MSE Détecte tous le temps le même virus

dofusouille Messages postés 449 Statut Membre -  
 gen-hackman -
Bonjour a tous !

Alors voila , depuis quelque temps j'ai un problème assez ennuyeux , Mon anti virus , ( Microsoft Security essentials ) Détecte tous le temps le même virus , je m'explique ...

Avant il y as une petite semaine , j'avais comme anti-virus , Avast , qui marchais bien malgré qu'il laissais passé quelques virus dont Trojan et chevaux de trois . Donc une fois que j'ai fini de désinstaller Avast , j'ai coupé ma connexion Internet , puis installer MSE , l'anti virus de Microsoft , Qui est bien mieux que Avast vu qui'il ma trouvé 11 virus alors que Avast n'en trouvais pas , Donc le problème c'est que MSE détecte tous le temps le même virus , donc il le supprime , me dit de redémarrer mon PC c'est se que je fais , une fois redémarrer il le retrouve le supprime dis de redémarrer ect ... Et ainsi de suite , tous le temps le même virus , il a beau le supprimer il y est toujours ... Bon c'est déjà bien qu'il le détecte contrairement a Avast . Donc k'espère trouver de l'aide sur CCM .

Vlà sur ce bonne journée et merci d'avance

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème est une détection répétée par Microsoft Security Essentials d'un même virus après le passage d'Avast à MSE, puis la suppression suivie d'un redémarrage qui réactive le fichier malveillant. Plusieurs éléments de réponse suggèrent d'utiliser GMER pour détecter un rootkit, d'analyser les fichiers suspects sur VirusTotal et d'employer UsbFix pour nettoyer les éléments persistants, en précisant le contexte XP. Des échanges indiquent l'analyse de fichiers comme dsfhj.exe et erop.exe via VirusTotal et la suppression des éléments malveillants avec UsbFix, tandis que scans rootkit et nettoyages sur XP ont été discutés. D'autres échanges notent la nécessité de vérifier les fichiers système cachés et de sauvegarder les données avant désinfection, afin d'éviter des contaminations et des risques liés à des rootkits.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. dofusouille Messages postés 449 Statut Membre 36
     
    Ben oui , L'Anti virus c'est "Microsoft Security Essentials" ^^
    0
  2. dofusouille Messages postés 449 Statut Membre 36
     
    Ah excuse moi , qu'elle est ta question ?
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. dofusouille Messages postés 449 Statut Membre 36
     
    Oui j'ais le nom excuse moi j'avais pas compris ta question , Ben écoute j'ai carrément fais une imprim d'écran , la voici

    http://www.hostingpics.net/viewer.php?id=72930fernbvhegfr.jpg
    0
  5. gen-hackman
     
    * Télécharge ici : USBFIX sur ton bureau

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    « Recherche »

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    - puis clique sur OK
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.
    le rapport se trouve sur C:\ UsbFix.txt

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  6. dofusouille Messages postés 449 Statut Membre 36
     
    Dac , Je viens de le lancer , excuse moi pour le temps , j'étais occuper autre pars , Bon je te poste sa d'ici quelques minutes
    0
  7. dofusouille Messages postés 449 Statut Membre 36
     
    Voila , A la fin de la recherche mon PC a ouvert ceci :

    ############################## | UsbFix 7.014 | [Recherche]

    Utilisateur: Administrateur (Administrateur) # SWEET-1A75EC809 [ ]
    Mis à jour le 24/06/10 par El Desaparecido / C_XX
    Lancé à 18:14:27 | 26/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Athlon(tm) 64 Processor 3000+
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: Microsoft Security Essentials 2.1.6519.0 [(!) Disabled | Updated]
    RAM -> 1535 Mo
    C:\ (%systemdrive%) -> Disque fixe # 15 Go (7 Go libre(s) - 50%) [] # NTFS
    D:\ -> CD-ROM
    H:\ -> Disque fixe # 43 Go (42 Go libre(s) - 100%) [] # NTFS

    ################## | Éléments infectieux |

    Présent! H:\Autorun.inf

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoResolveSearch

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\H
    Shell\AutoRun\Command = H:\setupSNK.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\I
    Shell\AutoRun\Command = I:\LaunchU3.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{06ecb431-1880-11de-9bf0-001e5897eeef}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{3019a79e-b482-11dd-9b87-001e5897eeef}
    Shell\AutoRun\Command = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    Shell\open\Command = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{7e2f3cad-8415-11dd-9b4d-0040ca3e92f7}
    Shell\AutoRun\Command = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    Shell\open\Command = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{fa85ca4a-c052-11dd-9b9a-001e5897eeef}
    Shell\AutoRun\Command = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
    Shell\open\Command = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  8. gen-hackman
     
    salut :

