Comment supprimer 1 élément infecté

Isa -  
 Isa -
Bonjour,

ça fait 2 fois que je lance malwarebyte et qu'il trouve 1 élément infecté je le supprime à chaque fois mais lorsque je relance un scan il est encore là. Je ne sais plus quoi faire pour le supprimer est-ce quelqu'un peut m'aider de plus mon ordi est assez lent mais là c pire!!!
Merci de vos conseils
Configuration: Windows XP / Firefox 3.0.17

10 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt le mieux déjà serait de nous soumettre le rapport de malwarebyte antimalware pour situer l'infection et voir le nom....
    3
    1. Isa
       
      Bonjour, voilà le rapport de malwarebyte
      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3754
      Windows 5.1.2600 Service Pack 2
      Internet Explorer 7.0.5730.11

      18/02/2010 18:35:57
      mbam-log-2010-02-18 (18-35-57).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 157571
      Temps écoulé: 1 hour(s), 0 minute(s), 57 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  2. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Salut,

    Télécharge RegRun Reanimator (Par Greatis Software).

    Installe le.

    Clic sur scan for viruses.

    Clic sur scan windows startup.

    Coche la case "Use deep level scanning once".

    Clic sur "Make scan now".

    Clic sur la flèche verte "Fix problems".

    Si il propose Regguard ,répond simplement Non.

    Clic-droit sur les items trouvés et "Save to file" pour sauvegarder le premier résultat dans un fichier nommé (1.txt) (Par défaut dans "Mes Documents").

    Clic sur la flèche verte (en haut a droite) pour passer a l'item suivant et sauvegarde dans un fichier (2.txt) Ainsi de suite.

    Ne liste pas les items signés (Author: Microsoft Corporation) et ceux qui tu connait et dont tu a entièrement confiance,ça sera moin long.

    Et poste les résultats.
    0
    1. Isa
       
      ça fait 2 fois que je t'envoie le rapport mais ça ne marche pas je fais copier coller mais il ne veut pas c trop long.
      sinon prohibited 0, 23 suspicious et 1 warnings à la fin il demande je ne sais quoi je 'ai rien fait j'ai quitté.
      0
  3. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Quand tu dit le rapport.tu parles des fichiers (.txt) que tu a sauvegardé
    (1 pour chaque fichier).

    Envoie les par coup de 10 dans des 3 messages séparés.

    Ou sinon,regrouppe les tous dans un seul fichier et envoie le sur http://www.cijoint.fr/ dans un fichier (Rendre public) et donne moi l'adresse pour que je puisse y accéder.
    0
    1. Isa
       
      je n'arrive pas mettre tous fichiers dans 1 j'ai joint 2 fichiers avec 2 adresses différentes on peut les regrouper tous pour une adresse?
      0
      1. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066 > Isa
         
        Donne moi les deux adresses.
        0
      2. Isa > fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention  
         
        http://www.cijoint.fr/cjlink.php?file:cj201002/cij8Fad4qR.txt
        /cijWiNJFao.txt
        0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix
    0
    1. Isa
       
      j'ai fait ce que tu as dit à part le pare feu windows je ne sais pas comment on le désactive et combofix ne veut s'ouvrir, je sais je ne suis pas très douée... mais je fais ce que je peux!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    colle un rapport avec gmer

    https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits
    0
    1. Isa
       
      Bonjour,

      J'ai fait comme tu m'as dit je scan avec gmer mais ça fait 5 heures ça dure je voulais savoir si c'était normal que ça dure si longtemps.
      0
    2. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066 > Isa
       
      Non,ce n'est pas normal,si tu peux,envoie sur http://www.cijoint.fr/ tous les résultats du scan de RegRun.

      Résultats qui doivent ressembler a ceci:

      Item Name: Nom
      Author: Nom
      Related File: C:\...
      Type: Type d'object


      N'oublie pas de cocher la case "Rendre public le fichier" et donne nous l'adresse pour y accéder.

      Et vérifie qu'elle soit accessible
      0
    3. Isa > fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention  
       
      Bonjour,

      le scan vient juste de finir je t'envoie le rapport il n'y avait pas ligne rouge.
      GMER 1.0.15.15281 - http://www.gmer.net
      Rootkit scan 2010-02-20 17:09:39
      Windows 5.1.2600 Service Pack 2
      Running: r4cwmyd0.exe; Driver: C:\DOCUME~1\ISABEL~1\LOCALS~1\Temp\kwlcafow.sys


      ---- System - GMER 1.0.15 ----

      SSDT F7A644A6 ZwCreateKey
      SSDT F7A6449C ZwCreateThread
      SSDT F7A644AB ZwDeleteKey
      SSDT F7A644B5 ZwDeleteValueKey
      SSDT F7A644BA ZwLoadKey
      SSDT F7A64488 ZwOpenProcess
      SSDT F7A6448D ZwOpenThread
      SSDT F7A644C4 ZwReplaceKey
      SSDT F7A644BF ZwRestoreKey
      SSDT F7A644B0 ZwSetValueKey
      SSDT F7A64497 ZwTerminateProcess

