Supprimer Worm:win32/Ainslot.A [Résolu/Fermé]

Signaler
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011
-
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
-
Bonjour,

Voilà tout est dans le titre. A chaque démarrage Microsoft security essential me detecte ce virus et je n'arrive pas à le supprimer.... J'ai déjà vu pas mal de sujets dessus mais à chaque fois je crois que l'aide fournie et individuelle et donc je ne pense pas pouvoir moi même suivre la même manipulation que les autres.
Donc pouvez vous m'aider individuellement s'il vous plais en m'expliquant étape par étape ( je me débrouille un peu en informatique mais pas trop dans ce domaine ^^) ou me donner un lien ou je pourrai faire la manip.
Merci beaucoup à l'avance! =)

39 réponses

Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
Bonjour et Bienvenue sur CCM

Quel est le nom du fichier identifié ? Son emplacement ?
Nous allons utiliser cet outil de diagnostic:

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

netsvcs 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Re,

Déjà merci beaucoup pour ton aide! J'ai été un peu long mais voilà les 2 liens :

https://pjjoint.malekal.com/files.php?id=OTL_20111208_h14i5g10o8v15

https://pjjoint.malekal.com/files.php?id=OTL_Extras_20111208_m11r15e12b11e13

:)
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
re,

Tu as le nom du fichier détecté par l'antivirus ?
Je prépare la procédure et je te réponds.

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Heu microsoft essential me donne ça

Catégorie : Ver

Description : Ce programme est dangereux. Il se propage automatiquement sur une connexion réseau.

Action recommandée : Supprimer immédiatement ce logiciel.

Security Essentials a détecté des programmes pouvant compromettre la confidentialité de vos données, voire endommager votre ordinateur. Vous pouvez accéder aux fichiers utilisés par ces programmes sans les supprimer, mais cela n'est pas recommandé. Pour accéder à ces fichiers, sélectionnez l'action Autoriser et cliquez sur Appliquer les actions. Si cette option n'est pas disponible, connectez-vous en tant qu'administrateur ou demandez à l'administrateur sécurité de vous assister.

Éléments :
process:pid:3332

Element detecté: Worm:Win32/Ainslot.A

C'est tout je n'en sais pas plus =/
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
Bonsoir,

Beaucoup d'infections et de logiciels indésirables sur ton pc, le ver Win32/Ainslot.A n'est pas seul ;o

== == == == == == == == == == == == == == == == == == == == == ==

● La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
● N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
● Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris.
● Je t'aide bénévolement, merci d'en tenir compte :)

== == == == == == == == == == == == == == == == == == == == == ==

1. Désinstalle (Si possible) :

Moovida  
Babylon   
OfferBox
Conduit Engine
Ashampoo FR Toolbar      
Windows Searchqu Toolbar    

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
● Lance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● clique sur Recherche
● Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
● Clique sur Quitter

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt

3. Télécharge UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
● lance UsbFix
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur le bouton "Recherche"
● Patiente le temps du balayage qui peut durer plusieurs minutes
● Le rapport doit s'ouvrir spontanément à la fin du scan

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

4. Héberge les 2 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Re Bonsoir,

Ne t'inquiète pas je sais que tu m'aide bénévolement je vais pas te faire perdre ton temps. DOnc je n'ai pas de clé USB je n'ai donc qu'un seul lien.

https://pjjoint.malekal.com/files.php?id=20111208_z13k9z11i11s13

Je n'ai pas reussi a désinstaller Moovida
Babylon
OfferBox

(Ils n'apparaissent pas dans panneau de configuration)

Désolé pour ma réponse tardive!

Sinon puis je te demander quels sont les effets de ces virus sur mon PC?

Merci beaucoup à trés vite j'éspère!
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
Rien de graves pour les effets, sinon je te l'aurais indiqué.
Pour la plupart des agents publicitaires que tu as installé en ne lisant les conditions d'utilisation.

Il faut quand même faire UsbFix stp, si tu n'as pas de clé, ce n'est pas grave.

