalware et je comprends un peu mieux les risques encourus sur le net et je ferai bien plus attention à l'avenir.

25 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    - Télécharge sur le bureau RogueKiller de Tigzy
    - Quitte tous tes programmes en cours
    - Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    - Sinon lance simplement RogueKiller.exe
    - Lorsque demandé, tape 2 [DELETE] et valide
    - Poste le rapport RKreport.txt présent sur le bureau.

    * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

    Ensuite ne rdémarre pas ton PC et fais ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Celma fait deux rapports à poster

    Smart
    0
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu ne devrais plus avoir Anti-Malware Doctor, RK et MBAM ont fait leur boulot.
    Relance MBAM et vide la quarantaine

    Tu vas ceci:

    Télécharge Winrar ==> https://www.commentcamarche.net/telecharger/utilitaires/24097-winrar/

    Ensuite télécharge ce fichiers sur ton bureau: http://www.cijoint.fr/cjlink.php?file=cj201102/cijt2zZVoE.zip

    Dézipe le fichier cooly.zip qui se trouve sur ton bureau. Ensuite double clique sur le fichier Cooly.bat. Tu vas obtenir un fichier .rar, poste le via ce site:
    https://www.luanagames.com/index.fr.html
    Et poste le lien d'accés à ce fichier dans ta réponse

    Ensuite

    On va quand même faire un diagnostic de ton PC afin de voir s'il n'y a pas d'autres infections:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  3. Cooly007 Messages postés 23 Statut Membre
     
    Génial ! je ne vois en effet plus aucune trace d'Antimalware Doctor où que ce soit !

    Pour la suite j'ai bien téléchargé et dézippé le fichier cooly.zip, mais après double-clic sur cooly.bat, je n'obtient aucun nouveau fichier rar (une fenêtre noire s'ouvre, mais me dit :

    "C:\Users\Karine\Desktop>echo Compression du dossier...
    Compression du dossier...
    'rar' n'est pas reconnu comme an tant que commande interne ou externe, un programme exécutable ou un fichier de commande.
    Compression ok... Le fichier se trouve sur le bureau
    Appuyez sur une touche pour continuer...")

    Alors je possède bien winrar et je ne vois aucun nouveau fichier sur mon bureau. Après avoir appuyé sur une touche la fenêtre se ferme et rien ne se passe...
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Fais un clic droit sur le Cooly.bat > Modifier
    Et tu corriges la lignes suivante:
    rar a -r -hpinfected "%UserProfile%\Bureau\Backup"
    Par celle-ci:
    rar a -r -hpinfected "%UserProfile%\Desktop\Backup"
    Enregistre le fichier

    En fait il faut mettre desktop au llieu de bureau pour W7

    Et recommence la procédure

    Smart
    0
  6. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    salut

    Tu peux également aller dans C:/Programmes et me donner le nom du repertoire de winrar?
    0
  7. Cooly007 Messages postés 23 Statut Membre
     
    Smart : J'ai bien fait le remplacement, mais rien n'y fait,aucun fichier .rar n'apparait sur mon bureau.

    Tigzy : Je suis vraiment désolée mais je ne parviens pas à trouver le répertoire de Winrar dans C:/Programmes... Je le vois dans C:/Program Files mais pas dans le précédent.

    Veuillez m'excuser de vous causer autant d'ennui.

    Est-ce que je passe tout de même à la suite avec ZHPDiag ?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      oui désolé, c'est bien Program files. il a quel nom ce repertoire?
      C'est bien sur C:?
      0
  8. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Fait comme suit:

    Copie ce texte en gras:

    @setlocal
    echo Compression du dossier...
    @echo off
    set path="%ProgramFiles%\WinRAR\";%path%
    rar a -r -hpinfected "%UserProfile%\Desktop\Backup" "C:\Users\Karine\AppData\Roaming\B6F0E330CF228C44CFC58F47983EB061\ut70mbd0pps.exe"
    echo Compression ok ... Le fichier se trouve sur le bureau
    pause


    Démarrer, exécuter (ou rechercher). taper NOTEPAD et valider
    Coller le texte dans le bloc note qui s'est ouvert.
    Fichier => enregistrer sous.
    Faire dérouler le type de fichier, et mettre "Tous les fichiers"
    Dans le nom, mettre save.bat et valider.

    Lance le fichier .bat que tu as créé. L'archive doit avoir été créée

    Contributeur SECURITE *** Développeur de RogueKiller ***
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      si ça marche pas, installe Winrar par le lien plus haut
      0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    @Cooly,

    Essaie de faire ce que t'as dit Tigzy. En fait c'est important pour lui d'anlyser le fichier en question. Car c'est le développeur de RogueKiller et il a besoin de ces infos pour améliorer er faire évoluer son outil.

    Tu passeras ensuite le san ZHPDiag

    Merci
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Yop, enfin là c'est plutôt pour le refiler à Malwarebytes, mais bon l'idée y est :)
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      :-)
      0
  10. Cooly007 Messages postés 23 Statut Membre
     
    Ok, ok ! Pardon pour le retard, je n'étais pas chez moi.

