Virus ADSPY/adspy.Gen2 impossible à supprimer

slyee -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

Mon antivirus Antivir a détecté le virus ADSPY/AdSpy.Gen2 et me popose la fenêtre habituelle pour les actions à faire concernant ce virus;

Malheureusement, peu importe que je choisisse de déplacer en quarantaine, supprimer ou refuser l'acces, l'antivirus ne réagit pas et m'impose une nouvelle fenêtre identique à la première.

que dois-je faire

20 réponses

  1. NUKER Messages postés 56 Statut Membre
     
    essais malware rebyte anti malware,tu télécharges le logiciel tu mets un jours et tu fais un scan complet en mettant le résultat du log
    0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour et Bienvenue sur CCM

    Quel est le nom du fichier détecté par Antivir et dans quel répertoire se trouve t-il ? Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    * Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
    * Ne les poste pas sur le forum, ils seraient trop long
    * Héberge les sur http://www.cijoint.fr/
    * Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.

    A +
    0
  3. slyee
     
    merci pour la réponse, mais je suis quasi nulle en informatique et malware rebyte anti malware, c'est du chinois pour moi.

    Pourrais-tu éclaircir ma lanterne ?

    Slyee
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. slyee
     
    ça y est, je l'ai téléchargé sur 01 télécharger.net
    0
  6. slyee
     
    le site 01 télécharger.net me dit que le téléchargement est terminé mais je ne vois aucune fenêtre correspondante, est-ce normale ?
    0
  7. slyee
     
    je l'ai enfin trouver sur commentcamarche, dois-je faire exécuter ou enregistrer

    Désolée pour mon ignorance
    0
  8. slyee
     
    Je dois télécharger maware rebyte ou OTL ???
    0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Salut,

    OTL est un logiciel de diagnostic, il permettra de savoir ce qu'il faut faire et quel outil utiliser
    Réponds à ma question sur le fichier aussi ;)

    A +
    0
  10. slyee
     
    OK, je suis en cours d'analyse avec OTL, ensuite je mettrai les fichiers sur le lien que tu m'as donné.

    Encore merci de ton aide
    0
  11. slyee
     
    Voici le lien pour le fichier OTLtxt
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijWkEuufn.txt

    et le lien pour Extratxt :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij08qyRzu.txt
    0
  12. slyee
     
    J'ai oublié :

    Le fichier infecté est:
    C:\Program Files (x86)\ResultDns\resultdns.dll
    0
  13. slyee
     
    slyee - 18 sep 2010 à 00:22
    Voici le lien pour le fichier OTLtxt
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijWkEuufn.txt

    et le lien pour Extratxt :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij08qyRzu.txt
    Modifier - Permalink (#14)
    Signaler slyee - 18 sep 2010 à 00:33
    J'ai oublié :

    Le fichier infecté est:
    C:\Program Files (x86)\ResultDns\resultdns.dll
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    slyee,

    Ok pour le fichier

    Durant la désinfection, il est préférable de ne pas :

    1. Ajouter de programmes à ton PC
    2. Utiliser d'outil de désinfection de ta propre initiative
    3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

    Il est préférable de terminer la procédure même si ton PC semble aller mieux.

    N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

    Afin de permettre aux outils de désinfection de travailler correctement :

    Désactive l'UAC de Windows 7

    ******************************************************************

    1. Désinstalle, si possible les logiciels suivants :

    Bandoo
    Tango


    2. Télécharge AD-Remover (C_XX) sur le bureau

    Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil

    * Lance Ad-R
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur "Oui" dans la boite de dialogue
    * Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
    * Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
    * Clique sur Quitter

    Copie/colle le rapport dans ton prochain message.

    Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


    3. Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
    * lance UsbFix
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur le bouton "Recherche"
    * Patiente le temps du balayage qui peut durer plusieurs minutes
    * Le rapport doit s'ouvrir spontanément à la fin du scan
    * Copie/colle le rapport dans le prochain message

    Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

    A +
    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  15. slyee
     
    re,

    Comment désactiver la protection résidente d'antivir
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    * Clic droit sur l'icône Antivir près de l'heure
    * Décoche Activer Antivir Guard
    ( Faire l'inverse pour réactiver les protections )

    A +
    0
  17. slyee
     
    Voici le rapport adreport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 16/09/10 à 13:30
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:50:11 le 18/09/2010, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    DEMUYNCK@DEMUYNCK-PC (Hewlett-Packard Presario CQ61 Notebook PC)

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Users\DEMUYNCK\AppData\Roaming\Bandoo
    0,Dossier supprimé: C:\ProgramData\Bandoo
    0,Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandoo
    0,Dossier supprimé: C:\Program Files (x86)\Bandoo

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}
    3,Clé supprimée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
    3,Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
    3,Clé supprimée: HKLM\Software\Classes\AppID\{9C123289-82E1-4da7-A3C2-B8D28AAD114B}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
    3,Clé supprimée: HKLM\Software\Classes\AppID\{3AD7A5B6-610D-4A82-979E-0AED20920690}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3AD7A5B6-610D-4A82-979E-0AED20920690}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{62E5C9E1-A0E8-4F8C-8EAF-0F9250CC5786}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{9C123289-82E1-4DA7-A3C2-B8D28AAD114B}
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
    0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
    0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
    0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin
    0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin.1
    0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl
    0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl.1
    0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl
    0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
    0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
    0,Clé supprimée: HKLM\Software\bandoo
    0,Clé supprimée: HKCU\Software\IEBarProperties
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo

    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 162 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 18/09/2010 (7933 Octet(s))

    Fin à: 00:52:57, 18/09/2010

    ============== E.O.F ==============

    je n'ai pas supprimé ni Bandoo, ni tango (je ne sais pas ce que c'est.

    Par contre, j'ai une question :

    J'ai pas pas mal de support amovibles à brancher , peut-on continuer la procédure demain (je ne pensais pas que ça serait si long) ??
    0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    slyee,

    je n'ai pas supprimé ni Bandoo, ni tango (je ne sais pas ce que c'est. 
    C'était juste préfèrable.
    Pour Bandoo, c'est bon AD-R lui a régler son compte.
    https://www.mywot.com/fr/scorecard/www.bandoo.com
    Pour tango, je m'en occuperais plus tard.

    J'ai pas pas mal de support amovibles à brancher , peut-on continuer la procédure demain (je ne pensais pas que ça serait si long) ??
    Pas de soucis, moi aussi je réponds quand je peux ;)

    A +
    0