Sujet Précédent Sujet Suivant

4 Worm.AutoRun après formatage c:\WINDOWS\Sys

Résolu/Fermé
cumular - 12 avril 2011 à 08:01
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 30 avril 2011 à 11:58
Bonjour,
j'ai depuis quelques semaines 4 Worm.AutoRun detectés par malwarebytes
1 dans le processus mémoire
2 dans le Registre
et 1 fichier infecté, pas le moindre : c:\WINDOWS\System.exe

ne parvenant pas à éradiquer le mal (suppression, remplacement, reparation etc...) j'ai tenté un formatage via le gestionnaire de disque (pensant que celui ci equivalait du bas niveau).
A la reinstallation de windows aucun probleme, balayage malewarebytes sans detection mais dès le retour des applications et des logiciels retour des 4 mêmes wormautorun

Je suis partant pour toute nouvelle tentative d'éradication...

merci à vous




A voir également:

47 réponses

Réponse 1 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 08:09
salut c est que tu as une appli qui est infectée...

▶ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
XP : double clic sur UsbFix

▶ Clique sur "Suppression"

▶ Laisse travailler l'outil

▶ Ton Bureau va disparaitre: c'est normal

▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

▶ Aide en images : Tutoriel "Nettoyage"
0
Réponse 2 / 47
cumular
12 avril 2011 à 08:34
merci pour la rapidité de la réponse,
j'ai commencé par une recherche usbfix
voici le rapport

CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (183 Go libre(s) - 79%) [] # NTFS
D:\ -> Disque fixe # 76 Go (10 Go libre(s) - 13%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 48%) [KINGSTON] # FAT32

################## | Éléments infectieux |


Présent! C:\WINDOWS\config\svchost.exe
Présent! C:\WINDOWS\system.exe
Présent! C:\RECYCLED\INFO.exe
Présent! C:\.\recycled\info.exe
Présent! C:\Autorun.inf
Présent! D:\.\recycled\info.exe
Présent! D:\Autorun.inf
Présent! D:\Recycled\INFO.EXE
Présent! F:\.\recycled\info.exe
Présent! F:\Autorun.inf
Présent! F:\Recycled\INFO.EXE

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{92cab108-633a-11e0-83da-000c6e89e0d6}
Shell\AutoRun\Command = F:\
Shell\explore\Command = F:\RECYCLED\INFO.exe
Shell\open\Command = F:\RECYCLED\INFO.exe


################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
D:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
F:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

################## | E.O.F |


je lance donc une suppression ?
0
Réponse 3 / 47
cumular
Modifié par cumular le 12/04/2011 à 08:51
re:
en faisant une copie du contenu de ma clé usb sur mon bureau je me suis aperçu au cours d'un balayage malewarebytes que 2 des fichiers contenus étaient "trojan agent". A la suppression de ceux ci, maleware ne detecte plus rien ensuite...j'y comprend pas tout
0
Réponse 4 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 10:52
re,

j'ai du m'absenter.

SI tu fais d'autres manipulations que celles indiquées, tu risque de faire pire que mieux...

Commence par me poster le rapport de MBAM.
Tu peux faire une suppression avec usbfix et poster également son rapport.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 47
cumular
12 avril 2011 à 11:10
pas de souci, j'ai cru qu'en activant "suppression" d'usbfix, j'allais perdre une partie du contenu, j'ai donc cru prudent d'en conserver une copie sur mon bureau.

MABM balaye depuis tout à l'heure (plus d'une heure trente)
et il a detecté 28 nouvelles joyeusetés, voici son rapport
je lance "suppression" d'usbfix dans la foulée

Version de la base de données: 6318

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

12/04/2011 11:09:29
mbam-log-2011-04-12 (11-09-27).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 328125
Temps écoulé: 1 heure(s), 37 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007343.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007344.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007347.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007355.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007356.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007359.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007367.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007368.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007371.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007387.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007388.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007391.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007402.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007405.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007406.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0008075.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\Svchost.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\System.exe (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007350.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007362.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007374.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007394.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0012067.EXE (Worm.AutoRun) -> No action taken.
d:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
f:\keygen.exe (Trojan.Agent.CK) -> No action taken.
f:\Keygen2.exe (Trojan.Agent) -> No action taken.
f:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
0
Réponse 6 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 11:16
f:\keygen.exe (Trojan.Agent.CK) -> No action taken.
f:\Keygen2.exe (Trojan.Agent) -> No action taken.
f:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.

