Ms Removal Tool

Fabke_1
Modifié (juin 2011) dans Aide à la désinfection

Bonjour


j'avais posté mon problème ici => http://forum.bitdefender.com/index.php?showtopic=26956


donc, je raconte.


le pc de mon père.


depuis hier il a un ecran qui apparaît


MS REMOVAL TOOLS


il me dit qu'il a trouvé 38 infections


j'ai lu sur l'internet que c'est un virus.


j'ai des message (petit message a droite de l'ecran, (ou les icones de bitdefender, son, connection internet, ..) qui me dit tout le temps que j'ai des virus etc.. (warning your computer is infected.)


tout a l'heure, pour la première fois, j'ai eu un ecran blue (je me rappele plus ce qu'il y a ècrit sur cet ecran blue..)


la semaine passé j'ai encore mise a jour le bitdefender en j'ai fait un scan complet.


il n'a rien trouvé


maintenant bitdefender ne marche plus :blink: (version internet security 2010)


Comment enlever se virus?


quesion supplementaire, Si je formate mon pc, et je reinstalle windows et les programmes, et ce que mon pc est clean alors ou est ce que ce virus reste dans mon pc?


MErci

Réponses

  • je viens d'avoir de nouveau cet ecran blue.


    l'écran blue n'apparaît que +- 5 sec (pas le temps pour lire)


    après ceci, il y a un autre écran blue qui apparaît pendant 1 sec et le pc redemarre.


    Si je formate le pc, et je reinstalle tout (windows, etc..) est ce que le virus est supprimé (mon pc est clean?) ou il rest sur mon pc?

  • Bonjour Fabke_1,


    Essayez cette procédure.


    Tout d'abord soyez sur d'avoir sauvegardé toutes les données personnelles importantes de ce pc.


    Sinon faites le en mode sans échec si possible.


    * Téléchargez et enregistrez sur votre disque le programme Rogue Killer depuis le site suivant :


    http://www.sur-la-toile.com/RogueKiller/


    - Une fois enregistré, renommez le fichier roguekiller.exe (l'extension .exe peut être masquée) en winlog.exe (ne mettez pas l'extension .exe si elle était cachée


    - Ensuite exécutez le programme renommé, winlog


    - Une fenêtre devrait apparaitre à l'écran


    - Attendez que le menu apapraisse et tapez 2 au clavier, validez par Entrée


    Dès que le nettoyage et les suppressions sont terminéé, redémarrez si cela vous est demandé. Redémarrez de nouveau en mode sans échec avec prise en charge réseau.


    * Ensuite téléchargez le programme Combofix, sauvegardez le sur votre disque dur C (à la racine) :


    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    - Renommez combofix.exe en explorer.exe et exécutez le.


    Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)


    - Ensuite quand il vous sera proposer le 'disclamer', validez par ok pour continuer


    - Combofix va lancer la sauvegarde du registre puis commencer le nettoyage


    (il va surement vous déconnecter d'internet, c'est normal)


    Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.


    - Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.


    ( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)


    Dès que le nettoyage sera terminé, vous lancerez Windows Update pour télécharger et installer tous les correctifs critiques !


    Cordialement,


    Yann

  • Merci Yann


    une question avant que je commence


    que voulez vous dire avec


    Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)


    merci

  • Fabke_1
    Modifié (juin 2011)

    j'ai télecharge Rogue Killer, je le renomme.


    je veut l'exécuté, un message apparaît (a droit en bas, que le prgramme winlog est infecté) donc cela ne fontionne pas :(

  • Bonjour Fabke_1,


    Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.


    Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.


    Cordialement,


    Yann

  • Bonjour Fabke_1,


    Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.


    Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.


    Cordialement,


    Yann


    merci, j'essaie encore une petite heure, si cela ne marche pas (j'ai pas envie de gaspiller tout mon temps sur ce virus), je formatte tout et je reinstalle..(mon papa ne sera pas très content -_- )


    encore un merci de m'avoir répondu.

  • Fabke_1
    Modifié (juin 2011)

    me revoila


    j'ai suivi vos instructions et je pense que c'est ok.


    j'avais un avertissement de combofix, que mon bitdefender est activé (mais je ne savait pas le déactiver)


    j'ai fait une analyse de windows update et je ne dois rien téléchargé.


    tout a l'air normal (sur qu'un forum ou je vais souvent a l'icone de bitdefender..)


    comment en être 100% sur que le pc est clean?


    voici le fichier rapport: (qu'est ce que vous en pensez?)


    *****j'ai supprimé ceci, données privé


    Running from: c:\program files\ComboFix.exe


    AV: BitDefender Antivirus *Enabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}


    FW: BitDefender Firewall *Enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}


    .


    .


    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    .


    .


    c:\documents and settings\All Users\Application Data\bH01803BoFmK01803


    c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803


    c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803.exe


    .


    .


    ((((((((((((((((((((((((( Files Created from 2011-05-10 to 2011-06-10 )))))))))))))))))))))))))))))))


    .


