Malware détecté par avast mais pas par mbam

Audrey86 -  
 Audrey86 -
Bonjour,

Je vous explique mon problème.

Juste après avoir navigué sur le web, mon ami a vu apparaître une fenêtre d'alerte d'Avast lui annonçant qu'un cheval de troie tentait de s'installer. Il a lancé un scan avec Avast, qui lui a effectivement trouvé quelque chose. Mais, quand je suis allée sur le rapport pour supprimer ou envoyer en quarantaine, des messages d'erreur sont apparus dans la colonne "résultat".
J'ai alors tenté de faire un scan minutieux avec MalwareBytes'Anti-Malware. Mais celui-ci n'a trouvé aucun élément nuisible.

Pourriez-vous m'indiquer ce que je dois faire SVP ?

Merci d'avance et je m'excuse pour les questions stupides que je poserai probablement.

53 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des alertes Avast signalent un Trojan.Kill.proc.1981 et un fichier suspect dans C:\Program Files\Ad-Remover\Backup\AD-R.exe, tandis que Malwarebytes n'identifie pas d'éléments nuisibles et complique la désinfection sur l'ordinateur.
Plusieurs réponses proposent l'utilisation d'outils externes comme AD-Remover, USBFix ou ZHPDiag, mais les problèmes incluent l'impossibilité d'accéder au mode sans échec et des erreurs au redémarrage.
Les échanges mentionnent que Trojan.KillProc.1981 est détecté, des tentatives d'effacement ou de quarantaine échouent avec des erreurs syntaxe (123) et accès refusé (5), et que des rapports manquent.
En complément, la chaîne de rapports et les outils évoqués suggèrent de vérifier les sauvegardes hors ligne et d'isoler les données sensibles avant toute réfection, car certaines menaces peuvent persister même après la quarantaine.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. archet9
     
    Bonjour,

    Montre tout demême ton rapport MBAM stp!

    Ensuite:

    fais ceci pour un diagnostic complet du PC :

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint :? http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
    0
  2. Audrey86
     
    D'accord.

    Voici d'abord le rapport mbam :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4676

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18943

    27/09/2010 18:48:07
    mbam-log-2010-09-27 (18-48-07).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 322988
    Temps écoulé: 1 heure(s), 16 minute(s), 4 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    J'utilise ZHPDiag tout de suite.
    0
  3. Audrey86
     
    Voici le rapport ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijteQqCeJ.txt
    0
  4. archet9
     
    Ok rien de méchant...

    ==> Fais ceci et on en aura terminé !

    * Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Ferme toutes applications en cours /!\

    /!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »- Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Audrey86
     
    OK, voici le rapport obtenu après nettoyage :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 16/09/10 à 13:30
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:37:55 le 27/09/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    Audrey@PC-DE-AUDREY (Packard Bell BV EasyNote_RS66-CU-260FR)

    ============== ACTION(S) ==============

    0,Fichier supprimé: C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\8w1gzhc3.default\searchplugins\conduit.xml
    0,Dossier supprimé: C:\Users\Audrey\AppData\LocalLow\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\8w1gzhc3.default\Prefs.js --
    Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
    Ligne supprimée: user_pref("CT2504091.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
    Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&Sea...
    Ligne supprimée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
    -- Fichier Fermé --

    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.6 (fr)] **

    -- C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\8w1gzhc3.default\Prefs.js --
    browser.download.dir, C:\\Users\\Audrey\\Downloads
    browser.download.lastDir, C:\\Users\\Audrey\\Documents\\Films, séries, jeux\\Jeux de rôle\\Pen of Chaos\\Donjon de Naheu...
    browser.search.selectedEngine, Google Powered Search
    browser.startup.homepage_override.mstone, rv:1.9.2.6

    ========================================

    ** Internet Explorer Version [8.0.6001.18943] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 27/09/2010 (3435 Octet(s))

    Fin à: 20:40:34, 27/09/2010

    ============== E.O.F ==============
    0
  7. archet9
     
    Ok parfait...

    Souhaites-tu une analyse plus approfondie ou pas ?
    0
  8. Audrey86
     
    Si tu penses que ça peut être utile...
    0
  9. archet9
     
    Franchement non ...tes deniers rapports montrent un pc saint....!!!!

    a+
    0
  10. Audrey86
     
    Génial !

    Je te remercie sincèrement pour ton aide.