    Tigzy : Alors, le répertoire s'appelle WinRAR et se trouve bien sur C: (dans les Program Files ).
    J'ai fait comme tu m'as dis, créé le fichier save.bat mais le résultat est le même. Je ne comprends vraiment pas d'où peut venir le problème...

    J'ai aussi essayé de re-télécharger winrar par le lien plus haut, là non plus pas de résultat. Peut-être devrai-je le désinstaller et le ré-installer complètement ?

    Ah, et je ne sais pas si c'était vraiment utile mais j'ai aussi essayé d'exécuter le save.bat en tant qu'administrateur, mais rien.
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire autrement
    Va sur ce fichier :

    C:\Users\Karine\AppData\Roaming\B6F0E330CF228C44CFC58F47983EB061\ut70mbd0pps.exe

    et compresse le en RAR avec WinRar sur ton bureau
    Ensuite tu postes le fichier .rar via cijoint

    Si tu as toujour des pb, on verra plus tard
    Et dans ce cas tu fais le scan ZHPDiag et tu poste le rapport via cijoint

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  12. Cooly007 Messages postés 23 Statut Membre
     
    Arg ! j'ai copié/collé le lien dans mon explorateur et l'ai validé, je ne m'attendais pas à ce que ça relance antimalware doctor.

    Bon et bien je pense que je vais devoir tout recommencer, non ?

    Quoiqu'il en soit voici le fichier :

    (Lien supprimé par la modération par mesure de sécurité, les helpeurs ont récupéré le fichier).
    0
    1. Cooly007 Messages postés 23 Statut Membre
       
      Ah et la question risque de paraître absurde mais je ne comprend pas comment le rogue pouvait encore être sur l'ordinateur malgré les scans et suppressions par les antimalware ? est-ce qu'il le sera toujours ou peut-on s'en débarrasser définitivement ?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Justement, c'est parce que Mawlarebytes ne l'a pas vu.
      relance RogueKiller en mode 2 si tu as relancé le rogue
      0
    3. Cooly007 Messages postés 23 Statut Membre
       
      Ok fait ! je passe au scan ZHPDiag ?
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu envoie le rapport?
      0
  13. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    J'ai fait remonter le fichier chez Malwarebytes, merci de ta contribution

    http://forums.malwarebytes.org/index.php?showtopic=75108&pid=387337&st=0&
    0
  14. Cooly007 Messages postés 23 Statut Membre
     
    Merci à vous plutôt de m'avoir aidée !

    Voici le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201102/cijIINETKX.txt
    0
  15. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Pour moi c'est bon

    * Télécharge DELFix de Xplode
    * Lance le.
    * A l'invite, tape 2 (suppression)
    * Un rapport va s'ouvrir à la fin, colle le dans la réponse

    ----------

    Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
    Et celui ci, sur les logiciels gratuits à éviter

    ------

    Tu peux garder Malwarebytes pour un scan de temps à autres

    -----

    Pense à marquer le fil comme résolu
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    J'interviens en cours de route. As-tu toujours les alertes antiMalware doctor
    Si c'est oui, il faur relancer RK en mode 2
    Tiens moi au courant en attendant je regarde ton dernier rapport ZHPDiag.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. gen-hackman
       
      bonsoir le fichier a été recupéré , peux-tu supprimer le lien stp pour la securité des internautes Merci
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Cela a été fait
      0
  17. Cooly007 Messages postés 23 Statut Membre
     
    Tigzy : Fait ! et voilà le rapport :

    # DelFix v7.4 - Rapport créé le 11/02/2011 à 12:06
    # Mis à jour le 09/02/11 à 23h par Xplode
    # Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
    # Nom d'utilisateur : Karine - KARINE-PC (Administrateur)
    # Exécuté depuis : C:\Users\Karine\Downloads\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Program Files (x86)\ZHPDiag
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Users\Karine\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Karine\Downloads\ZHPDiag2.exe
    Supprimé : C:\Users\Karine\Downloads\RogueKiller(2).exe
    Supprimé : C:\Users\Karine\Downloads\RogueKiller(3).exe
    Supprimé : C:\Users\Karine\Downloads\RogueKiller.exe
    Supprimé : C:\Users\Karine\Downloads\RKreport.txt

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1222 octets] ##########

    Smart : Merci beaucoup, et non, plus aucune manifestation d'Antimalware Doctor (ouf)
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Oui mais il me semble que tu as d'autre infections que j'ai repéré dans le rapport ZHPDiag.

    Je n'aurais pas désinstaller les outils tout de suite.

