disque dur externe infecté par autorunFermé

Question

Bonjour, 

je n'arrive plus à ouvrir mon disque dur externe, il y a message d'erreur et antir me marque "autorun bloqué" merci de m'aider.
J'ai essayé avec usb fix mais je n'arrive toujours pas à l'ouvrir.

Configuration: Windows XP / Internet Explorer 6.0

Utilisateur anonyme · Answer

Bonjour,
Fait clique droit sur ton disque dur, et sélectionne ouvrir. 
Si ça ne marche pas, fait explorer.

tracrium18 · Answer

Bonjour wfree,
Si je fais clic droit ouvrir ou explorer j'ai toujours le même message d'erreur:
explorer.EXE erreur d'application
l'exception instruction non autorisée
tentative d'exécution d'une instruction interdite(oxcooooo1d) s'est produite dans l'application à l'emplacement oxo2a67d05
ensuite je doit cliquer sur ok ou annuler et après la fenêtre se ferme sans ouvrir mon disque dur

tracrium18 · Answer

Une autre idée, merci d'avance.

Utilisateur anonyme · Answer

Il est en quel format ton disque dur ? NTFS ?

Si jamais par hasard tu a un linux ou un mac OS, essaye de l'ouvrir sur un de ces systèmes.


Après, si tes données que ta sur ton disque ne sont pas importante, au dernier recours formate le.

vieu bison boiteu · Answer

salut  tracrium18,

comme le sujet a déjà des réponses , je ne sais pas si une personne qualifiée te prendra en charge

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

    * Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ). 

    * A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement . 

    * Une fois ZHPDiag ouvert, clique sur le bouton "option" http://img717.imageshack.us/img717/1774/option.jpg en haut sur la droite : 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

    * Clique sur le bouton "calendrier" http://img444.imageshack.us/img444/1549/calendrierp.jpg qui est en haut à droite : choisis 30 days 

    * Puis clique sur le bouton de "la loupe" http://img10.imageshack.us/img10/998/scanko.jpg ( en haut à gauche ) pour lancer le scan . 

> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

    * Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau. 

Ferme le programme ...

> Pour faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

    * Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
    * Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    * Une fois l'upload finit , un lien en bleu apparait > copie/colle le dans ta prochaine réponse stp ....

à+

tracrium18 · Answer

voici:
http://www.cijoint.fr/cjlink.php?file=cj201105/cij00lCwB7.txt

Kraiss · Answer

Ce n'est pas une infection ;) Ah mon avis tu va devoir formater ton DD et c'est du a une mauvaise utilisation (faites soit directement par l'utilisateur, soit par un programme)

tracrium18 · Answer

voici le dernier rapport usbfix:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijcrEdZvt.txt

vieu bison boiteu · Answer

ton disque dur externe porte la lettre "K" ???
K:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
c'est toi qui l'a vacciné ???
https://www.pandasecurity.com/en/homeusers/free-antivirus/?ref=usbvaccine

ce qui est le plus embêtant , il apparait sous
K:\ CD-ROM drive (Free 0 Go of 1 Go)
________________________________________________________

tu as déjà été désinfecté ???
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]   =>PUP.Eorezo
[HKCU\Software\Grand Virtual]   =>Spyware.AgenceExclusive
________________________________________________________

tu as eu aussi des ennuis pour déclarer ton XP Pro ???
C:\Pilotes\WINDOWS XP KEYGEN+VALIDATION PACK\MGADiag.exe
________________________________________________________

télécharges Malwarebytes' Anti-Malware ( à garder et passer une fois par semaine )
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
lancer un scann rapide en fin d'installation , puis relancer le PC , faire une mise à jour et lancer un scann approfondi ( toutes sources externes branchées )
tuto : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ ; à copier dans C:\WINDOWS\system32 )
tu recopieras les rapports dans tes prochaines réponses

tracrium18 · Answer

mon disque dur est sous L mais K c'est WD smartware (cela fait parti de l'installation du dique dur externe).
Je ne comprend pas ta question "tu as déjà été désinfecté?"
Mon xp pro c'est un ami qui me l'a installé.
Quand à malwarebytes'antimalware j'ai déjà fait une analyse avec, rapport:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6640

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22/05/2011 18:10:49
mbam-log-2011-05-22 (18-10-49).txt

