Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

comment se débarasser de MS/Removal Tool ?

estelle19

Par estelle19
dans Analyses et éradication malwares

 Partager

Messages recommandés

estelle19 Junior Member

estelle19

Posté(e)
Posté(e)

bonsoir

 

Mon ordi est infecté depuis ce matin. D'après ce que j'ai pu lire sur internet, c'est un faux anti virus, qui cherche à récupérer mes coordonnées bancaires. L'écran est bleu, chaque minute, on me propose de télécharger MS/Removal Tool. Est ce que quelqu'un peux m'aider à virer ce truc de mon ordi, en sachant que je ne suis pas une pro.

Merci beaucoup

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

La première chose à tenter, c'est la restauration système à une date antérieure à l'apparition du rogue. (2 ou 3 jours avant). En mode sans échec si nécessaire: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven

 

Restauration système à une date antérieure – Windows 7 | Forum-Seven

 

Restaurer Windows XP vers un état antérieur

 

Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Télécharger Malwarebytes' Anti-Malware sur 01net Telecharger.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide."
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes' Anti-Malware Support - Malwarebytes Forum

Modifié par Apollo
estelle19 Junior Member

estelle19

Posté(e)
  • Auteur
Posté(e)

Bonsoir, merci de votre réponse, mais la restauration système ne marche pas

 

Bonsoir,

 

La première chose à tenter, c'est la restauration système à une date antérieure à l'apparition du rogue. (2 ou 3 jours avant). En mode sans échec si nécessaire: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven

 

Restauration système à une date antérieure – Windows 7 | Forum-Seven

 

Restaurer Windows XP vers un état antérieur

 

Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Télécharger Malwarebytes' Anti-Malware sur 01net Telecharger.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide."
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
     
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes' Anti-Malware Support - Malwarebytes Forum

estelle19 Junior Member

estelle19

Posté(e)
  • Auteur
Posté(e)

bsr je ne peux pas effectuer la restauration système. SVP aidez moi, merci

 

Bonsoir,

 

La première chose à tenter, c'est la restauration système à une date antérieure à l'apparition du rogue. (2 ou 3 jours avant). En mode sans échec si nécessaire: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven

 

Restauration système à une date antérieure – Windows 7 | Forum-Seven

 

Restaurer Windows XP vers un état antérieur

 

Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Télécharger Malwarebytes' Anti-Malware sur 01net Telecharger.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide."
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
     
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes' Anti-Malware Support - Malwarebytes Forum

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Je vais te demander de bien vouloir utiliser le bouton "Ajouter une réponse" afin de ne pas citer chaque fois le post précédent, merci.

 

zebboutonrpondre.jpg

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Envoie une copie du rapport RKreport[1].txt.

Si les raccourcis ont disparus, relance l'outil en mode 6.

Envoie une copie du rapport RKreport[2].txt.

 

Ne redémarre pas le pc.

 

Poursuis alors avec MBAM comme expliqué plus haut.

 

@++

estelle19 Junior Member

estelle19

Posté(e)
  • Auteur
Posté(e)

RogueKiller V4.3.6 par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/14)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Crozes [Droits d'admin]

Mode: Recherche -- Date : 04/04/2011 16:51:38

 

Processus malicieux: 1

[APPDT/TMP/DESKTOP] iOp31001oHlJd31001.exe -- c:\programdata\iop31001ohljd31001\iop31001ohljd31001.exe -> KILLED

 

Entrees de registre: 4

[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : iOp31001oHlJd31001 (C:\ProgramData\iOp31001oHlJd31001\iOp31001oHlJd31001.exe) -> FOUND

[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1237770374-576763470-3632406773-1000[...]\RunOnce : iOp31001oHlJd31001 (C:\ProgramData\iOp31001oHlJd31001\iOp31001oHlJd31001.exe) -> FOUND

[DNS] HKLM\[...]\ControlSet001\Parameters : NameServer (85.255.114.103 85.255.112.151) -> FOUND

[DNS] HKLM\[...]\ControlSet003\Parameters : NameServer (85.255.114.103 85.255.112.151) -> FOUND

 

Fichier HOSTS:

::1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

RogueKiller V4.3.6 par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/14)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Crozes [Droits d'admin]

Mode: Suppression -- Date : 04/04/2011 16:53:54

 

Processus malicieux: 0

 

Entrees de registre: 3

[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : iOp31001oHlJd31001 (C:\ProgramData\iOp31001oHlJd31001\iOp31001oHlJd31001.exe) -> DELETED

[DNS] HKLM\[...]\ControlSet001\Parameters : NameServer (85.255.114.103 85.255.112.151) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet003\Parameters : NameServer (85.255.114.103 85.255.112.151) -> NOT REMOVED, USE DNSFIX

 

Fichier HOSTS:

::1 localhost

 

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

estelle19 Junior Member

estelle19

Posté(e)
  • Auteur
Posté(e)

RogueKiller V4.3.6 par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/14)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Crozes [Droits d'admin]

Mode: Raccourcis RAZ -- Date : 04/04/2011 17:01:10

 

Processus malicieux: 0

 

Attributs de fichiers restaures:

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 1 / Fail 0

Menu demarrer: Success 1 / Fail 0

Dossier utilisateur: Success 17 / Fail 0

Mes documents: Success 3 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 82 / Fail 4

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Peux-tu installer et analyser avec MBAM à présent?

 

Pense à bien le mettre à jour avant de la lancer.

 

@++

estelle19 Junior Member

estelle19

Posté(e)
  • Auteur
Posté(e)

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 6267

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.19019

 

04/04/2011 18:36:35

mbam-log-2011-04-04 (18-36-35).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 318875

Temps écoulé: 57 minute(s), 38 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 7

Fichier(s) infecté(s): 23

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Cognac (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\CrucialSoft Ltd (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Windows Tribute Service (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.103 85.255.112.151 -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\BASE (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\DELETED (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\SAVED (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd (Rogue.AV2009) -> Quarantined and deleted successfully.

C:\Users\Crozes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MS AntiSpyware 2009 (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081221154707120.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081221175626643.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081221210206983.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081222081204155.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081222104239755.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081223093141919.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081223101615553.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081223174703255.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081224170629156.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081224173208881.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081224190627377.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225000311421.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225091712733.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225130539561.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225142035800.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225172931257.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225180619000.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\ProgramData\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20081225182914508.log (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\Users\Crozes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MS AntiSpyware 2009\MS AntiSpyware 2009.lnk (Rogue.MSAntiSpyware) -> Quarantined and deleted successfully.

C:\Users\Crozes\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.

C:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Users\Crozes\Local Settings\Application Data\pkenh_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

C:\Users\Crozes\Local Settings\Application Data\pkenh_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Est-ce que ça va mieux?

 

Contrôle Navipromo:

 

Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau.

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Laisse-toi guider. Appuie sur une touche quand on te le demande.

Au menu principal, choisis 1 et valide.

 

< Ne fais pas le choix 2 >

 

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.

Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

 

Patiente jusqu'au message "Scan terminé le......"

Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

 

PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...