Ms Removal Tool

Fabke_1

Bonjour

j'avais posté mon problème ici => http://forum.bitdefender.com/index.php?showtopic=26956

donc, je raconte.

le pc de mon père.

depuis hier il a un ecran qui apparaît

MS REMOVAL TOOLS

il me dit qu'il a trouvé 38 infections

j'ai lu sur l'internet que c'est un virus.

j'ai des message (petit message a droite de l'ecran, (ou les icones de bitdefender, son, connection internet, ..) qui me dit tout le temps que j'ai des virus etc.. (warning your computer is infected.)

tout a l'heure, pour la première fois, j'ai eu un ecran blue (je me rappele plus ce qu'il y a ècrit sur cet ecran blue..)

la semaine passé j'ai encore mise a jour le bitdefender en j'ai fait un scan complet.

il n'a rien trouvé

maintenant bitdefender ne marche plus :blink: (version internet security 2010)

Comment enlever se virus?

quesion supplementaire, Si je formate mon pc, et je reinstalle windows et les programmes, et ce que mon pc est clean alors ou est ce que ce virus reste dans mon pc?

MErci

Trouver d'autres publications étiquetées avec

Réponses

Fabke_1

je viens d'avoir de nouveau cet ecran blue.

l'écran blue n'apparaît que +- 5 sec (pas le temps pour lire)

après ceci, il y a un autre écran blue qui apparaît pendant 1 sec et le pc redemarre.

Si je formate le pc, et je reinstalle tout (windows, etc..) est ce que le virus est supprimé (mon pc est clean?) ou il rest sur mon pc?

Yann A.

Bonjour Fabke_1,

Essayez cette procédure.

Tout d'abord soyez sur d'avoir sauvegardé toutes les données personnelles importantes de ce pc.

Sinon faites le en mode sans échec si possible.

* Téléchargez et enregistrez sur votre disque le programme Rogue Killer depuis le site suivant :

http://www.sur-la-toile.com/RogueKiller/

- Une fois enregistré, renommez le fichier roguekiller.exe (l'extension .exe peut être masquée) en winlog.exe (ne mettez pas l'extension .exe si elle était cachée

- Ensuite exécutez le programme renommé, winlog

- Une fenêtre devrait apparaitre à l'écran

- Attendez que le menu apapraisse et tapez 2 au clavier, validez par Entrée

Dès que le nettoyage et les suppressions sont terminéé, redémarrez si cela vous est demandé. Redémarrez de nouveau en mode sans échec avec prise en charge réseau.

* Ensuite téléchargez le programme Combofix, sauvegardez le sur votre disque dur C (à la racine) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Renommez combofix.exe en explorer.exe et exécutez le.

Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)

- Ensuite quand il vous sera proposer le 'disclamer', validez par ok pour continuer

- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage

(il va surement vous déconnecter d'internet, c'est normal)

Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.

- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.

( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)

Dès que le nettoyage sera terminé, vous lancerez Windows Update pour télécharger et installer tous les correctifs critiques !

Cordialement,

Yann

Fabke_1

Merci Yann

une question avant que je commence

que voulez vous dire avec

Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)

merci

Fabke_1

j'ai télecharge Rogue Killer, je le renomme.

je veut l'exécuté, un message apparaît (a droit en bas, que le prgramme winlog est infecté) donc cela ne fontionne pas

Yann A.

Bonjour Fabke_1,

Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.

Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.

Cordialement,

Yann

Fabke_1

Bonjour Fabke_1,

Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.

Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.

Cordialement,

Yann

merci, j'essaie encore une petite heure, si cela ne marche pas (j'ai pas envie de gaspiller tout mon temps sur ce virus), je formatte tout et je reinstalle..(mon papa ne sera pas très content )

encore un merci de m'avoir répondu.

Fabke_1

me revoila

j'ai suivi vos instructions et je pense que c'est ok.

j'avais un avertissement de combofix, que mon bitdefender est activé (mais je ne savait pas le déactiver)

j'ai fait une analyse de windows update et je ne dois rien téléchargé.

tout a l'air normal (sur qu'un forum ou je vais souvent a l'icone de bitdefender..)

comment en être 100% sur que le pc est clean?

voici le fichier rapport: (qu'est ce que vous en pensez?)

