kaspersky positif bis (résolu)

[francois1209]

Bonsoir

 

Ben voilà après avoir désinfecter mon pc portable avec Kaspersky et surtout l'aide d'Apollo, j'ai voulu faire de même avec mon pc bureau Acer - Xp. Or au bout de 30 minutes de scanne, celui ci s'arrête et bloque ( + de 2 heures ??) sur un fichier C:i386 - SP3 cab. Il m'a trouvé des fichiers infectés au départ. Donc je sais que j'ai des infections mais impossible d'aller jusqu'au bout du scan et d'avoir un rapport

 

Merci de votre aide

Modifié le 29 septembre 2010 par francois1209

[francois1209]

je n 'ai pas eu de réponse.... please

 

J'ai vu que vous êtes tous beaucoup occupés, ceci n'est qu'un petit mot pour que vous ne m'oubliez pas, même si c'est dans plusieurs jours

[Apollo]

Bonsoir,

 

Si tu veux faire un scan avec Kaspersky avec un de ses utilitaires qui désinfecte au contraire du scan en ligne, tu peux utiliser le VRT.

 

Il doit s'utiliser en mode sans échec pour ne pas entrer en conflit avec ton antivirus, car il installe des pilotes. (qui seront virés à la désinstallation de l'outil.)

 

Voici la procédure:

 

Télécharge Virus Removal Tool de Kaspersky. Enregistre-le sur ton bureau

 

SCANNER avec Virus Removal Tool de Kaspersky.

 

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.

• 
  
• 
  Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista
  
• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  
• Connecte éventuellement tes clés USB et disques externes.
   
   
  
• Lance l'exécutable intitulé "setup_9.0xxxxx" en double-cliquant dessus sous XP (Clic droit/exécuter en temps qu'administrateur sous Vista/7).
  
• Réponds "Oui" à la question "Do you want to continue installation?"

 

L'outil devrait afficher la fenêtre suivante:

 

 

Cocher toutes les cases.

 

Au niveau de la ligne "On threat detection, choisir Disinfect, delete if cannot disinfect.

 

Clique alors sur SCAN.

 

L'analyse commence alors; à la première détection, l'outil te proposera d'abord de désinfecter "Disinfect" (Recommandé), clique sur cette option. Il agira alors automatiquement lors de chaque détection.

 

Coche alors la case: Apply to all (Très important!)

 

 

Si le tool ne sait pas désinfecter, il proposera de supprimer "Delete" (recommandé) Accepte en cliquant dessus.

 

Il est possible qu'à la fin, il te signale qu'il n'a pas pu traîter certaines infections; dans ce cas, suis ses recommandations.

 

Clique sur Report: développe le menu montrant les détections et les actions effectuées:

 

 

Fais un clic droit sur le contenu puis "Select All" puis clique sur Copy.

 

Ouvre le bloc notes et colles-y le contenu du presse-papier:

 

 

Enregistre le fichier texte sur le bureau en le nommant Report-VRT

 

Clique alors sur Exit dans la fenêtre du Virus Removal Tool; à la question: "Application will be closed and uninstalled, clique sur Yes

 

 

 

*** Le rapport étant parfois très lourd, je te demanderais de bien vouloir l'héberger ici: Free large file hosting. Send big files the easy way!

 

Récupère le lien en le copiant puis en le collant dans ta réponse pour que je puisse consulter le rapport.

 

@++

[francois1209]

Bonjour

 

Le scan a duré + de 2 heures, et le rapport est tout petit ai-je planté quelque part ??

 

Autoscan: completed 11 minutes ago (events: 4, objects: 257423, time: 02:41:51)

29/09/2010 10:43:50 Task started

29/09/2010 10:55:47 Detected: Packed.Win32.PePatch.dk C:\FSNavigator\FlpExport\IBd3d9GE.dll

29/09/2010 11:43:04 Detected: Packed.Win32.PePatch.dk C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP449\A0046931.dll

29/09/2010 13:25:43 Task completed

 

Merci

[Apollo]

Bonjour,

 

2h41 pour cette analyse, c'est relativement court au contraire

 

Il semble cependant que tu n'aies entrepris aucune action pour désinfecter ou supprimer les objets découverts.

 

Une incompréhension des explications données plus haut?

 

On vérifie:

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

http://oldtimer.geekstogo.com/OTM.exe

 

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  C:\FSNavigator\FlpExport\IBd3d9GE.dll 
  C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP449\A0046931.dll 
  
  
  :Services
  
  :Reg
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  
  

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

 

@++

[francois1209]

Il a rebooté avant que j'ai pu copier "result" et lors du redémarrage m'a donné cela

 

 

 

All processes killed

Error: Unable to interpret <Go> in the current context!

========== FILES ==========

File/Folder C:\FSNavigator\FlpExport\IBd3d9GE.dll not found.

File/Folder C:\System Volume Information\_restore{EADA2B13-36AE-4518-A8C2-3D8B7D759571}\RP449\A0046931.dll not found.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32768 bytes

->Flash cache emptied: 56504 bytes

 

User: françois

->Temp folder emptied: 112948311 bytes

->Temporary Internet Files folder emptied: 14121560 bytes

->Java cache emptied: 128101 bytes

->FireFox cache emptied: 50507112 bytes

->Flash cache emptied: 3323 bytes

 

User: LocalService

->Temp folder emptied: 82255 bytes

->Temporary Internet Files folder emptied: 14480599 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 116273 bytes

%systemroot%\System32 .tmp files removed: 2833408 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 255 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 61024222 bytes

 

Total Files Cleaned = 245,00 mb

 

 

OTM by OldTimer - Version 3.1.16.1 log created on 09292010_142906

All processes killed

 

OTM by OldTimer - Version 3.1.16.1 log created on 09292010_142906

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

[Apollo]

C'est normal, OTM donne toujours son rapport après le reboot. (ce n'est pas moi qui ai créé le "discours en conserve"

 

Ce rapport se trouve également dans le dossier OTM sur le C:\

 

Il n'a rien trouvé mais on ne l'a pas passé pour rien (beaucoup de fichiers temporaires).

Il faudrait utiliser ATF Cleaner pour faire ce nettoyage chaque jour.

 

On va faire un scan rapide avec MBAM.

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.
   
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

--------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

@++

[francois1209]

Tout est ok, dois-je faire d'autres vérifications ??

 

Merci

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4715

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

29/09/2010 15:57:02

mbam-log-2010-09-29 (15-57-02).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 204400

Temps écoulé: 56 minute(s), 45 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Apollo]

Re,

 

Juste ceci: Apollo Et Compagnie A vérifier de temps en temps, important!

 

@++

[francois1209]

Bonsoir

 

Merci tout et peut être à bientôt