Type d'examen: Examen complet (C:\|D:\|L:\|)
Elément(s) analysé(s): 205670
Temps écoulé: 42 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Pilotes\windows xp keygen+validation pack\keyfinder.exe (Application.FindKey) -> Quarantined and deleted successfully.
c:\Pilotes\windows xp keygen+validation pack\wga-fix.exe (Hacktool.WGAFix) -> Quarantined and deleted successfully.
c:\Pilotes\windows xp keygen+validation pack\windows xp keygen.exe (Malware.Tool) -> Quarantined and deleted successfully.
d:\system volume information\_restore{c748f27b-2f0c-4ab5-8816-c152070a0bdd}\RP7\A0001555.exe (Application.FindKey) -> Quarantined and deleted successfully.
d:\system volume information\_restore{c748f27b-2f0c-4ab5-8816-c152070a0bdd}\RP7\A0001557.exe (Hacktool.WGAFix) -> Quarantined and deleted successfully.
d:\system volume information\_restore{c748f27b-2f0c-4ab5-8816-c152070a0bdd}\RP7\A0001558.exe (Malware.Tool) -> Quarantined and deleted successfully.

vieu bison boiteu · Answer

pour
C:\Pilotes\WINDOWS XP KEYGEN+VALIDATION PACK\MGADiag.exe 
c'était avec "keyfinder"
http://www.commentcamarche.net/download/telecharger-34079532-xp-cd-key-finder

Fichier(s) infecté(s): ( supprimé par MBAM )
c:\Pilotes\windows xp keygen+validation pack\keyfinder.exe (Application.FindKey) -> Quarantined and deleted successfully. 

donc tu peux supprimer manuellement en passant par l' Explorateur Windows le dossier "WINDOWS XP KEYGEN+VALIDATION PACK"
________________________________________________________
regarde aussi à supprimer
D:\WINDOWS\_delis32.ini 

mettre à jour CCleaner , et de nettoyer la base de registre

Utilisateur anonyme · Answer

Oui je pense comme toi Kraiss..
Mais bon laisson Mr bison boiteux l'aider, vu qu'il se sent tres "qualifie" comme personne..
En le poussant a telecharger des tonnes de programmes quasi inutiles.

tracrium18 · Answer

ok j'ai fait tout cela mais mon problème n'est toujours pas résolu, je n'arrive toujours pas à ouvrir mon disque dur externe j'ai toujours le même message d'erreur:
explorer.EXE erreur d'application 
l'exception instruction non autorisée 
tentative d'exécution d'une instruction interdite(oxcooooo1d) s'est produite dans l'application à l'emplacement oxo2a67d05 
et en plus le même message de avira qui dit L: autorun.inf bloqué
Comment faire pour ouvrir mon disque dur externe? est -il encore infecté?

vieu bison boiteu · Answer

le logiciel "WD smartware" est totalement inutile
c'est lui qui doit sûrement poser problème
il faudrait le désinstaller , pour supprimer ce disque "virtuel" K
mais est-ce possible
je ne le vois pas dans le rapport ZHPDiag

il y a déjà eu un message sur ce problème
https://forums.commentcamarche.net/forum/affich-14543556-wd-my-passeport-320-gb#top

pourrais-tu faire une image de la "Gestion des disques" ???
cliquer "droit" sur "Poste de travail" => "Gérer" pour avoir la "Gestion de l'ordinateur" => puis "Gestion des disques"
comme celle-ci = http://www.cijoint.fr/cj201001/cijvwm9hXM.png
voir si le disque dur "virtuel" K apparait

pour prendre en image juste la fenêtre du gestionnaire , tu la sélectionnes
et tu fais "Ctrl + Alt + Fn + Imprim Ecran" , faire "Ctrl + C" pour copier
tu vas chercher "Paint" => faire menu "Démarrer/Programmes/Accessoires/Paint"
et "Paint" ouvert , tu fais "Ctrl + V" pour coller
tu sauvegardes l'image sous le format JPG ou bien PNG

"Imprim Ecran" peut être "Print screen" ou "Impecr Sys" ou ... fonction des marques de portable
______________________________________________________

par contre dans la base de registre , il y a encore trois clés infectées à supprimer
[HKCU\Software\Grand Virtual]     
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe] 
[A03B06A1D146EC281E1812F67D22DF36]

tracrium18 · Answer

voici:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijoWeXXT3.jpg

tracrium18 · Answer

Pour les 3 infections qu'est ce que je dois faire? ou les retrouver?

