Comment supprimer MS REMOVAL TOOL Fermé

Question

Bonjour,

 j'espere que quelqu'un pourra m'aider car je suis perdue, et à bout de nerfs au bout de 3h de manip' vaines ...

Mon PC a été infecté par un fake, MS REMOVAL TOOL qui fait croire que j'ai des virus afin de me faire acheter leur antivirus. il bloque la quasi totalité de mes fonctions (pas d'acces à internet, ni windowsmail, ...), une bulle s'affiche dès que je tente d'ouvrir Explorer, ou autre: "WARNING! the file ... is infected, application cannot be executed. please activate your antivirus software"J'ai téléchargé sur un autre ordinateur Malwarebytes que j'ai mis sur USB puis l'ai envoyé sur mon bureau de l'ordinateur. j'ai essayé de l'ouvrir en double-cliquant: même bulle: the file mbam-steup-1.50.1.1100.exe is infected, application cannot be executed.

Je ne sais vraiment pas quoi faire, et j'ai un besoin urgent de mon ordinateur

J'espere que vous pourrez m'aider, je suis tout a fait novice en matière de cheval de Troie .

D'avance merci !

Giulia
ps: vista

Configuration: Windows 7 / Internet Explorer 8.0

Tigzy · Accepted Answer

Salut 

* Télécharge sur le bureau RogueKiller (par tigzy) 
* Quitte tous tes programmes en cours 
* Sous Vista/Seven, => Clique droit, lancer en tant qu'admin 
* Lance le. 
* Lorsque demandé, tape  2   et valide 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renommer en winlogon.exe

RIP Jaxryley.... 
Contributeur SECURITE *** Développeur de RogueKiller *** 
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil

pierre · Answer

bonjour 
le plus facile est de le faire à la main. Car tous les sites vous font telecharger un soft, qui detecte peut etre mais au moment de supprimer vous dit qu'il est payant. 
Reperer dans C:\Documents and Settings\All Users\Application Data 
un repertoire avec des chiffres aleatoires, créé dernierement (pour ma part hier soir). 
Si vous essayer de le supprimer, le malware vous en empechera. 

Donc, redemarrage en mode sans echec F8. 
supprimer le repertoire en question. 

Puis faire regedit/ avec la fonction recherche, recherchez "Runonce", (rappel F3 pour suivant), dans le repertoire: KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce "235355345364346" 
vous allez tomber sur une clé avec le numero aléatoire precedent. clique droit/supprimer 

Au redemarrage en mode normal, remettre sa page de demarrage internet et le fond d'ecran 

tester pour vous! 
Bon courage 
pierre

pierre · Answer

desole j'ai fais un copier colle d'un autre post où le probleme se posait dejà.
J'ai raconté mon experience de la "nuit", et la phrase ne concernait pas vos message mais l'appel à l'aide.
cette nuit, je ne suis pas tombe sur votre logiciel
cordialement

Giulia G · Answer

En tout cas, merci Tigzy, ça effectivement pris 10 secondes (et apres 5h de recherches et de manip' vaines, c'est juste ce qui illumine ma journée !!)
:D

Tigzy · Answer

Ce serait bien de m'envoyer vos rapport RogueKiller, au moins en MP si vous ne voulez pas ouvrir un fil.

il faut absolument ensuite passer un coup de Malwarebytes pour éliminer les fichiers!

Tigzy · Answer

Parmi ceux qui ont été infecté, ce serait bien de dire sur quel site ça a commencé.

B.a · Answer

j'ai eu le même problème... je ne suis pas une pro en informatique mais je suis allée dans démarrage et j'ai mis la date du jour à laquelle j'avais installé (grosse erreur ce logiciel), ou pour ceux qui n'ont rien installé mettre la date à laquelle le message est apparu ... et j'ai tout supprimé ce qui avait été installé ou mis à jour à cette date, toute la liste .... il se trouve que l'icone dans la barre des tâches a disparu et depuis plus aucun message .... 
peut être la chance ... mais à tester, l'opération est simple....

Filgoude · Answer

Il faut démarrer en mode sans échec (au démarrage lorsque la barre bios disparaît taper sur F8). Dans mes documents, taper dans l'adresse C:\documents and setting\all users\application data. Afficher le détails des fichiers. Il y a un fichier, le plus récent, avec plein de chiffre. Il faut le supprimer et le tour est joué.

moZzZ · Answer

La suppression des fichier dans AppData puis le suppression de la clé en mode sans échec fonctionne parfaitement plus de message au redémarrage.

