Infécté par Anti-Malware Doctor - Avril 2011

Question

Bonjour,  



Configuration: Windows XP / Firefox 3.0.14

Je suis infécté par Anti-Malware Doctor, pouvez-vous m'aidez?

Merci par avance de votre aide.

Mysterioh · Answer

Salut

# Télécharge sur le bureau RogueKiller 
# Quitte tous tes programmes en cours  
# Sous Vista/Seven , clique droit - lancer en tant qu'administrateur  
# Sinon lance simplement RogueKiller.exe  
# Lorsque demandé, tape 2  et valide   
# Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

Puis

# Télécharge et installe Malwarebytes' Anti-Malware
# A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
# Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
# Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
# A la fin de l'analyse, clique sur "Afficher les résultats"
# Coche tous les éléments  détectés puis clique sur "Supprimer la sélection"
# Enregistre le rapport
# S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
# Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

djeanclaude28 · Answer

Tout d'abord merci pour votre réactivité.

Voici mon rapport Rogue killer.

RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: super dédé [Droits d'admin]
Mode: Suppression -- Date : 02/04/2011 15:19:59

Processus malicieux: 0

Entrees de registre: 7
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : satdll70snn.exe (C:\Documents and Settings\super dédé\Application Data\5E176A434471E53335D1D0F9E2902BD0\satdll70snn.exe) -> DELETED
[DNS] HKLM\[...]\ControlSet001\Parameters : NameServer (93.188.165.173,93.188.160.233) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{55DD42BE-E117-482F-835C-41B939CC760A} : NameServer (93.188.165.173,93.188.160.233) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{B4ACC5E2-A18D-4368-B44F-546950AC2918} : NameServer (93.188.165.173,93.188.160.233) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters : NameServer (93.188.165.173,93.188.160.233) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{55DD42BE-E117-482F-835C-41B939CC760A} : NameServer (93.188.165.173,93.188.160.233) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{B4ACC5E2-A18D-4368-B44F-546950AC2918} : NameServer (93.188.165.173,93.188.160.233) -> NOT REMOVED, USE DNSFIX

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

djeanclaude28 · Answer

Suivant l'installation de Malwarebytes, la mise à jour ne veux pas se faire, voici le message d'erreur qui s'affiche : PROGRAM_ERROR_UPDATING (12007,0,WinHttpSendRequest).

Que dois-je faire à votre sens?

Mysterioh · Answer

Relance Rogue killer en mode 5 

puis réessaye la mise à jour de malwarebytes en l'ouvrant => Onglet Update => Faire la mise à jour

djeanclaude28 · Answer

Rogue Killer mode 5 effectué  

Toujours le même message pour Malwarebytes, il ne veux pas faire la mise à jour.

Qu'est-ce que je peux faire?

Mysterioh · Answer

Utilise ce logiciel de diagnostic : 

# Télécharge ZHPDiag (de Nicolas Coolman) 
# Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau) 
# Il se lancera automatiquement à la fin de l'installation 
# Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
# Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
# Héberge le rapport ZHPDiag.txt sur cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum 


Tu as sûrement une vilaine bête qui empêche la mise à jour ;) on va vérifier ça

PS : Pas de rapport avec roguekiller mode 5 ?? :p

djeanclaude28 · Answer

Pardon un oubli, voici le rapport avec rogue en mode 5.

RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: super dédé [Droits d'admin]
Mode: DNS RAZ -- Date : 02/04/2011 15:46:54

Processus malicieux: 0

Entrees de registre: 6
[DNS] HKLM\[...]\ControlSet001\Parameters : NameServer (93.188.165.173,93.188.160.233) -> REPLACED : ()
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{55DD42BE-E117-482F-835C-41B939CC760A} : NameServer (93.188.165.173,93.188.160.233) -> REPLACED : ()
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{B4ACC5E2-A18D-4368-B44F-546950AC2918} : NameServer (93.188.165.173,93.188.160.233) -> REPLACED : ()
[DNS] HKLM\[...]\ControlSet002\Parameters : NameServer (93.188.165.173,93.188.160.233) -> REPLACED : ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{55DD42BE-E117-482F-835C-41B939CC760A} : NameServer (93.188.165.173,93.188.160.233) -> REPLACED : ()
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{B4ACC5E2-A18D-4368-B44F-546950AC2918} : NameServer (93.188.165.173,93.188.160.233) -> REPLACED : ()

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

djeanclaude28 · Answer

Voici le lien pour le rapport ZHPdiag

http://cjoint.com/?3ecqCmZAlCm

Mysterioh · Answer

Pas mal de trucs

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

# Télécharge ComboFix (de sUBs) sur ton Bureau.
# Double-clique sur ComboFix.exe afin de le lancer.
# Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
# Ne touche à rien pendant le scan.
# Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Puis : refais un zhpdiag

djeanclaude28 · Answer

Après utilisation de combofix, j'ai refait un ZHPdiag dont voici le rapport.

Merci pour votre réponse.

http://cjoint.com/?3ecrwDgV5Nt

djeanclaude28 · Answer

Excuser moi je dois m'absenter, je reviendrais consulter votre réponse et la prochaine marche à suivre.

et je posterais les futurs résultats. Encore merci pour ce que vous avez déjà fait, et la suite du traitements.

Cdt.

Mysterioh · Answer

Pourrions nous avoir le rapport de Combofix ???

Je dois moi même m'absenter toute la soirée... ainsi que toute la matinée de demain..
Un helper peut continuer la désinfection ?

Sinon nous reprendrons demain ;)

A+

djeanclaude28 · Answer

Bonjour,

Voici le rapport combo fix, je n'avais pas vu qu'il en avait créée un. 

http://cjoint.com/?3edlbj7SgZA

Mysterioh · Answer

Combo !> 03/04/2011  10:42:45.2.1
ZhpDiag !> 02/04/2011 17:20:56


Refais donc un zhpdiag ;)

djeanclaude28 · Answer

Oui, je ne trouvais pas de rapport combo, alors j'en ai refait un après.

Voici le rapport ZHPDiag, refait il y a 5 minutes.

http://cjoint.com/?3eduLjJqdPA

djeanclaude28 · Answer

Bon déjà cela va mieux, les inscriptions lors d'une recherche sur Google ne sont plus bizarres.

Mais j'aimerais bien, que vous vérifiez les rapports et que l'on continue un peu la désinfection. 

Puis nettoyer un peu de tout les programmes que l'on à installer.

Encore merci pour votre aide précieuse, car j'en profite pour apprendre un peu plus.

Cordialement.

Mysterioh · Answer

# Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
# Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
# Clique sur [Start Scan] pour démarrer l'analyse.
# Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
# Un rapport s'ouvrira au redémarrage de l'ordinateur.
# Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Puis

# Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.  
# /!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\   
# Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
# Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.   
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
# Au menu principal, choisis l'option Nettoyer.   
# Poste le rapport généré (C:\Ad-Report-Scan-(date).log).   
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)   
 Note : Process.exe, une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  


Puis

réessaye malwarebytes ;)

djeanclaude28 · Answer

Voici donc le rapport Tdsskiller, qui ne m'a rien demandé. Ni de rebooter, ni de supprimer ou mettre en quarantaine.

http://cjoint.com/?3edwOfPqTT

djeanclaude28 · Answer

Et voici le rapport AD-Remover, qui lui m'a demandé de rebooter.

http://cjoint.com/?3edwWUpotKJ 

Que dois-je faire maintenant?

djeanclaude28 · Answer

Dans un second temps, mais surtout pour ne pas oublier, j'ai aussi un problème avec la défragmentation de mon disque D où se trouve ma partition de réparation, dont voici le rapport.