tracrium18 · Answer

je n'avais pas branché le disque dur externe, voici:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijLJFIwDz.jpg

tracrium18 · Answer

pour : [HKCU\Software\Grand Virtual] c'est bon je l'ai trouvé et donc supprimé.
pour [HKLM\Software\Classes\AppID\SoftwareUpdate.exe] c'est bon aussi.
Et pour : {A03B06A1D146EC281E1812F67D22DF36} c 'est bon aussi je l'ai supprimée.
Merci de ton aide pour ces 3 suppressions.
Ensuite j'ai supprimé K en faisant comme tu m'as dit et en m'aidant de :
http://www.commentcamarche.net/forum/affich-14543556-wd-my-passeport-320-gb#top
Mais tu me mets " regarder si tu as l' accès aux dossiers" comment je fais?
Puis quand je regarde dans program files quiest dans D et pas dans C, je ne trouve pas Western Digital mais peut être parce que je l'ai supprimé avant.
Bref cela n'a rien changé de toute façon puisque je n'arrive toujours pas à ouvrir mon disque dur externe.

tracrium18 · Answer

voici une photo quand j'ouvre mon disque dur externe:


http://www.cijoint.fr/cjlink.php?file=cj201105/cijq1wxaqg.png

Je te remercie de m'aider .

tracrium18 · Answer

pourquoi mes images dans ci joint.fr sont flous alors que les tiennes sont nettes? C'est un petit détail mais si tu peux me l'expliquer rapidement autant en profiter, merci.

