Antimalware doctor - Bloque mon Ordi

Mistya Messages postés 16 Statut Membre -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

le programme antimalware doctor s'est installé tout seul sur mon ordinateur. J'ai utilisé le logiciel Malwarebytes' Anti-Malware pour le désintaller de mon ordinateur. Ce qui a apparemment marché puisqu'il n'apparaît plus dans les programmes de mon ordinateur.

Cela dit, j'ai toujours des effets indésirables à cause de ce virus. Cela veut-il dire que mon ordinateur est encore infecté par le virus ?

1) L'ordinateur se bloque souvent dans la journée. Je ne peux plus afficher de nouvelles pages de firefox et internet arrête de fonctionner. Si je veux lancer un autre programme, il ne se lance pas non plus. Dans ces moments-là, quand je mets démarrer, éteindre, un sablier apparaît et tout est bloqué. Je suis obligée de forcer mon ordinateur a s'éteindre. Lorsque je le rédémarre, cela refonctionne à nouveau pour quelques temps.

2) Cela dit, je dois souvent faire le rédémarrage plusieurs fois parce que le bureau ne s'affiche pas tout le temps.

3) Parfois mes recherches sur google sont déviées sur gomeo.fr

Que dois-je faire maintenant ?
Merci de votre aide.
Essayer de m'indiquer pas à pas ce que je dois faire parce que je n'y connais rien ^^

17 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Peux-tu poster le rapport Malawarebytes (MBAM)
    et ensuite tu fais ceci:

    - Télécharge sur le bureau RogueKiller de Tigzy
    - Quitte tous tes programmes en cours
    - Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
    - Sinon lance simplement RogueKiller.exe
    - Lorsque demandé, tape 1 [SCAN] et valide
    - Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

    * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

    Smart
    2
  2. Mistya Messages postés 16 Statut Membre
     
    Merci de ta réponse.

    Alors, voici le rapport de ma première analyse avec MBAM:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6391

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    18.04.2011 21:37:12
    mbam-log-2011-04-18 (21-37-12).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 183145
    Temps écoulé: 10 minute(s), 43 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 2
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 12

    Processus mémoire infecté(s):
    c:\documents and settings\Caroline\application data\ce5bbb904bf20e1fbb9167d0e93bc08e\arg70techsdk.exe (Trojan.FakeAlert) -> 1028 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    c:\WINDOWS\oblsrv32.dll (Trojan.Hiloti) -> Delete on reboot.
    c:\WINDOWS\system32\ynpbicgi.dll (IPH.GenericBHO) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{8CC8DD3D-609B-E9A6-E936-A71E8CFE3EF5} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Zlfhlubh (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8CC8DD3D-609B-E9A6-E936-A71E8CFE3EF5} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cmorigaf (Trojan.Hiloti) -> Value: Cmorigaf -> Delete on reboot.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\arg70techsdk.exe (Trojan.FakeAlert) -> Value: arg70techsdk.exe -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    c:\documents and settings\Caroline\menu démarrer\programmes\antimalware doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\WINDOWS\oblsrv32.dll (Trojan.Hiloti) -> Delete on reboot.
    c:\documents and settings\Caroline\application data\ce5bbb904bf20e1fbb9167d0e93bc08e\arg70techsdk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\ynpbicgi.dll (IPH.GenericBHO) -> Delete on reboot.
    c:\documents and settings\Caroline\local settings\Temp\128.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\local settings\Temp\mxcswenoar.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
    c:\WINDOWS\Temp\irtf\setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\Bureau\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\application data\microsoft\internet explorer\quick launch\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\menu démarrer\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\menu démarrer\programmes\démarrage\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\menu démarrer\programmes\antimalware doctor\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
    c:\documents and settings\Caroline\menu démarrer\programmes\antimalware doctor\uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

    Ensuite, je viens de faire une deuxième analyse:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6391

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    21.04.2011 14:07:23
    mbam-log-2011-04-21 (14-07-23).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 253382
    Temps écoulé: 56 minute(s), 34 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    c:\WINDOWS\Temp\xkgy\setup.exe (Spyware.Passwords.XGen) -> 2608 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    c:\WINDOWS\system32\ynpbicgi.dll (IPH.GenericBHO) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{8CC8DD3D-609B-E9A6-E936-A71E8CFE3EF5} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Zlfhlubh (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8CC8DD3D-609B-E9A6-E936-A71E8CFE3EF5} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8CC8DD3D-609B-E9A6-E936-A71E8CFE3EF5} (IPH.GenericBHO) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\Temp\xkgy\setup.exe (Spyware.Passwords.XGen) -> Delete on reboot.
    c:\WINDOWS\system32\ynpbicgi.dll (IPH.GenericBHO) -> Delete on reboot.
    c:\documents and settings\Caroline\Bureau\rk_quarantine\setup.exe.vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

