> Tous les forums > Forum Sécurité
 Xinaurri - Tutoriel élimination Antimalware Doctor
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
xinaurri
  Posté le 27/01/2011 @ 12:31 
Aller en bas de la page 
Nouvel astucien

Comme quelques uns ici, j'ai attrapé ce virus qui m'a pas mal géné, même si en ce moment il peut rester plusieurs heures sans se manifester (tant que je n'y touche pas au démarage)

j'ai lu quelques discussions, mais vu que vous proposez une élimination étape par étape avec un "conseiller" personnalisé qui suit votre problème, je préfère cette élimination guidée.

merci d'avance à celui qui s'occupera de mon problème

Publicité
Anonyme
 Posté le 27/01/2011 à 13:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

xinaurri

Voilà pour commencer,suis(et lire) le tuto ici:

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

poste les rapports, et aprés un Membre du GS pourra te guider.

tailhardas
 Posté le 27/01/2011 à 13:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour

tu peux commencer par ceci:

MBAM : malwarebytes anti-malware

Editeur: Marcin Kleczynski, Bruce Harriss


MalwareByte's Anti-Malware permet de supprimer tous les malwares (Trojan, Backdoor, Spyware, Rogue etc..).

  • Télécharges Malwarebytes' Anti-Malware (MBAM) sur ton bureau
    http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
    Malwarebytes anti malware
  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", cliques sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, acceptes.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    Citation
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Cliques sur "OK" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionnes tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM vas ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.



REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression acceptes en cliquant sur Ok.

xinaurri
 Posté le 27/01/2011 à 16:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci à vous deux.

voici le rapport copié du bloc note :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5617

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

27/01/2011 15:58:37
mbam-log-2011-01-27 (15-58-37).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 324895
Temps écoulé: 1 heure(s), 44 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 22

Processus mémoire infecté(s):
c:\Users\anne-solange\AppData\Roaming\aeedbb3f76173c31f930ba2cf349899e\56avmd10100ctrl.exe (Trojan.FakeAlert) -> 3388 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\Users\anne-solange\AppData\Local\dmdwditl.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Twiwej (Trojan.Hiloti.Gen) -> Value: Twiwej -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Value: 56avmd10100ctrl.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*upd_debug.exe (Trojan.FakeAlert) -> Value: *upd_debug.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\anne-solange\AppData\Local\dmdwditl.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\Users\anne-solange\AppData\Roaming\aeedbb3f76173c31f930ba2cf349899e\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\Users\anne-solange\AppData\Roaming\aeedbb3f76173c31f930ba2cf349899e\upd_debug.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\Users\anne-solange\authapiboot.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\0E6I2GPT\updtlink700cor[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\setup108222612.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\setup1335878188.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\err.log18135140 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\F8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\cnewoxamsr.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\Users\anne-solange\downloads\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Local\vzankoatn.exe (Trojan.GBFE) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Roaming\oiasg\bsrffd.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Roaming\oyrcjlxo\qykefv.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Roaming\microsoft\Windows\start menu\Programs\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\anne-solange\Desktop\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\internet explorer\quick launch\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Local\Temp\0.7712656250417032.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor\uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

antimalware ne s'est pas manifesté lors du redémarage de la session

j'attends la suite des insctructions

tailhardas
 Posté le 27/01/2011 à 16:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

1)RKILL

telecharge et enregistre sur ton bureau Rkill de Lawrence Abrams
lien: Rkill

  • clique sur l'icone Rkill sur ton bureau
  • une fenetre msdos( fenetre sur fond noir)
  • le bloc note va s'ouvrir en indiquant les processus arreter
2)Télécharge AD-Remover (de C_XX) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

  • Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
  • Double-Clique sur l'icône AD-Remover (clique droit -> lancer en tant qu'adminstrateur sous Vista) située sur ton Bureau et choisis Exécuter en tant qu'administrateur.
  • choisit ta langue ,
  • Au menu principal, choisis l'option S.
  • Poste le rapport qui apparaît à la fin.