Il faut cliquer sur Tous, puis Supprimer la sélection.
Tu t'étonnes d'avoir des soucis avec des cracks/keygens ?!

A lire: https://forum.malekal.com/viewtopic.php?t=893&start=

En attente d'USBFix

Par ailleurs, usbfix ne supprimera pas de données personnelles, il est basé sur une liste de fichiers néfastes, pas d'heuristique.
0
Réponse 7 / 47
cumular
12 avril 2011 à 11:23
le balayage usbfix a planté le pc
"arrêt du systeme" par autoritéNT/system
serveur DCOM s'est terminé de façon inattendue

je repete la manip ?

les keygen trainent sur ma cléusb depuis un moment, une amie m'ayant refile la suite a****e
Depuis mon formatage et la suppression des logiciels qui en dependaient je ne m'en suis pas servi...c'est quand même pas que le h5n1 ?
0
Réponse 8 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 11:28
C'est pire que ça \o/ lol

Démarre ton pc en mode sans échec avec prise en charge du réseau (tapote F5 ou F8 au démarrage, c est selon le pc)

Passe un coup de delfix : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Puis retélécharge USBFix, et lance le nettoyage (toujours en restant en mode sans échec)

Poste son rapport et reviens en mode normal.
0
Réponse 9 / 47
cumular
12 avril 2011 à 11:47
j'ai plus de connexion depuis le mode sans échec, je telecharge delfix et usbfix depuis un autre pc et transite via cd-rw
je reviens dès les balayages et rapports etablis
merci encore
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 12:11
mode sans échec avec prise en charge réseau ça fonctionne :o)
0
Réponse 10 / 47
cumular
12 avril 2011 à 13:13
après plusieurs plantages, je suis parvenu à faire tourner jusqu'au bout usbfix (j'ai du passé par le compte administrateur)
voici ce qui me semble être le rapport (touvé dans le dossier "UsbFix_Upload_Me")
0
Réponse 11 / 47
cumular
12 avril 2011 à 13:14
Pare-feu Windows: Activé
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (178 Go libre(s) - 77%) [] # NTFS
D:\ -> Disque fixe # 76 Go (13 Go libre(s) - 17%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 48%) [KINGSTON] # FAT32

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1085031214-1979792683-725345543-1004
Supprimé! D:\Recycler\S-1-5-21-1085031214-1979792683-725345543-1004

