Infection Antimalware Doctor
Fermé
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
-
24 mars 2010 à 10:28
cherry - 30 oct. 2010 à 21:12
cherry - 30 oct. 2010 à 21:12
A voir également:
- Infection Antimalware Doctor
- Antimalware - Télécharger - Antivirus & Antimalwares
- Pc doctor - Télécharger - Optimisation
- Disk doctor - Télécharger - Récupération de données
- Obd car doctor - Télécharger - Vie quotidienne
- Device doctor - Télécharger - Informations & Diagnostic
20 réponses
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
24 mars 2010 à 10:58
24 mars 2010 à 10:58
Etape 1 :
Si vous avez Spybot S&D:
Désactiver Spybot - Search & Destroy\TeaTimer.exe
*Lance spybot
*Menu mode : clique sur "avancé"
*Puis sur "outils"
*clique sur l'icone "résident"
*Ensuite à droite décoches Teatimer
Etape 2 :
*Téléchargez Rkill https://download.bleepingcomputer.com/grinler/rkill.com
*Double-cliquez dessus pour le lancer. Il va arrêter automatiquement tous les processus associés à Security Tool et à d'autres rogues. soyez patient car le logiciel peut prendre du temps ! Une fois terminé, le logiciel se ferme tout simplement : c'est normal . Vous pouvez passer directement à la suite de la désinfection.
*Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.
N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte.
Etape 3 :
*Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )
*Double clique sur le fichier téléchargé
*Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
*Quand la mise à jour est terminé va dans l'onglet
*Tu sélectionne "Exécuter un examen complet"
*Puis tu clique sur"Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
*L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
*Maintenant tu clique sur "Ok" pour poursuivre.
*Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
*Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
*Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
*Le Bloc-notes va s'ouvrir avec le rapport d'analyse
*Fais un copier coller de ce rapport etposte-le dans ton prochain message.
Etape 4 :
* Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
* Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
* Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
* Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)
Si vous avez Spybot S&D:
Désactiver Spybot - Search & Destroy\TeaTimer.exe
*Lance spybot
*Menu mode : clique sur "avancé"
*Puis sur "outils"
*clique sur l'icone "résident"
*Ensuite à droite décoches Teatimer
Etape 2 :
*Téléchargez Rkill https://download.bleepingcomputer.com/grinler/rkill.com
*Double-cliquez dessus pour le lancer. Il va arrêter automatiquement tous les processus associés à Security Tool et à d'autres rogues. soyez patient car le logiciel peut prendre du temps ! Une fois terminé, le logiciel se ferme tout simplement : c'est normal . Vous pouvez passer directement à la suite de la désinfection.
*Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.
N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte.
Etape 3 :
*Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )
*Double clique sur le fichier téléchargé
*Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
*Quand la mise à jour est terminé va dans l'onglet
*Tu sélectionne "Exécuter un examen complet"
*Puis tu clique sur"Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
*L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
*Maintenant tu clique sur "Ok" pour poursuivre.
*Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
*Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
*Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
*Le Bloc-notes va s'ouvrir avec le rapport d'analyse
*Fais un copier coller de ce rapport etposte-le dans ton prochain message.
Etape 4 :
* Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
* Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
* Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
* Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
24 mars 2010 à 12:41
24 mars 2010 à 12:41
Bonjour Truecode et merci de prendre le temps de m'aider.
Je suis tes instructions et je tiens au courant.
Merci
Je suis tes instructions et je tiens au courant.
Merci
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
24 mars 2010 à 14:04
24 mars 2010 à 14:04
Ok,voici dans l'ordre ce que j'ai effectué:
Etape 1:Spybot SD n'était pas installé donc c'est OK
Etape 2:J'ai lancé ce programme,tout s'est bien déroulé
Etape 3:J'ai lancé le scan complet:voici le log:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3907
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
24/03/2010 13:49:52
mbam-log-2010-03-24 (13-49-52).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 245968
Temps écoulé: 41 minute(s), 13 second(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
C:\program files\internet explorer\wmpscfgs.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adobe_reader (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\esalmon\Application Data\BC8C347F822AD91FC524D8753DAAB23D\hookdll.dll (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost .exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\esalmon\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
Etape 1:Spybot SD n'était pas installé donc c'est OK
Etape 2:J'ai lancé ce programme,tout s'est bien déroulé
Etape 3:J'ai lancé le scan complet:voici le log:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3907
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
24/03/2010 13:49:52
mbam-log-2010-03-24 (13-49-52).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 245968
Temps écoulé: 41 minute(s), 13 second(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
C:\program files\internet explorer\wmpscfgs.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adobe_reader (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\esalmon\Application Data\BC8C347F822AD91FC524D8753DAAB23D\hookdll.dll (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost .exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\esalmon\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
Modifié par SchneiderBZH le 24/03/2010 à 14:26
Modifié par SchneiderBZH le 24/03/2010 à 14:26
Etape 4:
Ok voici le lien pour le fichier LOG.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijFTqJUOZ.txt
Et le lien pour le fichier INFO.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijl9FH3FU.txt
Merci beaucoup!
Ok voici le lien pour le fichier LOG.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijFTqJUOZ.txt
Et le lien pour le fichier INFO.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijl9FH3FU.txt
Merci beaucoup!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
24 mars 2010 à 16:32
24 mars 2010 à 16:32
Bravo instructions suivi à la lettre , on continue :
* Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
/!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
* Lance l'installation avec les paramètres par défaut.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
* Double-clique sur le raccourci UsbFix sur ton Bureau.
* Choisis l'option 1 (Recherche).
* Laisse travailler l'outil.
* Poste le rapport UsbFix.txt.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
* Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
/!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
* Lance l'installation avec les paramètres par défaut.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
* Double-clique sur le raccourci UsbFix sur ton Bureau.
* Choisis l'option 1 (Recherche).
* Laisse travailler l'outil.
* Poste le rapport UsbFix.txt.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
25 mars 2010 à 13:12
25 mars 2010 à 13:12
Merci pour ton aide mais j'ai finalement réussi à m'en débarrasser!
J'ai procédé à une suppression manuel.
La base de registre n'était plus accessible,j'ai donc utilisé ComboFix,j'ai appliqué l'option 1 et la base de registre est redevenu accessible,j'ai supprimé les clés de registre suivantes:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc\Antimalware Doctor
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
Antimalware Doctor.exe
ATTENTION,le nom du virus peut changer,genre "dbf70700" Il faut supprimer les éléments
Une fois cette manip effectué,il faut redémarrer le PC et faire un scan malware'sbyte en mode sans échec et vérifier que tout est OK.
Je n'ai plus aucun problème avec mon PC désormais.Il n'existe apparemment aucun "logiciel miracle" pour ce genre d'infection.
Merci pour ton aide.
J'ai procédé à une suppression manuel.
La base de registre n'était plus accessible,j'ai donc utilisé ComboFix,j'ai appliqué l'option 1 et la base de registre est redevenu accessible,j'ai supprimé les clés de registre suivantes:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc\Antimalware Doctor
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
Antimalware Doctor.exe
ATTENTION,le nom du virus peut changer,genre "dbf70700" Il faut supprimer les éléments
Une fois cette manip effectué,il faut redémarrer le PC et faire un scan malware'sbyte en mode sans échec et vérifier que tout est OK.
Je n'ai plus aucun problème avec mon PC désormais.Il n'existe apparemment aucun "logiciel miracle" pour ce genre d'infection.
Merci pour ton aide.
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
25 mars 2010 à 13:58
25 mars 2010 à 13:58
Bonjour,
Par contre j'aurais bien aimé que tu réalise la manip car cette ligne est infectieuse
O4 - HKLM\..\Run: [Adobe_Reader] c:\program files\internet explorer\wmpscfgs.exe
Tu n'en parle pas donc peut être que tu ne l'a pas supprimé
Par contre j'aurais bien aimé que tu réalise la manip car cette ligne est infectieuse
O4 - HKLM\..\Run: [Adobe_Reader] c:\program files\internet explorer\wmpscfgs.exe
Tu n'en parle pas donc peut être que tu ne l'a pas supprimé
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
25 mars 2010 à 14:25
25 mars 2010 à 14:25
Bonjour,
Oui,j'ai également supprimé cette clé de registre ainsi que tout les fichiers/dossiers avec le nom wmpscfgs.exe
C'est Malware's Byte qui me l'a indiqué en effectuant un dernier scan
En gros,tout ce qui porte le nom de dbf70700 et wmpscfgs.exe était infectueu.
