High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Rapport d'analyse USBFIX

Dernière réponse le 19 nov 2009 à 14:45:48 Quetzarcotl, le 17 nov 2009 à 06:35:01 
 Signaler ce message aux modérateurs

Bonjour,
Je viens de brancher mon disque dur externe et je me suis rendu compte de la chose suivante:
1 - les propriétés de mes dossiers ont été modifiées. Mes dossiers sont maintenant cachés et en lecture seule, alors que je n'ai rien touché depuis la dernière ouverture,
2 - pour chaque dossier que j'avais, il y a un dossier du même nom qui s'est créé, mais avec des extentions '.exe' .Parmi eux figure aussi les dossiers 'recycler.exe' et 'recycled.exe'
J'ai essayé de savoir sur internet comment me débarasser de ces deux derniers dossiers, ne sachant que faire pour le reste. je suis tombé sur des forums (dont celui-ci je crois) qui proposent d'analyser les disques via l'outil Usbfix, chose que j'ai faite. Mais j'hésite à lancer la phase 2 de 'suppression' de l'outil..du coup, je m'en remets à vos lumières pour savoir si tous les fichiers détectés nécessitent vraiment une suppression ou non.
Voici le rapport d'analyse résultant:

############################## | UsbFix V6.053 |

C:\ -> Disque fixe local # 50 Go (36,75 Go free) [DiskC] # NTFS
D:\ -> Disque fixe local # 180,88 Go (172,69 Go free) [DiskD] # NTFS
E:\ -> Disque fixe local # 2 Go (1,97 Go free) [BDEDrive] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 12,1 Mo (0 Mo free) [Internet Mobile+] # CDFS
H:\ -> Disque amovible
I:\ -> Disque fixe local # 298,02 Go (21,6 Go free) [USB-HDD] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 900
C:\WINDOWS\system32\csrss.exe 960
C:\WINDOWS\system32\winlogon.exe 992
C:\WINDOWS\system32\services.exe 1036
C:\WINDOWS\system32\lsass.exe 1048
C:\WINDOWS\system32\Ati2evxx.exe 1228
C:\WINDOWS\system32\svchost.exe 1248
C:\WINDOWS\system32\svchost.exe 1328
C:\WINDOWS\System32\svchost.exe 1368
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1392
C:\WINDOWS\system32\svchost.exe 1524
C:\WINDOWS\system32\svchost.exe 1556
C:\WINDOWS\system32\Ati2evxx.exe 1772
C:\WINDOWS\system32\spoolsv.exe 1860
C:\WINDOWS\System32\SCardSvr.exe 1908
C:\Program Files\System\Client\bin\mtxagent.exe 348
C:\WINDOWS\system32\svchost.exe 364
C:\Program Files\Juniper Networks\Common Files\dsNcService.exe 428
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe 488
C:\Program Files\F-Secure\Common\FSMA32.EXE 500
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE 508
C:\Program Files\Java\jre6\bin\jqs.exe 528
C:\Program Files\F-Secure\Common\FSMB32.EXE 572
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe 596
C:\Program Files\Reuters\Sync\sync.exe 640
C:\WINDOWS\system32\svchost.exe 760
C:\WINDOWS\system32\SearchIndexer.exe 924
C:\Program Files\F-Secure\Common\FCH32.EXE 1692
C:\Program Files\F-Secure\Common\FAMEH32.EXE 1980
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe 2008
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe 2332
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe 2352
C:\Program Files\F-Secure\Common\FNRB32.EXE 2416
C:\Program Files\F-Secure\ORSP Client\fsorsp.exe 2452
C:\Program Files\F-Secure\Common\FIH32.EXE 2476
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe 2484
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2504
C:\WINDOWS\System32\alg.exe 2672
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe 3268
C:\WINDOWS\Explorer.EXE 3816
C:\Program Files\F-Secure\Common\FSM32.EXE 4040
C:\Program Files\F-Secure\FSGUI\fsguidll.exe 268
C:\Program Files\pdfforge Toolbar\SearchSettings.exe 308
C:\Program Files\Java\jre6\bin\jusched.exe 616
C:\WINDOWS\system32\rundll32.exe 792
C:\WINDOWS\system32\ctfmon.exe 1444
C:\Program Files\Copernic Tracker\TrackerNotificationExtensions.exe 1452
C:\Program Files\Microsoft Dynamics CRM\Client\res\web\bin\Microsoft.Crm.Application.Hoster.exe 1620
C:\program files\reuters\rmc\RunRM.exe 2112
C:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe 1040
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe 2836
C:\Program Files\Windows Desktop Search\WindowsSearch.exe 2884
c:\program files\reuters\rmc\rmc.exe 3120
C:\Program Files\Internet Mobile+\Internet Mobile+.exe 1932
C:\Program Files\Internet Explorer\iexplore.exe 216
C:\WINDOWS\system32\SearchProtocolHost.exe 228
C:\WINDOWS\system32\SearchFilterHost.exe 3504
C:\WINDOWS\system32\wbem\wmiprvse.exe 3192

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\dadi_s\LOCALS~1\Temp\68892-Ah My Goddess v39 c243.rar
G:\autorun.inf

################## | Registre # Clés Run infectieuses |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{08f9c9a4-c332-11de-802f-0016eaa27852}
Shell\AutoRun\command =G:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{08f9c9a5-c332-11de-802f-0016eaa27852}
Shell\AutoRun\command =G:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{12c8de28-b835-11de-800d-0016eaa27852}
Shell\AutoRun\command =G:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{12c8de2b-b835-11de-800d-0016eaa27852}
Shell\AutoRun\command =G:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{2c5c3d85-c793-11de-8037-0016eaa27852}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\SEtUp.exe
Shell\eXpLorE\Command =RECyCLER\\\\\\SEtUp.exe
Shell\Open\Command =REcYCLER\\\\\\\\\\\\SEtUp.exe

HKCU\..\..\Explorer\MountPoints2\{33c6397c-a494-11de-bfec-0016eaa27852}
Shell\AutoRun\command =G:\.\ShowModem.exe

HKCU\..\..\Explorer\MountPoints2\{c138f2f8-9e91-11de-bfdb-0016eaa27852}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\SEtUp.exe
Shell\eXpLorE\Command =H:\RECyCLER\\\\\\SEtUp.exe
Shell\Open\Command =H:\REcYCLER\\\\\\\\\\\\SEtUp.exe

HKCU\..\..\Explorer\MountPoints2\{c9b06f38-c2d6-11de-802e-0016eaa27852}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\SEtUp.exe
Shell\eXpLorE\Command =RECyCLER\\\\\\SEtUp.exe
Shell\Open\Command =REcYCLER\\\\\\\\\\\\SEtUp.exe

HKCU\..\..\Explorer\MountPoints2\{dce38ff1-c8bd-11de-803a-0016eaa27852}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =G:\log.exe

HKCU\..\..\Explorer\MountPoints2\{f1770228-aec4-11de-bffc-0016eaa27852}
Shell\AutoRun\command =G:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{f177022a-aec4-11de-bffc-0016eaa27852}
Shell\AutoRun\command =G:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{f353ec94-c226-11de-802c-0016eaa27852}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\SEtUp.exe
Shell\eXpLorE\Command =G:\RECyCLER\\\\\\SEtUp.exe
Shell\Open\Command =G:\REcYCLER\\\\\\\\\\\\SEtUp.exe

################## | Suspect | http://www.virustotal.com |

################## | ! Fin du rapport # UsbFix V6.053 ! |

Ah oui, j'ai aussi remarqué autre chose! Dans le gestionnaire des tâches, il y a plein d'exécutables bizarres avec des noms écrits en MAJ. Et quand je demande d'arrêter un de ces processus, il disparaît puis revient tout de suite après!!
Je pense qu'il est très clair que mon pc (et mes disques amovibles) sont super super infectés. Je compte beaucoup sur vos réponses pour savoir quoi faire maintenant.
Merci énormément.

PS: J'ai lancé le scan sur le pc avec F-secure Client Security, mais il n'a rien détécté d'anormal.

Configuration: Windows XP Internet Explorer 7.0

Meilleures réponses pour « Rapport d'analyse USBFIX » dans :
Tutoriel : comment interpréter un rapport RSIT VoirPrésentation générale Détail des différentes informations données par les rapports Le rapport info.txt Le rapport log.txt Analyse ligne par ligne Identification des infections Explications sur les services Présentation...
Scanner en ligne avec Kaspersky VoirA savoir sur Kaspersky Online Scanner 7.0 Préparatifs Analyse de l'ordinateur Résultats d'analyse Sauvegarde du rapport /!\Attention, le scan en ligne Kaspersky est actuellement en cours de mises à jour et d'amélioration.
Analyser, interpréter un log HijackThis et agir en conséquence Voir
Posez votre question Répondre

1

sKe69, le 17 nov 2009 à 08:48:32

Salut,


bien infecté effectivement ...



mais avant tout nettoyage avec UsbFix , fais ceci pour avoir un diagnositique complet du PC :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

2

Quetzarcotl, le 19 nov 2009 à 02:24:37


   
Répondre à Quetzarcotl

3

Quetzarcotl, le 19 nov 2009 à 09:10:21

Bonjour,
Tout d'abord, merci beaucoup sKe69 pour ta réponse.
Ensuite, j'ai suivi à la lettre ce que tu m'a recommandé, et voilà le rapport ZHPDiag que j'ai obtenu:
http://www.cijoint.fr/cjlink.php?file=cj200911/cij3LtrFZH.tx­t
J'attends d'avoir ton verdict là dessus :)

   
Répondre à Quetzarcotl

4

sKe69, le 19 nov 2009 à 09:24:25

Salut,


dis moi , c'est un PC pro ( en réseau ? ) ou un PC perso ? ...


si c'est un pro , tu es administrateur du PC ? ...


===================

puis fait ceci :

Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

5

Quetzarcotl, le 19 nov 2009 à 13:15:26

Re bonjour sKe69,
Merci infiniment pour le temps que tu consacres à ma requête, je t'en suis très reconnaissant!
Voilà le résultat de l'analyse détaillée ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj200911/cijQp4MNrj.tx­t
Sinon, effectivement je suis sur un pc pro, dont je suis administrateur, mais je l'utilises surtout chez moi via ma propre connection internet.

   
Répondre à Quetzarcotl

6

 sKe69, le 19 nov 2009 à 14:45:48

Bien ...


dis moi , des précision sur Reuters et Copernic ... outil de travail ? ....


j'ai besoin d'autre vérif avant d'attaquer le nettoyage :



1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\system32\B486C7\F91E87.EXE

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > http://www.commentcamarche.net/...



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69
Posez votre question Répondre
Ils ont besoin de votre aide