Supprimer xp antispyware 2012 ? [Résolu]

floriano67 - Dernière réponse le 9 janv. 2012 à 22:06

Bonjour,
Mon ordinateur est infecté par ce virus et je n'arrive vraiment pas à m'en débarrasser.
J'ai remarqué qu'il y avait des solutions mais que l'on devait ensuite donné un rapport unique. Que dois-je faire ?
Si quelqu'un pouvait m'aider...
Merci !

Supprimer xp antispyware 2012 »

Suggestions

Supprimer xp antispyware 2012 ?
XP Antispyware 2012 (Résolu) » Forum
Xp antispyware 2012 bloque l'accès internet (Résolu) » Forum
Supprimer xp antispyware 2010 impossible? (Résolu) » Forum
Impossible de supprimer XP antispyware 2009 (Résolu) » Forum
Xp antispyware 2012 help (Résolu) » Forum

Plus

Réponse

Destrio5 66779Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 31 mai 2012Dernière intervention 26 juin 2011 à 18:32

Bonjour,

RogueKiller + Malwarebytes' Anti-Malware

http://www.commentcamarche.net/download/telecharger-34083203-roguekiller

Tu peux poster les rapports ici.

Ajouter un commentaire

Afficher les 27 commentaires

floriano67 - 26 juin 2011 à 18:35

Le problème c'est que je ne peux télécharger aucun logiciel car je ne peux pas exécuter. Une fenêtre de l'antivirus s'ouvre sans cesse et puis après, plus rien.

floriano67 - 26 juin 2011 à 19:02

Comment je peux faire ?

Destrio5- 26 juin 2011 à 19:08

Tu parles de ton antivirus ou du faux antivirus (rogue) ?

floriano67 - 26 juin 2011 à 19:10

Du faux antivirus.
Le mien ne detecte rien d'anormal !

Destrio5- 26 juin 2011 à 19:13

Et en mode sans échec ?

floriano67 - 26 juin 2011 à 19:16

j'ai pas essayé et je ne sais pas comment faire..

Destrio5- 26 juin 2011 à 19:18

http://www.depannetonpc.net/dossiers/lire_4_1_le-mode-sans-echec.html

Utilise la méthode avec F8, pas l'autre car elle n'est pas recommandée en cas d'infection.

floriano67 - 26 juin 2011 à 19:19

Merci, j'essaye ça et je te tiens au courant !

floriano67 - 26 juin 2011 à 19:51

ça ne marche pas !
Mon ordinateur redémarre a chaque fois tout seul..

Destrio5- 26 juin 2011 à 19:52

Il redémarre à quel moment ?

floriano67 - 26 juin 2011 à 19:53

lorsqu'il me demande de choisir mon compte d'utilisateur

Destrio5- 26 juin 2011 à 20:02

Tu peux télécharger RogueKiller sur ton Bureau mais tu ne peux pas le lancer ?

floriano67 - 26 juin 2011 à 20:08

Non il n'apparaît même pas sur mon bureau. Dès que je clique sur l'icone, une fenêtre s'ouvre et me laisse le choix entre "exécuter" ou "annuler". Je clique alors sur exécuter et a ce moment une fenêtre de faux antivirus apparaît et puis plus rien. L'exécution est en quelque sorte annulé on dirait.

Je ne sais pas si c'est claire mais en tout cas merci de me répondre !

Destrio5- 26 juin 2011 à 20:09

Utilise Internet Explorer pour télécharger sinon.

floriano67 - 26 juin 2011 à 20:10

Impossible ! Internet explorer est bloqué..

Destrio5- 26 juin 2011 à 20:15

Il y a les CD Live Antivirus pour désinfecter aussi, jamais essayé.

En gros, tu télécharges une image CD Antivirus, tu la graves sur un CD et tu démarres dessus.

Si quelqu'un a une autre idée (Je suis un peu rouillé en plus avec la chaleur) ...

floriano67 - 26 juin 2011 à 20:17

Tu crois que je dois formater mon PC ?

Merci encore pour ton aide

Destrio5- 26 juin 2011 à 20:19

Ouvre le Gestionnaire des tâches, va dans Processus et regarde si tu n'as pas un processus bizarre avec des chiffres et/ou lettres aléatoires.

floriano67 - 26 juin 2011 à 20:24

y'en a plusieurs des bizarre. Par exemple :
- taskmgr.exe
- WLIDSVC.EXE
- hpqste08.exe
- igfxsrvc.exe
- hpwuschd2.exe

Les autres sont assez normaux..

Destrio5- 26 juin 2011 à 20:28

Je les connais ceux-là, pas de souci.

Fais ceci :
http://www.commentcamarche.net/forum/affich-22444496-probleme-ordi-bloque-par-xp-antispyware-2012#2

floriano67 - 26 juin 2011 à 20:29

Ok, je te tiens au courant.

floriano67 - 26 juin 2011 à 20:42

voila, j'ai renommer RogueKiller.exe en RogueKiller.com et une page bleu s'affiche et me dis :

Recherche de processus malicieux...
[SUSP PATH] qtn.exe -> KILLED
[SUSP PATH] qtn.exe -> KILLED

Recherche de processus cachés...

Recherche de services malicieux lancé...
1. recherche
2. suppression
3. Hosts RAZ
4. Proxy RAZ
5. DNS RAZ
6. Raccourcis RAZ

0. Quitter

Entrer votre choix et valider par [ENTREE]

Voila ce qui est affiché..