*****j'ai supprimé ceci, données privé

Running from: c:\program files\ComboFix.exe

AV: BitDefender Antivirus *Enabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: BitDefender Firewall *Enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

c:\documents and settings\All Users\Application Data\bH01803BoFmK01803

c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803

c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803.exe

((((((((((((((((((((((((( Files Created from 2011-05-10 to 2011-06-10 )))))))))))))))))))))))))))))))

2011-06-10 14:26 . 2011-06-10 14:28 4118452 ------r- c:\program files\ComboFix.exe

2011-06-07 17:14 . 2011-06-07 17:14 -------- d-----w- c:\program files\Microsoft Silverlight

2011-05-21 15:18 . 2011-05-27 13:40 -------- d-----w- c:\windows\system32\Adobe

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-04-26 05:58 . 2011-04-26 05:58 499712 ----a-w- c:\windows\system32\msvcp71.dll

2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-28 152872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-11-15 16270848]

"SkyTel"="SkyTel.EXE" [2006-05-17 2879488]

"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]

"CHotkey"="mHotkey.exe" [2004-06-04 549376]

"ledpointer"="CNYHKey.exe" [2003-07-22 5577216]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"nwiz"="nwiz.exe" [2006-10-22 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2011-05-14 1198048]

"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-20 71152]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SpeedTouch USB Diagnostics"="e:\speedtouch usb\Dragdiag.exe" [2004-01-26 866816]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-16 932288]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"RunNarrator"="Narrator.exe" [2008-04-14 53760]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [4/01/2010 20:41 111312]

R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [18/02/2011 7:04 72320]

S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [19/01/2010 20:32 85128]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]

S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [19/10/2009 18:06 183880]

S3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [3/02/2010 14:57 153448]

S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

Contents of the 'Scheduled Tasks' folder

2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]

2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]

------- Supplementary Scan -------

uStart Page = hxxp://www.google.be/

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-06-10 07:35

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]

@DACL=(02 0000)

@SACL=

"WinSock_Registry_Version"="2.0"

"Current_NameSpace_Catalog"="NameSpace_Catalog5"

"Current_Protocol_Catalog"="Protocol_Catalog9"

Completion time: 2011-06-10 07:36:10

ComboFix-quarantined-files.txt 2011-06-10 14:36

Pre-Run: 147.592.609.792 bytes free

Post-Run: 148.393.037.824 bytes free

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - C2338A3638E6E53E6CF6580EBAEBF0A5

Fabke_1

edit:

comment cela se fait-il, je scan, maintenant, mon pc avec bitdefender (deep system scan) et je vois qu'il a trouvé déjà "3 infected items"...

Fabke_1

je n'arrive pas a "edit mon message précédent"

j'ai ce problème ==> http://forum.malekal.com/windows-recovery-t31980.html

que faire? (j'suis chez mon père pour le moment, dimanche je retourne chez moi)

Fabke_1

mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.

avec le pc de mon père.

j'ai refait le scan de roquekiller (nom: winlog)

et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)

ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..

Bad processes: 3

[sUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?

[sUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED

[sUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED

Registry Entries: 1

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX

HOSTS File:

127.0.0.1 localhost

Finished : << RKreport[1].txt >>

RKreport[1].txt

-Max-

mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.

avec le pc de mon père.

j'ai refait le scan de roquekiller (nom: winlog)

et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)

ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..

Bad processes: 3

[sUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?

[sUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED

[sUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED

Registry Entries: 1

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX

HOSTS File:

127.0.0.1 localhost

Finished : << RKreport[1].txt >>

RKreport[1].txt

Bonjour,

Passez Rogue killer en mode 2 pour qu'il supprime ces fichiers, puis repasser combofix en mode sans échec.

Essayer de nous renvoyer le dossier Qoobox qui se situe à la racine de votre pc.

Cordialement,

-Max-