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    ▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  9. dofusouille Messages postés 449 Statut Membre 36
     
    Voila , excuse moi du temps qui sais passé entre tous cela , Donc j'ai fais ce que tu ma dis , Ps : Je suis sous xp donc j'ai double clic sur Usbfix qui sais ouvert et j'ai cliqué sur Supprimé parmi les options qu'il y avais , Pendant l'analyse mon bureau a "reboot" comme tu l'avais dis , mai le Pc n'as pas redémarrer a la fin de l'analyse , donc a la fin Usbfix ma ouvert ceci :

    ############################## | UsbFix 7.014 | [Suppression]

    Utilisateur: Administrateur (Administrateur) # SWEET-1A75EC809 [ ]
    Mis à jour le 24/06/10 par El Desaparecido / C_XX
    Lancé à 00:30:26 | 28/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Athlon(tm) 64 Processor 3000+
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: Microsoft Security Essentials 2.1.6519.0 [Enabled | Updated]
    RAM -> 1535 Mo
    C:\ (%systemdrive%) -> Disque fixe # 15 Go (8 Go libre(s) - 52%) [] # NTFS
    D:\ -> CD-ROM
    H:\ -> Disque fixe # 43 Go (42 Go libre(s) - 100%) [] # NTFS

    ################## | Éléments infectieux |

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoResolveSearch

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\H
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{06ecb431-1880-11de-9bf0-001e5897eeef}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3019a79e-b482-11dd-9b87-001e5897eeef}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7e2f3cad-8415-11dd-9b4d-0040ca3e92f7}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fa85ca4a-c052-11dd-9b9a-001e5897eeef}

    ################## | Listing |

    [18/04/2010 - 09:35:17 | DC ] C:\Acc
    [27/06/2010 - 22:17:28 | DC ] C:\Adm
    [27/08/2008 - 17:16:14 | AC | 0] C:\AUTOEXEC.BAT
    [26/06/2010 - 18:29:43 | RASHDC ] C:\Autorun.inf
    [22/06/2010 - 22:52:47 | SHC | 212] C:\boot.ini
    [07/09/2002 - 02:00:00 | RASHC | 4952] C:\Bootfont.bin
    [27/08/2008 - 17:16:14 | AC | 0] C:\CONFIG.SYS
    [31/03/2009 - 19:31:58 | DC ] C:\Documents and Settings
    [17/03/2009 - 10:52:05 | AC | 5449] C:\dsfhj.exe
    [17/03/2009 - 10:49:14 | AC | 5449] C:\erop.exe
    [27/08/2008 - 17:16:14 | RASHC | 0] C:\IO.SYS
    [27/08/2008 - 20:08:23 | D ] C:\ircN
    [27/08/2008 - 17:16:14 | RASHC | 0] C:\MSDOS.SYS
    [04/08/2004 - 04:38:34 | RASH | 47564] C:\NTDETECT.COM
    [21/06/2010 - 18:27:42 | RASH | 252240] C:\ntldr
    [27/06/2010 - 22:02:39 | ASH | 402653184] C:\pagefile.sys
    [27/06/2010 - 20:51:23 | RD ] C:\Program Files
    [28/06/2010 - 00:32:31 | SHD ] C:\RECYCLER
    [30/07/2009 - 21:50:33 | AHC | 268] C:\sqmdata00.sqm
    [30/07/2009 - 21:51:02 | AHC | 232] C:\sqmdata01.sqm
    [30/07/2009 - 21:50:33 | AHC | 244] C:\sqmnoopt00.sqm
    [30/07/2009 - 21:51:02 | AHC | 244] C:\sqmnoopt01.sqm
    [08/09/2009 - 02:26:14 | AHC | 244] C:\sqmnoopt02.sqm
    [27/08/2008 - 17:19:01 | SHD ] C:\System Volume Information
    [28/06/2010 - 00:32:31 | DC ] C:\UsbFix
    [28/06/2010 - 00:32:32 | AC | 815] C:\UsbFix.txt
    [21/06/2010 - 19:18:26 | DC ] C:\VTPFiles
    [21/06/2010 - 02:25:49 | AC | 387] C:\wbreglog.txt
    [27/06/2010 - 22:55:55 | D ] C:\WINDOWS
    [26/06/2010 - 18:29:45 | RASHDC ] H:\Autorun.inf
    [21/06/2010 - 07:45:08 | DC ] H:\b43b71011a0d81058802851e5c
    [28/06/2010 - 00:32:31 | SHD ] H:\RECYCLER
    [04/08/2004 - 01:55:02 | AC | 28672] H:\setupSNK.exe
    [06/03/2010 - 10:53:11 | D ] H:\SMRTNTKY
    [27/08/2008 - 20:59:51 | SHD ] H:\System Volume Information

