Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Ms Removal Tool
Fabke_1
post Jun 10 2011, 02:23 PM
Post #1


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



Bonjour


j'avais posté mon problème ici => http://forum.bitdefender.com/index.php?showtopic=26956


donc, je raconte.

le pc de mon père.

depuis hier il a un ecran qui apparaît
MS REMOVAL TOOLS
il me dit qu'il a trouvé 38 infections

j'ai lu sur l'internet que c'est un virus.

j'ai des message (petit message a droite de l'ecran, (ou les icones de bitdefender, son, connection internet, ..) qui me dit tout le temps que j'ai des virus etc.. (warning your computer is infected.)

tout a l'heure, pour la première fois, j'ai eu un ecran blue (je me rappele plus ce qu'il y a ècrit sur cet ecran blue..)



la semaine passé j'ai encore mise a jour le bitdefender en j'ai fait un scan complet.
il n'a rien trouvé

maintenant bitdefender ne marche plus (IMG:style_emoticons/default/blink.gif) (version internet security 2010)

Comment enlever se virus?

quesion supplementaire, Si je formate mon pc, et je reinstalle windows et les programmes, et ce que mon pc est clean alors ou est ce que ce virus reste dans mon pc?

MErci

This post has been edited by Fabke_1: Jun 10 2011, 02:25 PM
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 02:38 PM
Post #2


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



je viens d'avoir de nouveau cet ecran blue.


l'écran blue n'apparaît que +- 5 sec (pas le temps pour lire)
après ceci, il y a un autre écran blue qui apparaît pendant 1 sec et le pc redemarre.


Si je formate le pc, et je reinstalle tout (windows, etc..) est ce que le virus est supprimé (mon pc est clean?) ou il rest sur mon pc?

Go to the top of the page
 
+Quote Post
-Yann-
post Jun 10 2011, 02:44 PM
Post #3


Guru Poster
******

Group: Support Technique
Posts: 12,645
Joined: 6-May 08
Member No.: 12,731



Bonjour Fabke_1,

Essayez cette procédure.

Tout d'abord soyez sur d'avoir sauvegardé toutes les données personnelles importantes de ce pc.
Sinon faites le en mode sans échec si possible.

* Téléchargez et enregistrez sur votre disque le programme Rogue Killer depuis le site suivant :
http://www.sur-la-toile.com/RogueKiller/

- Une fois enregistré, renommez le fichier roguekiller.exe (l'extension .exe peut être masquée) en winlog.exe (ne mettez pas l'extension .exe si elle était cachée

- Ensuite exécutez le programme renommé, winlog
- Une fenêtre devrait apparaitre à l'écran
- Attendez que le menu apapraisse et tapez 2 au clavier, validez par Entrée

Dès que le nettoyage et les suppressions sont terminéé, redémarrez si cela vous est demandé. Redémarrez de nouveau en mode sans échec avec prise en charge réseau.

* Ensuite téléchargez le programme Combofix, sauvegardez le sur votre disque dur C (à la racine) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Renommez combofix.exe en explorer.exe et exécutez le.
Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)
- Ensuite quand il vous sera proposer le 'disclamer', validez par ok pour continuer
- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage
(il va surement vous déconnecter d'internet, c'est normal)
Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.
- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.
( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)

Dès que le nettoyage sera terminé, vous lancerez Windows Update pour télécharger et installer tous les correctifs critiques !

Cordialement,
Yann
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 02:49 PM
Post #4


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



Merci Yann


une question avant que je commence

que voulez vous dire avec

Autorisez toutes les alertes que Windows pourrait lancer (ne cliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)


merci
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 02:54 PM
Post #5


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



j'ai télecharge Rogue Killer, je le renomme.
je veut l'exécuté, un message apparaît (a droit en bas, que le prgramme winlog est infecté) donc cela ne fontionne pas (IMG:style_emoticons/default/sad.gif)

This post has been edited by Fabke_1: Jun 10 2011, 02:54 PM
Go to the top of the page
 
+Quote Post
-Yann-
post Jun 10 2011, 02:58 PM
Post #6


Guru Poster
******

Group: Support Technique
Posts: 12,645
Joined: 6-May 08
Member No.: 12,731



Bonjour Fabke_1,

Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.

Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.

Cordialement,
Yann
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 03:03 PM
Post #7


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



QUOTE (-Yann- @ Jun 10 2011, 03:58 PM) *
Bonjour Fabke_1,

Refaites toutes les manipualtions mais en mode sans échec avec prise en charge réseau.

Et je réponds à votre autre question, si vous formatez votre disque et que vous réinstallez Windows, le rogue sera supprimé du système.

Cordialement,
Yann



merci, j'essaie encore une petite heure, si cela ne marche pas (j'ai pas envie de gaspiller tout mon temps sur ce virus), je formatte tout et je reinstalle..(mon papa ne sera pas très content (IMG:style_emoticons/default/sleep.gif) )
encore un merci de m'avoir répondu.
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 03:52 PM
Post #8


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



me revoila


j'ai suivi vos instructions et je pense que c'est ok.

j'avais un avertissement de combofix, que mon bitdefender est activé (mais je ne savait pas le déactiver)


j'ai fait une analyse de windows update et je ne dois rien téléchargé.

tout a l'air normal (sur qu'un forum ou je vais souvent a l'icone de bitdefender..)
comment en être 100% sur que le pc est clean?

voici le fichier rapport: (qu'est ce que vous en pensez?)