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[09/04/2011 - 10:57:16 | N | 0] C:\AUTOEXEC.BAT
[12/04/2011 - 12:36:06 | RASHD ] C:\Autorun.inf
[09/04/2011 - 11:22:50 | N | 216] C:\boot.ini
[24/04/2003 - 14:00:00 | N | 4952] C:\Bootfont.bin
[09/04/2011 - 10:57:16 | N | 0] C:\CONFIG.SYS
[12/04/2011 - 11:49:16 | N | 465] C:\DelFixSearch.txt
[12/04/2011 - 11:48:32 | N | 714] C:\DelFixSuppr.txt
[12/04/2011 - 11:33:08 | D ] C:\Documents and Settings
[09/04/2011 - 10:57:16 | N | 0] C:\IO.SYS
[09/04/2011 - 10:57:16 | N | 0] C:\MSDOS.SYS
[09/04/2011 - 11:20:20 | N | 47564] C:\NTDETECT.COM
[09/04/2011 - 11:20:20 | N | 251712] C:\ntldr
[12/04/2011 - 12:50:03 | ASH | 2145386496] C:\pagefile.sys
[11/04/2011 - 19:26:53 | D ] C:\Program Files
[12/04/2011 - 11:14:52 | D ] C:\Recycled
[12/04/2011 - 12:55:04 | SHD ] C:\RECYCLER
[09/04/2011 - 11:39:38 | SHD ] C:\System Volume Information
[12/04/2011 - 12:55:04 | D ] C:\UsbFix
[12/04/2011 - 12:55:05 | A | 1033] C:\UsbFix.txt
[12/04/2011 - 12:36:11 | D ] C:\UsbFix_Upload_Me
[12/04/2011 - 11:32:45 | D ] C:\WINDOWS
[12/04/2011 - 11:14:52 | SHD ] D:\$RECYCLE.BIN
[02/05/2010 - 09:27:08 | D ] D:\$WINDOWS.~BT
[31/07/2010 - 08:48:24 | D ] D:\.Trash-1000
[08/12/2006 - 13:50:06 | D ] D:\2bae7b3c58d28136010b88c2
[08/12/2006 - 13:51:23 | D ] D:\a078dbd9193ca93bbd
[03/07/2009 - 10:05:23 | D ] D:\ATI
[15/12/2009 - 16:55:27 | N | 69632] D:\atm.dll
[25/03/2004 - 21:10:58 | N | 40] D:\Auth.prof
[18/10/2003 - 17:25:17 | N | 0] D:\AUTOEXEC.BAT
[12/04/2011 - 12:36:07 | RASHD ] D:\Autorun.inf
[27/03/2007 - 22:08:27 | N | 216] D:\Boot.bak
[18/08/2010 - 07:59:28 | N | 286] D:\boot.ini
[24/04/2003 - 14:00:00 | N | 4952] D:\Bootfont.bin
[15/12/2009 - 16:55:28 | N | 185344] D:\cls.dll
[18/05/2009 - 09:54:15 | D ] D:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] D:\cmldr
[18/05/2009 - 10:10:54 | N | 32580] D:\ComboFix.txt
[10/04/2011 - 11:53:36 | D ] D:\Config.Msi
[18/08/2010 - 07:59:28 | N | 0] D:\CONFIG.SYS
[05/05/2010 - 12:59:27 | D ] D:\Creative
[22/08/2009 - 21:26:09 | D ] D:\d22c421e81a97ec32e6390
[25/03/2005 - 17:54:58 | N | 4996] D:\data
[16/03/2010 - 20:04:52 | N | 41202] D:\DEBUGLOG.TXT