Windows ne veux pas tout défragmenter, pouvez-vous m'expliquer pourquoi?

http://cjoint.com/?3edw5dlRUo

djeanclaude28 · Answer

Voici le rapport MBAM, il reste 13 objets infectés, par contre je n'ai rien supprimé, car je ne sais pas s'il faut le faire.

J'attends donc vos consignes. 

http://cjoint.com/?3eeajuInN7p

djeanclaude28 · Answer

Bonsoir, rapport MBAM.

http://cjoint.com/?3eetsVXuupW

Mysterioh · Answer

Bonsoir

Dans un premier temps, supprime les résultats trouvé par Malwarebytes.

Ensuite

refais un zhpdiag

==> Pour la défragmentation nous verrons après

A+

djeanclaude28 · Answer

Je peux effacer les fichiers suite au rapport Malware, même s'il y a des clés de registre contenu dans ces dossiers?

djeanclaude28 · Answer

j'ai supprimer les résultats suite au rapport de Malware, et j'ai refait un ZHPDiag dont voici le lien  

http://cjoint.com/?3eevsNsNF6J

Que dois-je faire maintenant ?

Merci.

Mysterioh · Answer

# Ce script va cibler certains éléments à supprimer :

# Copie les lignes suivantes :

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Mozilla Firefox\plugins\alhlp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Mozilla Firefox\plugins\alhlp.exe (.not file.)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

# Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
# Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
# Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
# Clique sur le bouton « GO » pour lancer le nettoyage.
# Copie/colle la totalité du rapport dans ta prochaine réponse.

(Sinon oui on supprime le registre avec malwarebytes y pas de soucis ;) )

=> Y a ça -- C:\hpqp.ini   que je ne connais pas du tout pourrais tu faire ceci :

= Rends toi ici -> http://www.virustotal.com/index.html
= Clic sur Choisir le fichier
= Entre C:\hpqp.ini dans le champs de recherche 
= Clique sur ouvrir
= Clique sur envoyé
= Poste le lien de la page qui s'ouvre

Sinon t'as pas mal de logiciel non à jour Adobe v6.0 ... on réglera ça à la fin ;)

A+

djeanclaude28 · Answer

Voici le rapport complet ZHPfix

Rapport de ZHPFix 1.12.3269 par Nicolas Coolman, Update du 30/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-04-2011-22-11-10.txt
Run by super dédé at 04/04/2011 22:11:10
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\Mozilla Firefox\plugins\alhlp.exe" [Enabled] .(.) -- C:\Program Files\Mozilla Firefox\plugins\alhlp.exe (.not file.)  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente

========== Fichier(s) ==========
c:\program files\mozilla firefox\plugins\alhlp.exe  => Fichier absent


========== Récapitulatif ==========
3 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan

djeanclaude28 · Answer

Voici donc le lien du test virus total 

http://www.virustotal.com/... 

File name: 
hpqp.ini 
Submission date: 
2011-04-04 20:25:58 (UTC) 
Current status: 
queued queued analysing finished 
Result: 
0/ 42 (0.0%)

Sa a l'air d'être bon, rien de détecté d'après ce que je comprends.

Mysterioh · Answer

Yep sain.

As-tu encore des soucis ? Lag, détection, etc... ?

djeanclaude28 · Answer

Je n'en vois pas pour l'instant. Il ne reste plus qu'a nettoyer de tous les programmes installés, y a t-il un logiciel qui supprime tout cela?   

Nous n'avons jamais fait les disques de réinstallation, d'après ce que tu as lu des différents rapports, ai-je la possibilité de les faire maintenant?   

Car je n'arrive pas a défragmenter le lecteur D totalement, je pense que certains virus que j'ai chopés, on détruit des fichiers.  

En tous cas merci pour ton aide précieuse, car je ne m'en serais jamais sorti seul.

Cordialement.

Mysterioh · Answer

Oui nous allons l'utiliser.
Pour cette histoire de défragmentation, je suis assez ignorant sur ce point je dois bien t'avouer...