      Code 89E61205 pIofCallDriver

      ---- Kernel code sections - GMER 1.0.15 ----

      init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF77F1412]
      .text tcpip.sys!IPTransmit + 10BC B421ACFA 6 Bytes CALL 89E611E8
      .text tcpip.sys!IPTransmit + 263D B421C27B 6 Bytes CALL 89E611E8
      .text tcpip.sys!ARPRcv + 521E B42214BE 6 Bytes CALL 89E611E8
      .text wanarp.sys F744C3FD 7 Bytes CALL 89E611F5

      ---- Kernel IAT/EAT - GMER 1.0.15 ----

      IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] 89E60547
      IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] 89E6053D

      ---- Devices - GMER 1.0.15 ----

      AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
      AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

      ---- EOF - GMER 1.0.15 ----
      0
    4. Isa > fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention  
       
      je t'envoie le lien d'1 fichier qui me parait le plus suspect si ce n'est pas le cas je te les enverrai tous.
      http://cijoint.fr/cjlink.php?file:cj201002/cij7ZGzeXy.txt
      0
    5. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066 > Isa
       
      Je ne sait pas,quel est le problème mais il est encore innacessible.

      Si tu peux copier la liste ici par série de 12 ou 13 avec un espace d'une ligne entre chaque fichier.
      0
  7. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Tu n'a pas fait comme j'avait demandé,c'est difficile d'aider de cette façon.

    Pour l'item: C:\DOCUME~1\ISABEL~1\LOCALS~1\Temp\kwlcafow.sys

    Tu le voit en scannant avec Regrun,choisit Get it out et "Reboot" quand il te sera proposé avec une case rouge.

    Et fait la mème chose pour C:\WINDOWS\DOWNLOADED PROGRAM FILES\HBINSTIE.DLL

    Et celui ci aussi si tu le voit:C:\DOCUME~1\ISABEL~1\LOCALS~1\TEMP\NAECD.SYS

    Ça ne sera pas finit,mais tu peut commencer par ça.
    0
    1. Isa
       
      c'est bon ou faut faire encore quelque chose?
      0
  8. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Ce que je demandait,c'est un résultat d'analyse qui ressemble a ça https://forums.commentcamarche.net/forum/affich-16653550-virus-detector-inconnu-detecte-virus?page=2#51

    Le défaut de ce logiciel,c'est qu'il faut faire un rapport pour chaque fichier détecté durant l'analyse antivirus,sinon,il va lister tout les fichiers du système.

    Quand tu voit la fenètre qui t'indique un élément clic droit dans la fenètre sur le nom du fichier et choisit "save to file" pour chaque fichier dans un fichier txt différent.

    Ensuite,tu réunnis toutes les infos des 23 fichiers.txt (si tu a 23 élments détectés) et tu poste le tout.
    0
    1. Isa
       
      désolée d'être nulle!
      Item Name: EasyCryptoMenu
      Author: Unknown
      Related File: C:\WINDOWS\System32\tsseCryp.dll
      Type: Context Menu Handlers


      Item Name: naecd
      Author:
      Related File: \??\C:\DOCUME~1\ISABEL~1\LOCALS~1\Temp\naecd.sys
      Type: Services detected by Partizan

      Item Name: CrucialSysInfo
      Author:
      Related File: \??\C:\WINDOWS\system32\CrucialSysInfo.sys
      Type: Services detected by Partizan

      Item Name: VIDC.WMV3
      Author: Microsoft Corporation
      Related File: wmv9vcm.dll
      Type: Codecs

      Item Name: VIDC.ACDV
      Author: ACD Systems
      Related File: ACDV.dll
      Type: Codecs

      Item Name: aac_parser.ax
      Author:
      Related File: C:\WINDOWS\system32\aac_parser.ax
      Type: Detected using Heuristic Algorithm

      Item Name: ac3DX.ax
      Author:
      Related File: C:\WINDOWS\system32\ac3DX.ax
      Type: Detected using Heuristic Algorithm

      Item Name: AVCDX.ax
      Author: CoreCodec
      Related File: C:\WINDOWS\system32\AVCDX.ax
      Type: Detected using Heuristic Algorithm

      Item Name: CoreAAC.ax
      Author:
      Related File: C:\WINDOWS\system32\CoreAAC.ax
      Type: Detected using Heuristic Algorithm

      Item Name: DiracSplitter.ax
      Author: Gabest
      Related File: C:\WINDOWS\system32\DiracSplitter.ax
      Type: Detected using Heuristic Algorithm

      Item Name: flvDX.dll
      Author: Gabest
      Related File: C:\WINDOWS\system32\flvDX.dll
      Type: Detected using Heuristic Algorithm

      Item Name: MatroskaDX.ax
      Author: Gabest
      Related File: C:\WINDOWS\system32\MatroskaDX.ax
      Type: Detected using Heuristic Algorithm
      0
    2. Isa
       
      Item Name: msfDX.dll
      Author: Hans Mayerl
      Related File: C:\WINDOWS\system32\msfDX.dll
      Type: Detected using Heuristic Algorithm