    .


    2011-06-10 14:26 . 2011-06-10 14:28 4118452 ------r- c:\program files\ComboFix.exe


    2011-06-07 17:14 . 2011-06-07 17:14 -------- d-----w- c:\program files\Microsoft Silverlight


    2011-05-21 15:18 . 2011-05-27 13:40 -------- d-----w- c:\windows\system32\Adobe


    .


    .


    .


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))


    .


    2011-04-26 05:58 . 2011-04-26 05:58 499712 ----a-w- c:\windows\system32\msvcp71.dll


    2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr


    .


    .


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    .


    .


    *Note* empty entries & legit default entries are not shown


    REGEDIT4


    .


    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-28 152872]


    .


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]


    "RTHDCPL"="RTHDCPL.EXE" [2006-11-15 16270848]


    "SkyTel"="SkyTel.EXE" [2006-05-17 2879488]


    "CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]


    "CHotkey"="mHotkey.exe" [2004-06-04 549376]


    "ledpointer"="CNYHKey.exe" [2003-07-22 5577216]


    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]


    "nwiz"="nwiz.exe" [2006-10-22 1622016]


    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]


    "BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2011-05-14 1198048]


    "BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-20 71152]


    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]


    "SpeedTouch USB Diagnostics"="e:\speedtouch usb\Dragdiag.exe" [2004-01-26 866816]


    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]


    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-16 932288]


    "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]


    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]


    .


    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]


    "RunNarrator"="Narrator.exe" [2008-04-14 53760]


    .


    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]


    "EnableFirewall"= 0 (0x0)


    .


    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]


    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=


    "%windir%\\system32\\sessmgr.exe"=


    "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=


    .


    R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [4/01/2010 20:41 111312]


    R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [18/02/2011 7:04 72320]


    S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [19/01/2010 20:32 85128]


    S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]


    S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [19/10/2009 18:06 183880]


    S3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [3/02/2010 14:57 153448]


    S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]


    .


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]


    bdx REG_MULTI_SZ scan


    .


    Contents of the 'Scheduled Tasks' folder


    .


    2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job


    - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]


    .


    2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job


    - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]


    .


    .


    ------- Supplementary Scan -------


    .


    uStart Page = hxxp://www.google.be/


    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200


    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


    IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000


    TCP: DhcpNameServer = 192.168.1.1


    .


    .


    **************************************************************************


    .


    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net


    Rootkit scan 2011-06-10 07:35


    Windows 5.1.2600 Service Pack 3 NTFS


    .


    scanning hidden processes ...


    .


    scanning hidden autostart entries ...


    .


    scanning hidden files ...


    .


    scan completed successfully


    hidden files: 0


    .


    **************************************************************************


    .


    --------------------- LOCKED REGISTRY KEYS ---------------------


    .


    [HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]


    @DACL=(02 0000)


    @SACL=


    "WinSock_Registry_Version"="2.0"


    "Current_NameSpace_Catalog"="NameSpace_Catalog5"


    "Current_Protocol_Catalog"="Protocol_Catalog9"


    .


    Completion time: 2011-06-10 07:36:10


    ComboFix-quarantined-files.txt 2011-06-10 14:36


    .


    Pre-Run: 147.592.609.792 bytes free


    Post-Run: 148.393.037.824 bytes free


    .


    WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe


    [boot loader]


    timeout=2


    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS


    [operating systems]


    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons


    UnsupportedDebug="do not select this" /debug


    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect


    .


    - - End Of File - - C2338A3638E6E53E6CF6580EBAEBF0A5

  • edit:


    comment cela se fait-il, je scan, maintenant, mon pc avec bitdefender (deep system scan) et je vois qu'il a trouvé déjà "3 infected items"...

  • je n'arrive pas a "edit mon message précédent"


    j'ai ce problème ==> http://forum.malekal.com/windows-recovery-t31980.html


    que faire? (j'suis chez mon père pour le moment, dimanche je retourne chez moi)

  • mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.


    avec le pc de mon père.


    j'ai refait le scan de roquekiller (nom: winlog)


    et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)


    ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..


    Bad processes: 3


    [sUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?


    [sUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED


    [sUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED


    Registry Entries: 1


    [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX


    HOSTS File:


    127.0.0.1 localhost


    Finished : << RKreport[1].txt >>


    RKreport[1].txt

  • mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.


    avec le pc de mon père.


    j'ai refait le scan de roquekiller (nom: winlog)


    et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)


    ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..


    Bad processes: 3


    [sUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?


    [sUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED


    [sUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED


    Registry Entries: 1


    [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX


    HOSTS File:


    127.0.0.1 localhost


    Finished : << RKreport[1].txt >>


    RKreport[1].txt


    Bonjour,


    Passez Rogue killer en mode 2 pour qu'il supprime ces fichiers, puis repasser combofix en mode sans échec.


    Essayer de nous renvoyer le dossier Qoobox qui se situe à la racine de votre pc.


    Cordialement,


    -Max-