Virus Ver Ainslot.A sous MSE

Résolu
neromy Messages postés 196 Statut Membre -  
neromy Messages postés 196 Statut Membre -
Bonjour,

J'utilise l'antivirus MSE et à chaque démarrage il m'identifie un virus : Win32/Ainslot.A
Je le supprime à chaque fois mais il revient toujours !

Que faire ? J'ai vu qu'il fallait envoyez des rapports via différents sites.

Merci de me dire les quels et que faire !

Cordialement.

3 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, postes un zhpdiag !!

    Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    cliques sur télécharger "celui du bas"

    ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

    Enregistres le sur ton Bureau.

    Une fois le téléchargement achevé

    pour XP, double-clique sur ZHPDiag

    pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

    N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    https://www.cjoint.com/

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : http://threat-rc.com/
    ou
    http://pjjoint.malekal.com/
    0
  2. neromy Messages postés 196 Statut Membre 100
     
    Je viens de tout faire comme tu m'a dit, voici le lien :

    http://cjoint.com/12oc/BJfu6ULUv7R.htm

    Merci d'avance.
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, plusieurs infection sur ton pc , mais il y a un keylogger rkfree est tu à l'origine de son installation , car j'ai eu un sujet ou il était installer par la personne et comme pour nous cela est infectieux avant de te faire supprimer par les outils je préfère en être sur !!

      sinon en attendant tu peux faire cela !

      1) passes adwcleaner mode SUPPRESSION

      Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

      si problème avec la sécurité de internet explorer regarde se lien : http://general-changelog-team.fr/fr/accueil/58-multilangue/securite/214-fausse-alerte-du-filtre-smartscreen-sur-le-telechargement-d-adwcleaner

      Lance le, clique sur [Suppression] puis patiente le temps du scan.

      Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

      Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



      2) passes usbfix en mode sUPPRESSION




      # Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

      # Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
      # Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
      # Double cliquez sur UsbFix.exe.

      # Cliquez sur Suppression.
      # Laissez travailler l'outil.

      # À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

      # Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).


      # Tutoriel vidéo
      0
    2. neromy Messages postés 196 Statut Membre 100
       
      Sa à pris un temps fou ! J'ai cru mon pc était mort tellement ! x)

      AdwCleaner : http://cjoint.com/12oc/BJfwnA4ETNp.htm

      UsbFix : http://cjoint.com/12oc/BJfwnQ0AhyY.htm ( OMG que c'est long ce logiciel )

      Merci d'avance
      0
  3. neromy Messages postés 196 Statut Membre 100
     
    Que faire après ces deux rapports ?

    AdwCleaner : http://cjoint.com/12oc/BJfwnA4ETNp.htm

    UsbFix : http://cjoint.com/12oc/BJfwnQ0AhyY.htm
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      boinjour, tu as pas répondu à cela il y a un keylogger rkfree est tu à l'origine de son installation , car j'ai eu un sujet ou il était installer par la personne et comme pour nous cela est infectieux avant de te faire supprimer par les outils je préfère en être sur !!

      donc tu me dis si tu veux garder ou pas et puis tu postes un nouveau zhpdiag pour contrôle !! merci

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      https://www.cjoint.com/


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : http://threat-rc.com/
      ou
      http://pjjoint.malekal.com/
      0
    2. neromy Messages postés 196 Statut Membre 100
       
      Je veux garder le Revealler Keylloger oui. Je n'ai jamais eu de soucis avec et il m'est bien utile.

      Le ZHPDiag : http://cjoint.com/12oc/BJgm4eMXE84.htm

      PS : J'ai démarrer mon pc ce matin, le virus n'y était plus.

      Je l'ai redémarré dans la journée, toujours pas de virus.
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok on touche pas à ta merd! de keylogger puisque c'est toi qui la installé , donc tu fais se qui suit et attention dans la suppression de malwarebytes il faudra décocher se qui est de ton keylogger