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |

    Voila j'espère avoir une réponse rapidement et je te remercie a l'avance , Bonne journée / soirée
    0
  10. gen-hackman
     
    ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    * - Coche Afficher les fichiers et dossiers cachés
    * - Décoche Masquer les extensions des fichiers dont le type est connu
    * - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

    ▶ clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

    C:\dsfhj.exe
    C:\erop.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

    Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
    0
  11. dofusouille Messages postés 449 Statut Membre 36
     
    Dac j'ai fais tous ce que tu ma dit : Donc pour dsfhj.exe C'est sa :

    Fichier dsfhj.exe Reçu le 28/06/2010 16:09:15 ( UTC )
    Antivirus Version Dernière mise à jour
    Résultat
    a-squared 5.0.0.30 2010.06.28 -
    AhnLab-V3 2010.06.27.01 2010.06.27 -
    AntiVir 8.2.4.2 2010.06.28 -
    Antiy-AVL 2.0.3.7 2010.06.25 -
    Authentium 5.2.0.5 2010.06.27 -
    Avast 4.8.1351.0 2010.06.28 -
    Avast5 5.0.332.0 2010.06.28 -
    AVG 9.0.0.836 2010.06.28 -
    BitDefender 7.2 2010.06.28 -
    CAT-QuickHeal 10.00 2010.06.28 -
    ClamAV 0.96.0.3-git 2010.06.28 -
    Comodo 5245 2010.06.28 -
    DrWeb 5.0.2.03300 2010.06.28 -
    eSafe 7.0.17.0 2010.06.28 -
    eTrust-Vet 36.1.7671 2010.06.28 -
    F-Prot 4.6.1.107 2010.06.28 -
    F-Secure 9.0.15370.0 2010.06.28 -
    Fortinet 4.1.133.0 2010.06.27 -
    GData 21 2010.06.28 -
    Ikarus T3.1.1.84.0 2010.06.28 -
    Jiangmin 13.0.900 2010.06.27 -
    Kaspersky 7.0.0.125 2010.06.28 -
    McAfee 5.400.0.1158 2010.06.28 -
    McAfee-GW-Edition 2010.1 2010.06.28 -
    Microsoft 1.5902 2010.06.28 -
    NOD32 5234 2010.06.28 -
    Norman 6.05.10 2010.06.28 -
    nProtect 2010-06-28.01 2010.06.28 -
    Panda 10.0.2.7 2010.06.28 -
    PCTools 7.0.3.5 2010.06.28 -
    Rising 22.54.00.04 2010.06.28 -
    Sophos 4.54.0 2010.06.28 -
    Sunbelt 6517 2010.06.28 -
    Symantec 20101.1.0.89 2010.06.28 -
    TheHacker 6.5.2.0.304 2010.06.28 -
    TrendMicro 9.120.0.1004 2010.06.28 -
    TrendMicro-HouseCall 9.120.0.1004 2010.06.28 -
    VBA32 3.12.12.5 2010.06.28 -
    ViRobot 2010.6.26.3907 2010.06.26 -
    VirusBuster 5.0.27.0 2010.06.28 -

    Information additionnelle
    File size: 5449 bytes
    MD5...: ac45b486ef8e4c96ac6612da0b1178ed
    SHA1..: 80998367e844d8723981c427f7bb885329a59299
    SHA256: f80752e251c14983a27ee311227927e1b362e45ca469605a290aa07416589f73
    ssdeep: 96:w67fwiwPm575a7iIMXX9M8FyxUiOfmmMGq0:vfw3Pm575K8XSkyxUJmmMGq0<br>
    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set<br>-
    pdfid.: -
    trid..: HyperText Markup Language (100.0%)
    sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