    Si tu veux continuer. Il faut que retéléchatge ZHPDiag refaire un scan et poster le rapport vi cijoint

    Smart
    0
    1. Cooly007 Messages postés 23 Statut Membre
       
      Très bien, alors j'ai suivi les instructions et voilà le rapport :

      http://www.cijoint.fr/cjlink.php?file=cj201102/cijoYPtv9x.txt
      0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste des traces et des barres d'outils inutiles et certaines infectées

    Tu vas faire ceci:

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor
    O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM][64Bits] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}
    [HKCU\Software\Antimalware Doctor Inc]
    [HKCU\Software\AppDataLow\Software\Hotbar]
    [HKCU\Software\AppDataLow\Software\pdfforge]
    [HKCU\Software\Search Settings]
    O43 - CFD: 10/02/2011 - 07:33:08 ----D- C:\Program Files (x86)\Application Updater
    O43 - CFD: 10/02/2011 - 07:33:08 ----D- C:\Program Files (x86)\pdfforge Toolbar
    [MD5.3698D11B67CA54B1F38BC985762F2532] [SRI] (.It Systems - Covering Software.) -- C:\Users\Karine\AppData\Roaming\B6F0E330CF228C44CFC58F47983EB061\ut70mbd0pps.exe [1041920]
    [HKCU\Software\Search Settings]
    R3 - URLSearchHook: (no name) - {0fc85f5d-6207-4515-a490-45a549d285c0} Clé orpheline
    R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline
    O42 - Logiciel: Radio Bar 1 Toolbar - (.Radio Bar 1.) [HKLM][64Bits] -- Radio_Bar_1 Toolbar
    [HKCU\Software\AppDataLow\Software\Conduit]
    [HKCU\Software\AppDataLow\Software\Radio_Bar_1]
    [HKCU\Software\Conduit]
    O43 - CFD: 08/07/2010 - 19:49:02 ----D- C:\Program Files (x86)\Conduit
    O43 - CFD: 08/07/2010 - 19:49:02 ----D- C:\Program Files (x86)\Radio_Bar_1
    [MD5.3A5627E0AB06F3CA7FB238CE5EE8CDF9] [SPRF] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Karine\AppData\Local\Temp\prxGLFDCDD.tmp.tbVuze.dll [175400]
    O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] Clé orpheline
    O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] Clé orpheline
    O4 - HKLM\..\Wow6432Node\Run: [NPSStartup] Clé orpheline
    O23 - Service: (AMD External Events Utility) - Clé orpheline
    O23 - Service: (hpsrv) - Clé orpheline
    O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine
    [HKCU\Software\AppDataLow\Software\conduitEngine]
    O43 - CFD: 29/01/2011 - 20:07:46 ----D- C:\Program Files (x86)\ConduitEngine

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  20. Cooly007 Messages postés 23 Statut Membre
     
    Wow en tant qu'ignorante en informatique, je suis vraiment impressionnée par tout ce que vous savez faire.

    Bref, voici le rapport. Il s'est bloqué deux fois vers la fin en disant qu'il avait été stoppé mais je n'ai fait aucune manip. Antimalware Doctor fait de la résistance ?

    Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-11-02-2011-21-36-39.txt
    Run by Karine at 11/02/2011 21:36:38
    Windows 7 Home Premium Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Module(s) mémoire ==========
    C:\Users\Karine\AppData\Local\Temp\prxGLFDCDD.tmp.tbVuze.dll [175400] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    HKCU\Software\Antimalware Doctor Inc => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\Hotbar => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\pdfforge => Clé supprimée avec succès
    HKCU\Software\Search Settings => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\Conduit => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\Radio_Bar_1 => Clé supprimée avec succès
    HKCU\Software\Conduit => Clé supprimée avec succès
    O23 - Service: (AMD External Events Utility) - Clé orpheline => Clé supprimée avec succès
    O23 - Service: (hpsrv) - Clé orpheline => Clé supprimée avec succès
    HKCU\Software\AppDataLow\Software\conduitEngine => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: (no name) - {0fc85f5d-6207-4515-a490-45a549d285c0} Clé orpheline => Valeur supprimée avec succès
    R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Clé orpheline => Valeur supprimée avec succès
    O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] Clé orpheline => Valeur supprimée avec succès
    O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] Clé orpheline => Valeur supprimée avec succès
    O4 - HKLM\..\Wow6432Node\Run: [NPSStartup] Clé orpheline => Valeur supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files (x86)\Application Updater => Supprimé et mis en quarantaine
    C:\Program Files (x86)\pdfforge Toolbar => Fichier supprimé au reboot
    C:\Program Files (x86)\Conduit => Supprimé et mis en quarantaine
    C:\Program Files (x86)\Radio_Bar_1 => Supprimé et mis en quarantaine
    C:\Program Files (x86)\ConduitEngine => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\users\karine\appdata\roaming\b6f0e330cf228c44cfc58f47983eb061\ut70mbd0pps.exe => Fichier absent

    ========== Logiciel(s) ==========
    O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM][64Bits] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32} => Logiciel déjà supprimé
    O42 - Logiciel: Radio Bar 1 Toolbar - (.Radio Bar 1.) [HKLM][64Bits] -- Radio_Bar_1 Toolbar => Logiciel déjà supprimé
    O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    1 : Module(s) mémoire
    11 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    5 : Dossier(s)
    1 : Fichier(s)
    3 : Logiciel(s)

    End of the scan
    0
  • 1
  • 2