Destrio5- 26 juin 2011 à 20:54

Utilise l'option 2 et poste le rapport.

floriano67 - 26 juin 2011 à 20:55

RogueKiller V5.2.5 [24/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: FLORIAN [Droits d'admin]
Mode: Suppression -- Date : 26/06/2011 20:54:20

Processus malicieux: 0

Entrees de registre: 8
[ROGUE ST] HKCU\[...]\Run : 49691063 (C:\Documents and Settings\FLORIAN\Local Settings\Application Data\qtn.exe) -> DELETED
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\FLORIAN\Local Settings\Application Data\qtn.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\FLORIAN\Local Settings\Application Data\qtn.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\FLORIAN\Local Settings\Application Data\qtn.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")

Fichier HOSTS:
127.0.0.1

Termine : << RKreport[1].txt >>
RKreport[1].txt

manda72 - 9 janv. 2012 à 21:07

je viens davoir le probleme je poste le rapport, jai tout fait comme vous lavez mentionné..

RogueKiller V6.2.3 [09/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: proprietaire [Droits restreints]
Mode: Suppression -- Date : 09/01/2012 21:03:23

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 59 ¤¤¤
[] HKCR\[...]CLSID : () -> ACCESS DENIED
[] HKCU\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKCU\[...]\RunOnce : () -> ACCESS DENIED
[] HKLM\[...]\RunOnce : () -> ACCESS DENIED
[] HKLM\[...]\RunOnceEx : () -> ACCESS DENIED
[] HKCU\[...]\Winlogon : () -> ACCESS DENIED
[] HKCU\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\Winlogon : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKCU\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKCU\[...]\Desktop : () -> ACCESS DENIED
[] HKCU\[...]\Desktop : () -> ACCESS DENIED
[] HKCU\[...]\Advanced : () -> ACCESS DENIED
[] HKCU\[...]\Advanced : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKCU\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\command : () -> ACCESS DENIED
[] HKCR\[...].exe : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
[] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
[] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED
[] HKCU\[...]\Stats : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

manda72 - 9 janv. 2012 à 21:10

mais rien ne se fait, mon ordi bloque tout, mon anti virus est desactivé ainsi que le parfeu.
quelquun peu maider???

g3n-h@ckm@n- 9 janv. 2012 à 22:06

salut ouvre-toi un nouveau sujet ca vaudra mieux

Réponse

Destrio5 66779Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 31 mai 2012Dernière intervention 26 juin 2011 à 21:02

Bah voilà, la situation est débloquée.

--> http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Ajouter un commentaire

floriano67 - 26 juin 2011 à 21:20

MERCI !!!!!!!!!
Franchement merci pour tout. Passe une bonne soirée :)
t'es un génie.

Réponse

Destrio5 66779Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 31 mai 2012Dernière intervention 26 juin 2011 à 21:35

Tu peux me poster le rapport ?

Ajouter un commentaire

floriano67 - 26 juin 2011 à 21:51

Réponse

Destrio5 66779Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 31 mai 2012Dernière intervention 26 juin 2011 à 21:54

Je parlais de Malwarebytes' Anti-Malware.

Ajouter un commentaire

floriano67 - 26 juin 2011 à 22:19

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6955

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/06/2011 22:18:03
mbam-log-2011-06-26 (22-18-03).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 182221
Temps écoulé: 8 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" %*) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\calc.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\FLORIAN\local settings\application data\qtn.exe (Trojan.ExeShell.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\FLORIAN\mes documents\downloads\winlogon.pif (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Réponse

Destrio5 66779Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 31 mai 2012Dernière intervention 26 juin 2011 à 22:23

--> Relance Malwarebytes' Anti-Malware, va dans Quarantaine et supprime tout.

Tu n'as plus de souci ?

Je voudrais quand même vérifier un truc :

--> Télécharge OTL (par OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
--> Coche également les cases à côté de Recherche Lop et Recherche Purity.
--> Enfin, clique sur le bouton Analyse. Le scan ne prend pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

Ajouter un commentaire

Réponse

Guy C 2 déc. 2011 à 01:14

Comme le virus m'empêchait d'installer ou d'exécuter quoi que ce soit, voici comment j'ai procédé:

1 - J'ai attendu que la fausse application "XP AntiSpyWare" s'ouvre, puis j'ai ouvert le gestionnaire des tâches

2 - Dans la liste des tâches en cours d'exécution, j'ai cliqué-droit sur le coupable, puis fait "Aller dans le processus"
----> Dans mon cas, le processus était "lrd.exe"

3 - J'ai cherché "lrd.exe" sur le disque dur: il était dans "Documents and settings\[MonUtilisateur]\Local Settings\Application Data"

4 - Je l'ai renommé en "__lrd.exe"

5 - J'ai ouvert l'éditeur de base de registre (regedit)

6 - J'ai "killé" le process dans le gestionnaire des tâches

7 - Dans l'éditeur de registre, j'ai cherché "lrd"

8 - À tous les endroits où il s'était "greffé" (souvent sous un dossier "shell/open" ou "shell/runas", j'ai remplacé ["C:\Documents and settings\[MonUtilisateur]\Local Settings\Application Data\lrd.exe" "%1" %*] pour ["%1" %*] (sans les [])

9 - J'ai également supprimé les clés faisant directement référence à "C:\Documents and settings\[MonUtilisateur]\Local Settings\Application Data\lrd.exe"

10 - Ensuite, je suis allé supprimer "C:\Documents and settings\[MonUtilisateur]\Local Settings\Application Data\__lrd.exe" (qu'on a renommé plus tôt)

11 - Pour finir, j'ai enfin pu installer MalwareBytes' Anti-Malware et lui faire faire un scan complet

Ajouter un commentaire

g3n-h@ckm@n- 2 déc. 2011 à 02:02

et pour finir il restte des fichiers systeme non detectés par malwarebytes :)

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Supprimer xp antispyware 2012 ? [Résolu]

Supprimer xp antispyware 2012 »

Passage au tout numérique : quel coût pour les particuliers ?