Antimaleware doctor

[Assurbanipal]

Bonjour,

 

Ma machine est l'hôte depuis ce matin de cette tique d'antimalware doctor... Ouverture de la page intempestive, nouveaux processus... Pas sympa du tout...

Je viens donc vers vous afin de m'aider à virer ce truc de chez moi!!

Merci d'avance!! Je suivrai toutes les étapes sans poser de questions!!! Promis!

[Apollo]

Bonsoir,

 

Aucun renseignement sur le système... xp, vista, 7? 32 ou 64 Bits?

On ne peut pas le deviner sans le moindre log Hijackthis au minimum.

 

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

---------------------------------

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

Enregistrer le fichier sur le Bureau.

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

----------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

MBAM renommé aléatoirement. (parfois nécessaire dans certains cas d'infection) : http://www.malwarebytes.org/mbam-download-standalone-random.php

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Pour les rapports suivants, (RSIT) héberge-les car très longs.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Télécharger RSIT Pour les 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

Pour Info.txt, héberge-le ici et donne-moi le lien stp: Cijoint.fr - Service gratuit de dépôt de fichiers

 

@++

[Assurbanipal]

Bonjour,

 

Je travaille sous windows XP 32bits. J'ai suivi les procédures, et antimalware... ne s'est pas ouvert ce matin.

Par contre, des onglets s'ouvrent de manière intempestive dans Firefox, et il semble que j'ai des déconnexions d'Internet.

 

Je poste le rapport de rkill:

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Administrateur on 10/09/2010 at 20:14:22.

 

 

Services Stopped:

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Documents and Settings\Administrateur\Bureau\rkill.exe

 

 

Rkill completed on 10/09/2010 at 20:14:28.

 

 

 

Voici celui de Malewarebyte's:

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4590

 

Windows 5.1.2600 Service Pack 3, v.5512

Internet Explorer 7.0.5730.13

 

10/09/2010 20:45:02

mbam-log-2010-09-10 (20-45-02).txt

 

Type d'examen: Examen complet (C:\|D:\|J:\|K:\|)

Elément(s) analysé(s): 141670

Temps écoulé: 19 minute(s), 33 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 4

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\YXE7DXCQ37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mediafix70700en02.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yxe7dxcq37 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Administrateur\Application Data\02F3B8BCB8D4625FDA9DBDFAFA726162\mediafix70700en02.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

C:\Program Files\Ripp-It Codec Pack\codecs\x264vfw_20_1195bm_19501.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\WINDOWS\Jnylya.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

J:\12gn6id2.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

 

 

Voici le lien du dépôt du log de rsit:

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Et voici celui du dépôt info de rsit:

 

Cijoint.fr - Service gratuit de dépôt de fichiers

Merci pour l'aide!!

 

PS: je suis absent jusque dimanche après-midi...

[Apollo]

Bonjour,

 

Microsoft Windows XP Professionnel Service Pack 3, v.5512

 

Windows illégal, je ne n'irai pas plus loin, désolé.

 

Je vais quand-même te donner de quoi désinfecter si besoin était encore, mais il vaudrait mieux réinstaller XP avec le cd original; avec ce genre de système, tu cours de grands risques et il ne faut pas passer des outils comme ComboFix sinon tu risques la cata pure et simple.

 

Télécharge Virus Removal Tool de Kaspersky. Enregistre-le sur ton bureau

 

SCANNER avec Virus Removal Tool de Kaspersky.

 

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

• 
  
• 
  Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista
  
• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  
• Connecte éventuellement tes clés USB et disques externes.
   
   
  
• Lance l'exécutable intitulé "setup_9.0xxxxx" en double-cliquant dessus sous XP (Clic droit/exécuter en temps qu'administrateur sous Vista/7).
  
• Réponds "Oui" à la question "Do you want to continue installation?"

 

L'outil devrait afficher la fenêtre suivante:

 

 

Cocher toutes les cases.

Laisser les options par défaut, soit:

• Disinfect.
  
• Delete

Clique alors sur SCAN.

 

L'analyse commence alors; à la première détection, l'outil te proposera d'abord de désinfecter "Disinfect" (Recommandé), clique sur cette option. Il agira alors automatiquement lors de chaque détection.

 

Coche alors la case: Apply to all (Très important!)

 

 

Si le tool ne sait pas désinfecter, il proposera de supprimer "Delete" (recommandé) Accepte en cliquant dessus.

 

Il est possible qu'à la fin, il te signale qu'il n'a pas pu traîter certaines infections; dans ce cas, suis ses recommandations.

 

Clique sur Report: développe le menu montrant les détections et les actions effectuées:

 

 

Fais un clic droit sur le contenu puis "Select All" puis clique sur Copy.

 

Ouvre le bloc notes et colles-y le contenu du presse-papier:

 

 

Enregistre le fichier texte sur le bureau en le nommant Report-VRT

 

Clique alors sur Exit dans la fenêtre du Virus Removal Tool; à la question: "Application will be closed and uninstalled, clique sur Yes

 

 

 

Sujet clos.

 

@++