Comment supprimer MS REMOVAL TOOL

Giulia -  
 g3n-h@ckm@n -
Bonjour,

j'espere que quelqu'un pourra m'aider car je suis perdue, et à bout de nerfs au bout de 3h de manip' vaines ...

Mon PC a été infecté par un fake, MS REMOVAL TOOL qui fait croire que j'ai des virus afin de me faire acheter leur antivirus. il bloque la quasi totalité de mes fonctions (pas d'acces à internet, ni windowsmail, ...), une bulle s'affiche dès que je tente d'ouvrir Explorer, ou autre: "WARNING! the file ... is infected, application cannot be executed. please activate your antivirus software"J'ai téléchargé sur un autre ordinateur Malwarebytes que j'ai mis sur USB puis l'ai envoyé sur mon bureau de l'ordinateur. j'ai essayé de l'ouvrir en double-cliquant: même bulle: the file mbam-steup-1.50.1.1100.exe is infected, application cannot be executed.

Je ne sais vraiment pas quoi faire, et j'ai un besoin urgent de mon ordinateur

J'espere que vous pourrez m'aider, je suis tout a fait novice en matière de cheval de Troie .

D'avance merci !

Giulia
ps: vista

22 réponses

  • 1
  • 2
Résumé de la discussion

Infection par MS Removal Tool bloque l'accès à Internet et affiche des avertissements, empêche l'exécution d'applications et rend l'antivirus inutilisable, provoquant des interruptions et une immobilisation partielle du système.
Plusieurs réponses recommandent RogueKiller, des manipulations administratives et des rapports à générer, puis l’exécution de Malwarebytes et d’autres outils de nettoyage sur l’ordinateur infecté afin d’éliminer les fichiers malveillants.
En parallèle, certaines interventions évoquent un démarrage en mode sans échec et la suppression manuelle de répertoires ou de clés RunOnce dans le registre pour neutraliser la persistance du malware.
Une précision utile indique que le recours à des outils de sécurité peut nécessiter plusieurs tentatives et le renommage d’exécutables, tout en restant prudent sur les téléchargements pour éviter les arnaques.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    * Télécharge sur le bureau RogueKiller (par tigzy)
    * Quitte tous tes programmes en cours
    * Sous Vista/Seven, => Clique droit, lancer en tant qu'admin
    * Lance le.
    * Lorsque demandé, tape 2 et valide
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renommer en winlogon.exe

    RIP Jaxryley....
    Contributeur SECURITE *** Développeur de RogueKiller ***
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    23
    1. Giulia
       
      j'ai bien pu lancer roguekiller, c que je n'avais pu faire jusque-là avec d'autres aides, donc merci.
      ensuite, j'ai effectivement un rapport, où dois-je le coller ? je le poste ici ? (dsl, je suis tres debutante...)
      0
    2. Giulia
       
      en fait j'ai l'impression que tout est resolu sans avoir rien fait de special apres avoir lancé la suppression, le rapport s'est affiché, et là depuis je n'ai plus rien ... je n'ai rien d'autre a faire ?
      mille merci en tout cas
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      copie colle le rapport
      0
    4. Didy
       
      Merci beaucoup ;)
      0
    5. GW
       
      Merci ! ça marche
      Sous XP.
      J'ai dû renommer l'exécutable en winlogon.exe pour qu'il s'exécute
      0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Parmi ceux qui ont été infecté, ce serait bien de dire sur quel site ça a commencé.
    7
    1. soufas
       
      je croi sur www.mariomayhem.com mais je suis pas sur
      0
    2. g3n-h@ckm@n
       
      non le site est en vert chez wot
      0
  3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ce serait bien de m'envoyer vos rapport RogueKiller, au moins en MP si vous ne voulez pas ouvrir un fil.

    il faut absolument ensuite passer un coup de Malwarebytes pour éliminer les fichiers!
    6
    1. Giulia G
       
      RogueKiller V4.3.5 par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Giulia [Droits d'admin]
      Mode: Suppression -- Date : 31/03/2011 13:57:57

      Processus malicieux: 1
      [APPDT/TMP/DESKTOP] oIn16633kOaBo16633.exe -- c:\programdata\oin16633koabo16633\oin16633koabo16633.exe -> KILLED

      Entrees de registre: 1
      [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : oIn16633kOaBo16633 (C:\ProgramData\oIn16633kOaBo16633\oIn16633kOaBo16633.exe) -> DELETED