    Et voici enfin le rapport avec LogKiller:

    RogueKiller V4.3.9 [16/04/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Caroline [Droits d'admin]
    Mode: Recherche -- Date : 20/04/2011 21:23:43

    Processus malicieux: 1
    [APPDT/TMP/DESKTOP] setup.exe -- c:\windows\temp\xkgy\setup.exe -> KILLED

    Entrees de registre: 0

    Fichier HOSTS:

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance RogueKiller et choisis l'option 2
    Redémarre le PC et refais un scan MBAM et poste le rapport

    Smart
    0
  4. Mistya Messages postés 16 Statut Membre
     
    Coucou,

    Alors j'ai fait comme demandé et il y avait encore quelques éléments infectés. Et pendant l'analyse avec MBAM, alors que je n'avais aucune page web ouverte, j'ai des pubs qui me sont apparues. Et une information de windows m'a indiqué que j'avais gagnée un iphone et que je devais appuyer sur ok pour avoir plus d'informations, ce que je n'ai pas fait parce que cela doit être lié à ces éléments infectés.

    Voici le rapport:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6391

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    21.04.2011 21:05:53
    mbam-log-2011-04-21 (21-05-53).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 253603
    Temps écoulé: 1 heure(s), 14 minute(s), 53 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
    c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu n'as posté le le rapport de RogueKiller avec l'option 2 !!!
    Peux-tu le poster

    Redémarre le PC

    Relance MBAM et vide la quarantaine

    Smart
    0
  7. Mistya Messages postés 16 Statut Membre
     
    Le rapport de RogueKiller

    RogueKiller V4.3.9 [16/04/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Caroline [Droits d'admin]
    Mode: Suppression -- Date : 21/04/2011 19:29:03

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    Le nouveau rapport de MBAM:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6391

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    22.04.2011 10:37:33
    mbam-log-2011-04-22 (10-37-33).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 255507
    Temps écoulé: 49 minute(s), 8 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Normalement cela devrait être bon
    Onva faire quand même un diagnostic pour voir s'il n'y a pas d'autres infections:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  9. Mistya Messages postés 16 Statut Membre
     
    Coucou,

    J'ai un problème pour envoyer le fichier avec cijoint.fr
    Je peux essayer avec n'importe quel document, ça marche mais avec ZHPDIAG.txt cela m'indique à chaque fois que la connexion a été interrompue.
    0
  10. Mistya Messages postés 16 Statut Membre
     
    Cela me fait la même chose.
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK.
    Tu vas faire ceci:

    * Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
    * Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
    * Clique sur [Start Scan] pour démarrer l'analyse.
    * Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now]
    * Un rapport s'ouvrira au redémarrage de l'ordinateur.
    * Copie/colle son contenu dans ta prochaine réponse.
    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

    Smart
    0
  12. Mistya Messages postés 16 Statut Membre
     
    Je n'arrive pas à employer ce logiciel. Quand je le lance, il y a un message d'erreur qui s'affiche et le logiciel se ferme.
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Peux-tu essayer de poster le message d'erreur

    Smart
    0
  14. Mistya Messages postés 16 Statut Membre
     
    "TDSS rootkit removing tool a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru."
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Renomme le en winlogon.exe et essaie de le relancer

    Smart
    0
  16. Mistya Messages postés 16 Statut Membre
     
    C'est pareil.
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Coricace le truc :-)

    On va faire autrement:
    - Télécharge Dr.Web CureIt! sur ton Bureau :
    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

    - Double-clique sur drweb-cureit.exe (Pour Vista et Windows 7 clic droit et executer en tant qu'administrateur) et clique sur Commencer le scan.
    - Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
    - Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
    - Choisis l'onglet Scanner, et décoche Analyse heuristique.
    - De retour à la fenêtre principale : choisis Analyse complète.
    - Clique sur la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
    - Clique Oui pour Tout si un fichier est détecté.
    - A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
    - Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
    - Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
    - Ferme Dr.Web CureIt!
    - Redémarre l'ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
    - Poste (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note

    Ensuite :

    - Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
    - Clique sur parcourir, cherche le rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
    - Une fois le lien crée, fais un clic droit dessus et copie l'adresse du lien pour venir la coller dans ta réponse

    Smart
    0