Virus impossible à détecter et à supprimer

Liiouu -  
vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,

depuis quelque jours j'ai un trojan sur mon ordinateur dans le dossier

C:\Users\Nahel\AppData\Local\Temp

mais je n'arrive pas à le supprimer mon antivirus avira ne détecte rien, mais avec malware bytes il le trouve et je supprime à chaque fois mais il est encore là comment faire pour s'en débarasser définitivement ?

Merci

32 réponses

  • 1
  • 2
  1. Liiouu
     
    Merci,

    oui j'ai essayé mais le fichier est toujours là (dans l'analyse de malwarebytes) malgré le nettoyage des fichiers temporaires..
    0
  2. Liiouu
     
    Au fait j'ai oublié de rajouter que c'est un KEYLOGGER mon mdp de msn a changer ect

    aidez moi svp le fichier se nomme xXxXx et se trouver dans temp
    0
  3. Utilisateur anonyme
     
    /!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge et installe UsbFix par El Desaparecido , C_XX & Chimay8
    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

    * Double clic sur le raccourci UsbFix présent sur ton bureau .

    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    * Laisse travailler l'outil.

    * Ensuite poste le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
  4. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   Ambassadeur 3 591
     
    salut Liiouu,

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    * Déconnecte toi ( de internet ) , et ferme toutes tes applications en cours !
    * Double-clique sur " RSIT.exe " pour le lancer .
    * Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
    * Devant l'option "List files/folders created ..." , tu choisis : 2 months
    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches) comme indiqué ci dessous , pour analyse et attends la suite ...

    Important : poste les rapports sur = http://www.cijoint.fr/
    ( pour ne pas allonger le poste inutilement )
    avec "Parcourir , tu vas rechercher les fichiers
    une fois déposé , cela te donnera un lien ( en bleu ) de cette sorte
    http://www.cijoint.fr/cjlink.php?file=cj200912/cij96FsPRI.png
    que tu copieras et colleras dans ta réponse

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

    aide en image :
    http://www.bibou0007.com/outils-specifiques-f78/rsit-t3035.htm

    à+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Liiouu
     
    ############################## | UsbFix V6.100 |

    User : (Administrateurs) # -PC
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 21:53:56 | 31/03/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 458,87 Go (378,77 Go free) [Acer] # NTFS
    D:\ -> Disque fixe local # 458,87 Go (458,77 Go free) [DATA] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible
    H:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    C:\Windows\Temp\TS_42CA.tmp
    C:\Windows\Temp\TS_46B2.tmp
    C:\Windows\Temp\TS_4C5D.tmp
    C:\Windows\Temp\TS_5AC0.tmp
    C:\Windows\Temp\TS_5EF5.tmp
    C:\Windows\Temp\TS_606D.tmp
    C:\Windows\Temp\TS_6280.tmp
    C:\Windows\Temp\TS_6455.tmp
    C:\Users\Nahel\AppData\Local\Temp\ddq.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\H
    shell\AutoRun\command =H:\cdstart.exe
    shell\Name1\command =H:\cdstart.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.100 ! |
    0
  7. Liiouu
     
    Voila.

    J'ai fait celui que j'ai vu désolé pour le deuxieme
    0
  8. Utilisateur anonyme
     
    tu n'as pas de clé usb ou autre ?

    on a cerner l'infection dans le fichier temp

    C:\Windows\Temp\TS_42CA.tmp
    C:\Windows\Temp\TS_46B2.tmp
    C:\Windows\Temp\TS_4C5D.tmp
    C:\Windows\Temp\TS_5AC0.tmp
    C:\Windows\Temp\TS_5EF5.tmp
    C:\Windows\Temp\TS_606D.tmp
    C:\Windows\Temp\TS_6280.tmp
    C:\Windows\Temp\TS_6455.tmp

    Suppression

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

    (1) Double clic sur le raccourci UsbFix présent sur ton bureau

    (2) Choisi l option 2 ( Suppression )

    Ton bureau disparaitra et le pc redémarrera .

    Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    PUIS pour vérifier ton PC fais RSIT comme demandé au dessus
    0
  9. Liiouu
     
    aprés le redémarrage il me demande de leur envoyé un fichier où il se trouve ?
    0
  10. Liiouu
     
    je ne comprend pas ce qu'ils veulent ??

