Antimalware Doctor... Help ! [Résolu/Fermé]

Signaler
-
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
-
Bonjour,

J'ai cherché un peu et vu qu'il y avait de nombreuses manips à faire pour se débarrasser de ce virus. Nottament étudier un compte rendu auquel je ne comprendrais rien...

Alors je suis désolée je recréer un topic, pour être sûre de ne pas faire de bêtises.
Est-ce que quelqu'un pourrait m'aider à supprimer ce virus ?

Merci beaucoup ! >_<

23 réponses

Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
Salut,



Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


ETAPE 1:
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

A faire quelque soit le navigateur que tu utilises :
* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l'onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l'utilisation du proxy s'il est coché.


La connexion internet devrait fonctionner.

Avec Internet Explorer - Télécharge ça : https://www.luanagames.com/index.fr.html
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.



ETAPE 2:

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!


ETAPE 3:

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
D'abord merci >_<

Ensuite je n'ai pas vu tout de suite ta réponse, j'avais posté depuis mon lycée et je viens juste de me connecter ici. Du coup j'ai suivi une des aides que j'avais repéré (vu que toutes dictaient les mêmes consignes) et j'ai téléchargé rkill.
Je n'ai pas de eu de problème pour me connecter à internet, et mon père a essayé de supprimer toutes les sources du programme mais ça n'a pas marché...

Voici donc le rapport de rkill, j'espère que ça ira :s Sinon je recommencerais avec ton logiciel !

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.

Rkill was run on 31/03/2011 at 21:56:02.
Operating System: Microsoft Windows XP


Processes terminated by Rkill or while it was running:



Rkill completed on 31/03/2011 at 21:56:09.

Merci beaucoup pour ton aide !!!
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
RogueKiller détecte rien.
Après à toi de voir si tu veux finir la procédure selon le comportement du PC.
Je pensais que c'était bon, mais juste avant que je vienne redemander ton aide ici, un onglet s'est ouvert tout seul sur mozilla, et des fenêtres d'alertes et de téléchargement se sont ouvertes. J'ai même eu beaucoup de mal à les fermer...
Donc même si tous les dossiers sont supprimés, mon pc doit encore être infecté quelque part !
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
finis la procédure.
D'accord, je m'y met
Rapport de Malwarebyte :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6229

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

31/03/2011 22:40:11
mbam-log-2011-03-31 (22-40-11).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153048
Temps écoulé: 2 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\satdll70snn.exe (Trojan.FakeAlert) -> Value: satdll70snn.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Chloé\local settings\Temp\cxawerosnm.tmp (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Chloé\local settings\Temp\rocswenxma.tmp (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Chloé\menu démarrer\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
Il est toujours là, après avoir redémarré j'ai ouvert firefox, et une fenêtre s'est ouverte !
Une "bulle" en bas à droite de l'écran m'a déjà répété plusieurs fois que je n'étais pas protégée, et l'icône est réapparue à cet endroit de la barre des tâches.

J'ai relancé une recherche rapide avec Malwarebyte, mais il n'a rien trouvé.
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
y a 3 étapes, tu n'en as fait que deux
Désolée, j'suis pas douée :s
Je l'ai lancé, l'analyse est en cours.
Deux fenêtres de bloc-notes se sont ouvertes, OTL et Extras, mais je n'ai suivi la procédure pour celle indiquée par le tuto : OTL.

http://pjjoint.malekal.com/files.php?id=7ec33399231297
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
Télécharge ça : https://www.sfr.fr/fermeture-des-pages-perso.html
Lance le.

Dans la fenêtre copie/colle ces chemins :


C:\WINDOWS\int32c.dll


Clic sur envoyer les fichiers tout en bas à gauche.

~~

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
O4 - HKCU..\Run: [Jkopobunitob] C:\WINDOWS\int32c.dll (Acronis)


* redemarre le pc sous windows et poste le rapport ici


~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.


Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Rapport d'OTL :

Error: Unable to interpret <<ital>:OTL> in the current context!
Error: Unable to interpret <O4 - HKCU..\Run: [Jkopobunitob] C:\WINDOWS\int32c.dll (Acronis)/ital> > in the current context!

OTL by OldTimer - Version 3.2.22.3 log created on 03312011_232153


Après redémarrage, les "bulles" apparaissent toujours, mais je n'ai pas eu de fenêtre d'alerte en me connectant.
Je finis le protocole.
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
ha j'ai merdouillé dsl, l'italique était pas passé.
Faut recommencé pour OTL.
Aucun problème ! Moi aussi j'ai merdouillé comme tu dis... Merci de ton aide.

