× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Xinaurri - Tutoriel élimination Antimalware Doctor
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
xinaurri
  Posté le 27/01/2011 @ 12:31 
Aller en bas de la page 
Nouvel astucien

Comme quelques uns ici, j'ai attrapé ce virus qui m'a pas mal géné, même si en ce moment il peut rester plusieurs heures sans se manifester (tant que je n'y touche pas au démarage)

j'ai lu quelques discussions, mais vu que vous proposez une élimination étape par étape avec un "conseiller" personnalisé qui suit votre problème, je préfère cette élimination guidée.

merci d'avance à celui qui s'occupera de mon problème

Publicité
Anonyme
 Posté le 27/01/2011 à 13:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

xinaurri

Voilà pour commencer,suis(et lire) le tuto ici:

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

poste les rapports, et aprés un Membre du GS pourra te guider.

tailhardas
 Posté le 27/01/2011 à 13:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

bonjour

tu peux commencer par ceci:

MBAM : malwarebytes anti-malware

Editeur: Marcin Kleczynski, Bruce Harriss


MalwareByte's Anti-Malware permet de supprimer tous les malwares (Trojan, Backdoor, Spyware, Rogue etc..).

  • Télécharges Malwarebytes' Anti-Malware (MBAM) sur ton bureau
    http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
    Malwarebytes anti malware
  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", cliques sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, acceptes.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    Citation
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Cliques sur "OK" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionnes tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM vas ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.



REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression acceptes en cliquant sur Ok.

xinaurri
 Posté le 27/01/2011 à 16:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci à vous deux.

voici le rapport copié du bloc note :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5617

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

27/01/2011 15:58:37
mbam-log-2011-01-27 (15-58-37).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 324895
Temps écoulé: 1 heure(s), 44 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 22

Processus mémoire infecté(s):
c:\Users\anne-solange\AppData\Roaming\aeedbb3f76173c31f930ba2cf349899e\56avmd10100ctrl.exe (Trojan.FakeAlert) -> 3388 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\Users\anne-solange\AppData\Local\dmdwditl.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Twiwej (Trojan.Hiloti.Gen) -> Value: Twiwej -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Value: 56avmd10100ctrl.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*upd_debug.exe (Trojan.FakeAlert) -> Value: *upd_debug.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\anne-solange\AppData\Local\dmdwditl.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\Users\anne-solange\AppData\Roaming\aeedbb3f76173c31f930ba2cf349899e\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\Users\anne-solange\AppData\Roaming\aeedbb3f76173c31f930ba2cf349899e\upd_debug.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\Users\anne-solange\authapiboot.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\0E6I2GPT\updtlink700cor[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\setup108222612.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\setup1335878188.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\err.log18135140 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\F8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Local\Temp\cnewoxamsr.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\Users\anne-solange\downloads\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Local\vzankoatn.exe (Trojan.GBFE) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Roaming\oiasg\bsrffd.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Roaming\oyrcjlxo\qykefv.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Roaming\microsoft\Windows\start menu\Programs\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\anne-solange\Desktop\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\internet explorer\quick launch\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\antimalware doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\Etranger\AppData\Local\Temp\0.7712656250417032.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor\antimalware doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
c:\Users\anne-solange\AppData\Roaming\microsoft\Windows\start menu\Programs\antimalware doctor\uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

antimalware ne s'est pas manifesté lors du redémarage de la session

j'attends la suite des insctructions

tailhardas
 Posté le 27/01/2011 à 16:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

1)RKILL

telecharge et enregistre sur ton bureau Rkill de Lawrence Abrams
lien: Rkill

  • clique sur l'icone Rkill sur ton bureau
  • une fenetre msdos( fenetre sur fond noir)
  • le bloc note va s'ouvrir en indiquant les processus arreter
2)Télécharge AD-Remover (de C_XX) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

  • Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
  • Double-Clique sur l'icône AD-Remover (clique droit -> lancer en tant qu'adminstrateur sous Vista) située sur ton Bureau et choisis Exécuter en tant qu'administrateur.
  • choisit ta langue ,
  • Au menu principal, choisis l'option S.
  • Poste le rapport qui apparaît à la fin.