Sinon, pour nettoyer les outils :

[*]Télécharge DelFix ( d'Xplode ) sur ton bureau.
[*]Lance le et appuie sur Suppression.
[*]Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
[*]Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt )
[*]Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

Ps : Le disque de réinstallation ??? Tu veux réinstaller Windows ?


Ton pc est clean ;)

A+

djeanclaude28 · Answer

Bonsoir,

Non, non, je ne veux pas réinstaller Windows j'aurais simplement aimé faire les CD de réinstallation au cas où on ne pourrait plus récupérer le pc.

Pour la défragmentation je verrais un autre jour. Vraiment merci pour ton aide.

Voici donc le rapport DELFIX
# DelFix v7.6 - Rapport créé le 05/04/2011 à 19:11
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 2
# Nom d'utilisateur : super dédé - PC821326320297 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\super dédé\Bureau\Prog virus\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [653 octets] ##########

Cdt.

Mysterioh · Answer

Poste un sujet dans la section Matériel/Hardware ;)

Pourquoi Delfix est il vide ?? Tu as fais plusieurs rapports ? Les logiciels que nous avons utilisé sont partis ??

Sinon, ton système n'est ABSOLUMENT pas à jour, c'est un dangers.

=> Rends toi https://filehippo.com/ ici et télécharge FileHippo
= Installe le normalement
= Lance un scan (si pas de logiciel ouvert, clique droit => executer scan sur l'icône en bas à droite)
= Une page s'ouvre
= Télécharge l'intégralité des logiciels recommandées.

+

djeanclaude28 · Answer

En faite lorsque j'ai lancé Delfix il y a un autre rapport qui s'est enregistré, mais il était long à s'afficher, j'ai donc relancé en appuyant sur suppression, et c'est le rapport qu'il m'a sorti, et le premier à disparu.  

Apparemment il n'y a plus les logos sur les raccourcis des programmes que nous avons utilisés, et lorsque l'on clic dessus, le pc indique raccourci manquant donc ils doivent être désinstallés.  

Malwarebytes est le seul encore présent.  

Hippo me dit de mettre à jour les programmes suivants :  

- Adobe (X)  
- Firefox (X)  
- Google toolbar (X)
- Internet explorer  
- Java (X)  
- Nero (X)  
- Silverlight (X)  
- Windows media player  
- Win RAR (X)  

Je vais en mettre plusieurs (marqué d'une croix) à jour, mais je n'utilise pas les autres est-ce que c'est programmes sont vraiment utiles?  

Cdt.

djeanclaude28 · Answer

C'est dommage que je ne sois pas anglophone, car tous les programmes sont proposés en anglais. Firefix par exemple est devenu en anglais, sais tu comment faire pour le remettre en français.

Mysterioh · Answer

= Oui très important de toujours tenir ton système à jour même pour les programmes que tu ne te sers pas

Pour firefox :

= Dans la barre d'adresse de Firefox, tape about:config puis fait "enter" pour accéder aux options de Firefox. 
= Dans la barre de recherche juste en dessous, entre la chaîne suivante: general.useragent.locale 
= Fait un clic droit dessus et cliquez sur "Modify", puis entre fr à la place de celle présente. 
= Validez puis redémarrez votre navigateur.

djeanclaude28 · Answer

Ok, merci pour tout. Je mets donc tout à jour, merci encore pour votre aide. Ne reste plus qu'à effacer malwarebytes, et ce sera bon.

Cdt.

Mysterioh · Answer

Nop garde Malwarebytes ;) il est très utile.

Effectue un scan de temps à autres ;)

+

djeanclaude28 · Answer

Ok je conserve alors, et je ferais un scan de temps en temps. Encore merci pour votre aide et vos conseils.

Cordialement.

Infécté par Anti-Malware Doctor - Avril 2011

39 réponses

Votre réponse

Discussions similaires

Newsletters