    Ensuite pour erop.exe c'est ceci :

    Fichier erop.exe Reçu le 28/06/2010 16:08:07 ( UTC )
    Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.30 2010.06.22 -
    AhnLab-V3 2010.06.22.00 2010.06.22 -
    AntiVir 8.2.2.6 2010.06.21 -
    Antiy-AVL 2.0.3.7 2010.06.22 -
    Authentium 5.2.0.5 2010.06.22 -
    Avast 4.8.1351.0 2010.06.21 -
    Avast5 5.0.332.0 2010.06.21 -
    AVG 9.0.0.787 2010.06.21 -
    BitDefender 7.2 2010.06.22 -
    CAT-QuickHeal 10.00 2010.06.22 -
    ClamAV 0.96.0.3-git 2010.06.22 -
    Comodo 5180 2010.06.22 -
    DrWeb 5.0.2.03300 2010.06.22 -
    eSafe 7.0.17.0 2010.06.20 -
    eTrust-Vet 36.1.7657 2010.06.22 -
    F-Prot 4.6.1.107 2010.06.21 -
    F-Secure 9.0.15370.0 2010.06.22 -
    Fortinet 4.1.133.0 2010.06.21 -
    GData 21 2010.06.22 -
    Ikarus T3.1.1.84.0 2010.06.22 -
    Jiangmin 13.0.900 2010.06.15 -
    Kaspersky 7.0.0.125 2010.06.22 -
    McAfee 5.400.0.1158 2010.06.22 -
    McAfee-GW-Edition 2010.1 2010.06.22 -
    Microsoft 1.5902 2010.06.22 -
    NOD32 5216 2010.06.21 -
    Norman 6.05.06 2010.06.21 -
    nProtect 2010-06-21.01 2010.06.21 -
    Panda 10.0.2.7 2010.06.21 -
    PCTools 7.0.3.5 2010.06.22 -
    Prevx 3.0 2010.06.28 -
    Rising 22.53.01.04 2010.06.22 -
    Sophos 4.54.0 2010.06.22 -
    Sunbelt 6483 2010.06.21 -
    Symantec 20101.1.0.89 2010.06.22 -
    TheHacker 6.5.2.0.302 2010.06.22 -
    TrendMicro 9.120.0.1004 2010.06.22 -
    TrendMicro-HouseCall 9.120.0.1004 2010.06.22 -
    VBA32 3.12.12.5 2010.06.22 -
    ViRobot 2010.6.21.3896 2010.06.22 -
    VirusBuster 5.0.27.0 2010.06.21 -

    Information additionnelle
    File size: 5449 bytes
    MD5   : 94967601d5e4e078ba4caabb65c335a2
    SHA1  : a804c704e44979e5c5f386a90ec344ec0b84ce10
    SHA256: 4a8100b037de1e6db0a92b7b3253b70bf50256dab9bae233131d9a3821d0f2ad
    TrID  : File type identification<br>HyperText Markup Language (100.0%)
    ssdeep: 96:w67fwiwPm575ac6PyaU6EtCrMXX9M8Fyxo6PyaU6EtCzfmmMGq0:vfw3Pm575pCEtXSkyxoCE6mmMGq0
    sigcheck: publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
    PEiD  : -
    RDS   : NSRL Reference Data Set<br>-
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Peux-tu envoyer ces deux fichiers :
    C:\dsfhj.exe
    C:\erop.exe
    sur http://upload.malekal.com stp.

    (même si y a des chances qu'il soit corrompu).
    0
  13. dofusouille Messages postés 449 Statut Membre 36
     
    Euh ok ^^ 30 sec je fais sa
    0
  14. dofusouille Messages postés 449 Statut Membre 36
     
    Voila c'est ce que j'ai fais j'ai envoyer dans le truck Malware , y'avais Malware ou rapport j'ai laisser pas défaut ( Malware )
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Merci :)

      bon sans surprise ils sont endommagés :)
      0
  15. dofusouille Messages postés 449 Statut Membre 36
     
    Dac , Et je dois faire quoi ?
    0
  16. dofusouille Messages postés 449 Statut Membre 36
     
    Euh oui je voudrais bien ^^ mai je supprime sa comment ?
    0
  • 1
  • 2
  • 3