      Item Name: nbDX.dll
      Author: MONOGRAM Multimedia, s.r.o.
      Related File: C:\WINDOWS\system32\nbDX.dll
      Type: Detected using Heuristic Algorithm

      Item Name: RealMediaDX.ax
      Author: Gabest
      Related File: C:\WINDOWS\system32\RealMediaDX.ax
      Type: Detected using Heuristic Algorithm

      Item Name: RLAPEDec.ax
      Author: RadLight
      Related File: C:\WINDOWS\system32\RLAPEDec.ax
      Type: Detected using Heuristic Algorithm

      Item Name: RLMPCDec.ax
      Author: RadLight
      Related File: C:\WINDOWS\system32\RLMPCDec.ax
      Type: Detected using Heuristic Algorithm

      Item Name: RLOgg.ax
      Author: RadLight
      Related File: C:\WINDOWS\system32\RLOgg.ax
      Type: Detected using Heuristic Algorithm

      Item Name: RLSpeexDec.ax
      Author:
      Related File: C:\WINDOWS\system32\RLSpeexDec.ax
      Type: Detected using Heuristic Algorithm

      Item Name: RLTheoraDec.ax
      Author: RadLight, LLC
      Related File: C:\WINDOWS\system32\RLTheoraDec.ax
      Type: Detected using Heuristic Algorithm

      Item Name: RLVorbisDec.ax
      Author: RadLight
      Related File: C:\WINDOWS\system32\RLVorbisDec.ax
      Type: Detected using Heuristic Algorithm

      Item Name: Registry Winner Schedule
      Author:
      Related File: C:\Program Files\Registry Winner\RegistryWinner.exe
      Type: Scheduled Tasks

      Item Name: BootExecute
      Author: Unknown
      Related File: autocheck autochk *\n lsdelete<BR>Partizan
      Type: Bootexecute
      0
  9. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Je ne veut pas interfèrer avec le travail de jlpjlp donc,rester en attente.

    D'un autre coté,il aurrait été possible de supprimer ou faire une analyse en cliquant sur ("Reboot") plutot que "Make scan now"

    Si les fichiers relatifs a ce qu'a trouvé GMER (r4cwmyd0.exe et kwlcafow.sys) et l'autre ASC3550P
    sont détectés de cette façon,les supprimer en mème temps que l'autre et en prendre note.

    Item Name: naecd
    Author:
    Related File: \??\C:\DOCUME~1\ISABEL~1\LOCALS~1\Temp\naecd.sys
    Type: Services detected by Partizan

    Il est mieux noter sur papier les noms de ces fichiers parce que tu n'a pas accès a internet ou a ton bureau quand tu utilise l'option "Reboot" pour la durée de l'analyse et de la suppression.

    L'autre fichier détecté dans l'autre log C:\WINDOWS\DOWNLOADED PROGRAM FILES\HBINSTIE.DLL

    Pourrait ètre supprimé en démarrant Réanimator,fermer la première fenètre,

    Aller dans l'onglet Réanimator / Kill a file

    Trouver ce fichier et le sélectionner et choisir "Get it out" confirmer et "Reboot" si il le demande ou redémarrer ensuite.

    PS: le fichier kwlcafow.sys était bien détecté dans l'autre log.
    0
  10. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    A bien y penser,tu pourrait lancer immédiatement la suppression de:

    Item Name: naecd
    Author:
    Related File: \??\C:\DOCUME~1\ISABEL~1\LOCALS~1\Temp\naecd.sys
    Type: Services detected by Partizan

    Et suivre les instructions (onglet Réanimator / Kill a file) pour C:\WINDOWS\DOWNLOADED PROGRAM FILES\HBINSTIE.DLL

    ça ne fera pas de tort.
    0
    1. Isa
       
      Je veux bien les supprimer mais quand je fais reboot l'ordi se rallume et alors je n'ai plus les fichiers car j'avais fait "get it out" en les enregistrant dans mes docs. Ils sont supprimés ou bien il faut aller les chercher mais où?
      Quand je fais reanimator et kill file il n'a rien.
      0
  11. fabul Messages postés 42154 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    "j'avais fait "get it out" en les enregistrant dans mes docs" - Qu'est ce que tu veut dire par la?

    Ils sont supprimés ou bien - refait une analyse pour voir,y a-il quelque chose de nouveau?.

    il faut aller les chercher mais où? - Je ne comprend pas le sens de ta question.

    "Quand je fais reanimator et kill file il n'a rien".

    Affiche tes fichiers cachés avant de chercher (Il y a deux cases dans les options des dossiers de l'explorateur).

    https://1map.com/fr/astwindscom
    0
    1. Isa
       
      lorsque je relance regrun reanimator il n'y a rien donc je suppose qu'ils sont supprimés. J'ai relancé malwarebyte et il trouve maintenant 2 éléments infectés. Ca me dépasse je n'y comprends plus rien je ne sais plus quoi faire et surtout je ne suis pas une pro de l'informatique. Parfois c'est dur à comprendre ce que tu me dis, c'est simple pour toi mais pas pour moi sinon je ne serai pas là depuis 3 jours à trouver une solution.
      Merci pour ton aide je me débrouillerai autrement.
      0