Virus win32/NSanti

Résolu
phil80 -  
 phil80 -
Bonjour à tous,

Je veins de récupérer un virus win32/nsanti et mon anti virus avg n'arrive pas à le mettre en quarantaine ou à le supprimer. Que doit je faire et quels risques pour mon ordi.

Merci d'avance

Philippe

57 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur rencontre un virus win32/nsanti persistant sous Windows Vista et IE7, et AVG ne parvient pas à le mettre en quarantaine ni à le supprimer, avec des risques pour le système. Des conseils proposent un diagnostic via ZHPDiag en exécutant le programme en tant qu'administrateur, en générant un rapport ZHPDiag.txt, puis en le déposant sur cijoint pour partage et analyse. Si nécessaire, le diagnostic peut être suivi d'autres outils ou procédures proposés, notamment des conseils sur les mises à jour Windows et des mesures post-scan. En cas d'échec persistant, des options complémentaires incluent la vérification des sauvegardes et la réinstallation du système, ou le passage à Windows 7 pour bénéficier d'un support et de mises à jour récentes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
     
    Bonjour :)

    nous allons essayer de régler ton problème ..
    Pour le moment nous allons faire un diagnostic de ton pC, pour essayer d'identifier ou ce loge tes infections,,

    Bien :

    Télécharge >-> ZHPDiag <-< ( de Nicolas coolman ).

    --> Double clique sur le fichier d'installation (executer en tant qu'administrateur pour VISTA/7), puis installe le avec les paramètres par défaut en n'oubliant pas de cocher " Créer une icône sur le bureau "

    * Une fois installer :

    --> Double clique (clique droit pour VISTA/7) sur l'icône ZHPDiag présente sur ton bureau

    --> Clique sur la loupe en haut à gauche, le scan va se lancer

    --> Le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau (ZHPDiag.txt) .

    --> Le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag

    Pour poster le rapport:

    --> Rend toi sur Cijoint http://www.cijoint.fr/

    --> Clique sur Parcourir dans la partie Sélectionnez le fichier que vous souhaîtez déposer

    --> Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    --> Clique ensuite sur " Cliquez ici pour déposer le fichier",, Un lien va se former, copie et colle le ici STP

    /!\ Héberge bien le rapport via cijoint comme demander;; sinon il ne passera pas entièrement sur le Forum /!\

    P.S : si le lien donner plus haut ne marche pas,, Alors télécharge le ici :
    ftp://zebulon.fr/ZHPDiag%201.26.exe

    => Aide et Tuto

    Dans l'attente de ton Lien :D
    ++

    ce n'est pas en cherchant que l'on trouve.. Mais bel et bien en trouvant que l'on cherche ;).....
    2
  2. phil80
     
    merci beaucoup,

    j'attaque la manip
    0
    1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      Pas de soucis ;)

      dans l'attente de ton lien :)
      0
    2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
       
      Bonjour,

      une réponse partielle à ta question quels risques pour mon ordi ici :

      http://row.avira.com/fr/threats/section/fulldetails/id_vir/2539/tr_nsanti.b.9.html

      Il faudra que tu changes tous tes mots de passe après la désinfection.

      @+
      0
    3. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      Lyonnais92
      Salut,, et Merci :)

      Phil80

      je t'ai répondu plus bas :)

      p.s...
      enregistre toi au forum,,
      tu aura plus de faciliter a retrouver ton sujet ;)
      ++
      0
  3. phil80
     
    j'arrive pas à avoir la loupe de zhd !!!
    0
    1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      Re,

      tu a du te tromper et Ouvrir ZHPfix,,

      aide toi du tuto que je t'ai fourni,,
      celui-ci :
      http://www.forum-fec.net/faq-tutoriel-astuces-f10/tuto-diagnostic-zhpdiag-t194.htm

      ++ :D
      0
  4. phil80
     
    désoler le logiciel bloque à la moitié de l'analyse!! que puis je faire?

