Ms Removal Tool
Bonjour
j'avais posté mon problème ici => http://forum.bitdefender.com/index.php?showtopic=26956
donc, je raconte.
le pc de mon père.
depuis hier il a un ecran qui apparaît
MS REMOVAL TOOLS
il me dit qu'il a trouvé 38 infections
j'ai lu sur l'internet que c'est un virus.
j'ai des message (petit message a droite de l'ecran, (ou les icones de bitdefender, son, connection internet, ..) qui me dit tout le temps que j'ai des virus etc.. (warning your computer is infected.)
tout a l'heure, pour la première fois, j'ai eu un ecran blue (je me rappele plus ce qu'il y a ècrit sur cet ecran blue..)
la semaine passé j'ai encore mise a jour le bitdefender en j'ai fait un scan complet.
il n'a rien trouvé
maintenant bitdefender ne marche plus (version internet security 2010)
Comment enlever se virus?
quesion supplementaire, Si je formate mon pc, et je reinstalle windows et les programmes, et ce que mon pc est clean alors ou est ce que ce virus reste dans mon pc?
MErci
Réponses
-
je viens d'avoir de nouveau cet ecran blue.
l'écran blue n'apparaît que +- 5 sec (pas le temps pour lire)
après ceci, il y a un autre écran blue qui apparaît pendant 1 sec et le pc redemarre.
Si je formate le pc, et je reinstalle tout (windows, etc..) est ce que le virus est supprimé (mon pc est clean?) ou il rest sur mon pc?0 -
Bonjour Fabke_1,
Essayez cette procédure.
Tout d'abord soyez sur d'avoir sauvegardé toutes les données personnelles importantes de ce pc.
Sinon faites le en mode sans échec si possible.
* Téléchargez et enregistrez sur votre disque le programme Rogue Killer depuis le site suivant :
http://www.sur-la-toile.com/RogueKiller/
- Une fois enregistré, renommez le fichier roguekiller.exe (l'extension .exe peut être masquée) en winlog.exe (ne mettez pas l'extension .exe si elle était cachée
- Ensuite exécutez le programme renommé, winlog
- Une fenêtre devrait apparaitre à l'écran
- Attendez que le menu apapraisse et tapez 2 au clavier, validez par Entrée
Dès que le nettoyage et les suppressions sont terminéé, redémarrez si cela vous est demandé. Redémarrez de nouveau en mode sans échec avec prise en charge réseau.
* Ensuite téléchargez le programme Combofix, sauvegardez le sur votre disque dur C (à la racine) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Renommez combofix.exe en explorer.exe et exécutez le.
Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)
- Ensuite quand il vous sera proposer le 'disclamer', validez par ok pour continuer
- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage
(il va surement vous déconnecter d'internet, c'est normal)
Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.
- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.
( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)
Dès que le nettoyage sera terminé, vous lancerez Windows Update pour télécharger et installer tous les correctifs critiques !
Cordialement,
Yann0 -
Merci Yann
une question avant que je commence
que voulez vous dire avec
Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)
merci0 -
j'ai télecharge Rogue Killer, je le renomme.
je veut l'exécuté, un message apparaît (a droit en bas, que le prgramme winlog est infecté) donc cela ne fontionne pas0 -
Bonjour Fabke_1,
Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.
Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.
Cordialement,
Yann0 -
Bonjour Fabke_1,
Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.
Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.
Cordialement,
Yann
merci, j'essaie encore une petite heure, si cela ne marche pas (j'ai pas envie de gaspiller tout mon temps sur ce virus), je formatte tout et je reinstalle..(mon papa ne sera pas très content )
encore un merci de m'avoir répondu.0 -
me revoila
j'ai suivi vos instructions et je pense que c'est ok.
j'avais un avertissement de combofix, que mon bitdefender est activé (mais je ne savait pas le déactiver)
j'ai fait une analyse de windows update et je ne dois rien téléchargé.
tout a l'air normal (sur qu'un forum ou je vais souvent a l'icone de bitdefender..)
comment en être 100% sur que le pc est clean?
voici le fichier rapport: (qu'est ce que vous en pensez?)