      Fichier HOSTS:
      127.0.0.1 localhost
      ::1 localhost


      Termine : << RKreport[1].txt >>
      RKreport[1].txt



      Voilà! ça vous permet de faire quoi les rapports ?
      Malewarebytes est en mode examen complet ;)
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      de vérifier que ça réagit correctement
      0
    3. Giulia G
       
      Ok! ben encore merci :)
      bonne journée !
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu pourras poster le rapport MBAM quand même, on a pas fini ;)
      0
    5. Giulia G
       
      Je trouve ça où ? parce que j'ai uniquement le RKreport ...
      0
  4. pierre
     
    bonjour
    le plus facile est de le faire à la main. Car tous les sites vous font telecharger un soft, qui detecte peut etre mais au moment de supprimer vous dit qu'il est payant.
    Reperer dans C:\Documents and Settings\All Users\Application Data
    un repertoire avec des chiffres aleatoires, créé dernierement (pour ma part hier soir).
    Si vous essayer de le supprimer, le malware vous en empechera.

    Donc, redemarrage en mode sans echec F8.
    supprimer le repertoire en question.

    Puis faire regedit/ avec la fonction recherche, recherchez "Runonce", (rappel F3 pour suivant), dans le repertoire: KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce "235355345364346"
    vous allez tomber sur une clé avec le numero aléatoire precedent. clique droit/supprimer

    Au redemarrage en mode normal, remettre sa page de demarrage internet et le fond d'ecran

    tester pour vous!
    Bon courage
    pierre
    3
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      le plus facile est de le faire à la main. Car tous les sites vous font telecharger un soft, qui detecte peut etre mais au moment de supprimer vous dit qu'il est payant.

      RogueKiller est et restera gratuit. Et en plus j'assure le support.
      Donc merci de venir casser le truc avec des généralités à 2 balles.
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Laisse tomber et fait ce qui est demandé dans le premier post
      0
    3. Kams2.6 Messages postés 3 Statut Membre
       
      J'ai essayer d'installer roguekiller mais Norton ma pas laisser genre il le voit comme une menace alors jai essayer différemment
      0
    4. Kams2.6 Messages postés 3 Statut Membre
       
      Juste en supprimant le fichier en mode sans échec a permis de régler ce problème cet cool donc merci a tous les deux
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Lol. il suffit de désactiver ton antivirus \o_

      Le must, Norton laisse passer le rogue, mais empêche les outils spécialisés de se lancer...
      La honte pour eux.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pierre
     
    desole j'ai fais un copier colle d'un autre post où le probleme se posait dejà.
    J'ai raconté mon experience de la "nuit", et la phrase ne concernait pas vos message mais l'appel à l'aide.
    cette nuit, je ne suis pas tombe sur votre logiciel
    cordialement
    1
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      C'est bien dommage car avec la suppression prend 10 secondes :))
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Je sais pas, ça n'arrête pas aujourd'hui.
      0
  7. Giulia G
     
    En tout cas, merci Tigzy, ça effectivement pris 10 secondes (et apres 5h de recherches et de manip' vaines, c'est juste ce qui illumine ma journée !!)
    :D
    1
  8. Filgoude Messages postés 5 Statut Membre
     
    Il faut démarrer en mode sans échec (au démarrage lorsque la barre bios disparaît taper sur F8). Dans mes documents, taper dans l'adresse C:\documents and setting\all users\application data. Afficher le détails des fichiers. Il y a un fichier, le plus récent, avec plein de chiffre. Il faut le supprimer et le tour est joué.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Wahou, tu nous en apprends des choses :)
      0
    2. Leyoooo
       
      Tigzy, tu sembles t'y connaitre alors je te pose mon problème légèrement différent. Je suis sous vista, j'ai été infecté par le logiciel MS removal version 2.20, mais je ne trouve aucun ficher suspect dans C:\documents and setting\all users\application data
      De plus je ne peux lancer aucun logiciel tel que CCleaner ou sypbot, je ne peux pas non plus formater ou restaurer le PC. Et enfin quand je tente de faire un démarage en mode sans échec le démarage se bloque.
      Aurais-tu un conseil stp ? Merci beaucoup
      0
    3. g3n-h@ckm@n
       
      salut si tu lances ccleaner tu perds tout ton menu demarrer
      0
  9. moZzZ
     
    La suppression des fichier dans AppData puis le suppression de la clé en mode sans échec fonctionne parfaitement plus de message au redémarrage.