*****j'ai supprimé ceci, données privé
Running from: c:\program files\ComboFix.exe
AV: BitDefender Antivirus *Enabled/Updated* {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender Firewall *Enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\bH01803BoFmK01803
c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803
c:\documents and settings\All Users\Application Data\bH01803BoFmK01803\bH01803BoFmK01803.exe
.
.
((((((((((((((((((((((((( Files Created from 2011-05-10 to 2011-06-10 )))))))))))))))))))))))))))))))
.
.
2011-06-10 14:26 . 2011-06-10 14:28 4118452 ------r- c:\program files\ComboFix.exe
2011-06-07 17:14 . 2011-06-07 17:14 -------- d-----w- c:\program files\Microsoft Silverlight
2011-05-21 15:18 . 2011-05-27 13:40 -------- d-----w- c:\windows\system32\Adobe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-26 05:58 . 2011-04-26 05:58 499712 ----a-w- c:\windows\system32\msvcp71.dll
2011-03-25 23:48 . 2011-03-25 23:48 4284416 ----a-w- c:\windows\system32\GPhotos.scr
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-28 152872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-15 16270848]
"SkyTel"="SkyTel.EXE" [2006-05-17 2879488]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]
"CHotkey"="mHotkey.exe" [2004-06-04 549376]
"ledpointer"="CNYHKey.exe" [2003-07-22 5577216]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2011-05-14 1198048]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-20 71152]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SpeedTouch USB Diagnostics"="e:\speedtouch usb\Dragdiag.exe" [2004-01-26 866816]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-16 932288]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
.
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [4/01/2010 20:41 111312]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [18/02/2011 7:04 72320]
S2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [19/01/2010 20:32 85128]
S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [19/10/2009 18:06 183880]
S3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [3/02/2010 14:57 153448]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/04/2011 4:03 136176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contents of the 'Scheduled Tasks' folder
.
2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]
.
2011-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-18 11:03]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.be/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-10 07:35
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
Completion time: 2011-06-10 07:36:10
ComboFix-quarantined-files.txt 2011-06-10 14:36
.
Pre-Run: 147.592.609.792 bytes free
Post-Run: 148.393.037.824 bytes free
.
WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - C2338A3638E6E53E6CF6580EBAEBF0A5

This post has been edited by Fabke_1: Jun 10 2011, 03:57 PM
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 04:01 PM
Post #9


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



edit:

comment cela se fait-il, je scan, maintenant, mon pc avec bitdefender (deep system scan) et je vois qu'il a trouvé déjà "3 infected items"...
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 04:12 PM
Post #10


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



je n'arrive pas a "edit mon message précédent"

j'ai ce problème ==> http://forum.malekal.com/windows-recovery-t31980.html

que faire? (j'suis chez mon père pour le moment, dimanche je retourne chez moi)
Go to the top of the page
 
+Quote Post
Fabke_1
post Jun 10 2011, 04:23 PM
Post #11


Newbie


Group: Regular Bitdefender Poster
Posts: 22
Joined: 10-June 11
Member No.: 64,072



mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.


avec le pc de mon père.

j'ai refait le scan de roquekiller (nom: winlog)

et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)
ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..

Bad processes: 3
[SUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?
[SUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED
[SUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED

Registry Entries: 1
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX

HOSTS File:
127.0.0.1 localhost


Finished : << RKreport[1].txt >>
RKreport[1].txt



Go to the top of the page
 
+Quote Post
-Max-
post Jun 14 2011, 08:38 AM
Post #12


Support Technique
***

Group: Support Technique
Posts: 970
Joined: 12-December 08
Member No.: 20,169



QUOTE (Fabke_1 @ Jun 10 2011, 05:23 PM) *
mon message précedent est faut ((avec le lien pour windows recovery), excusez moi.


avec le pc de mon père.

j'ai refait le scan de roquekiller (nom: winlog)

et il me donne ce rapport:(tout est ok?) (controlez svp mon fichier de rapport 3 messages plus haut, merci)
ce qui est drôle mon homepage est mis sur "www.google.be" parfois www.google.be a disparu et c'est blanco..

Bad processes: 3
[SUSP PATH] HKCYDLL.dll -- C:\WINDOWS\HKCYDLL.dll -> UNLOADED <==== c'est quoi ceci?
[SUSP PATH] CNYHKey.exe -- c:\windows\cnyhkey.exe -> KILLED
[SUSP PATH] ALCFDRTM.EXE -- c:\windows\alcfdrtm.exe -> KILLED

Registry Entries: 1
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A737E116-BCAC-4216-A9A8-FAC3CC43650E} : NameServer (193.121.171.135 193.74.208.135) -> NOT REMOVED, USE DNSFIX

HOSTS File:
127.0.0.1 localhost


Finished : << RKreport[1].txt >>
RKreport[1].txt



Bonjour,


Passez Rogue killer en mode 2 pour qu'il supprime ces fichiers, puis repasser combofix en mode sans échec.


Essayer de nous renvoyer le dossier Qoobox qui se situe à la racine de votre pc.

Cordialement,

-Max-
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 User(s) are reading this topic (1 Guests and 0 Anonymous Users)
0 Members:

 



RSS Lo-Fi Version Time is now: 24th October 2014 - 10:31 AM