(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note :

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aide: Tutoriel
xinaurri
 Posté le 28/01/2011 à 00:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

voici le rapport du scanner d'AD-R :

======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 13/06/10 à 20:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:24:38 le 27/01/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
ANNE-SOLANGE, PC-DE-ANNE-SO (PACKARD BELL BV EasyNote_MX36)

============== RECHERCHE ==============


0,Dossier trouvé: C:\ProgramData\Viewpoint
0,Dossier trouvé: C:\Program Files\Viewpoint

1,Clé trouvée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé trouvée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé trouvée: HKLM\Software\MetaStream
0,Clé trouvée: HKLM\Software\Viewpoint
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé trouvée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.16 (fr)] **

-- C:\Users\ANNE-SOLANGE\AppData\Roaming\Mozilla\FireFox\Profiles\pem8ypar.default\Prefs.js --
browser.download.lastDir, C:\\Users\\ANNE-SOLANGE
browser.search.defaultenginename, Yahoo
browser.search.defaulturl, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
browser.search.selectedEngine, Yahoo
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.1.16
keyword.URL, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=

-- C:\Users\Etranger\AppData\Roaming\Mozilla\FireFox\Profiles\hubjcv1u.default\Prefs.js --
browser.download.lastDir, C:\\Users\\Etranger\\Downloads
browser.startup.homepage, hxxp://www.google.com/webhp?hl=fr
browser.startup.homepage_override.mstone, rv:1.9.1.8

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 27/01/2011 (3407 Octet(s))

Fin à: 18:31:13, 27/01/2011

============== E.O.F ==============

tailhardas
 Posté le 28/01/2011 à 06:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

peux tu faire ceci:

aire un scan RSIT de Random/Random




Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.


  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<
    ainsi que de info.txt (<
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
74,22 €Lego Technic 42111 La Dodge Charger de Dom à 74,22 € livrée
Valable jusqu'au 26 Novembre

Amazon Allemagne fait une promotion sur le Lego Technic 42111 La Dodge Charger de Dom (des films Fast and Furious) qui passe à 67,23 € (avec la TVA ajustée). Comptez 6,99 € pour la livraison en France soit un total de 74,22 € livrée. On la trouve ailleurs à plus de 100 €.

Vous pouvez utiliser votre compte Amazon FR sur Amazon DE et il n'y a pas de douane.


> Voir l'offre
289,98 €SSD externe portable USB 3.1 SanDisk Extreme 2 To à 289,98 €
Valable jusqu'au 25 Novembre

Amazon fait une promotion sur le SSD externe portable USB 3.1 SanDisk Extreme 2 To qui passe à 289,98 € livré gratuitement alors qu'on le trouve à 320 € ailleurs. Le disque SSD SanDisk Extreme portable est plus de deux fois plus petit que la taille de votre smartphone et fournit jusqu'à 5 fois la vitesse d'un disque dur portable. Apprenez à travailler en quelques secondes, transférez de grandes bibliothèques de vidéos et de photos à des vitesses pouvant atteindre 550 Mo/s. Vous ne craindrez pas de l'emporter partout avec vous grâce à sa conception robuste et résistante avec un coeur de SSD résistant aux chocs. Le logiciel SanDisk inclu SecureAccess peut crypter vos fichiers personnels. Garantie 3 ans. Résiste à l'eau (IP55). Interface : USB 3.1 Type A et C.


> Voir l'offre
54,95 €SSD Crucial P2 500 Go (3D NAND, NVMe, PCIe, M.2, 2400 Mo/s) à 54,95 €
Valable jusqu'au 30 Novembre

Materiel.net fait une promotion sur le SSD Crucial P2 500 Go (3D NAND, NVMe, PCIe, M.2) qui passe à 54,95 €.  On le trouve ailleurs à partir de 70 €. Ce SSD offre des vitesses de lecture/écriture séquentielle allant jusqu’à 2 400/ 1 900 Mo/s. Il est garanti 5 ans.


> Voir l'offre

Sujets relatifs
antimalware doctor
Virus Antimalware Doctor
Antimalware Doctor
Antimalware Doctor
Antimalware Doctor récalcitrant
encore antimalware doctor
Antimalware Doctor, PC ne démarre plus (écran noir
antimalware doctor
problèmes pour supprimer antimalware doctor
Antimalware doctor
Plus de sujets relatifs à Xinaurri - Tutoriel élimination Antimalware Doctor
 > Tous les forums > Forum Sécurité