erreur de manip malwarebyte .exe HS Fermé

Question

Bonjour, 

J'ai fais une mega boulette !!!
Je pense avoir chopé un virus genre "XP antivirus 2012" donc j'ai lancer le pc en mode sans echec et envoyé malwarebyte anti malware et suppression d'un dossier infecté.

Mais dans ma noobitude informatique, je suis allé trop vite et rien vérifié, je sais c'est mal, mais quand on veut allé trop vite ...

Bref je me retrouve avec un pc sur lequel je n'arrive plus à ouvrir la plupart des programes.
En fait il me sort la boite de dialogue "ouvrir avec ..."

Peut on sauver la situation ? Ou suis je condamné à perdre toutes mes donnees ?

Ha au fait, je n'arrive plus à faire une restauration system ni meme un mode sans echec.

Merci pour votre aide.

Configuration: Windows XP / Internet Explorer 8.0
pc portable

jlpjlp · Answer

bonjour

colle nous le rapport de malwarebyte

colle aussi un rapport avec roguekiller en prenant l'option 2

a plus

marco60800 · Answer

Merci de ta réponse jlpjlp, mais malheuresement je ne crois pas avoir sauvegardé le rapport malwarebyte (je ne le trouve pas), et je ne peux pas ouvrir roguekiller car il me demande avec quel programe je dois l'ouvrir. 

Par contre j'ai cru comprendre qu'il me manque le "run32.DLL" ou quelque chose comme ca. 
est ce que ca vous parle ?

jlpjlp · Answer

tente de renommer roguekiller en winlogon.exe avant de le mettre sur ton bureau puis lance le

si cela marche pas

tente de passer les logiciel en mode sans echec


si cela marche pas

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

marco60800 · Answer

j'ai reussi à recuperer le pc mais pour ca j'ai du retourner en mode sans echec, la j'ai pu réouvrir malwarebyte puis j'ai tout restauré.

J'ai refais un scan en mettant qu'un dossier en quarantaine sinon je ne peux plus me connecter sur le net et voici ce que donne le rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6769

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

27/06/2011 17:50:11
mbam-log-2011-06-27 (17-50-11).txt

Scan type: Full scan (C:\|)
Objects scanned: 219328
Time elapsed: 55 minute(s), 22 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 7
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Jocelyne\Local Settings\Application Data\tjq.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Jocelyne\Local Settings\Application Data\tjq.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Jocelyne\Local Settings\Application Data\tjq.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Not selected for removal.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\documents and settings\Jocelyne\local settings\application data\tjq.exe (Trojan.ExeShell.Gen) -> Quarantined and deleted successfully.


en l'etat actuel, je peux acceder au web, mais les programes ne fonctionnent pas.

je vais essayer roguekiller en mode sans echec et je poste.

marco60800 · Answer

voila le rapport roguekiller RogueKiller V5.2.5 [24/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date : 27/06/2011 18:36:01 Processus malicieux: 0 Entrees de registre: 7 [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\Jocelyne\Local Settings\Application Data\tjq.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe") [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\Jocelyne\Local Settings\Application Data\tjq.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode) [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\Jocelyne\Local Settings\Application Data\tjq.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe") Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

jlpjlp · Answer

passe combofix 

a plus

marco60800 · Answer

Je crois que cette fois c'est bon, il est redevenu aussi lent qu'avant !  ;) 
Un grand merci à toi, ton aide m'a été indispensable !!! 

je poste quand meme le rapport de combofix au cas ou. 

ComboFix 11-06-27.01 - Administrateur 27/06/2011  22:09:09.1.1 - x86 MINIMAL 
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.386 [GMT 2:00] 
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe 
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} 
. 
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! 
. 
. 
((((((((((((((((((((((((((((((((((((   Autres suppressions   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
c:\documents and settings\Jocelyne\WINDOWS 
c:\windows\IsUn0804.exe 
. 
. 
(((((((((((((((((((((((((((((   Fichiers créés du 2011-05-27 au 2011-06-27  )))))))))))))))))))))))))))))))))))) 
. 
. 
2011-06-26 16:33 . 2011-06-26 16:35 -------- d-----w- c:\windows\system32\NtmsData 
2011-06-26 12:43 . 2011-06-26 12:43 -------- d--h--w- c:\windows\PIF 
2011-06-26 11:54 . 2011-06-26 11:54 -------- d-----w- c:\program files\ma-config.com 
2011-06-26 11:54 . 2011-06-26 11:54 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com 
2011-06-26 08:02 . 2011-06-26 19:34 -------- d-----w- c:\documents and settings\Administrateur 
2011-06-16 13:37 . 2011-04-21 13:37 105472 ------w- c:\windows\system32\dllcache\mup.sys 
2011-06-06 18:56 . 2011-06-06 18:56 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google 
2011-06-06 18:51 . 2011-06-06 18:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Trymedia 
2011-06-06 18:47 . 2011-06-06 18:47 -------- d-----w- C:\Zylom Games 
2011-06-06 18:47 . 2011-06-06 18:47 -------- d-----w- c:\documents and settings\All Users\Menu Dmarrer 
2011-06-06 18:29 . 2011-06-06 18:29 -------- d-----w- c:\program files\RealArcade 
2011-06-04 15:37 . 2011-06-04 15:37 -------- d-----w- c:\program files\Trymedia 
2011-06-04 13:51 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 
2011-06-04 13:51 . 2011-06-04 13:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 
2011-06-04 13:51 . 2011-06-26 17:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 
2011-06-04 13:51 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 
2011-06-04 07:50 . 2011-06-04 07:50 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 
. 
. 
. 
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2011-05-02 15:31 . 2004-08-05 08:00 692736 ----a-w- c:\windows\system32\inetcomm.dll 
2011-04-29 16:19 . 2004-08-05 08:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 
2011-04-25 16:06 . 2004-08-05 08:00 916480 ----a-w- c:\windows\system32\wininet.dll 
2011-04-25 16:06 . 2004-08-05 08:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 
2011-04-25 16:06 . 2004-08-05 08:00 1469440 ------w- c:\windows\system32\inetcpl.cpl 
2011-04-25 12:01 . 2004-08-05 08:00 385024 ----a-w- c:\windows\system32\html.iec 
2011-04-21 13:37 . 2004-08-05 08:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys 
. 
. 
(((((((((((((((((((((((((((((((((   Points de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés  
REGEDIT4 
. 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744] 
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2003-12-16 77824] 
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600] 
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2004-11-18 98304] 
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] 
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976] 
. 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] 
. 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-] 
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" 
. 
[HKEY_LOCAL_MACHINE\software\microsoft\security center] 
"AntiVirusOverride"=dword:00000001 
"FirewallOverride"=dword:00000001 
. 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] 
"EnableFirewall"= 0 (0x0) 
"DisableNotifications"= 1 (0x1) 
. 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 
"%windir%\system32\sessmgr.exe"= 
"c:\Program Files\iTunes\iTunes.exe"= 
"c:\Program Files\Messenger\msmsgs.exe"= 
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"= 
"c:\program files\Microsoft ActiveSyncapimgr.exe"= c:\program files\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager 
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager 
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application 
"%windir%\Network Diagnostic\xpnetdiag.exe"= 
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= 
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= 
. 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] 
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service 
. 
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/03/2010 12:14 108289] 
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [06/06/2011 20:51 136176] 
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [01/05/2011 10:50 311744] 
. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs 
UxTuneUp 
. 
Contenu du dossier 'Tâches planifiées' 
. 
2011-06-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job 
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-06 18:51] 
. 
2011-06-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job 
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-06 18:51] 
. 
2011-06-27 c:\windows\Tasks\Maintenance en 1 clic.job 
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-22 12:17] 
. 
2011-06-27 c:\windows\Tasks\User_Feed_Synchronization-{2A4E4F3B-3F3F-4FA5-A8AF-B6AC17326B64}.job 
- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31] 
. 
. 
------- Examen supplémentaire ------- 
. 
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop 
TCP: DhcpNameServer = 192.168.1.1 
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll 
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab 
FF - ProfilePath -  
. 
. 
************************************************************************** 
. 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2011-06-27 22:16 
Windows 5.1.2600 Service Pack 3 NTFS 
. 
Recherche de processus cachés ...  
. 
Recherche d'éléments en démarrage automatique cachés ...  
. 
Recherche de fichiers cachés ...  
. 
Scan terminé avec succès 
Fichiers cachés: 0 
. 
************************************************************************** 
. 
--------------------- CLES DE REGISTRE BLOQUEES --------------------- 
. 
[HKEY_USERS\S-1-5-21-1730804485-894791564-994347776-500\Software\Microsoft\Internet Explorer\User Preferences] 
@Denied: (2) (Administrator) 
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, 
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ab,69,ab,4d,b3,39,a7,4b,ae,25,37,\ 
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, 
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,ab,69,ab,4d,b3,39,a7,4b,ae,25,37,\ 
. 
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*] 
"C0403E1900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" 
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" 
. 
Heure de fin: 2011-06-27  22:19:22 
ComboFix-quarantined-files.txt  2011-06-27 20:19 
. 
Avant-CF: 13 237 243 904 octets libres 
Après-CF: 13 314 048 000 octets libres 
. 
- - End Of File - - 5EAA484543E249CDCA5502B8E8F0F319

jlpjlp · Answer

ok


Téléchargez DelFix (d'Xplode) sur votre bureau.

Lancez le puis sélectionnez  [Suppression]

Copiez/collez le contenu du rapport qui s'ouvrira dans votre sujet si vous vous faites aider sur un forum.

Vous pouvez également lancer l'option [Désinstallation] 

Note : Les rapports sont également enregistrés à la racine du disque dur ( C:\DelFixSearch.txt pour l'option recherche et C:\DelFixSuppr.txt pour l'option suppression ) 



pour vérifier que tout est ok colle un rapport avec antivir



et explique tes soucis actuels

a plus

Erreur de manip malwarebyte .exe HS

8 réponses

Discussions similaires