[08/05/2010 - 21:18:59 | D ] D:\Documents and Settings
[27/09/2008 - 10:47:21 | D ] D:\DVRA06
[08/12/2006 - 13:49:03 | D ] D:\e72547c39f85e3d49980ed366d6ad7d4
[18/10/2003 - 17:25:17 | N | 1248] D:\ejhjaw3o.sys
[13/11/2005 - 18:00:09 | D ] D:\GameRival
[12/05/2009 - 16:46:02 | N | 3794] D:\GERCC.txt
[06/02/2004 - 18:19:02 | N | 16384] D:\hpqimgrc.resources.dll
[21/04/2008 - 12:25:28 | N | 1148] D:\INSTALL.LOG
[18/10/2003 - 17:25:17 | N | 0] D:\IO.SYS
[18/10/2003 - 17:25:17 | N | 0] D:\MSDOS.SYS
[02/10/2004 - 21:13:32 | N | 47564] D:\NTDETECT.COM
[13/10/2008 - 23:06:43 | N | 252240] D:\ntldr
[11/04/2011 - 10:59:29 | N | 1073741824] D:\pagefile.sys
[03/07/2009 - 09:50:01 | N | 715500] D:\PollSt.txt
[10/04/2011 - 11:53:12 | D ] D:\Program Files
[12/05/2009 - 16:46:00 | N | 1058] D:\RCPARAM.txt
[12/04/2011 - 12:35:11 | D ] D:\Recycled
[12/04/2011 - 12:55:04 | SHD ] D:\RECYCLER
[09/12/2009 - 17:54:21 | N | 92] D:\ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf
[13/04/2008 - 10:07:08 | N | 232] D:\sqmdata00.sqm
[11/05/2008 - 20:31:41 | N | 232] D:\sqmdata01.sqm
[12/10/2008 - 11:22:03 | N | 232] D:\sqmdata02.sqm
[24/11/2008 - 17:01:01 | N | 232] D:\sqmdata03.sqm
[24/11/2008 - 17:54:21 | N | 232] D:\sqmdata04.sqm
[19/07/2007 - 16:44:12 | N | 268] D:\sqmdata05.sqm
[24/11/2008 - 21:40:24 | N | 232] D:\sqmdata06.sqm
[04/07/2007 - 17:52:56 | N | 232] D:\sqmdata07.sqm
[18/07/2007 - 21:03:31 | N | 232] D:\sqmdata08.sqm
[18/07/2007 - 22:14:40 | N | 232] D:\sqmdata09.sqm
[02/08/2007 - 10:58:11 | N | 232] D:\sqmdata10.sqm
[30/08/2007 - 12:07:06 | N | 232] D:\sqmdata11.sqm
[30/08/2007 - 12:58:51 | N | 232] D:\sqmdata12.sqm
[30/08/2007 - 15:17:00 | N | 232] D:\sqmdata13.sqm
[27/09/2007 - 20:52:28 | N | 232] D:\sqmdata14.sqm
[21/12/2007 - 18:17:14 | N | 232] D:\sqmdata15.sqm
[21/12/2007 - 21:51:10 | N | 232] D:\sqmdata16.sqm
[21/12/2007 - 23:42:12 | N | 232] D:\sqmdata17.sqm
[29/03/2008 - 19:31:22 | N | 232] D:\sqmdata18.sqm
[13/04/2008 - 08:49:40 | N | 232] D:\sqmdata19.sqm
[13/04/2008 - 10:07:08 | N | 244] D:\sqmnoopt00.sqm
[11/05/2008 - 20:31:41 | N | 244] D:\sqmnoopt01.sqm
[12/10/2008 - 11:22:03 | N | 244] D:\sqmnoopt02.sqm
[24/11/2008 - 17:01:01 | N | 244] D:\sqmnoopt03.sqm