    Merci
    0
    1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      Que veut tu dire par il bloque ??

      il arrive que ZHPdiag reste a un certain niveau de l'analyse,, c'est plutôt normal ..
      il suffit de le laisser travailler quelques minutes :)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. phil80
     
    Voici le lien ou j'ai coller le diag

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijDUOcmcT.txt
    0
  7. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
     
    Bien,,

    effectivement il y a plusieurs infection de type différents ..
    Aussi,
    je voie qu'il y a vraiment beaucoup d'antivirus d'installer,,

    Désinstalle les tous, et n'en garde que un, c'est largement suffisant, et sa t'évitera des conflits ainsi que des ^plantages ....

    Quant tu aura désinstaller tous ces antivirus ,, et garder celui de ton chois :

    (Pour VISTA/7)
    Désactive le contrôle des comptes utilisateurs UAC (tu le réactiveras après la desinfection):

    --> Va dans démarrer et clique sur panneau de configuration
    --> Double Clique sur l'icône "Comptes d'utilisateurs"
    --> Clique ensuite sur désactiver et valide. (c'est une barre a glisser tout en bas)

    ----------
    PUIS :

    Télécharge >-> AD-Remover <-< (de C_XX) sur ton Bureau.

    Déconnecte-toi de internet et ferme toutes applications en cours(Le meilleur moyen et de debrancher le cable Ethernet)

    --> Lance le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
    --> Clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.(Pour VISTA/7)
    --> Au menu principal, choisis l'option Nettoyer.
    --> En fin de suppression il se peux qu'il te soit demander de redemarrer ton ordinateur, Accepte
    --> Poste le rapport qui sera generer automatiquement au redemarage Stp°.

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-(00/00/0000).log)

    => Aide et tuto

    Dans l'attente de ton rapport :)
    0
  8. phil80
     
    voila le rapport

    merci

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijLHzwxKR.txt
    0
  9. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
     
    Bien,

    maintenant on va retirer les traces potentiel d'infection amovible ...

    donc,,

    Télécharge >-> USBfix <-< ( El Desaparecido , C_XX & Chimay8 ) sur ton bureau.

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir(i)
    1.
    --? Double clic (Clique droit executer en tant qu'administrateur"POUR VISTA/7) sur UsbFix.exe présent sur ton bureau .

    --> Au menu principal Choisis l'option " 1 " (Suppression)

    -> Laisse travailler l'outil.

    --> Ensuite post le rapport UsbFix.txt qui apparaitra.
    (!) Le menu démarrer et les icônes Risque de disparaître, ou de s'intiller.. c'est normal (!)

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    /!\Certain Antivirus détècte USBfix comme une inféction,,dans ce cas désactiver votre protection en temps réel...il sagit d'un faux positif /!\

    2.
    --? Double clic (clique "droit executer en tant qu'administrateur pour VISTA/7) Sur USBfix.exe présent sur ton bureau

    --> Au menu principale choisis l'option "3" Vacciner

    -> Laisse travailler l'outil

    (!) Le menu démarrer et les icônes vont disparaître.. c'est normal (!)

    P.S : Si le lien de téléchargement ne marche pas alors essaye ici :
    https://www.ionos.fr/?affiliate_id=77097

    => Aide et Tuto

    Dans l'attente de ton rapport :)
    0
  10. phil80
     
    http://www.cijoint.fr/cjlink.php?file=cj201012/cijVoRwA3I.txt

    merci
    0
  11. phil80
     
    http://www.cijoint.fr/cjlink.php?file=cj201012/cij7eTn8FB.zip

    sa devrai être mieux
    0
  12. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
     
    Bien :D

    Je n'avait pas besoin du Dossier Ziper, juste du document texte .. :D

    On va vérifier Tous cela :)

    Relance un diagnostic avec ZHPdiag,, comme tu la fait précédemment STp°
    N'oublie pas d'héberger le rapport Via Cijoint

    Dans l'attente de ton lien :D
    ++
    0
  13. phil80
     
    http://www.cijoint.fr/cjlink.php?file=cj201012/cijIRugITr.txt

    voila le lien, merci à toi c'est vraiment sympa
    0
  14. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
     
    Re,

    Mais de rien :D

    bien,

    rend toi ici :

    Menu demarrer >> panneau de configuration >> ajour suppression de programme <
    Puis désinstalle ceci :

    Logiciel: Kiwee Chatbar

    Ainsi que toute les toolbar que tu y voie,,
    complètement inutile, et pour la plupart du temps, elle sont infectieuse.

    celle si en priorité ::
    ClipToMP3 Toolbar

    A savoir :
    => https://forum.malekal.com/viewtopic.php?f=45&t=6173

    Ensuite et Seulement une fois fait :::

    - Clique (Clique droit executer en tant qu'administrateur pour Vista/7) sur ZHPFix présent sur le bureau ou l'icone en forme d'écu dans ZHPDiag

    - Copie seulement ce qui est en gras ci-dessous...::

    =====================================

    R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} Clé orpheline
    O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} (20-20 3D Viewer) - http://kitchenplanner.ikea.com/fr/Core/Player/2020PlayerAX_Win32.cab
    O69 - SBI: SearchScopes [HKCU] {12f346f0-dbf2-41b0-82ea-67a8dcaa3b90} - (YouGoo) - http://www.yougoo.fr
    O69 - SBI: SearchScopes [HKCU] {2ec61f9f-edd6-4035-b020-2aaf8b3d60e4} - (YouGoo) - http://www.yougoo.fr
    O69 - SBI: SearchScopes [HKCU] {99088cc3-8be2-40fc-832f-cde3783069a1} - (Searcheo) - http://www.searcheo.fr
    O69 - SBI: SearchScopes [HKCU] {f3d17138-0225-4a82-8b31-4d0c3cc1608a} - (YouGoo) - http://www.yougoo.fr


    =====================================

    - Clique sur "H" le texte en dessous va disparaitre pour laisser place aux ligne si dessous

    - Clique sur OK

    - Coche toutes les cases ou clique sur tous puis Nettoyer

    - Si un message apparait demandant confirmation pour la suppression alors [Accepte]

    - Poste le résultat qui va apparaitre Stp°

    => Aide et Tuto

    Connais tu ceci ??
    Pages Annuaire.lnk <==

    il devrait ce trouver sur ton bureau ??

    Dans l'attente de tous ceci :)
    0
  15. phil80
     
    Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-10-12-2010-12-35-44.txt
    Run by laurence at 10/12/2010 12:35:44
    Windows Vista Home Premium Edition, 64-bit Service Pack 1 (Build 6001)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} (20-20 3D Viewer) - http://kitchenplanner.ikea.com/fr/Core/Player/2020PlayerAX_Win32.cab => Clé supprimée avec succès
    [HKLM\SOFTWARE\Classes\CLSID\{1C11B948-582A-433F-A98D-A8C4D5CC64F2}] => Clé supprimée avec succès
    [HKCR\CLSID\{1C11B948-582A-433F-A98D-A8C4D5CC64F2}] => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} Clé orpheline => Valeur supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    O69 - SBI: SearchScopes [HKCU] {12f346f0-dbf2-41b0-82ea-67a8dcaa3b90} - (YouGoo) - http://www.yougoo.fr => Donnée remplacée avec succès
    O69 - SBI: SearchScopes [HKCU] {2ec61f9f-edd6-4035-b020-2aaf8b3d60e4} - (YouGoo) - http://www.yougoo.fr => Donnée remplacée avec succès
    O69 - SBI: SearchScopes [HKCU] {99088cc3-8be2-40fc-832f-cde3783069a1} - (Searcheo) - http://www.searcheo.fr => Donnée remplacée avec succès
    O69 - SBI: SearchScopes [HKCU] {f3d17138-0225-4a82-8b31-4d0c3cc1608a} - (YouGoo) - http://www.yougoo.fr => Donnée remplacée avec succès

    ========== Récapitulatif ==========
    3 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    4 : Elément(s) de donnée du Registre

    End of the scan

    Non je ne connais pas page annuaire .ink et je ne l'ai pas sur le bureau
    0
  16. phil80
     
    AVG à refait une analyse automatique et win32 est tjr là!