tracrium18 · Answer

quand j'ouvre poste de travail je n'ai plus wd western qui se nommait "K" pluisque que je l'ai supprimé (mais par contre je ne suis pas sûr d'avoir tout supprimé comment être sûr qu'il n'y ai pas des restes de ce logitiel?). Il y a juste mon disque dur externe my passeport mais du coup il ne se nomme plus "L" mais "K". et sinon dans la gestion des diques c 'est pareil, apparait juste mon disque dur externe: http://www.cijoint.fr/cjlink.php?file=cj201105/cijSdOlVjk.png Quand j'ouvre mon disque dur externe j'ai toujours cette fenêtre "erreur d'application mais je n'ai plus la fenêtre d'avira qui s'ouvre en m'indiquant autorun bloqué. cet après midi j'ai fait un scan avec malwarebyte il n'y avait rien d'infecté mais parcontre j'ai fais un scan avira qui a trouvé 3 infections: Attention : le chargement du moteur a échoué. La recherche a été lancée avec la copie de sauvegarde du moteur. Avira AntiVir Personal Date de création du fichier de rapport : mercredi 25 mai 2011 11:17 La recherche porte sur 2760974 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PERSO Informations de version : BUILD.DAT : 10.0.0.135 31823 Bytes 18/04/2011 14:35:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 19/05/2011 21:02:00 AVSCAN.DLL : 10.0.3.0 56168 Bytes 21/01/2011 07:52:12 LUKE.DLL : 10.0.3.2 104296 Bytes 21/01/2011 07:52:01 LUKERES.DLL : 10.0.0.0 13672 Bytes 21/01/2011 07:52:13 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 07:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 07:52:09 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 19:16:36 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 19:18:28 VBASE004.VDF : 7.11.5.226 2048 Bytes 07/04/2011 19:18:29 VBASE005.VDF : 7.11.5.227 2048 Bytes 07/04/2011 19:18:29 VBASE006.VDF : 7.11.5.228 2048 Bytes 07/04/2011 19:18:29 VBASE007.VDF : 7.11.5.229 2048 Bytes 07/04/2011 19:18:29 VBASE008.VDF : 7.11.5.230 2048 Bytes 07/04/2011 19:18:30 VBASE009.VDF : 7.11.5.231 2048 Bytes 07/04/2011 19:18:30 VBASE010.VDF : 7.11.5.232 2048 Bytes 07/04/2011 19:18:30 VBASE011.VDF : 7.11.5.233 2048 Bytes 07/04/2011 19:18:31 VBASE012.VDF : 7.11.5.234 2048 Bytes 07/04/2011 19:18:31 VBASE013.VDF : 7.11.6.28 158208 Bytes 11/04/2011 19:18:37 VBASE014.VDF : 7.11.6.74 116224 Bytes 13/04/2011 19:18:42 VBASE015.VDF : 7.11.6.113 137728 Bytes 14/04/2011 19:18:47 VBASE016.VDF : 7.11.6.150 146944 Bytes 18/04/2011 19:18:52 VBASE017.VDF : 7.11.6.192 138240 Bytes 20/04/2011 19:19:00 VBASE018.VDF : 7.11.6.237 156160 Bytes 22/04/2011 19:19:08 VBASE019.VDF : 7.11.7.45 427520 Bytes 27/04/2011 19:19:27 VBASE020.VDF : 7.11.7.64 192000 Bytes 28/04/2011 19:19:36 VBASE021.VDF : 7.11.7.97 182272 Bytes 02/05/2011 19:19:43 VBASE022.VDF : 7.11.7.127 467968 Bytes 04/05/2011 19:20:02 VBASE023.VDF : 7.11.7.183 185856 Bytes 09/05/2011 19:20:12 VBASE024.VDF : 7.11.7.218 133120 Bytes 11/05/2011 19:20:19 VBASE025.VDF : 7.11.7.234 139776 Bytes 11/05/2011 19:20:22 VBASE026.VDF : 7.11.8.16 147456 Bytes 13/05/2011 19:20:34 VBASE027.VDF : 7.11.8.46 169472 Bytes 17/05/2011 21:01:59 VBASE028.VDF : 7.11.8.109 181760 Bytes 24/05/2011 09:12:41 VBASE029.VDF : 7.11.8.110 2048 Bytes 24/05/2011 09:12:42 VBASE030.VDF : 7.11.8.111 2048 Bytes 24/05/2011 09:12:42 VBASE031.VDF : 7.11.8.129 71168 Bytes 25/05/2011 09:12:42 Version du moteur : 8.2.5.2 AEVDF.DLL : 8.1.2.1 106868 Bytes 21/01/2011 07:51:41 AESCRIPT.DLL : 8.1.3.64 1606011 Bytes 19/05/2011 21:02:00 AESCN.DLL : 8.1.7.2 127349 Bytes 21/01/2011 07:51:40 AESBX.DLL : 8.2.1.33 323956 Bytes 25/05/2011 09:12:49 AERDL.DLL : 8.1.9.9 639347 Bytes 16/05/2011 19:22:43 AEPACK.DLL : 8.2.6.8 557430 Bytes 16/05/2011 19:22:33 AEOFFICE.DLL : 8.1.1.22 205178 Bytes 16/05/2011 19:22:19 AEHEUR.DLL : 8.1.2.120 3481976 Bytes 25/05/2011 09:12:49 AEHELP.DLL : 8.1.17.2 246135 Bytes 19/05/2011 21:01:59 AEGEN.DLL : 8.1.5.6 401780 Bytes 19/05/2011 21:01:59 AEEMU.DLL : 8.1.3.0 393589 Bytes 21/01/2011 07:51:29 AECORE.DLL : 8.1.21.1 196983 Bytes 25/05/2011 09:12:43 AEBB.DLL : 8.1.1.0 53618 Bytes 21/01/2011 07:51:28 AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/01/2011 07:51:49 AVPREF.DLL : 10.0.0.0 44904 Bytes 21/01/2011 07:51:47 AVREP.DLL : 10.0.0.10 174120 Bytes 19/05/2011 21:02:00 AVREG.DLL : 10.0.3.2 53096 Bytes 21/01/2011 07:51:48 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 19/05/2011 21:02:00 AVARKT.DLL : 10.0.22.6 231784 Bytes 21/01/2011 07:51:42 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 21/01/2011 07:51:45 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 12:28:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/01/2011 07:51:49 NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 12:28:01 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 22:23:03 RCTEXT.DLL : 10.0.58.0 99688 Bytes 21/01/2011 07:52:13 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: d:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, K:, Recherche dans les programmes actifs..........: marche Programmes en cours étendus...................: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : mercredi 25 mai 2011 11:17 La recherche d'objets cachés commence. d:\windows\explorer.exe d:\windows\explorer.exe [REMARQUE] Le processus n'est pas visible. La recherche sur les processus démarrés commence : Processus de recherche 'rsmsink.exe' - '28' module(s) sont contrôlés Processus de recherche 'msdtc.exe' - '39' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '59' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '44' module(s) sont contrôlés Processus de recherche 'vssvc.exe' - '47' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '65' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '98' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '29' module(s) sont contrôlés Processus de recherche 'FxSvr2.exe' - '34' module(s) sont contrôlés Processus de recherche 'hpqtra08.exe' - '62' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '48' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '23' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '48' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '65' module(s) sont contrôlés Processus de recherche 'LogiTray.exe' - '53' module(s) sont contrôlés Processus de recherche 'LVCOMSX.EXE' - '32' module(s) sont contrôlés Processus de recherche 'hpcmpmgr.exe' - '34' module(s) sont contrôlés Processus de recherche 'HPWuSchd2.exe' - '15' module(s) sont contrôlés Processus de recherche 'SOUNDMAN.EXE' - '22' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '18' module(s) sont contrôlés Processus de recherche 'alg.exe' - '32' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés Processus de recherche 'MDM.EXE' - '22' module(s) sont contrôlés Processus de recherche 'avshadow.exe' - '25' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '32' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '49' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '54' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '33' module(s) sont contrôlés Processus de recherche 'sched.exe' - '45' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '55' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '37' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '31' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '148' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '39' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '52' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '13' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '57' module(s) sont contrôlés Processus de recherche 'services.exe' - '39' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '72' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD5 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'K:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '1018' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\System Volume Information\_restore{C748F27B-2F0C-4AB5-8816-C152070A0BDD}\RP19\A0005625.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\System Volume Information\_restore{C748F27B-2F0C-4AB5-8816-C152070A0BDD}\RP19\A0005626.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\System Volume Information\_restore{C748F27B-2F0C-4AB5-8816-C152070A0BDD}\RP19\A0005627.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen Recherche débutant dans 'D:\' Recherche débutant dans 'K:\' Début de la désinfection : C:\System Volume Information\_restore{C748F27B-2F0C-4AB5-8816-C152070A0BDD}\RP19\A0005627.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '45304d48.qua' ! C:\System Volume Information\_restore{C748F27B-2F0C-4AB5-8816-C152070A0BDD}\RP19\A0005626.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5da762ef.qua' ! C:\System Volume Information\_restore{C748F27B-2F0C-4AB5-8816-C152070A0BDD}\RP19\A0005625.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '0ff83807.qua' ! Fin de la recherche : mercredi 25 mai 2011 13:35 Temps nécessaire: 44:25 Minute(s) La recherche a été effectuée intégralement 5322 Les répertoires ont été contrôlés 370485 Des fichiers ont été contrôlés 3 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 3 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 370482 Fichiers non infectés 7739 Les archives ont été contrôlées 0 Avertissements 4 Consignes 232997 Des objets ont été contrôlés lors du Rootkitscan 1 Des objets cachés ont été trouvés