Rapport OTL :

========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Jkopobunitob deleted successfully.
C:\WINDOWS\int32c.dll moved successfully.

OTL by OldTimer - Version 3.2.22.3 log created on 03312011_233008


Au redémarrage affichage d'une fenêtre "RUNDLL" :

Erreur de chargement de C:\WINDOWS\int32c.dll
Le module spécifié est introuvable.

Je continue quand même ?
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
oui continue, on enlève le message d'erreur à la fin.
Premier rapport de TDSSKiller (C:\TDSSKiller.2.4.21.0_01.04.2011_22.36.54_log) :


2011/04/01 22:36:54.0984 2044 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/01 22:36:55.0265 2044 ================================================================================
2011/04/01 22:36:55.0265 2044 SystemInfo:
2011/04/01 22:36:55.0265 2044
2011/04/01 22:36:55.0265 2044 OS Version: 5.1.2600 ServicePack: 2.0
2011/04/01 22:36:55.0265 2044 Product type: Workstation
2011/04/01 22:36:55.0265 2044 ComputerName: CLOCLO
2011/04/01 22:36:55.0265 2044 UserName: Chloé
2011/04/01 22:36:55.0265 2044 Windows directory: C:\WINDOWS
2011/04/01 22:36:55.0265 2044 System windows directory: C:\WINDOWS
2011/04/01 22:36:55.0265 2044 Processor architecture: Intel x86
2011/04/01 22:36:55.0265 2044 Number of processors: 2
2011/04/01 22:36:55.0265 2044 Page size: 0x1000
2011/04/01 22:36:55.0265 2044 Boot type: Normal boot
2011/04/01 22:36:55.0265 2044 ================================================================================
2011/04/01 22:36:55.0562 2044 Initialize success
J'espère que c'est ça... Une autre fenêtre est apparue avant ça, mais je l'ai coupée par réflexe ^^'
Même emplacement que précédemment, j'espère que c'est bien le rapport demandé... Désolée.

http://pjjoint.malekal.com/files.php?read=v14x6o6e10p5d6u10p7g12
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
OK surf un peu voir ce que cela donne.
Mets à jour Malwarebyte et fais un scan rapide avec poste le rapport ici.
Les "bulles" en bas à droite apparaissent toujours, et le programme est toujours là. Il n'est pas en anglais celui là... Je me demande si c'est le même ? En tout cas il me répète que mon ordi n'est pas protégé.

Voilà ce que ça donne quand je l'ouvre, l'icône est en bas à droite.
http://img64.xooimage.com/files/f/d/e/rogue-274279d.jpg

Je lance le scan tout de suite.

Rapport de Malwarebyte (mises à jour effectuées) :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6245

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02/04/2011 12:04:45
mbam-log-2011-04-02 (12-04-45).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153099
Temps écoulé: 2 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
c'est le vrai centre de sécurité ça.
Il ne détecte rien ? Mais alors c'est quoi le logiciel qui se manifeste au démarrage de l'ordinateur ? Ce n'est plus Antimalware Doctor ?
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
quel logiciel ?
Tu parles de la fenêtre sur ta capture d'écran ?
Oui.
Les premières fenêtres apparues (avant mon premier post ici) étaient en anglais, et il s'agissait bien d'antimalware doctor. Mais là je ne sais plus dire si ce logiciel (sur l'image) est le même que le premier. Il m'a empêcher d'ouvrir une fenêtre (2 ou 3 étapes plus tôt), et ne s'était jamais manifesté avant antimalware doctor.
Désolée ce n'est pas forcément très clair, mais j'essaie de donner toute les informations dont tu pourrais avoir besoin pour m'aider, je ne peux pas faire le tri >_<
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
ben là c'est une "vraie" alerte du centre de sécurité...
Le mieux c'est de le désactiver pour que ça sert ...

=> https://www.commentcamarche.net/faq/6916-desactiver-le-centre-de-securite-de-windows-xp

sinon plus de popups, prb etc ?
Non, plus rien ! Génial ! x)
Il ne reste que le message d'erreur de... RUNDLL je crois, au démarrage. Tu m'as dis que je devrais l'enlever à la fin du processus, comment dois-je faire ?

Et pour tous les logiciels utilisés, je dois les désinstaller ?
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
Menu Démarrer / executer et tape msconfig puis OK.
Vas dans l'onglet démarrage
décoche Jkopobunitob
puis OK partout.

Redémarre l'ordinateur
Coche la case pour plus afficher le message
Ca doit rouler.
Je n'ai pas Jkopobunitob, mais deux lignes sont liées à rundll : NvCpl et int32c.
Je décoche ces deux là ?
Messages postés
179569
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 665
non seulement int32c