[24/11/2008 - 17:54:21 | N | 244] D:\sqmnoopt04.sqm
[19/07/2007 - 16:44:12 | N | 244] D:\sqmnoopt05.sqm
[24/11/2008 - 21:40:24 | N | 244] D:\sqmnoopt06.sqm
[04/07/2007 - 17:52:56 | N | 244] D:\sqmnoopt07.sqm
[18/07/2007 - 21:03:31 | N | 244] D:\sqmnoopt08.sqm
[18/07/2007 - 22:14:40 | N | 244] D:\sqmnoopt09.sqm
[02/08/2007 - 10:58:11 | N | 244] D:\sqmnoopt10.sqm
[30/08/2007 - 12:07:06 | N | 244] D:\sqmnoopt11.sqm
[30/08/2007 - 12:58:51 | N | 244] D:\sqmnoopt12.sqm
[30/08/2007 - 15:17:00 | N | 244] D:\sqmnoopt13.sqm
[27/09/2007 - 20:52:28 | N | 244] D:\sqmnoopt14.sqm
[21/12/2007 - 18:17:14 | N | 244] D:\sqmnoopt15.sqm
[21/12/2007 - 21:51:10 | N | 244] D:\sqmnoopt16.sqm
[21/12/2007 - 23:42:12 | N | 244] D:\sqmnoopt17.sqm
[29/03/2008 - 19:31:22 | N | 244] D:\sqmnoopt18.sqm
[13/04/2008 - 08:49:40 | N | 244] D:\sqmnoopt19.sqm
[09/04/2011 - 08:39:27 | SHD ] D:\System Volume Information
[10/01/2001 - 12:23:58 | N | 162304] D:\UNWISE.MSNFix
[11/04/2011 - 11:00:13 | D ] D:\WINDOWS
[14/09/2010 - 15:53:36 | N | 36279] F:\36.swf
[14/09/2010 - 13:50:18 | N | 90470] F:\100%.swf
[14/09/2010 - 14:04:46 | N | 23716] F:\camion.swf
[03/03/2011 - 17:32:08 | D ] F:\printvin
[06/10/2010 - 17:34:48 | N | 1626] F:\BOOTEX.LOG
[03/04/2010 - 22:22:12 | N | 248] F:\CRACK.txt
[18/03/2011 - 09:59:56 | D ] F:\.Trash-1000
[12/04/2011 - 12:36:08 | RASHD ] F:\Autorun.inf
[08/03/2011 - 16:12:26 | D ] F:\Recycled
[07/04/2011 - 19:28:28 | D ] F:\Tortoise Live at Lounge Ax (April 13, 1992)
[26/01/2009 - 12:07:42 | N | 188416] F:\keygen.exe
[26/01/2009 - 12:07:42 | N | 188416] F:\Keygen2.exe
[15/09/2010 - 12:07:42 | N | 2314] F:\menu.html
[07/04/2011 - 18:54:06 | D ] F:\Adobe Dreamweaver CS4
[07/04/2011 - 19:05:32 | D ] F:\Adobe InDesign CS4
[07/04/2011 - 19:16:38 | D ] F:\dursten
[07/04/2011 - 19:22:30 | D ] F:\Patch
[07/04/2011 - 19:23:42 | D ] F:\templates
[07/04/2011 - 19:23:46 | D ] F:\The Notwist
[07/04/2011 - 19:25:36 | D ] F:\Tortoise - Derrick Carter vs. Tortoise
[07/04/2011 - 19:25:42 | D ] F:\Tortoise - Tour 1998
[07/04/2011 - 19:25:48 | D ] F:\Tortoise Live at Amsterdam VPRO Session 1997 july 3rd
[07/04/2011 - 19:31:10 | D ] F:\TortoiseBBC Mixing It October 26 1998