Merci
Oui,j'ai également supprimé cette clé de registre ainsi que tout les fichiers/dossiers avec le nom wmpscfgs.exe
C'est Malware's Byte qui me l'a indiqué en effectuant un dernier scan
En gros,tout ce qui porte le nom de dbf70700 et wmpscfgs.exe était infectueu.
Merci
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
25 mars 2010 à 14:28
25 mars 2010 à 14:28
Et il reste ces fichiers :
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
Donc si tu ne les a pas supprimé réalise cette manip :
*Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
*Enregistrer ce fichier sur le Bureau.
*Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
*Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
*Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
*Cliquer sur le bouton rouge Moveit!.
*Fermer OTMoveIt3
*Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Ensuite on va faire un peu de ménage :
Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.
*Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton Bureau
*Double-clique sur ToolsCleaner2.exe et laisse le travailler
*Clique sur Recherche et laisse le scan se terminer.
*Clique sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives.
*Clique sur Quitter, pour que le rapport puisse se créer.
*Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse
Puis tu peux faire un nettoyage des fichiers temporaires avec ATF CLEANER :
*Téléchargez ATF-Cleaner depuis http://www.atribune.org/ccount/click.php?id=1
*Double clique sur ce programme pour en lancer l'exécution.
*Sélectionnez la boîte appelée "Select All" et cliquez sur le bouton "Empty Selected"
*Une fois terminé, fermez le programme.
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
Donc si tu ne les a pas supprimé réalise cette manip :
*Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
*Enregistrer ce fichier sur le Bureau.
*Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
*Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
:processes explorer.exe :files C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job :reg :commands [emptytemp] [start explorer] [reboot]
*Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
*Cliquer sur le bouton rouge Moveit!.
*Fermer OTMoveIt3
*Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Ensuite on va faire un peu de ménage :
Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.
*Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton Bureau
*Double-clique sur ToolsCleaner2.exe et laisse le travailler
*Clique sur Recherche et laisse le scan se terminer.
*Clique sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives.
*Clique sur Quitter, pour que le rapport puisse se créer.
*Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse
Puis tu peux faire un nettoyage des fichiers temporaires avec ATF CLEANER :
*Téléchargez ATF-Cleaner depuis http://www.atribune.org/ccount/click.php?id=1
*Double clique sur ce programme pour en lancer l'exécution.
*Sélectionnez la boîte appelée "Select All" et cliquez sur le bouton "Empty Selected"
*Une fois terminé, fermez le programme.
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
25 mars 2010 à 14:48
25 mars 2010 à 14:48
j'avais supprimé aussi ces fichiers mais manuellement c'est a dire que j'ai fait clique droit>supprimer>vider la corbeille.
Est ce que les fichiers sont encore présent?
Merci
Est ce que les fichiers sont encore présent?
Merci
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
25 mars 2010 à 14:52
25 mars 2010 à 14:52
Poste un nouveau rapport avec RSIT que je vois tout ca .
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
25 mars 2010 à 15:06
25 mars 2010 à 15:06
Ok voici les deux fichiers:
Le lien de INFO.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijMXtFwZW.txt
le lien de LOG.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijjJg3W3h.txt
Le lien de INFO.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijMXtFwZW.txt
le lien de LOG.TXT:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijjJg3W3h.txt
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
25 mars 2010 à 15:08
25 mars 2010 à 15:08
Réalise la manip avec USBFIX la ligne est encore présente
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
Modifié par SchneiderBZH le 25/03/2010 à 16:19
Modifié par SchneiderBZH le 25/03/2010 à 16:19
Ok je vais voir
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
25 mars 2010 à 16:28
25 mars 2010 à 16:28
C'est normal si le scan est extrêmement long?Cela fait environ 3 heures qu'il scanne....
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
25 mars 2010 à 16:51
25 mars 2010 à 16:51
Non c'est pas normal
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
25 mars 2010 à 16:53
25 mars 2010 à 16:53
On va faire autrement :
*Lance hijackthis
*Choisis "Do a scan only"
*Coche la case devant les lignes suivantes :
*Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
*Clique sur "Fix checked".