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Ok et pour les programmes que je n'ai pas réussi à desinstaller c'est parcequ'il me semble que je les avais déjà désinstaller mais peut être qu'ils sont encore là je ne sais pas.

Voilà le lien UsbFix :

https://pjjoint.malekal.com/files.php?id=20111208_r9e14e98k6
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
re,

Aucune importance pour les programmes que tu n'as pas pu désinstaller.

1. Relance AdwCleaner
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

2. Relance UsbFix
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

● Choisir maintenant "Suppression"
● Laisse travailler l'outil (le bureau peut disparaitre)
● A la fin du nettoyage, clique sur OK dans la boite de dialogue
● Upload le dossier zip si demandé
● Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

3. Héberge les rapports et donne moi le liens.

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
re,

1. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

● Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.

2. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.

3. Héberge les rapports et donne moi les liens.

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Bonsoir, désolé hier soir il était tard donc je me suis couché ^^

Voila le rapport MBAM : https://pjjoint.malekal.com/files.php?id=20111209_p13r5r14z13c9

Et voilà celui d'OTL : https://pjjoint.malekal.com/files.php?id=OTL_20111209_u12x9n14t10c8

A trés vite =)
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
Bonsoir,

Moi aussi, je dors...la nuit ;)

Supprime le dossier bot seafight qui se trouve dans un dossier de ton prénom sur ton bureau.

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la partie "Personnalisation", copie/colle le script hébergé ici
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

Toujours des alertes de l'antivirus concernant win32/Ainslot.A ?

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Oui j'ai eu une alerte au dernier redemarage mais pour le script je met le

":OTL"

Du debut?

et je lance OTL Analyse ou Analyse rapide?

(J'ai supprimer le dossier bot seafight)
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
Une alerte avant ou après l'utilisation de Malwarebytes ?

Tu copies tout avec le :OTL du début.
oups désolé, il manquait une ligne dans mes instructions.

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la partie "Personnalisation", copie/colle le texte hébergé ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Au redemarage à l'instant je n'ai pas eu d'alerte mais tout à l'heure en arrivant vers 18h30 j'en ai eu une peut etre bon signe ;)

Voilà le lien : https://pjjoint.malekal.com/files.php?id=20111209_1110y7f6b8

Et sinon à chaque fois que je demarre le PC j'ai ça qui s'affiche (D'ailleurs aprés le redemarage de totu de suite j'ai eu un ecran noir et seulement ça qui est apparu et c'est quand je l'ai fermé que mon bureau est apparu ) :

http://www.hostingpics.net/viewer.php?id=915238Sanstitre.png
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

Désolé pour le double post je rectifie ce que je viens de dire car je viens juste d'avoir une alerte =/
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
Malwarebytes l'avait pourtant supprimé tout à l'heure celui là !
Quand la désinfection sera terminé, il faudra que tu changes tes mots passe.

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la partie "Personnalisation", copie/colle :

:OTL
:Files
ipconfig /flushdns /c
svchast.exe /s /alldrives
syshost.exe /s /alldrives
:Commands 
[emptytemp]

● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

2. Relance Malwarebytes, effectue la mise à jour si nécessaire puis fait un scan rapide.

3. Poste les rapports

A +
Messages postés
22
Date d'inscription
jeudi 8 décembre 2011
Statut
Membre
Dernière intervention
11 décembre 2011

De nouveau écran noir au redemarage du PC et lorsque je ferme ça => http://www.hostingpics.net/viewer.php?id=915238Sanstitre.png => le bureau apparait. J'a des desktop.ini et un Thumbs.db sur mon bureau aussi.

Sinon voilà les rapports je vais essayer de répondre plus vite maintenant ^^ :

https://pjjoint.malekal.com/files.php?id=20111209_h8m7u11c11y10
Et
pour Malwarebytes j'ai 5 infections je supprime la selection et je t'envoie le rapport ensuite?
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 947
oui, ensuite on avisera.

A +