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
0
Réponse 12 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 13:21
OK.

j'aimerai ce rapport : D:\ComboFix.txt
0
Réponse 13 / 47
cumular
12 avril 2011 à 14:03
ne sachant pas où le trouver, c'est l'outil recherche windows qui a fait le travail
apparemment ce doc daterait de mai 2009 ? est ce bien ce rapport qu'il te faut ?
0
cumular
12 avril 2011 à 14:06
je ne parviens pas à le poster "veuillez écrire correctement s'il vous plait (pas de SMS, orthigraphe, grammaire) me dit le formulaire
0
Réponse 14 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 14:09
oublie s'il date de 2009.

Nous allons effectuer un diagnostic de ton PC:
Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
0
Réponse 15 / 47
cumular
12 avril 2011 à 14:14
j'y vais à l'aveugle hein
voici le lien http://pjjoint.malekal.com/files.php?id=c607fcd5767912
0
Réponse 16 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 14:24
commence par supprimer tes keygens de la clé F:\

▶ Rentre dans ton panneau de configuration....
▶ Apparence et personnalisation...
▶ Option des dossiers...(double cliquer dessus)
▶ Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option
▶ Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.

▶ ▶ ensuite rends toi sur ce lien:
https://www.virustotal.com/gui/

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr


▶ Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"
recherche les entrées suivante dans ton disque : 

D:\ejhjaw3o.sys


▶ Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant

▶ Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée
0
Réponse 17 / 47
cumular
12 avril 2011 à 14:48
j'ai viré les keygen
voici le lien virustotal :
http://www.virustotal.com/...
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 14:50
le lien virustotal passe pas...
0
cumular
12 avril 2011 à 14:53
comment le faire passer ?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 14:54
inscrit toi ou met le dans un fichier texte a envoyer sur cijoint ^^
0
cumular Messages postés 16 Date d'inscription mardi 12 avril 2011 Statut Membre Dernière intervention 27 avril 2011
12 avril 2011 à 15:02
http://www.virustotal.com/file-scan/report.html?id=217a9fda5420127a13fd510f9cabc7070cadee07e09ec72e61293e927b8336d3-1302612044
0
Réponse 18 / 47
cumular Messages postés 16 Date d'inscription mardi 12 avril 2011 Statut Membre Dernière intervention 27 avril 2011
12 avril 2011 à 15:03
est ce que ça fonctionne, d'ici le lien est cliquable
0
Réponse 19 / 47
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 15:04
pour moi ton ordi est clean.
repasse un coup de mbam pour voir s'il détecte plus rien, normalement non :P

▶ télécharge Ccleaner et enregistre le sur le bureau

▶ double-clique sur le fichier pour lancer l'installation

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur »

▶ sur la fenêtre de l'installation langage bien choisir français et OK
▶ clique sur suivant
▶ lis la licence et j'accepte
▶ cliques sur suivant
▶ là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
▶ cliques sur installer
▶ cliques sur fermer
▶ double-cliques sur l'icône de Ccleaner pour l'ouvrir
▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
▶ ▶ cliques sur nettoyeur
▶cliques sur windows et dans la colonne avancé
▶coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
▶ cliques sur analyse une fois l'analyse terminé
▶ cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifs en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
▶ ▶ cliques maintenant sur registre et puis sur rechercher les erreurs
▶ laisses tout cochées et cliques sur réparer les erreurs sélectionnées
▶ il te demande de sauvegarder OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
▶ il supprime et fermer tu vérifies en relançant rechercher les erreurs
▶ tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
▶ tu peux fermer Ccleaner

------

▶ Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------

Mise à jour Windows :

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

▶ Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp

▶ Désinstaller les anciennes versions de Java :

▶ Télécharge JavaRa.zip

▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

▶ Double-clique sur le répertoire JavaRa obtenu.

▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)

▶ Clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.

▶ Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

▶ Tu peux fermer l'application

▶ ▶ Met à jour Adobe :

▶ Reader : https://get2.adobe.com/fr/reader/otherversions/
▶ ▶ Décocher le scan Macàfric

▶ Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

▶ ▶ pour supprimer les outils de désinfection :

▶ Télécharge Delfix sur ton bureau :

▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

------

Tu peux garder Malwarebytes pour un scan de temps à autres

-----

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

------

▶ ▶ Pense à marquer le fil comme résolu

------

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+
0
Réponse 20 / 47
cumular Messages postés 16 Date d'inscription mardi 12 avril 2011 Statut Membre Dernière intervention 27 avril 2011
12 avril 2011 à 15:30
"décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures " les autres doivent toutes rester cochées ? parce que par défaut elles sont decochées
merci
0
cumular Messages postés 16 Date d'inscription mardi 12 avril 2011 Statut Membre Dernière intervention 27 avril 2011
12 avril 2011 à 15:30
pendant ce temps mbam tourne
0
cumular Messages postés 16 Date d'inscription mardi 12 avril 2011 Statut Membre Dernière intervention 27 avril 2011
12 avril 2011 à 15:38
à 1ere vue il a déjà trouvé 18 éléments infectés dans c:\System Volume Information\_restore
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
12 avril 2011 à 16:05
ouais la restauration du système c est rien ça, elle sera purgée après
oublie pas de vider la quarantaine de mbam après
0

Discussions similaires

Formatage rapide ou pas ?
venom0218 -
Lorthogapheur -

15 réponses
Comment enlever le flou dans les SIMS 4 ?
x_roxy78_x -
mlleprincesse -

13 réponses
Ampli 8 ohms et enceintes 4 ohms
MOSSOY -
sawsix -

49 réponses