*Ferme Hijackthis.
Puis :
*Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
*Enregistrer ce fichier sur le Bureau.
*Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
*Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
*Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
*Cliquer sur le bouton rouge Moveit!.
*Fermer OTMoveIt3
*Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
*Lance hijackthis
*Choisis "Do a scan only"
*Coche la case devant les lignes suivantes :
O4 - HKLM\..\Run: [Adobe_Reader] c:\program files\internet explorer\wmpscfgs.exe
*Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
*Clique sur "Fix checked".
*Ferme Hijackthis.
Puis :
*Télécharger OTMOVEIT http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
*Enregistrer ce fichier sur le Bureau.
*Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
*Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
:processes explorer.exe :files c:\program files\internet explorer\wmpscfgs.exe :reg :commands [emptytemp] [start explorer] [reboot]
*Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
*Cliquer sur le bouton rouge Moveit!.
*Fermer OTMoveIt3
*Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
29 mars 2010 à 09:32
29 mars 2010 à 09:32
Bonjour,
Désolé je n'ai pas pu effectuer vos manips,j'avais vraiment besoin d'utiliser ce PC.Je pensais que l'infection était éradiqué mais cela a continuer,j'ai donc du faire un reformatage et tout réinstaller....C'est vraiment dommage qu'on n'ai pas pu continuer mais je n'avais pas le choix!
VOus pensiez qu'après ces manips,l'infection aurait été totalement enlevé?
Merci pour quand pour votre aide.
Désolé je n'ai pas pu effectuer vos manips,j'avais vraiment besoin d'utiliser ce PC.Je pensais que l'infection était éradiqué mais cela a continuer,j'ai donc du faire un reformatage et tout réinstaller....C'est vraiment dommage qu'on n'ai pas pu continuer mais je n'avais pas le choix!
VOus pensiez qu'après ces manips,l'infection aurait été totalement enlevé?
Merci pour quand pour votre aide.
truecode
Messages postés
2092
Date d'inscription
vendredi 29 janvier 2010
Statut
Membre
Dernière intervention
22 septembre 2013
86
29 mars 2010 à 09:57
29 mars 2010 à 09:57
Bonjour,
Oui le fichier infectieux aurait été supprimé
Oui le fichier infectieux aurait été supprimé
SchneiderBZH
Messages postés
753
Date d'inscription
lundi 29 octobre 2007
Statut
Membre
Dernière intervention
2 décembre 2010
28
29 mars 2010 à 10:06
29 mars 2010 à 10:06
Ok,dommage mais a retenir si d'autres personnes ont le même problème.
Merci
Merci
schatzie1
Messages postés
56
Date d'inscription
mardi 9 septembre 2008
Statut
Membre
Dernière intervention
13 juin 2010
5 mai 2010 à 20:17
5 mai 2010 à 20:17
et tout cela, il faut le faire en mode sans échec ?
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4999
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
30/10/2010 21:08:28
mbam-log-2010-10-30 (21-08-28).txt
Type d'examen: Examen complet
Elément(s) analysé(s): 143576
Temps écoulé: 8 minute(s), 17 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
C:\Users\Cherry\AppData\Roaming\9371458A0ABDF7BB8D0CDE3805A3CBFB\xpatch700isoref.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xpatch700isoref.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\oyumabo (Trojan.Agent.U) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Cherry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\Cherry\AppData\Roaming\9371458A0ABDF7BB8D0CDE3805A3CBFB\xpatch700isoref.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Cherry\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Cherry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
www.malwarebytes.org
Version de la base de données: 4999
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
30/10/2010 21:08:28
mbam-log-2010-10-30 (21-08-28).txt
Type d'examen: Examen complet
Elément(s) analysé(s): 143576
Temps écoulé: 8 minute(s), 17 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
C:\Users\Cherry\AppData\Roaming\9371458A0ABDF7BB8D0CDE3805A3CBFB\xpatch700isoref.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xpatch700isoref.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\oyumabo (Trojan.Agent.U) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Cherry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\Cherry\AppData\Roaming\9371458A0ABDF7BB8D0CDE3805A3CBFB\xpatch700isoref.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Cherry\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Cherry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