Apres passer un coup de malwarebyte qui m'a trouver 2 fichier jar*****.tmp du coup j'ai supprimé tout les jar*****.tmp du dossier indiquer par malwarebyte puis nikel.

Tester a l'instant sur win7 32bit ultimate.

gen-hackman · Answer

ouaip' ben t'as pas tout supprimé du tout là

nico · Answer

Bonjour,
j'ai le même problème et tous mes fichiers ont disparu, après avoir utiliser roguekiller tout vas mieux merci beaucoup, le seul problème et que je ne retrouve toujours pas mes fichiers .. si vous avez une idée merci d'avance.
Nico

Titi · Answer

Bonjour, 

J'ai le même problème à l'instant.

J'ai télécharger RogueKiller et pas de soucis, j'ai eu le rapport qui s'est affiché et tout.

Mais après téléchargement de Malwarebytes, il ne s'exécute pas. Quand je le lanche, une fenetre noire s'affiche 1 fraction de seconde et se ferme. Je ne sais plus quoi faire pour exécuter Malwarebytes :'(

g3n-h@ckm@n · Answer

salut

https://forums.commentcamarche.net/forum/affich-21439962-comment-supprimer-ms-removal-tool#63

ad · Answer

J'ai lancé roguekiller, ça a très bien fonctionner manifestement! merci

Mattallica · Answer

Voila pour moi, je te remercie d'avance pour l'aide ! Quelle merde ce truc...

RogueKiller V5.2.5 [24/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: matthieu [Droits d'admin]
Mode: Recherche -- Date : 26/06/2011 13:51:08

Processus malicieux: 1
[SUSP PATH] dH28601DmMkN28601.exe -- c:\programdata\dh28601dmmkn28601\dh28601dmmkn28601.exe -> KILLED

Entrees de registre: 4
[SUSP PATH] HKCU\[...]\RunOnce : dH28601DmMkN28601 (C:\ProgramData\dH28601DmMkN28601\dH28601DmMkN28601.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1273112135-3648218937-1127934948-1000[...]\RunOnce : dH28601DmMkN28601 (C:\ProgramData\dH28601DmMkN28601\dH28601DmMkN28601.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
127.0.0.1 update.bitdefender.com127.0.0.1 update.bitdefender.com

Termine : << RKreport[1].txt >>
RKreport[1].txt

g3n-h@ckm@n · Answer

salut

https://forums.commentcamarche.net/forum/affich-21439962-comment-supprimer-ms-removal-tool#63

Mattallica · Answer

Merci je n'avais pas tout lu, autant pour moi...

Jpay67 · Answer

Bonsoir,
je viens d avoi le probleme , j ai utilsé Roguekiller et ca bien marché , j ai du le renommé pour pourvoir le lancer (XP PRo) puis Malwarbyte
Mais j avais plus de connection internet via internet exploreur , alors j ai qd mm supprimer les fichier donné dans les post d avant , bien sur ca n,'a rien changer... en faite il etait passe en proxi...
voili voilo c etait juste une info... mais je capte pas ou ja i pu choppé cette merde
Merci a tous pour vois post

saiiida · Answer

salut a vous tous je suis votre soeur du maroc  
j ai le meme probleme et j ai lu les réponse mais je sais pas comment applique la methode a partir du mode sans echec  
s il vous plait est ce qu il y a autre moyenne plus simple  
par ce que je suis pas douée en informatique  

grand merci a vous tous

g3n-h@ckm@n · Answer

oui en t'ouvrant un nouveau sujet :)

ice · Answer

bonjour moi jai un problème je ne trouve pas l'application data dans documents and setting et rogue killer refuse de ce lancer ps windows xp 95

Malekal_morte- · Answer

Salut,

Vous pouvez faire ça svp :
    Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/

    Pour cela, télécharge IE ou Mozilla History View selon si tu penses avoir été infecté par Internet Explorer ou Firefox : https://forum.malekal.com/viewtopic.php?t=33301&start=
    Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
    Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
    Enregistre le fichier url.txt sur ton bureau.
    Pour le transmettre :
    * Soit copier/coller ici si ça te gène pas.
    * Soit en message privé.
    * Soit Envoie url.txt sur http://upload.malekal.com