    J'avais déjà demandé de l'aide sur ce forum et je peux dire qu'on a été super avec moi à chaque fois ! Merci encore !
    0
  11. Audrey86
     
    Je viens de re-faire un scan Avast pour être sûre. Il s'avère que le problème est toujours là.
    Il me détecte un fichier appelé :
    \\?\Volume{e8b6b112-7763-11de-b718-806e6f6e6963}\fun.xls.exe

    Quand je tente de le supprimer, Avast m'annonce "Erreur : Syntaxe du nom de fichier, de répertoire ou de volume incorrecte (123)".
    Et quand je tente de le mettre en quarantaine, Avast répond "Erreur : Accès refusé (5).
    0
  12. archet9
     
    * Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

    https://www.ionos.fr/?affiliate_id=77097

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Usbfix située sur ton Bureau.
    - Sur la page, clique sur le bouton :

    suppression

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

    - puis clique sur OK
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.
    le rapport se trouve sur C:\ UsbFix.txt
    0
  13. Audrey86
     
    Bonjour,

    Voici le rapport usbfix :

    ############################## | UsbFix 7.027 | [Suppression]

    Utilisateur: Audrey (Administrateur) # PC-DE-AUDREY [Packard Bell BV EasyNote_RS66-CU-260FR]
    Mis à jour le 28/09/10 par El Desaparecido / C_XX
    Lancé à 18:19:11 | 28/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    CPU 2: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
    Internet Explorer 8.0.6001.18943

    Pare-feu Windows: Désactivé /!\
    RAM -> 3036 Mo
    C:\ (%systemdrive%) -> Disque fixe # 285 Go (60 Go libre(s) - 21%) [OS] # NTFS
    D:\ -> CD-ROM

    ################## | Éléments infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{16b7f01f-9810-11df-b60c-00248c93ba7c}

    ################## | Listing |

    [07/05/2010 - 23:04:24 | SHD ] C:\$Recycle.Bin
    [23/07/2009 - 13:57:34 | HD ] C:\ACER
    [27/09/2010 - 20:40:35 | A | 3565] C:\Ad-Report-CLEAN[1].txt
    [18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
    [30/04/2010 - 09:24:07 | RASHD ] C:\autorun.inf
    [28/09/2009 - 21:09:58 | SHD ] C:\Boot
    [11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
    [11/01/2009 - 04:00:28 | RAS | 8192] C:\BOOTSECT.BAK
    [18/09/2006 - 23:43:37 | A | 10] C:\config.sys
    [25/06/2010 - 23:24:36 | D ] C:\d415f45a67da12fe94b6f52db6
    [02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
    [28/09/2010 - 18:09:59 | ASH | 3184709632] C:\hiberfil.sys
    [10/01/2009 - 20:22:19 | D ] C:\Intel
    [17/02/2010 - 20:58:04 | RASH | 0] C:\IO.SYS
    [17/02/2010 - 20:58:04 | RASH | 0] C:\MSDOS.SYS
    [29/04/2010 - 22:13:15 | D ] C:\MSNCleaner
    [10/01/2009 - 20:28:22 | RHD ] C:\MSOCache
    [28/09/2010 - 18:09:58 | ASH | 3498287104] C:\pagefile.sys
    [21/01/2008 - 04:32:31 | D ] C:\PerfLogs
    [27/09/2010 - 20:40:23 | RD ] C:\Program Files
    [23/07/2010 - 11:12:14 | HD ] C:\ProgramData
    [10/01/2009 - 20:27:16 | A | 2672] C:\RHDSetup.log
    [23/07/2009 - 12:08:08 | A | 32] C:\SETUP.LOG
    [17/02/2010 - 20:58:53 | D ] C:\Sierra
    [28/09/2010 - 18:15:42 | SHD ] C:\System Volume Information
    [11/05/2010 - 15:03:08 | A | 0] C:\TCleaner.txt
    [28/09/2010 - 18:21:37 | D ] C:\UsbFix
    [28/09/2010 - 18:19:17 | A | 2288] C:\UsbFix.txt
    [23/07/2009 - 11:56:36 | RD ] C:\Users
    [08/09/2010 - 17:56:55 | D ] C:\Windows
    [01/05/2010 - 14:18:39 | A | 7464] C:\ZHPExportRegistry-01-05-2010-14-18-39.txt

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
  14. archet9
     
    Fais ceci :
    https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

    Puis relance AVAST pour voir ce qu'il dit.....
    0
  15. Audrey86
     
    OK,
    Je viens de désactiver/réactiver la restauration système.

    Je fais le scan Avast et je te tiens au courant du résultat.
    0
  16. Audrey86
     
    Avast me trouve toujours le même fichier infecté et il n'arrive toujours pas à le supprimer ou à le mettre en quarantaine :((

    Crois-tu que je devrais plutôt effectuer un scan au démarrage ? Apparemment, ça s'effectue avant que Windows se charge et ce serait donc plus efficace.
    0
  17. archet9
     
    "Il me détecte un fichier appelé :
    \\?\Volume{e8b6b112-7763-11de-b718-806e6f6e6963}\fun.xls.exe "

    Une astuce ici:

    http://www.fasterpccleanclean.com/fr/enlever-fun-xls#how-to-remove
    0
  18. Audrey86
     
    Bonjour,

    Je suis sur un autre ordi que le mien et l'antivirus, Kaspersky, me détecte ton lien comme un site d'hameçonnage.
    0
  19. archet9
     
    Oui ,n'installe pas spyware doctor....

    Utilise la méthode manuelle !!!
    0
  20. Audrey86
     
    La méthode manuelle ?

    Tu peux me la décrire STP ?
    0
  • 1
  • 2
  • 3