Hijackthis pour MS removal tool ? Fermé

Question

Bonjour,   
MS removal tool a infesté mon PC. J'aimerai utiliser Hijackthis pour le retirer, mais quelle procédure utiliser pour obtenir le rapport à poster ?   
merci  
Configuration: Windows 7 / Internet Explorer 9.0

Destrio5 · Answer

Bonjour,

On va utiliser un outil plus complet qu'HijackThis.

--> Télécharge OTL (par OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
--> Coche également les cases à côté de Recherche Lop et Recherche Purity.
--> Enfin, clique sur le bouton Analyse. Le scan ne prend pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

Kamille78 · Answer

Voici les deux rapports, merci beaucoup =)
http://www.cijoint.fr/cjlink.php?file=cj201103/cijxoH53vg.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijfY74EZF.txt

Destrio5 · Answer

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :




:OTL
O4 - HKCU\..\RunOnce: [jHfFnOeJfHk16633] C:\ProgramData\jHfFnOeJfHk16633\jHfFnOeJfHk16633.exe (?????????? ??????????) 
[2011/03/29 14:53:38 | 000,000,000 | ---D | C] -- C:\ProgramData\jHfFnOeJfHk16633 

:commands
[emptytemp]




--> Puis clique sur le bouton Correction en haut de la fenêtre.
--> Laisse le programme travailler, redémarre une fois le fix terminé.
--> Poste le rapport qui s'affichera après redémarrage.

Kamille78 · Answer

Voici le rapport
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
C:\ProgramData\jHfFnOeJfHk16633\jHfFnOeJfHk16633.exe moved successfully.
Folder C:\ProgramData\jHfFnOeJfHk16633\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Charlotte
->Temp folder emptied: 1033645096 bytes
->Temporary Internet Files folder emptied: 1940818802 bytes
->Java cache emptied: 48969235 bytes
->Apple Safari cache emptied: 187590656 bytes
->Flash cache emptied: 2965186 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 60140216 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85481 bytes
RecycleBin emptied: 13668440258 bytes
 
Total Files Cleaned = 16 158,00 mb

Destrio5 · Answer

--> Suis cette procédure et poste le rapport :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Kamille78 · Answer

Voici
http://www.cijoint.fr/cjlink.php?file=cj201103/cijZJFUPqh.txt

Destrio5 · Answer

--> Relance Malwarebytes' Anti-Malware, va dans Quarantaine et supprime tout.

--> Mets à jour Java :
https://www.java.com/fr/download/uninstalltool.jsp

Plus de souci ?

Kamille78 · Answer

est-ce que je dois supprimer les trojans détectés avant de relancer malwarebytes ?

Destrio5 · Answer

Oui.

Kamille78 · Answer

j'ai effacé les dossiers de quarantaine et installé la mise à jour java, c'est donc bon ?

Destrio5 · Answer

Tu n'as plus le rogue ?

Kamille78 · Answer

il s'affiche toujours dans ma barre des taches mais ne se manifeste plus, dois je refaire un scan ?

Destrio5 · Answer

Redémarre et dis-moi s'il est toujours dans la barre des tâches.

Tu peux refaire un scan OTL et poster le rapport OTL.

Kamille78 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijGwPmWz6.txt voici

Destrio5 · Answer

--> Mets à jour Adobe Reader :
https://get2.adobe.com/fr/reader/otherversions/

Toujours dans la barre des tâches ?

Kamille78 · Answer

arggggg il l'est toujours mm après redémarrage.

Destrio5 · Answer

Ok, on va utiliser un outil plus puissant :  

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\  

--> Télécharge ComboFix (de sUBs) sur ton Bureau.  
--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur.  
--> Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.  
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.  

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

Rensbee · Answer

Bonjour, j'ai fait une restauration système en mode sans échec et au redémarrage MS removal tool n'apparaît plus. Pensez-vous que le virus a disparu.
Merci

Destrio5 · Answer

Je pense que oui.

Tu peux me poster un rapport OTL si tu veux.

Kamille78 · Answer

Voici le rapport combofix
http://www.cijoint.fr/cjlink.php?file=cj201103/cijkmlJKav.txt

Destrio5 · Answer

Je vois un dossier infectieux.

/!\ Seul Kamille78 peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

Folder::
C:\ProgramData\jHfFnOeJfHk16633      






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

Kamille78 · Answer

J'ai un problème car aucune raccourcis combofix ne s'est crée sur mon bureau et quand je recherche je ne trouve qu'un fichier que mon ordinateur me signale comme ayant été modifié. Dois-je retélécharger combofix ?

Destrio5 · Answer

Ce n'est pas un raccourci vers ComboFix que tu dois avoir mais le programme ComboFix directement.

Tu peux le retélécharger.

Kamille78 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijq7lbc2k.txt voici

Destrio5 · Answer

Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

* Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de supprimer les points de restauration.


==Prévention==

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


;)

Kamille78 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijJriQo4H.txt voici le rapport

j'ai fait le nettoyage CCleaner et supprimer les points de restauration

Destrio5 · Answer

Si tu n'as plus de souci, tu peux cliquer sur "Marquer comme résolu" sur ce sujet.

Kamille78 · Answer

Merci beaucoup pour ton aide !

Le fichier est toujours présent dans la barre de tâche windows par contre. Est-ce que c'est grave ? J'ai lancé une analyse complète windows defender pour être sure qu'il était parti mais y en a pour quelques heures apparemment x)

Destrio5 · Answer

Pour moi, c'est inutile de faire un scan avec Windows Defender.