*****j'ai supprimé ceci, données privé
Running from: c:\program files\ComboFix.exe
AV: BitDefender Antivirus *Enabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender Firewall *Enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\bH01803BoFmK01803
c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803
c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803.exe
.
.
((((((((((((((((((((((((( Files Created from 2011-05-10 to 2011-06-10 )))))))))))))))))))))))))))))))
.
.
2011-06-10 14:26 . 2011-06-10 14:28 4118452 ------r- c:\program files\ComboFix.exe
2011-06-07 17:14 . 2011-06-07 17:14 -------- d-----w- c:\program files\Microsoft Silverlight
2011-05-21 15:18 . 2011-05-27 13:40 -------- d-----w- c:\windows\system32\Adobe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-26 05:58 . 2011-04-26 05:58 499712 ----a-w- c:\windows\system32\msvcp71.dll
2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-28 152872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-15 16270848]
"SkyTel"="SkyTel.EXE" [2006-05-17 2879488]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]
"CHotkey"="mHotkey.exe" [2004-06-04 549376]
"ledpointer"="CNYHKey.exe" [2003-07-22 5577216]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2011-05-14 1198048]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-20 71152]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SpeedTouch USB Diagnostics"="e:\speedtouch usb\Dragdiag.exe" [2004-01-26 866816]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-16 932288]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
.
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [4/01/2010 20:41 111312]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [18/02/2011 7:04 72320]
S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [19/01/2010 20:32 85128]
S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [19/10/2009 18:06 183880]
S3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [3/02/2010 14:57 153448]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contents of the 'Scheduled Tasks' folder
.
2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]
.
2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.be/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-10 07:35
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
Completion time: 2011-06-10 07:36:10
ComboFix-quarantined-files.txt 2011-06-10 14:36
.
Pre-Run: 147.592.609.792 bytes free
Post-Run: 148.393.037.824 bytes free
.
WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - C2338A3638E6E53E6CF6580EBAEBF0A50 -
edit:
comment cela se fait-il, je scan, maintenant, mon pc avec bitdefender (deep system scan) et je vois qu'il a trouvé déjà "3 infected items"...0 -
je n'arrive pas a "edit mon message précédent"
j'ai ce problème ==> http://forum.malekal.com/windows-recovery-t31980.html
que faire? (j'suis chez mon père pour le moment, dimanche je retourne chez moi)0 -
mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.
avec le pc de mon père.
j'ai refait le scan de roquekiller (nom: winlog)
et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)
ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..
Bad processes: 3
[sUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?
[sUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED
[sUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED
Registry Entries: 1
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX
HOSTS File:
127.0.0.1 localhost
Finished : << RKreport[1].txt >>
RKreport[1].txt0 -
mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.
avec le pc de mon père.
j'ai refait le scan de roquekiller (nom: winlog)
et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)
ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..
Bad processes: 3
[sUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?
[sUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED
[sUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED
Registry Entries: 1
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX
HOSTS File:
127.0.0.1 localhost
Finished : << RKreport[1].txt >>
RKreport[1].txt
Bonjour,
Passez Rogue killer en mode 2 pour qu'il supprime ces fichiers, puis repasser combofix en mode sans échec.
Essayer de nous renvoyer le dossier Qoobox qui se situe à la racine de votre pc.
Cordialement,
-Max-0
Leaders
Catégories
- Toutes les catégories
- 633 Windows
- 33 Mac
- 99 Mobile Security
- 241 VPN
- 246 Central et abonnements
- 141 Autres produits et services
- 79 Équipe de recherche sur la sécurité
- 30 Fonctionnalités du produit et idéation
- 87 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 575 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver