Virus ADSPY/adspy.Gen2 impossible à supprimer Fermé

Question

Bonjour, 

Mon antivirus Antivir a détecté le virus ADSPY/AdSpy.Gen2 et me popose la fenêtre habituelle pour les actions à faire concernant ce virus;

Malheureusement, peu importe que je choisisse de déplacer en quarantaine, supprimer ou refuser l'acces, l'antivirus ne réagit pas et m'impose une nouvelle fenêtre identique à la première.

que dois-je faire

Configuration: Windows 7 / Internet Explorer 8.0

NUKER · Answer

essais malware rebyte anti malware,tu télécharges le logiciel tu mets un jours et tu fais un scan complet en mettant le résultat du log

kalimusic · Answer

Bonjour et Bienvenue sur CCM

Quel est le nom du fichier détecté par Antivir et dans quel répertoire se trouve t-il ? Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur. 

Télécharge OTL  (de OldTimer) sur ton Bureau.

 Ferme toutes tes applications en cours

    * Lance OTL.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches) 
* Ne les poste pas sur le forum, ils seraient trop long 
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.


A +

slyee · Answer

merci pour la réponse, mais je suis quasi nulle en informatique et malware rebyte anti malware, c'est du chinois pour moi.

Pourrais-tu éclaircir ma lanterne ?


Slyee

kalimusic · Answer

pour l'instant fais ceci  : https://forums.commentcamarche.net/forum/affich-19215398-virus-adspy-adspy-gen2-impossible-a-supprimer#2

slyee · Answer

ça y est, je l'ai téléchargé sur 01 télécharger.net

slyee · Answer

le site 01 télécharger.net me dit que le téléchargement est terminé mais je ne vois aucune fenêtre correspondante, est-ce normale ?

slyee · Answer

je l'ai enfin trouver sur commentcamarche, dois-je faire exécuter ou enregistrer

Désolée pour mon ignorance

kalimusic · Answer

styee,

On ne lance pas de logiciel au pif, regarde ici : https://forums.commentcamarche.net/forum/affich-19215398-virus-adspy-adspy-gen2-impossible-a-supprimer#2

A +

slyee · Answer

Je dois télécharger maware rebyte ou OTL ???

kalimusic · Answer

Salut, 

OTL est un logiciel de diagnostic, il permettra de savoir ce qu'il faut faire et quel outil utiliser 
Réponds à ma question sur le fichier aussi ;) 

A +

slyee · Answer

OK, je suis en cours d'analyse avec OTL, ensuite je mettrai les fichiers sur le lien que tu m'as donné.

Encore merci de ton aide

kalimusic · Answer

ok,

Pour plus de clarté clique sur le bouton vert "Répondre au sujet" sous mon message https://forums.commentcamarche.net/forum/affich-19215398-virus-adspy-adspy-gen2-impossible-a-supprimer#2

A +

slyee · Answer

Voici le lien pour le fichier OTLtxt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijWkEuufn.txt 

et le lien pour Extratxt :
http://www.cijoint.fr/cjlink.php?file=cj201009/cij08qyRzu.txt

slyee · Answer

J'ai oublié :

Le fichier infecté est:
C:\Program Files (x86)\ResultDns\resultdns.dll

slyee · Answer

slyee - 18 sep 2010 à 00:22 
Voici le lien pour le fichier OTLtxt 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijWkEuufn.txt 

et le lien pour Extratxt : 
http://www.cijoint.fr/cjlink.php?file=cj201009/cij08qyRzu.txt
Modifier - Permalink (#14) 
Signaler slyee - 18 sep 2010 à 00:33 
J'ai oublié : 

Le fichier infecté est: 
C:\Program Files (x86)\ResultDns\resultdns.dll

kalimusic · Answer

slyee, 


Ok pour le fichier

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC 
2. Utiliser d'outil de désinfection de ta propre initiative 
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours 

Il est préférable de terminer la procédure même si ton PC semble aller mieux. 

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées. 

Afin de permettre aux outils de désinfection de travailler correctement : 

Désactive l'UAC de Windows 7 

****************************************************************** 

1. Désinstalle, si possible les logiciels suivants : 

Bandoo   
Tango  

2. Télécharge AD-Remover (C_XX) sur le bureau  

Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil     

* Lance Ad-R  
  -  Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.  
* Clique sur "Oui" dans la boite de dialogue  
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"  
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.  
* Clique sur Quitter  

Copie/colle le rapport dans ton prochain message. 

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN 
 
"Process.exe" est détecté par certains antivirus comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus 

3. Télécharge et installe UsbFix   (par  C_XX & El Desaparecido) sur le Bureau    
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!    
    * lance UsbFix  
  -  Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.  
    * Clique sur le bouton  "Recherche"    
    * Patiente le temps du balayage qui peut durer plusieurs minutes    
    * Le rapport doit s'ouvrir spontanément à la fin du scan    
    * Copie/colle le rapport dans le prochain message    

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt    

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus  

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

slyee · Answer

re, 

Comment désactiver la protection résidente d'antivir

kalimusic · Answer

re, 

* Clic droit sur l'icône Antivir près de l'heure
* Décoche Activer Antivir Guard
( Faire l'inverse pour réactiver les protections )

A +

slyee · Answer

Voici le rapport adreport :

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:50:11 le 18/09/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
DEMUYNCK@DEMUYNCK-PC (Hewlett-Packard Presario CQ61 Notebook PC) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Users\DEMUYNCK\AppData\Roaming\Bandoo
0,Dossier supprimé: C:\ProgramData\Bandoo
0,Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandoo
0,Dossier supprimé: C:\Program Files (x86)\Bandoo

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}
3,Clé supprimée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
3,Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
3,Clé supprimée: HKLM\Software\Classes\AppID\{9C123289-82E1-4da7-A3C2-B8D28AAD114B}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
3,Clé supprimée: HKLM\Software\Classes\AppID\{3AD7A5B6-610D-4A82-979E-0AED20920690}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}
1,Clé supprimée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
1,Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
1,Clé supprimée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3AD7A5B6-610D-4A82-979E-0AED20920690}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{62E5C9E1-A0E8-4F8C-8EAF-0F9250CC5786}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{9C123289-82E1-4DA7-A3C2-B8D28AAD114B}
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin
0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin.1
0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl
0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl.1
0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl
0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl.1
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
0,Clé supprimée: HKLM\Software\bandoo
0,Clé supprimée: HKCU\Software\IEBarProperties
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 162 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 18/09/2010 (7933 Octet(s)) 

Fin à: 00:52:57, 18/09/2010 
 
============== E.O.F ============== 

je n'ai pas supprimé ni Bandoo, ni tango (je ne sais pas ce que c'est.

Par contre, j'ai une question :

J'ai pas pas mal de support amovibles à brancher , peut-on continuer la procédure demain  (je ne pensais pas que ça serait si long) ??

kalimusic · Answer

slyee,

je n'ai pas supprimé ni Bandoo, ni tango (je ne sais pas ce que c'est. C'était juste préfèrable.
Pour Bandoo, c'est bon AD-R lui a régler son compte.
https://www.mywot.com/fr/scorecard/www.bandoo.com
Pour tango, je m'en occuperais plus tard.

J'ai pas pas mal de support amovibles à brancher , peut-on continuer la procédure demain (je ne pensais pas que ça serait si long) ??Pas de soucis, moi aussi je réponds quand je peux ;)

A +