    Apres passer un coup de malwarebyte qui m'a trouver 2 fichier jar*****.tmp du coup j'ai supprimé tout les jar*****.tmp du dossier indiquer par malwarebyte puis nikel.

    Tester a l'instant sur win7 32bit ultimate.
    0
  10. gen-hackman
     
    ouaip' ben t'as pas tout supprimé du tout là
    0
  11. nico
     
    Bonjour,
    j'ai le même problème et tous mes fichiers ont disparu, après avoir utiliser roguekiller tout vas mieux merci beaucoup, le seul problème et que je ne retrouve toujours pas mes fichiers .. si vous avez une idée merci d'avance.
    Nico
    0
    1. gen-hackman
       
      bonsoir faut ouvrir un nouveau sujet un helper te prendra en charge
      0
  12. Titi
     
    Bonjour,

    J'ai le même problème à l'instant.

    J'ai télécharger RogueKiller et pas de soucis, j'ai eu le rapport qui s'est affiché et tout.

    Mais après téléchargement de Malwarebytes, il ne s'exécute pas. Quand je le lanche, une fenetre noire s'affiche 1 fraction de seconde et se ferme. Je ne sais plus quoi faire pour exécuter Malwarebytes :'(
    0
  13. ad
     
    J'ai lancé roguekiller, ça a très bien fonctionner manifestement! merci
    0
  14. Mattallica Messages postés 5 Statut Membre
     
    Voila pour moi, je te remercie d'avance pour l'aide ! Quelle merde ce truc...

    RogueKiller V5.2.5 [24/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur: matthieu [Droits d'admin]
    Mode: Recherche -- Date : 26/06/2011 13:51:08

    Processus malicieux: 1
    [SUSP PATH] dH28601DmMkN28601.exe -- c:\programdata\dh28601dmmkn28601\dh28601dmmkn28601.exe -> KILLED

    Entrees de registre: 4
    [SUSP PATH] HKCU\[...]\RunOnce : dH28601DmMkN28601 (C:\ProgramData\dH28601DmMkN28601\dH28601DmMkN28601.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-1273112135-3648218937-1127934948-1000[...]\RunOnce : dH28601DmMkN28601 (C:\ProgramData\dH28601DmMkN28601\dH28601DmMkN28601.exe) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 update.bitdefender.com127.0.0.1 update.bitdefender.com

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  15. Mattallica Messages postés 5 Statut Membre
     
    Merci je n'avais pas tout lu, autant pour moi...
    0
  16. Jpay67
     
    Bonsoir,
    je viens d avoi le probleme , j ai utilsé Roguekiller et ca bien marché , j ai du le renommé pour pourvoir le lancer (XP PRo) puis Malwarbyte
    Mais j avais plus de connection internet via internet exploreur , alors j ai qd mm supprimer les fichier donné dans les post d avant , bien sur ca n,'a rien changer... en faite il etait passe en proxi...
    voili voilo c etait juste une info... mais je capte pas ou ja i pu choppé cette merde
    Merci a tous pour vois post
    0
  17. saiiida
     
    salut a vous tous je suis votre soeur du maroc
    j ai le meme probleme et j ai lu les réponse mais je sais pas comment applique la methode a partir du mode sans echec
    s il vous plait est ce qu il y a autre moyenne plus simple
    par ce que je suis pas douée en informatique

    grand merci a vous tous
    0
  18. g3n-h@ckm@n
     
    oui en t'ouvrant un nouveau sujet :)
    0
  19. ice
     
    bonjour moi jai un problème je ne trouve pas l'application data dans documents and setting et rogue killer refuse de ce lancer ps windows xp 95
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Windows XP ou 95? c'est différent
      0
    2. saiiida
       
      s'il vous plaît j ai toujours le meme probleme et la le bureau de mon pc ne s affiche plus

      s 'il vous plait si qlq un connait une moyenne pour resoudre le probleme apart celle atraves mode sans echec par ce que j ai pas su comment l applique

      merci d avance
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      https://www.commentcamarche.net/faq/31375-rogue-ms-removal-tool-system-tool

      Ouvre un sujet stp
      0
  • 1
  • 2