Se connecter / S'enregistrer
Votre question

Antimalware Doctor

Tags :
  • Fenêtre intempestive
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Février 2011 02:00:39

Bonsoir,
je viens d'être infecté par "Antimalware Doctor". J'ai réussi à faire en sorte que les fenêtres n'apparaissent plus mais depuis des fenêtres publicitaires se lancent automatiquement via IE.
Merci pour vos conseils.

Autres pages sur : antimalware doctor

a c 614 8 Sécurité
20 Février 2011 14:51:59

Bonjour,

A faire :
Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    20 Février 2011 15:11:43

    Bonjour,
    merci pour ta réponse rapide. Suite à mon appel à l'aide, j'ai continué à chercher. Les fenêtres intempestives ont disparues. Ci-joint les 2 fichiers pour être sur que tout est Ok.
    Tu me dis ...
    @+

    Contenus similaires
    a c 614 8 Sécurité
    20 Février 2011 19:03:47

    Re,

    Le second rapport n'est pas entier car tu n'as pas lu mes directives :
    Citation :
    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    Merci de la faire pour le second rapport (extra.txt)

    Puis fais ceci :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    20 Février 2011 22:12:18

    Désolé je n'avais pas vu que le texte n'était pas complet. Ci-dessous le fichier esxtras.txt




    J'ai déjà exécuté MalwareByte's anti malware et supprimé les lignes suspectes.
    Peux tu m'expliquer les paramètres que l'on colle dans OTL.
    Merci pour ton aide précieuse.

    A+
    a c 614 8 Sécurité
    21 Février 2011 19:57:13

    Re,

    Question avant tout :
    - C'est un pc d'entreprise ?

    Citation :
    J'ai déjà exécuté MalwareByte's anti malware et supprimé les lignes suspectes.


    :ange:  Comme demandé donc il me faut le rapport ...

    Citation :
    * Un rapport va s'afficher, enregistre-le sur ton bureau.
    * ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"



    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !



    1) Désinstalle les programmes suivants (si présent), via ajout/suppression des programmes :

    - J2SE Runtime Environment 5.0 Update 13
    - Ad-Aware (obsolète et inutile, la preuve, tu es là ...)


    Je continuerais en fonction de ta réponse à ma première question, et après avoir vu le rapport Malwarebyte's.

    [:_tom_:7]
    a c 614 8 Sécurité
    22 Février 2011 15:51:02

    Re,

    Citation :
    oui c'est un PC du boulot qui me sert (entre autre) à travailler à la maison.


    Les pc privés peuvent être désinfecté puisque appartenant à la personne qui nous contacte, mais les pc de boulot pose un souci car légalement parlant nous n'avons pas "l'autorisation" d'effectuer des interventions dessus (documents, logiciels, ou autres informations sensible pouvant être endommagée ...)
    Il faudrait donc que tu m'assures que tu as l'autorisation de faire ce qui te chante avec ce pc ;) 

    (En plus pc de boulot avec une tonne de logiciel p2p ... enfin, voilà quoi ... :lol:  )

    Citation :
    résultat : http://www.cijoint.fr/cjlink.php?f [...] p8avGv.txt

    qu'en penses tu ?


    Je pense rien car tu n'as pas suivi ma demande :D 
    Je t'ai demandé de me fournir le rapport précédent de malwarebyte's, pas d'en faire un nouveau ;) 
    Repars dans les rapports et fournis-moi l'ancien, le premier que tu avais fait.

    [:_tom_:7]
    22 Février 2011 21:41:21

    1) pas de souci de ce coté là
    2) une tonne, une tonne ... 1 seul et encore tout petit

    3) impossible de poster sur le site cijoint.fr ... pour cause d'erreur interne ...


    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5815

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    20/02/2011 11:43:11
    mbam-log-2011-02-20 (11-43-11).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 241211
    Temps écoulé: 1 heure(s), 5 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    C:\WINDOWS\Hkimob.exe (Trojan.Agent) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\Hkimob.exe (Trojan.Agent) -> Delete on reboot.
    C:\WINDOWS\system32\sshnas21.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


    Alors cette fois t'en penses quoi ? c'est quoi les paramètres que j'ai collé dans OTL ?

    A+
    a c 614 8 Sécurité
    23 Février 2011 17:51:55

    [:arslan:13] Re,


    Citation :
    3) impossible de poster sur le site cijoint.fr ... pour cause d'erreur interne ...

    Un peu surchargé parfois, faut rafraichir, pas grave.

    Citation :
    Alors cette fois t'en penses quoi ? c'est quoi les paramètres que j'ai collé dans OTL ?


    Malwarebyte's à fait le boulot, on va juste finir du petit nettoyage.
    Pour le reste, sans vouloir jouer mes grands air, ce serait trop long à t'expliquer, disons simplement que j'approfondis la recherche par défaut effectuée par le logiciel.

    Pour infos, c'est une infection attrapée via exploit sur site web pourri, ou cracks ou faux-codec pour pornographie ... faudrait faire un peu plus attention ...
    genre :
    C:\Documents and Settings\O\Mes documents\Hacker mag



    On y va :

    1) Désinstalle ces programmes (si présent)

    - J2SE Runtime Environment 5.0 Update 13
    - Ad-Aware (peu utile, la preuve, tu es là ...)

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    MsConfig - StartUpReg: [b]20W6RLKX65[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]3FWHZQA3LT[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]handlerfix70700en00.exe[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]HNURIXnkf[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]HNURIXnqe[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]HNURIXnxb[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]HNURIXnxc[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]HNURIXnxec[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]MKayc[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]MKbMc[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]MKcrc[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]MKcuc[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]MKZSc[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]uPc+MV0NlPaXms[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]uPc+MV0Nr0aXms[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]winupd32[/b] - hkey= - key= - File not found
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2011/02/17 21:57:33 | 000,000,512 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
    [2009/03/12 09:17:34 | 002,902,048 | ---- | M] (Lavasoft ) -- C:\Documents and Settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}\Ad-AwareAE.exe
    [2010/03/01 21:57:36 | 001,029,456 | ---- | M] (Lavasoft) -- C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\update\AAWService.exe

    :Files
    C:\Documents and Settings\All Users\Application Data\Lavasoft

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.


    Autre question, pourquoi avoir désactiver la restauration système ?

    [:_tom_:7]
    a c 614 8 Sécurité
    24 Février 2011 20:08:09

    Re,

    Ok.

    Citation :
    la sécurité étant un sujet qui m'intéresse pourrais tu m'expliquer ce que tu m'as demandé de faire ?


    Pas grand chose comme je disais, clé de démarrage orphelines superflue, vidage de dossiers de fichiers temporaires ...


    On termine :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    XP :
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (Fin du tuto)


    3) Mise à jour du système et des logiciels :


    Met à jour les programmes suivants :
    - Java vers la version 6 update 24 (pense à supprimer les anciennes version dans ajout/suppression des programmes si encore présentes )
    - Adobe reader vers 9.4.3 ou X (vérifie que les anciennes versions sont supprimée)



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :


  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    [:_tom_:7]
    24 Février 2011 22:20:40

    Ok,
    merci pour toutes ces infos, je ferai tout ça dès mon retour.
    Merci encore pour ton aide.
    ;-)
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS