Antimalware doctor bloque tout! Fermé

Question

Tout d'abord,  bonjour à tous! 
Hier soir, j'ai été infecté avec antimalware doctor, ce fameux faux antivirus trèèèès embêtant. Je ne suis pas une crack en informatique, pourtant j'avais réussi tant bien que mal à soigner mon ordinateur des précédentes attaques, notamment avec rkill. 


Donc, voila, je suis partie me renseigner un peu sur le net (qui n'est pas bloqué, et c'est bien la seule chose à ne pas l'être). Je préviens tout de même que j'ai un ordi de secours au cas ou. 
Donc, je suis en train de faire le scan avec Malawerbyte, je vous posterais le rapport dès que possible... 
j'avais essayé rkill aussi, mais, bizarrement, rkill m'est annoncé comme "inexécutable" (quelque soit le lien que je peux télécharge), j'ai soit un message d'alerte "windows ne parvient pas à acceder au périphérique, etc..." qui s'affiche une quinzaine de fois, soit l'exécution se fait normalement, mais l'ordinateur me demande avec quoi je dois ouvrir le fichier .exe 
Pour finir, j'ai tout de même réussi à ouvrir deux fois rkill, mais à chaque réouverture le virus revient, Malawerbyte a planté trois fois (dont une fois pendant que j'écrivais ce message), et des fenêtres iexplorer pleines de pubs s'ouvrent toute seule (alors que j'utilise firefox, il n'y a que mon père qui utilise iexplorer) 


Voila déjà un rapport que rkill m'a ouvert:  


This log file is located at C:\rkill.log.  
Please post this only if requested to by the person helping you.  
Otherwise you can close this log when you wish.  

Rkill was run on 13/03/2011 at 11:35:27.  
Operating System: Microsoft Windows XP  


Processes terminated by Rkill or while it was running:  

C:\Documents and Settings\user.NOM-1A09DDA7CEF\Application Data\81D11D8B4C9EA114C1DB71D0E6782221\fdebckalias70.exe 
C:\DOCUME~1\USER~1.NOM\LOCALS~1\Temp\Yj8.exe 
C:\DOCUME~1\USER~1.NOM\LOCALS~1\Temp\Yj4.exe 


Rkill completed on 13/03/2011 at 11:36:32.  



Voila, je ne sais pas si vous avez assez de renseignements? Je vous remercie d'avance de votre aide. 

~Lulu 


Configuration: Windows XP / Firefox 3.5.17

moment de grace · Answer

bonjour

apres avoir posté le rapport Malawerbyte,et supprimé ce qu'il trouve

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide puis fais l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Lulu Joy · Answer

Milles merci, moment de grace!

En fait, mon PC infecté  est un windows XP, mais j'ai du migré sur l'autre ordi (7) car maintenant il est bien bloqué (même s'il n'affiche plus la fenêtre du Doctor). 
J'imagine que RogueKill fonctionne aussi sous XP?
Le scan est commencé depuis plus d'une heure, et il m'affiche déjà 32 éléments infectés (comme Antimalware doctor m'en affichait 33, je présume que cette saleté sait exactement ce qu'il fait à mon ordi). Je poste le rapport dès qu'il a fini ;D

~Lulu

Lulu Joy · Answer

Désolé pour le double post, mais ça c'est fini plus rapidement que je ne le croyais!

Voila, j'ai le rapport!
Que puis-je faire maintenant? Je vais déjà supprimer les fichier déclaré infecté et essayer roguekill. Dois-je redémarrer mon ordinateur?


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6041

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

13/03/2011 11:59:13
mbam-log-2011-03-13 (11-59-10).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 269209
Temps écoulé: 1 heure(s), 12 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
c:\documents and settings\user.nom-1a09dda7cef\application data\81d11d8b4c9ea114c1db71d0e6782221\fdebckalias70.exe (Trojan.FakeAlert) -> 2556 -> No action taken.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\KUGHGZXAKT (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\fpact (Trojan.Downloader) -> Value: fpact -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fdebckalias70.exe (Trojan.FakeAlert) -> Value: fdebckalias70.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KCSCPW1HKH (Trojan.Downloader) -> Value: KCSCPW1HKH -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KUGHGZXAKT (Trojan.Downloader) -> Value: KUGHGZXAKT -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.Downloader) -> Value: NtWqIVLZEWZU -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\Documents and Settings\user.NOM-1A09DDA7CEF\Local Settings\Temp\zitui1.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\application data\81d11d8b4c9ea114c1db71d0e6782221\fdebckalias70.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj3.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj4.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yka.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Ykacaa.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Temp\pvpw\setup.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\5C1.tmp (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\5C5.tmp (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\5C3.tmp (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yjz.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj0.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj1.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj2.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj5.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj6.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj7.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj8.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj9.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\local settings	emporary internet files\Content.IE5\67Q6Z9VL\patch70rls0[1].exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\user.nom-1a09dda7cef\application data\81d11d8b4c9ea114c1db71d0e6782221\upd_debug.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken.

Lulu Joy · Answer

Triple post :x moi qui déteste pourrir un forum, je suis bien embêtée.

Voila le rapport post-suppression.
Malawarebytes dit que certains éléments n'ont pas pu être supprimé ("impossible") et me demande de redémarrer l'ordinateur, ce que je vais faire.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6041

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

13/03/2011 12:03:32
mbam-log-2011-03-13 (12-03-32).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 269209
Temps écoulé: 1 heure(s), 12 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
c:\documents and settings\user.nom-1a09dda7cef\application data\81d11d8b4c9ea114c1db71d0e6782221\fdebckalias70.exe (Trojan.FakeAlert) -> 2556 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\KUGHGZXAKT (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\fpact (Trojan.Downloader) -> Value: fpact -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fdebckalias70.exe (Trojan.FakeAlert) -> Value: fdebckalias70.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KCSCPW1HKH (Trojan.Downloader) -> Value: KCSCPW1HKH -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KUGHGZXAKT (Trojan.Downloader) -> Value: KUGHGZXAKT -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.Downloader) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
c:\Documents and Settings\user.NOM-1A09DDA7CEF\Local Settings\Temp\zitui1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\application data\81d11d8b4c9ea114c1db71d0e6782221\fdebckalias70.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj3.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj4.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yka.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Ykacaa.exe (Trojan.Downloader) -> Delete on reboot.
c:\WINDOWS\Temp\pvpw\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\5C1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\5C5.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\5C3.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yjz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj5.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj6.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj7.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj8.exe (Trojan.Downloader) -> Delete on reboot.
c:\documents and settings\user.nom-1a09dda7cef\local settings\Temp\Yj9.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\local settings	emporary internet files\Content.IE5\67Q6Z9VL\patch70rls0[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\user.nom-1a09dda7cef\application data\81d11d8b4c9ea114c1db71d0e6782221\upd_debug.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

moment de grace · Answer

redemarre le pc puis vide la quarantaine

oublie roguekiller et fais ca

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Antimalware doctor bloque tout!

5 réponses

Discussions similaires