tracrium18 · Answer

J'ai supprimé la quarantaine.
as tu une idée pour réussir à ne plus avoir cette erreur d'application et sinon crois tu que mon ordi est encore infecté?
Sur mon disque dur externe il y a (première ligne avant les titres de films) écrit autorun.inf , est ce que c'est une infection? Ou juste un moyen de l'ouvrir? Est ce que je peux le supprimer?

tracrium · Answer

Bonsoir,
-j'ai purger la restauration système 
-j'ai crée un point de restauration sain manuellement 
-j'ai téléchargé le fichier KB890830 et je l'ai exécuté
-pour ce qui est de "explorer.EXE erreur d'application "
je peux  copier ou lire un fichier mais je ne peux pas supprimer la fenêtre devant le film si je l'a ferme tous disparait sur le bureau(icones et barre de tache bleue en bas et réapparait ensuite mais en fermant le disque dur externe
-j'ai mis les trois fichiers à jour 
USBSTOR.INF 
USBSTOR.PNF 
USBSTOR.SYS 
-j'ai téléchargé ce correctif pour les USB sur mon "Bureau" => script (~jean-marc~) mais ensuite en l'exécutant je crois que j'ai fais une bétise car il me dit:
"supprimer les périphériques USB en anomalie dans le gestionnaire de périphérique puis redemarrer"
Et moi je suis allée dans gestion des disques et j'ai fait clic droit "supprimer la partition" du disque K
Ensuite j'ai redémarré et quand j'ai branché mon disque dur externe il n'apparait plus!!!
Que dois je faire pour le retrouver?
Merci d'avance

tracrium · Answer

apparait dans poste de travail le logotiel d'installation wd smartware mais je n'ai plus my passeport !
http://www.cijoint.fr/cjlink.php?file=cj201105/cij8J8IDs3.png

tracrium18 · Answer

Non ce n'est pas le nom qui a changé j'ai toujours eu les deux lettres, une pour "my passeport" avec tout le contenu(surtout des films) et une lettre pour "WD smartware" le logitiel d'installation" necessaire pour ce disque dur(il fait 614 Mo).
http://www.cijoint.fr/cjlink.php?file=cj201105/cijj0E7FQ2.png

