Infection f.exe et autres dérivés... [Résolu]

Salut,

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

Voici le rapport il est un peu long par contre... =(


############################## | UsbFix V6.066 |

User : Richard (Administrators) # RICHARD-PC
Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:37:53 | 20/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Atom(TM) CPU Z520 @ 1.33GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 141,05 Go (62,44 Go free) [ACER] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 14,92 Go (14,92 Go free) # FAT32
Q:\ -> Disque fixe local

############################## | Processus actifs |

C:\Windows\System32\smss.exe 276
C:\Windows\system32\csrss.exe 356
C:\Windows\system32\wininit.exe 420
C:\Windows\system32\csrss.exe 428
C:\Windows\system32\winlogon.exe 464
C:\Windows\system32\services.exe 524
C:\Windows\system32\lsass.exe 532
C:\Windows\system32\lsm.exe 540
C:\Windows\system32\svchost.exe 648
C:\Windows\system32\svchost.exe 720
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 784
C:\Windows\System32\svchost.exe 884
C:\Windows\System32\svchost.exe 936
C:\Windows\system32\svchost.exe 972
C:\Windows\system32\svchost.exe 1176
C:\Windows\system32\svchost.exe 1356
C:\Windows\System32\spoolsv.exe 1468
C:\Windows\system32\svchost.exe 1504
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe 1860
C:\Windows\system32\sppsvc.exe 1900
C:\Windows\system32\svchost.exe 1940
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe 2016
C:\Windows\system32\wbem\wmiprvse.exe 1524
C:\Windows\system32\taskhost.exe 1992
C:\Windows\system32\taskeng.exe 1572
C:\Windows\system32\userinit.exe 2072
C:\Windows\system32\Dwm.exe 2092
C:\Windows\Explorer.EXE 2120
C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE 2240
C:\Windows\system32\svchost.exe 2392
C:\Windows\system32\runonce.exe 2552
C:\Windows\system32\WUDFHost.exe 2576
C:\Windows\system32\conhost.exe 2652

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
Supprimé ! C:\Windows\System32\sshnas.dll
Supprimé ! C:\Users\Richard\AppData\Local\Temp\a.dat
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2802370-267230456-4173750975-1000
Supprimé ! C:\Recycler\S-1-5-21-1183073070-2589800181-2619313026-1005

################## | Registre # Clés infectieuses |

Supprimé ! [HKCU\SOFTWARE\XML]
Supprimé ! [HKCU\SOFTWARE\Zeldar]
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Zeldar"

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[24/10/2009 15:56|--a------|3] C:\7Loader.TAG
[10/06/2009 21:42|--a------|24] C:\autoexec.bat
[30/09/2009 00:00|---h-----|216] C:\Boot.BAK
[30/09/2009 00:00|---------|216] C:\BOOT.BXP
[25/10/2009 00:57|-rahs----|360] C:\Boot.ini.saved
[14/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin
[14/07/2009 01:38|-rahs----|383562] C:\bootmgr
[25/10/2009 00:57|-rahs----|8192] C:\BOOTSECT.BAK
[10/06/2009 21:42|--a------|10] C:\config.sys
[06/12/2009 18:25|--a------|1888] C:\fl-server-errors.log
[24/10/2009 15:55|-rahs----|171136] C:\grldr
[?|?|?] C:\hiberfil.sys
[15/04/2009 03:38|-rahs----|0] C:\IO.SYS
[17/03/2009 07:43|--a------|2016] C:\MOD01SET0J00P2000O.enc
[11/09/2008 09:27|--a------|2488] C:\MOD01WOS02FRP20001.enc
[15/04/2009 03:38|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 12:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 12:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[15/04/2009 04:42|--a------|1876] C:\RHDSetup.log
[15/04/2009 04:37|--a------|190] C:\Setup.log
[20/12/2009 18:42|--a------|3852] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.


################## | Upload |

Veuillez envoyer le fichier : C:\Users\Richard\Desktop\UsbFix_Upload_Me_Richard-PC.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.066 ! |


Par contre je dois redémarrer il m'a désactivé l'antivirus et le gestionnaire multitouch.

Ok, on continue :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cijoint

[x] Clique sur " Parcourir "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message

Ok c'est en cours.
Il semble bloqué sur les fichiers modifiés.
Il m'a mit que 6 n'est pas une valeur correcte.

Il est bel et bien bloqué...
"6" n'est pas une valeur entière correcte.

Désinstalle le/Réinstalle le.

Idem après réinstallation je vais trouver une autre version de ZHPDiag.

Pas vu que tu es sous windows 7.

Tu as essayé en le lançant en administrateur ( Clic droit -> Exécuter en tant qu'administrateur ) ?

Oui aussi en exécutant en administrateur rien...
Même erreur au même moment.

Tu as désactivé l'UAC ?

L'UAC c'est ce qui demande avant chaque exécution?
Si c'est bien cela oui il est désactivé...

Oui c'est celà.

Hmm.. c'est assez embêtant.. mais on va s'en passer :-)

Fais ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse

Non c'est bon =)
Avec une version antérieure cela à fonctionné : http://www.cijoint.fr/cjlink.php?file=cj200912/cijiKuYjAz.txt

Ok, passe à Malwarebyte's maintenant.

L'analyse est en cours depuis plus de 2 heures, plus de 100 000 fichiers analysés et 2 infectés.

Voila la fin de l'analyse :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3398
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20/12/2009 23:12:20
mbam-log-2009-12-20 (23-12-20).txt

Type de recherche: Examen complet (C:\|Q:\|)
Eléments examinés: 280369
Temps écoulé: 3 hour(s), 42 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{547DCD75-2F35-413C-B8B1-980A7B0FFD71}\RP2\A0002860.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{547DCD75-2F35-413C-B8B1-980A7B0FFD71}\RP2\A0002861.exe (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00057a (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000596 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00057b (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\Downloads\Adobe Audition v3 Keygen.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Temp\sshnas.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Refais moi un rapport ZHPDiag.

Voici le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj200912/cijWa1f2Q7.txt

Comment se porte le PC ?

Le pc semble bien se porter aucun ralentissement et aucune charge inexpliquée de la RAM ou du CPU.
Il est redevenu rapide =)