    Vous avez utilisé un de ces outils, ou on vous a demandé d'utiliser un de ces outils.
    Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
    Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
    Nous vous remercions pour votre contribution.

    Choisir le dossier de destination

    où est le fichier
    0
  11. Liiouu
     
    ############################## | UsbFix V6.100 |

    User (Administrateurs) # PC
    Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 22:07:42 | 31/03/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 458,87 Go (378,7 Go free) [Acer] # NTFS
    D:\ -> Disque fixe local # 458,87 Go (458,77 Go free) [DATA] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible

    ################## | Elements infectieux |

    Supprimé ! C:\Windows\Temp\TS_42CA.tmp
    Supprimé ! C:\Windows\Temp\TS_46B2.tmp
    Supprimé ! C:\Windows\Temp\TS_4C5D.tmp
    Supprimé ! C:\Windows\Temp\TS_5AC0.tmp
    Supprimé ! C:\Windows\Temp\TS_5EF5.tmp
    Supprimé ! C:\Windows\Temp\TS_606D.tmp
    Supprimé ! C:\Windows\Temp\TS_6280.tmp
    Supprimé ! C:\Windows\Temp\TS_6455.tmp
    Supprimé ! C:\Users\\AppData\Local\Temp\ddq.exe
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2138637520-4076571383-2484282395-1001
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2138637520-4076571383-2484282395-1003
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2138637520-4076571383-2484282395-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-3708465725-33861649-4191268229-1000
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-478536499-3416883134-417106062-500
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2138637520-4076571383-2484282395-1001
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2138637520-4076571383-2484282395-1003
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-524952369-3545787172-141571195-500

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [14/08/2009 21:22|-rahs----|8192] C:\BOOTSECT.BAK
    [10/08/2009 09:20|--a------|3682] C:\F0Z1LP03.MD5
    [?|?|?] C:\hiberfil.sys
    [03/01/2010 20:31|--a------|7440] C:\ijjiFFPlugin.log
    [10/08/2009 09:14|--a------|292] C:\LPCD.DAT
    [?|?|?] C:\pagefile.sys
    [14/08/2009 20:35|--a------|2035] C:\RHDSetup.log
    [31/03/2010 22:09|--a------|2223] C:\UsbFix.txt

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_User-PC.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.100 ! |
    0
  12. Liiouu
     
    Bon tant que j'ai pas envoyé le truc qu'ils veulent j'ai pas accès à mon pc :s
    0
  13. Utilisateur anonyme
     
    ferme la fenêtre qui ces ouvert
    0
  14. Liiouu
     
    ah :s quand je lance rsit je met 2 months, après il me dit Error variable used without being declared
    0
  15. Utilisateur anonyme
     
    dac aucun problème

    Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

    ? Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    ? Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)

    ? Clique sur le "Tournevis" puis sur Tous, puis décoche les cases O45 et O61.

    ? Clique sur la loupe pour lancer l'analyse.

    ? Laisse l'outil travailler, il peut être assez long ...

    ? Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

    ? Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ? Pour le transmettre ouvre ce lien

    * Clique sur Parcourir et cherche le fichier ci-dessus.

    * Clique sur Ouvrir.

    * Clique sur "Cliquez ici pour déposer le fichier".

    * Un lien de cette forme est ajouté dans la page :

    hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    ? Copie ce lien dans ta réponse.

    fais un scan avec malwarebyts est poste le rapport
    0
  16. Liiouu
     
    finalement ça a marché c'est juste que le logiciel était pas compatible j'ai modifié je poste les rapports
    0
  17. Liiouu
     
    http://www.cijoint.fr/cjlink.php?file=cj201003/cij5O079zF.txt log

    http://www.cijoint.fr/cjlink.php?file=cj201003/cijLfhuB3s.txt info

    Voila. J'attend ta réponse :)
    0
  18. Utilisateur anonyme
     
    Télécharge AD-R (de C_XX ) sur ton bureau :

    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\

    * Exécute AD-R.
    * Au menu principal clique sur le bouton [Scanner] .

    * Poste le rapport qui apparaît à la fin.
    (Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

    ENSUITE

    tu peux faire un scan avec malwarebyts est poster le rapport
    0
  • 1
  • 2