    Par contre j'ai retrouver annuaire link.

    A bientot
    0
    1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      Re.

      Tu peux donner le chemin complet stp ? Merci.

      ++ ;)
      0
  17. phil80
     
    Bonsoir,

    Que veut tu dire par le chemin complet?

    Merci
    0
    1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      Hello :D

      en-fait je te demande le chemin de la détection,,
      exemple ...

      C:\etc\etc.exe

      Question,,

      Pourquoi met tu toujours le sujet en tant que résolu ??

      ++;)
      0
  18. phil80
     
    bonjour,

    pour le résolu c'était une mauvaise manip!!!

    voila le chemin

    "D:\hp\apps\APP25253\src\Data1.cab";"Virus identifié Win32/NSAnti";"Infecté"
    et
    "D:\hp\apps\APP25253\src\Data1.cab:\_1AF6268ACE4947B79AEC2D6498282965";"Virus identifié Win32/NSAnti";"Infecté"

    j'espère que c'est cela??

    Encore merci
    0
  19. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
     
    re :)

    ok, on va analyser tous sa avec ce logiciel généraliste :)

    @ Malwarebyte's

    Télécharge >-> Malwarebyte <-<

    --> Lance le programme d'installation et laisse toi guider..
    (installe le avec ces paramètres par défaut)

    --> Une fois installer >>( ouvre le en mode administrateur pour Windows Vista/7 )

    --> Clique sur l'onglet mise a jour, et mets le a jour (sinon inefficace),

    --> Retourne dans l'onglet recherche, et exécute un examen complet,

    --> Tu pourra si infection trouver, cliquer sur Afficher la Selection Puis >> Effacer la sélection (si redémarrage demander, alors accepte)

    --> Âpres le redémarrage, un rapport va se générer, Poste le Ici STp°

    P.S : Si le lien plus haut ne fonctionne pas, Telecharge le ici :
    http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.50.exe

    => Aide et Tuto

    Dans l'attente de ton rapport :)
    ++
    0
  20. phil80
     
    L'analyse n'est pas fini mais je doit partir, je te post le rapport demain soir.

    Bon WE à toi
    0
    1. mcvivien2 Messages postés 2716 Statut Contributeur sécurité 256
       
      re,

      aucun soucis ;)

      a demain dans cas :D

      ++:)
      bon week-end a toi aussi :=)
      0
  21. phil80
     
    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5293

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 8.0.6001.18813

    11/12/2010 13:44:53
    mbam-log-2010-12-11 (13-44-53).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 338832
    Temps écoulé: 58 minute(s), 27 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files (x86)\ad-remover\quarantine\C\program files (x86)\winsudate\gibidl64.dll.vir (Adware.Gibmedia) -> Quarantined and deleted successfully.
    c:\program files (x86)\ad-remover\quarantine\C\program files (x86)\winsudate\gibupt.exe.vir (Adware.Gibmedia) -> Quarantined and deleted successfully.
    c:\Users\laurence\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.
    c:\Users\laurence\Desktop\pages annuaire.lnk (Adware.GibMedia) -> Quarantined and deleted successfully.
    c:\Users\laurence\AppData\Roaming\microsoft\Windows\start menu\pages annuaire.lnk (Adware.GibMedia) -> Quarantined and deleted successfully.

    J'ai attendu la fin de l'analyse, mais la je pars.

    Par contre j'ai souvent une page blanche quand je redemarre l'ordi.

    A demain et merci
    0
  • 1
  • 2
  • 3