      1) fais zhpfix comme expliqué

      . Copie les lignes suivantes en GRAS entre les deux lignes


      __________________________________________________________



      SysRestore
      FirewallRAZ
      EmptyFlash
      EmptyTemp
      OPT:O4 - HKLM\..\Wow6432Node\Run: [LManager] . (.Dritek System Inc. - Launch Manager.) -- C:\Program Files (x86)\Launch Manager\LManager.exe
      OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
      [MD5.E189EE2714A792A6154795350B6C09B8] [APT] [{6697FE66-CCE8-4BE9-B23B-DE48632AE6BD}] (.Pinnacle Systems.) -- D:\Welcome.exe => Infection USB (Trojan.USB)
      [MD5.00000000000000000000000000000000] [APT] [{FD5DC8CA-6E70-448B-B234-E2417BACA981}] (...) -- C:\Users\Jordy\Desktop\Keygen.exe
      [MD5.77DFB27D68CE46659A3D5E93410C0B75] [SPRF][22/09/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Jordy\AppData\Local\Temp\tbbabylonv3.exe [899224]
      O44 - LFC:[MD5.A103FDF7348130EF3F3FEF56B1700A27] - 22/09/2012 - 20:06:47 ----- . (...) -- C:\END [9] => Infection FakeAlert
      O47 - AAKE:Key Export SP - "C:\Users\Jordy\AppData\Roaming\winlogin.exe" [Enabled] .(...) -- C:\Users\Jordy\AppData\Roaming\winlogin.exe
      [HKLM\Software\BrowserChoice]
      d:\welcome.exe
      c:\users\jordy\desktop\keygen.exe
      c:\users\jordy\appdata\local\temp\tbbabylonv3.exe



      __________________________



      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.

      . Clique sur gauche sur l'icone du millieu (« coller le presse papier »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



      !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport




      2) fais un examen complet de ton pc avec malwarebytes

      si vous avez Vista ou seven, vous devez désactiver l'UAC le temps de la désinfection.

      pour vista suivre ce tuto si besoin : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

      pour seven celui ci : https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/




      !! ATTENTION !!! près de 2 heures de scan !!!

      Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

      si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

      (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

      . enregistres le sur le bureau
      . Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
      . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
      . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
      . Une fois la mise à jour terminée
      . rend-toi dans l'onglet, Recherche

      . Sélectionnes Exécuter un examen complet

      . Sélectionnes tous les disques si proposés
      . Cliques sur Rechercher
      . Le scan démarre.
      . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
      . Cliques sur Ok pour poursuivre.
      . Si des malwares ont été détectés, cliques sur Afficher les résultats

      DÉCOCHES TOUS SE QUI EST LIÉE A TON KEYLOGGER
      à savoir rkfree

      .laisse le reste de coché

      . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
      . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
      . redemarre le pc si il le fait pas lui même
      . une fois redémarré double-cliques sur malwarebytes
      . rends toi dans l'onglet rapport/log
      . tu cliques dessus pour l'afficher une fois affiché
      . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
      . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
      . tu cliques droit dans le cadre de la reponse et coller


      Si tu as besoin d'aide regarde ce tutoriel :
      https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
      0
    4. neromy Messages postés 196 Statut Membre 100
       
      ZHPFix Scan : http://cjoint.com/12oc/BJhwq3JtczR.htm

      Malwarebytes : Sa arrive d'ici demain.
      0
    5. neromy Messages postés 196 Statut Membre 100
       
      Voici le rapport MalwareBytes :

      Malwarebytes Anti-Malware (Essai) 1.65.0.1400
      www.malwarebytes.org

      Version de la base de données: v2012.10.07.04

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      Jordy :: ACERASPIRE7560G [administrateur]

      Protection: Activé

      07/10/2012 23:56:15
      mbam-log-2012-10-07 (23-56-15).txt

      Type d'examen: Examen complet (C:\|Q:\|)
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 438812
      Temps écoulé: 3 heure(s), 24 minute(s), 20 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 7
      C:\Program Files (x86)\rkfree\rkfree.exe (Keylogger.Logixoft) -> Aucune action effectuée.
      C:\Users\Jordy\Downloads\rkfree_setup.exe (Keylogger.Logixoft) -> Aucune action effectuée.
      C:\UsbFix\Quarantine\C\$RECYCLE.BIN\S-1-5-21-2056384228-3841943728-1353220323-1000\$RJ2QXRO.exe.vir (Keylogger.Logixoft) -> Mis en quarantaine et supprimé avec succès.
      C:\UsbFix\Quarantine\C\Users\Jordy\AppData\Local\Temp\xport_360.exe.vir (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
      C:\UsbFix\Quarantine\C\Users\Jordy\AppData\Roaming\WinUpdtr\xport_360.exe.vir (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\Jordy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C9E2CLNT\rkfree_setup[1].exe (Keylogger.Logixoft) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\Jordy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EL0YR051\agent_setup[1].exe (Affiliate.Downloader) -> Mis en quarantaine et supprimé avec succès.

      (fin)
      0