Votre question

Virus avec Antimalware doctor.

Tags :
  • Logiciels
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Juillet 2010 12:05:19

Salut à tous,

Voila, depuis hier soir, j'ai un logiciel s'appellant AntiMalware Doctor qui s'est installé sur mon pc à mon insu.
Toutes les cinq minutes il me demande de m'enregistrer, et donc de payer.
Si je veux par exemple bloquer le logiciel au demarrage de windows, même pour ca, il me demande de payer.
Il me dit en plus que j'ai plein de virus sur mon pc alors que c'est faux.
J'ai fait un scan complet, et rien.

Merci de m'aider à me débarasser de ce logiciel "fake".

Autres pages sur : virus antimalware doctor

15 Juillet 2010 12:23:53

hello,


infecté par un rogue .


/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================


    Commence par faire ceci pour avoir un diagnostique précis du PC :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarataine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    Contenus similaires
    15 Juillet 2010 18:07:42

    vu,


    infection Renos en faite et autres merdouilles ....


    et en plus , la version 4.8 d'Avast ... une vrai passoire ! ... Dès que le PC sera clean , faudra installer la version 5 ....




    donc dans l'ordre :



    1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    • Une fois l'outil installé, double clique sur le raccourci pour le lancer .

    • Au menu principal clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ==========================

    2- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    ============================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    15 Juillet 2010 21:56:03

    heu ,


    t'aurais pas oublier quelques choses ? ....


    merci de me poster les rapports de Ad-Remover et de MBAM comme demandé ! ....

    16 Juillet 2010 00:28:02

    bien ....



    Conseil : arrête d'installer et de désinstaller des antivirus à l'arrache ! ... C'est du grand n'importe quoi dnas ce PC ! ... :p 




    la suite dans l'ordre :


    1- relance un nettoyage avec AD-R stp ...

    poste le nouveau rapport obtenu ....



    =======================


    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\Windows\system32\DRIVERS\ehdrv.sys
    O23 - Service: ESET Service (ekrn) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    O41 - Driver: Symantec Eraser Control driver (eeCtrl) . (.Symantec Corporation - Symantec Eraser Control Driver.) - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
    O41 - Driver: ehdrv (ehdrv) . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32\DRIVERS\ehdrv.sys
    O41 - Driver: SYMTDI (SYMTDI) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\Drivers\SYMTDI.sy
    O43 - CFD:Common File Directory ----D- C:\Program Files\ESET
    O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers communs\Symantec Shared
    O58 - SDL:[MD5.14FE36D8F2C6A2435275338D061A0B66] - 7/15/2010 - 13:32:33 ---A- . (.Avira GmbH - Avira Minifilter Driver.) -- C:\WINDOWS\system32\drivers\avgntflt.sys
    O58 - SDL:[MD5.73FC7C4A5952B5493C6BE2708D1538C0] - 5/14/2009 - 14:49:26 ---A- . (.ESET - ESET Personal Firewall NDIS filter.) -- C:\WINDOWS\system32\drivers\epfwndis.sys
    O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS
    O64 - Services: CurCS - (.not file.) - avfwot (avfwot) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFWOT
    O64 - Services: CurCS - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys - Symantec Eraser Control driver (eeCtrl) .(.Symantec Corporation - Symantec Eraser Control Driver.) - LEGACY_EECTRL
    O64 - Services: CurCS - (.not file.) - ehdrv (ehdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_EHDRV
    O64 - Services: CurCS - (.not file.) - ESET Service (ekrn) .(.Pas de propriétaire - Pas de description.) - LEGACY_EKRN
    O64 - Services: CurCS - (.not file.) - EraserUtilDrv10741 (EraserUtilDrv10741) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10741
    O64 - Services: CurCS - (.not file.) - EraserUtilDrv10820 (EraserUtilDrv10820) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10820
    O64 - Services: CurCS - (.not file.) - EraserUtilDrv10821 (EraserUtilDrv10821) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10821
    O64 - Services: CurCS - (.not file.) - EraserUtilDrv10822 (EraserUtilDrv10822) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10822
    O64 - Services: CurCS - (.not file.) - EraserUtilDrv10910 (EraserUtilDrv10910) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10910
    O64 - Services: CurCS - (.not file.) - EraserUtilDrvI7 (EraserUtilDrvI7) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRVI7
    O64 - Services: CurCS - (.not file.) - EraserUtilDrvI9 (EraserUtilDrvI9) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRVI9
    O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILREBOOTDRV
    O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMDNS
    O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT
    O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMFW
    O64 - Services: CurCS - (.not file.) - SYMIDS (SYMIDS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDS
    O64 - Services: CurCS - (.not file.) - SYMIDSCO (SYMIDSCO) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDSCO
    O64 - Services: CurCS - (.not file.) - SYMNDIS (SYMNDIS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMNDIS
    O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV
    O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI
    [HKLM\Software\ESET]
    [HKLM\Software\Symantec]



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==============================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    16 Juillet 2010 21:35:11