Dans la barre des tâches, tu as encore l'icône du virus ?

Kamille78 · Answer

Ok.
Oui l'icône apparait toujours, c'est marqué dit: "jHfFnOeJfHk16633.exe MS removal tool"

Destrio5 · Answer

--> Télécharge SEAF (de C_XX) sur ton Bureau.
--> Lance-le. Dans le cadre, copie-colle ceci : jHfFnOeJfHk16633 
--> Coche Chercher uniquement dans le registre.
--> Clique sur Lancer la recherche.
--> Un rapport va apparaître, poste-le.

Kamille78 · Answer

1. ========================= SEAF 1.0.1.0 - C_XX 
2.  
3. Commencé à: 14:04:16 le 30/03/2011 
4.  
5. Valeur(s) recherchée(s): 
6. jHfFnOeJfHk16633 
7.  
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès 
9.  
10. (!) --- Recherche registre seulement 
11.  
12. ====== Entrée(s) du registre ====== 
13.  
14.  
15. [HKLM\Software\Microsoft\Tracing\jHfFnOeJfHk16633_RASAPI32] 
16. DA: 30/03/2011 13:18:39 
17.  
18. [HKLM\Software\Microsoft\Tracing\jHfFnOeJfHk16633_RASMANCS] 
19. DA: 30/03/2011 13:18:39 
20.  
21. ========================= 
22.  
23. Fin à: 14:07:18 le 30/03/2011 
24. 206582 Éléments analysés 
25.  
26. ========================= 
27. E.O.F 



Voici le rapport

Destrio5 · Answer

Fais pareil avec : MS removal tool

Kamille78 · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 18:57:05 le 30/03/2011
4. 
5. Valeur(s) recherchée(s):
6. MS removal tool
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre seulement
11. 
12. ====== Entrée(s) du registre ======
13. 
14. Aucun élément dans le registre trouvé
15. 
16. =========================
17. 
18. Fin à: 18:59:41 le 30/03/2011
19. 206586 Éléments analysés
20. 
21. =========================
22. E.O.F

Destrio5 · Answer

---> Télécharge OTM (par OldTimer) sur ton Bureau. 

---> Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.

---> Copie (Ctrl+C) le texte suivant ci-dessous :  





:processes 
explorer.exe  

:reg 
[-HKLM\Software\Microsoft\Tracing\jHfFnOeJfHk16633_RASAPI32] 
[-HKLM\Software\Microsoft\Tracing\jHfFnOeJfHk16633_RASMANCS]  

:commands 
[emptytemp] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM. 

---> Accepte le redémarrage du PC. 

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Kamille78 · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\jHfFnOeJfHk16633_RASAPI32\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\jHfFnOeJfHk16633_RASMANCS\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
 
User: All Users
 
User: Charlotte
->Temp folder emptied: 806 bytes
->Temporary Internet Files folder emptied: 175514390 bytes
->Java cache emptied: 2023 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 814 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1719 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 167,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 03302011_190658

Files moved on Reboot...
C:\Users\Charlotte\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Destrio5 · Answer

Pas de changement ?

Kamille78 · Answer

non ms removal tool reste desespérement dans ma barre des taches

pierre · Answer

bonjour 
le plus facile est de le faire à la main. Car tous les sites vous font telecharger un soft, qui detecte peut etre mais au moment de supprimer vous dit qu'il est payant. 
Reperer dans  C:\Documents and Settings\All Users\Application Data 
un repertoire avec des chiffres aleatoires, créé dernierement (pour ma part hier soir). 
Si vous essayer de le supprimer, le malware vous en empechera. 

Donc, redemarrage en mode sans echec F8. 
supprimer le repertoire en question. 

Puis faire regedit/ avec la fonction recherche, recherchez "Runonce", (rappel F3 pour suivant), dans le repertoire: KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce "235355345364346"  
vous allez tomber sur une clé avec le numero aléatoire precedent. clique droit/supprimer 

Au redemarrage en mode normal, remettre sa page de demarrage internet et le fond d'ecran 

tester pour vous!
Bon courage 
pierre

clandestin1er · Answer

Bizarre bizarre....j'ai eu cet espèce de machin, m'a tout bloqué sauf mozilla par qui il est "entré" chez moi, coupé le pc une dizaine de fois, resurf sur la session "invité" et de retour sur ma session plus rien, plus d'alertes, plus de virus, tout est débloqué sans rien faire, aucune manip, aucun logiciel de nettoyage...donc il n'est resté que 4h sur mon pc..........étonnant non .....surtout un 01 Avril.......d'autres ont-ils eu ce genre de comportement très "aquatique" ?????

anarchatheos · Answer

Bonjour! infesté depuis tout à l'heure, mozilla, safari, chrome sont bloqués, j'en ai été réduis à venir quérir de l'aide ici sous IE...
OTL et ComboFix ne marchent pas, quand je les lance en admin, ça les recoupe aussitôt. A mon avis MS Remouval y est pour quelque chose, mais mon avis vaut ce qu'il vaut aux vues de mes maigres connaissances en informatique (j'ai win7, c'en est bien la preuve!).
S'il vous plait aidez-moi, c'est mon PC pour les cours il me le faut absolument opérationnel ce soir.
D'avance merci, cordialement, Joris B.

Hijackthis pour MS removal tool ?

41 réponses

Discussions similaires