(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note :

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aide: Tutoriel
xinaurri
 Posté le 28/01/2011 à 00:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

voici le rapport du scanner d'AD-R :

======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 13/06/10 à 20:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:24:38 le 27/01/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
ANNE-SOLANGE, PC-DE-ANNE-SO (PACKARD BELL BV EasyNote_MX36)

============== RECHERCHE ==============


0,Dossier trouvé: C:\ProgramData\Viewpoint
0,Dossier trouvé: C:\Program Files\Viewpoint

1,Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé trouvée: HKLM\Software\MetaStream
0,Clé trouvée: HKLM\Software\Viewpoint
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.16 (fr)] **

-- C:\Users\ANNE-SOLANGE\AppData\Roaming\Mozilla\FireFox\Profiles\pem8ypar.default\Prefs.js --
browser.download.lastDir, C:\\Users\\ANNE-SOLANGE
browser.search.defaultenginename, Yahoo
browser.search.defaulturl, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
browser.search.selectedEngine, Yahoo
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.1.16
keyword.URL, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=

-- C:\Users\Etranger\AppData\Roaming\Mozilla\FireFox\Profiles\hubjcv1u.default\Prefs.js --
browser.download.lastDir, C:\\Users\\Etranger\\Downloads
browser.startup.homepage, hxxp://www.google.com/webhp?hl=fr
browser.startup.homepage_override.mstone, rv:1.9.1.8

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 27/01/2011 (3407 Octet(s))

Fin à: 18:31:13, 27/01/2011

============== E.O.F ==============

tailhardas
 Posté le 28/01/2011 à 06:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

peux tu faire ceci:

aire un scan RSIT de Random/Random




Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.


  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<
    ainsi que de info.txt (<
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
202,99 €Nettoyeur haute pression Karcher K5 Power Control (145 bar, 2100W) à 202,99 € (via ODR)
279 € -27%

Cdiscount fait une promotion sur le nettoyeur haute pression Karcher K5 Power Control à 242,99 € alors qu'on le trouve ailleurs à partir de 279 €. Or Karcher rembourse actuellement 40 € pour l'achat de ce nettoyeur qui vous reviendra à 202,99 € après remboursement.

Le Nettoyeur haute pression K5 Full Power est livré avec un pistolet ergonomique, un flexible 10 m, un nez de robinet pour raccorder un tuyau d’arrosage, une lance Vario Power et une rotabuse. 

Avec sa poignée télescopique rétractable, l'appareil peut être déplacé et rangé facilement. Le K5 Power Control est idéal pour une utilisation intensive et pour nettoyer vélos, outils de jardin, meubles de jardin, etc. Pression max 145 bar, débit max 500 L/h, puissance 2100 Watts, surface conseillée ≈ 40m²/h, moteur universel, pompe Ncor.


Voir l'offre
279,99 €Fauteuil gaming Corsair T3 Rush à 279,99 €
319,99 € -13%

Cdiscount fait une promotion sur le fauteuil gaming Corsair T3 Rush qui passe à 279,99 € alors qu'on le trouve ailleurs à partir de 319,99  €. Le fauteuil gaming CORSAIR T3 RUSH associe le design et le confort profilé du sport automobile à un revêtement en tissu, un coussin rembourré pour la nuque et un support lombaire à mémoire de forme.


Voir l'offre
37,99 €Dévidoir sur roues Gardena CleverRoll taille S + tuyau 20m (13 mm) et lance d'arrosage à 37,99 €
54 € -30%

Cdiscount fait une promotion sur le dévidoir sur roues Gardena CleverRoll taille S avec un tuyau 20m (diamètre 13 mm) et lance d'arrosage à 37,99 € au lieu de 54 €. Livré avec dévidoir, manivelle, raccord de tuyau coudé et raccord anti-goutte. Dévidoir à monter sans outils •Poignée ergonomique télescopique et fonction Kick&Stand intégrée, permet un transport rapide et une utilisation simple •Raccord Aquastop anti-goutte et écoulement d'eau après utilisation •Produit haute qualité, résistant au gel et aux UV, garanti 5 ans"


Voir l'offre
79,99 €Ecran 21,5 pouces Asus VP228DE (FullHD, VGA, 75 Hz) à 79,99 €
99 € -19%

RueDuCommerce fait une promotion sur l'écran 21.5 pouces Asus VP228DE qui passe à 79,99 €. Il dispose d'une dalle VA Full HD (1920x1080) à 75 Hz et d'une connectique VGA. On le trouve ailleurs à partir de 99 €.


Voir l'offre

Sujets relatifs
antimalware doctor
Virus Antimalware Doctor
Antimalware Doctor
Antimalware Doctor
Antimalware Doctor récalcitrant
encore antimalware doctor
Antimalware Doctor, PC ne démarre plus (écran noir
antimalware doctor
problèmes pour supprimer antimalware doctor
Antimalware doctor
Plus de sujets relatifs à Xinaurri - Tutoriel élimination Antimalware Doctor
 > Tous les forums > Forum Sécurité