    Salut,


    1. Rapport de ZHPFix v1.12.3122 par Nicolas Coolman, Update du 15/07/2010
    2. Fichier d'export Registre : C:\ZHPExportRegistry-7-16-2010-1-01-59.txt
    3. Run by Sebastien at 7/16/2010 1:01:59
    4. Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    5. Contact : nicolascoolman@yahoo.fr
    6.  
    7. ========== Processus mémoire ==========
    8. C:\Windows\system32\DRIVERS\ehdrv.sys => Fichier absent
    9.  
    10. ========== Clé du Registre ==========
    11. O23 - Service: ESET Service (ekrn) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\ESET\ESET Smart Security\ekrn.exe => Clé absente
    12. O41 - Driver: Symantec Eraser Control driver (eeCtrl) . (.Symantec Corporation - Symantec Eraser Control Driver.) - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys => Clé supprimée avec succès
    13. O41 - Driver: ehdrv (ehdrv) . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32\DRIVERS\ehdrv.sys => Clé supprimée avec succès
    14. O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Clé supprimée avec succès
    15. O64 - Services: CurCS - (.not file.) - avfwot (avfwot) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFWOT => Clé supprimée avec succès
    16. O64 - Services: CurCS - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys - Symantec Eraser Control driver (eeCtrl) .(.Symantec Corporation - Symantec Eraser Control Driver.) - LEGACY_EECTRL => Clé supprimée avec succès
    17. O64 - Services: CurCS - (.not file.) - ehdrv (ehdrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_EHDRV => Clé supprimée avec succès
    18. O64 - Services: CurCS - (.not file.) - ESET Service (ekrn) .(.Pas de propriétaire - Pas de description.) - LEGACY_EKRN => Clé supprimée avec succès
    19. O64 - Services: CurCS - (.not file.) - EraserUtilDrv10741 (EraserUtilDrv10741) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10741 => Clé supprimée avec succès
    20. O64 - Services: CurCS - (.not file.) - EraserUtilDrv10820 (EraserUtilDrv10820) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10820 => Clé supprimée avec succès
    21. O64 - Services: CurCS - (.not file.) - EraserUtilDrv10821 (EraserUtilDrv10821) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10821 => Clé supprimée avec succès
    22. O64 - Services: CurCS - (.not file.) - EraserUtilDrv10822 (EraserUtilDrv10822) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10822 => Clé supprimée avec succès
    23. O64 - Services: CurCS - (.not file.) - EraserUtilDrv10910 (EraserUtilDrv10910) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10910 => Clé supprimée avec succès
    24. O64 - Services: CurCS - (.not file.) - EraserUtilDrvI7 (EraserUtilDrvI7) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRVI7 => Clé supprimée avec succès
    25. O64 - Services: CurCS - (.not file.) - EraserUtilDrvI9 (EraserUtilDrvI9) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRVI9 => Clé supprimée avec succès
    26. O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILREBOOTDRV => Clé supprimée avec succès
    27. O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMDNS => Clé supprimée avec succès
    28. O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT => Clé supprimée avec succès
    29. O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMFW => Clé supprimée avec succès
    30. O64 - Services: CurCS - (.not file.) - SYMIDS (SYMIDS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDS => Clé supprimée avec succès
    31. O64 - Services: CurCS - (.not file.) - SYMIDSCO (SYMIDSCO) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDSCO => Clé supprimée avec succès
    32. O64 - Services: CurCS - (.not file.) - SYMNDIS (SYMNDIS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMNDIS => Clé supprimée avec succès
    33. O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV => Clé supprimée avec succès
    34. O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI => Clé supprimée avec succès
    35. HKLM\Software\ESET => Clé supprimée avec succès
    36. HKLM\Software\Symantec => Clé supprimée avec succès
    37.  
    38. ========== Dossier ==========
    39. C:\Program Files\ESET => Supprimé et mis en quarantaine
    40. C:\Program Files\Fichiers communs\Symantec Shared => Supprimé et mis en quarantaine
    41.  
    42. ========== Fichier ==========
    43. c:\windows\system32\drivers\avgntflt.sys => Supprimé et mis en quarantaine
    44. c:\windows\system32\drivers\epfwndis.sys => Supprimé et mis en quarantaine
    45.  
    46.  
    47. ========== Récapitulatif ==========
    48. 1 : Processus mémoire
    49. 26 : Clé du Registre
    50. 2 : Dossier
    51. 2 : Fichier
    52.  
    53.  
    54. End of the scan


    http://www.cijoint.fr/cjlink.php?file=cj201007/cijT0iyf... : ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijdJyJM... : ZHPFix

    Merci encore.
    16 Juillet 2010 21:46:17

    bien ....



    dis moi comment va le PC maintenant ... encore des soucis particuliers ?



    puis fait ceci histoire de vérifier au niveau unité externes :


    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    19 Juillet 2010 17:17:17

    Mon pc ca nikel, par contre apparament, dans le logiciel USB Fix il y a un Cheval de Troie.
    J'ai aussi remarqué que des virus apparaissait lors de mises à jours Windows, que puis-je faire.
    19 Juillet 2010 20:32:11

    re,


    Citation :
    J'ai aussi remarqué que des virus apparaissait lors de mises à jours Windows, que puis-je faire.



    ah bon ???? ... tu peux être plus précis stp : qui te dit qu'il y a des virus , où et quels fichiers exactement ...



    pour usbFix , tu le suprrime.
    Puis te désactive ton antivirus et tu reprends la manipe du départ ...


    j'attends le rapport obtenu ...


    20 Juillet 2010 19:08:47

    bonjour,

    je pense que j ai à faire au même virus : Antimalware Doctor. Le problème c'est que je ne peux executer aucun programme. Le virus les bloque directement en me disant qu'ils sont infectés...

    D'autre part un ami m'a demandé d'ouvrir Exécuter dans le menu Démarrer, d'écrire CMD, et de décocher tous les programmes qui m'avaient l'air suspects avant de redémarrer. Mais je ne peux même pas ouvrir "Executer"...

    Quelqu'un aurait une solution ?
    20 Juillet 2010 19:15:41

    ah oui et j'ai un autre truc qui fait ouvrir plein de fenêtres et qui bloque sûrement aussi tous programmes : Antivir Solution Pro
    20 Juillet 2010 22:10:36

    jbs10,


    merci de créer ton propre sujet ! ...


    bonne chance ... ;) 

    A+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS