problème de fichier ça ne supprime pas Résolu/Fermé

Question

Bonsoir à tous,

je viens vers vous car j'ai un soucis bien embêtant, 
sur mon disque c: d: et h:
j'ai des dossiers bien particulier de ce type 

ntdelect.com
ravmon.exe
copy.exe
adober.exe
msvcr71.dll

et dans son contenu j'ai un fichier de 0 octet ou c'est écrit "con.Repertoire vaccin"  
je scanne avec avast, il me signale rien ...

pouvez vous m'aider, et me donnant des pistes pour résoudre ce problème, voir effacer tout ses dossiers inutiles 

merci d'avance
IVIedia

truecode · Answer

Bonjour,


• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
•  Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
•  Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
•  Poste le rapport UsbFix.txt. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

piscou50 · Answer

Si tu veut vraiement supprimer ses fichiers tu redemarre ton pc en mode sans echec et sans prise en charge reseau !

Ensuite tu pourra les supprimers sans aucun probleme sous le mode "sans echec"

maximo446 · Answer

salut !
ces fichier ce son des virus !
pour les supprimer fait >
ALT+CTRL+DEL
vas dans longlet processus
et cherche les noms 

ntdelect.com 
ravmon.exe 
copy.exe 
adober.exe 
msvcr71.dll 

quand tu les a trouver dans cette liste fait fermer le processus
apres tu vas dans les dossier ou se trouver ces fichier et tu devrai pouvoir les suprimer sans probleme !

truecode · Answer

Attention avec cette manip maximo446 si une clef de registre est lié à ces fichiers ce qui est souvent le cas avec les infections de disques amovibles ta technique ne la supprimera pas .
Il faut utiliser un outil fait pour ce type d'infection en l'occurrence USBFIX

maximo446 · Answer

jai regarder sur internet les noms de ces fichier et jai vu quon pouvai les supprimer
en fesant ma technique :S

mais tu a raison ceci peux etre risquer 
alors je te conseil le conseils de truecode ;)

truecode · Answer

Je dis ca pour avoir déjà rencontré ce type d'infection avec un rapport RSIT on aurais vue des clefs de ce types :
HKCU\..\..\Explorer\MountPoints2\{f819007e-6cfc-11dc-80fe-0014a5f71472}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e 

Voici un petit sujet où tu trouvera les explications maximo446
https://forums.commentcamarche.net/forum/affich-37636394-desinfecter-une-cle-usb-ou-un-disque-amovible

IVIedia · Answer

Bonsoir à tous, tout d'abord je vous remercie pour votre aide, ça fait plaisir de ce sentir aidé, et j'apprécie beaucoup votre aide ...

Avec la methode de mode sans échec, j'arrive pas a effacer les fichiers donc ça ne va pas :(
pour le ctrl+alt+del , je vois aucun des noms cités dans processus donc ça ne va plus non :(

par contre, j'ai lancé usbfix et voila le résultat


############################## | UsbFix V6.097 |

User : COCO (Administrateurs) # ACER-6C0BC44289
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:16:56 | 26/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU           T2300  @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100226-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 35,06 Go (1,77 Go free) [ACER] # FAT32
D:\ -> Disque fixe local # 35,55 Go (6,33 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 232,88 Go (78,56 Go free) [LaCie] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\EASYPH~2.0\Apache\bin\apache.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\PROGRA~1\EASYPH~2.0\Apache\bin\apache.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Icecast2 Win32\icecastService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\EASYPH~2.0\MySql\bin\mysqld.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\DOCUME~1\coco\LOCALS~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

# C:\adober.exe -> Dossier créé par VaccinUSB (Gof). 
# C:\copy.exe -> Dossier créé par VaccinUSB (Gof). 
# C:\comment.htt -> Dossier créé par VaccinUSB (Gof). 
# C:\host.exe -> Dossier créé par VaccinUSB (Gof). 
# C:\info.exe -> Dossier créé par VaccinUSB (Gof). 
# C:\msvcr71.dll -> Dossier créé par VaccinUSB (Gof). 
# C:avmon.exe -> Dossier créé par VaccinUSB (Gof). 
# C:avmon.log -> Dossier créé par VaccinUSB (Gof). 
# C:\sqlserv.exe -> Dossier créé par VaccinUSB (Gof). 
# C:\start.exe -> Dossier créé par VaccinUSB (Gof). 
# C:	emp.exe -> Dossier créé par VaccinUSB (Gof). 
# C:	emp1.exe -> Dossier créé par VaccinUSB (Gof). 
# C:	emp2.exe -> Dossier créé par VaccinUSB (Gof). 
# C:\winfile.exe -> Dossier créé par VaccinUSB (Gof). 
# C:
tdelect.com -> Dossier créé par VaccinUSB (Gof). 
# C:\autorun(2).inf -> Dossier créé par VaccinUSB (Gof). 
# D:\adober.exe -> Dossier créé par VaccinUSB (Gof). 
# D:\copy.exe -> Dossier créé par VaccinUSB (Gof). 
# D:\comment.htt -> Dossier créé par VaccinUSB (Gof). 
# D:\host.exe -> Dossier créé par VaccinUSB (Gof). 
# D:\info.exe -> Dossier créé par VaccinUSB (Gof). 
# D:\msvcr71.dll -> Dossier créé par VaccinUSB (Gof). 
# D:avmon.exe -> Dossier créé par VaccinUSB (Gof). 
# D:avmon.log -> Dossier créé par VaccinUSB (Gof). 
# D:\sqlserv.exe -> Dossier créé par VaccinUSB (Gof). 
# D:\start.exe -> Dossier créé par VaccinUSB (Gof). 
# D:	emp.exe -> Dossier créé par VaccinUSB (Gof). 
# D:	emp1.exe -> Dossier créé par VaccinUSB (Gof). 
# D:	emp2.exe -> Dossier créé par VaccinUSB (Gof). 
# D:\winfile.exe -> Dossier créé par VaccinUSB (Gof). 
# D:
tdelect.com -> Dossier créé par VaccinUSB (Gof). 
# D:\autorun(2).inf -> Dossier créé par VaccinUSB (Gof). 
# H:\adober.exe -> Dossier créé par VaccinUSB (Gof). 
# H:\autorun(2).inf -> Dossier créé par VaccinUSB (Gof). 
# H:\comment.htt -> Dossier créé par VaccinUSB (Gof). 
# H:\copy.exe -> Dossier créé par VaccinUSB (Gof). 
# H:\host.exe -> Dossier créé par VaccinUSB (Gof). 
# H:\info.exe -> Dossier créé par VaccinUSB (Gof). 
# H:\msvcr71.dll -> Dossier créé par VaccinUSB (Gof). 
# H:
tdelect.com -> Dossier créé par VaccinUSB (Gof). 
# H:avmon.exe -> Dossier créé par VaccinUSB (Gof). 
# H:avmon.log -> Dossier créé par VaccinUSB (Gof). 
# H:\sqlserv.exe -> Dossier créé par VaccinUSB (Gof). 
# H:\start.exe -> Dossier créé par VaccinUSB (Gof). 
# H:	emp.exe -> Dossier créé par VaccinUSB (Gof). 
# H:	emp1.exe -> Dossier créé par VaccinUSB (Gof). 
# H:	emp2.exe -> Dossier créé par VaccinUSB (Gof). 
# H:\winfile.exe -> Dossier créé par VaccinUSB (Gof). 

################## | ! Fin du rapport # UsbFix V6.097 ! |

 ...

avec ce rendu, je peux faire quoi ?
car je ne comprends pas
merci d'avance

IVIedia

truecode · Answer

Poste ce rapport que j'y vois un peu plus clair : 

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )

IVIedia · Answer

voici les liens

Log : http://www.cijoint.fr/cjlink.php?file=cj201002/cijWesLa80.txt
Info : http://www.cijoint.fr/cjlink.php?file=cj201002/cijXGx0Kxm.txt

je vous remercie encore pour votre aide ...

truecode · Answer

• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
•  Choisis l'option 2 (Suppression).
•  Ton Bureau disparaîtra et le PC redémarrera.
•  Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
•  Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

IVIedia · Answer

Bonsoir, j'ai fait comme vous l'avez demander
voici le résultat ...

http://www.cijoint.fr/cjlink.php?file=cj201002/cijUYlWyOC.txt

Merci d'avance
au passage je vois toujours les dossiers gênant :(

IVIedia · Answer

re, 

j'ai étais sur le lien http://pagesperso-orange.fr/nostools/usbfix.html
j'ai supprimer les fichiers vaccinées avec MKV.exe , et je les vois plus sur mes disque, c'est bien juste ce que j'ai fait ?
tout est rentrée dans l'ordre ?

merci d'avance

truecode · Answer

Fais un nouveau scan avec RSIT et poste moi le fichier log.txt je vais me couché je regarde ca demain matin

IVIedia · Answer

Voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201002/cijCroKtuu.txt :)
Merci encore et passe une bonne nuit

a demain

truecode · Answer

Voilà un peu de ménage de fait .
On va faire une vérification finale avec un peu de ménage :

Lance hijackthis 
Choisis "Do a scan only" 
Coche la case devant les lignes suivantes : 


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 



Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
Clique sur "Fix checked". 
Ferme Hijackthis. 

Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

   1. Double clique sur le fichier téléchargé
   2. Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
   3. Quand la mise à jour est terminé va dans l'onglet
   4. Tu sélectionne "Exécuter un examen complet"
   5. Puis tu clique sur"Rechercher"

      L'analyse démarre, le scan est relativement long, c'est normal.

      A la fin de l'analyse, un message s'affiche :

   6. L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.

   7. Maintenant tu clique sur "Ok" pour poursuivre.
   8.Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
   9. Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
  10.Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
  11. Le Bloc-notes va s'ouvrir avec le rapport d'analyse
  12. Fais un copier coller de ce rapport etposte-le dans ton prochain message. 

Fais cela pour enlever les outils que nous avons utilisé:

    *  Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/  sur ton Bureau
    * Double-clique sur ToolsCleaner2.exe et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse
 
Puis nettoie ton pc avec ccleaner : 

https://www.malekal.com/tutoriel-ccleaner/

IVIedia · Answer

Bonjour,

ça a pris du temps le scan, mais hier soir ça a bien travailler :)

voici les résultats 

mbam-log : http://www.cijoint.fr/cjlink.php?file=cj201002/cijroXgW8X.txt
TCleaner : http://www.cijoint.fr/cjlink.php?file=cj201002/cijxUj0KmA.txt

Et pour finir, j'ai nettoyer avec ccleaner ...

après tout ça, je peux désinstalle les programmes ? 
que faire maintenant :)

Merci et bon dimanche

truecode · Answer

Bonjour,

Si tu as mis les fichiers en quarantaine après le scan c'est bon.

Pour les programmes USBFIX et hijackthis on été supprimé . 
MBAM je te conseille de le garder pour des scans réguliers c'est un très bon anti malware .
Et ccleaner permet un nettoyage de ton pc c'est un bon soft a garder aussi je pense .
Après ca ne regarde que toi ^^ 

Si tu as les réponses a tes questions merci de rajouter résolu.

Bon dimanche

IVIedia · Answer

Merci, je vais mettre résolu :) grâce a votre aide,

pour la prochaine fois
si je scanne avec MBAM , ça prendra toujours 5 heure a chaque scanne ou c'est juste pour la première fois ?

Merci et bonne journée

truecode · Answer

Non après tu pourra faire des examens rapide

Bonne journée

IVIedia · Answer

Merci :)

Problème de fichier ça ne supprime pas

20 réponses

Discussions similaires