Dans la gestion des disques apparait seulement "wd smartware" puisque que la dernière fois j'ai fait clic droit sur "my passeport" et supprimer la partition donc disparu!!
Tu veux que je recopie les 3 fichiers USBSTOR dans "wd smlarware"???
Juste un copier/collé à la racine?

tracrium18 · Answer

j'ai cherché sur des forums et j'ai réussi à récupérer "my passeport" avec le logitiel "testdisk" , ouf j'ai récupérer tous mes films ! 
Par contre le même problème subsiste, toujours la même erreur d'application et à l'ouverture du disque une fenêtre d'avira s'ouvre avec la lettre "L" de "my passeport" et m'indiquant "autorun bloqué".

tracrium18 · Answer

J'ai réessayé usb generique et quand j'ai redemarré mon pv voila comment était l'écran:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijXj9lWbS.png
et impossible d'accéder à internet car une erreur avec flash 10q.ocx
bref, j'ai fait une restauration système à la date d'hier et heuresement tout est rentré dans l'ordre

tracrium18 · Answer

A 2 reprises lors d'une visite sur le net, une fenêtre d'erreur s'ouvre:
"l'instruction à 0x1806655 emploie l'adresse mémoire 0xe8057410 la mémoire ne peut pas être "read". Cliquer sur ok pour terminer le programme. Cliquer sur annuler pour débloquer le programme.

tracrium18 · Answer

dans la petite fenêtre tu tapes sfc/scannow :
ça ne fonctionne pas , il me note dans une fenêtre:
"windows ne trouve pas  sfc/scannow vérifier que vous avez entré le nom correctement et essayer à nouveau"
Est ce que je fais avec "chkdsk/F" quand même?

tracrium18 · Answer

tu tapes sfc/scannow : voilà la fenêtre qui s'ouvre:
"les fichiers nécessaires au fonctionnement de windows doivent être copiés dans le dossier DLL cache.
Insérer votre windows xp professional service pack 3cd"

et pour le deuxième = chkdsk_d:_/f_/r  voilà ce que ça dit:

"le type du système de fichiers est NTFS
impossible de verouiller le secteur en cours.
CHKDSK ne peut pas s'exécuter parce que le volume est utilisé par un autre processus.voulez vous que ce volume soit vérifié au prochail redémarrage du système? (O/N)"

Que dois je faire?

tracrium18 · Answer

c'est Ok j'ai inséré le cd et j'ai fait O pour "chkdsk".
il y a eu 5 étapes et RAS .
il y a toujours erreur d'application à l'ouverture du disque dur externe.

tracrium18 · Answer

J'ai déjà essayé  de suivre ce message 
http://www.commentcamarche.net/forum/affich-14543556-wd-my-passeport-320-gb#top 
Rien ni fait et de toute façon je ne passe pas par le logitiel WD pour transferer les dossiers donc je ne souhaite pas le supprimer.

Ensuite je suis allée voir le logiciel "vcd manager" avec ton lien mais cela ne fonctionne pas il y a un problème "l'installation NET..... a échoué..."
D'autres idées?

tracrium18 · Answer

voici une nouvelle fenêtre avec une erreur sans brancher de périphérique ou faire quelque chose , fenêtre qui s'est ouverte spontanément:
ERROR
the application module
d:\program files\avira\antivir destop\ccquamgr.dll
cannot be found or has been modified or destroyed
the AVGNT.EXE cannot be started.
please cheek your installation
OK

Une idée ?

tracrium18 · Answer

oui:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijAdW2z6d.png

Que dois je faire ? je le supprime?

vieu bison boiteu · Answer

Faire analyse le fichier sur = https://www.virustotal.com/gui/ 

cliquer sur "Parcourir..." , pour aller chercher le fichier 
D:\Program Files\Avira\AntiVir Desktop\ccquamgr.dll 

le sélectionner et "Ouvrir" , puis sur "Send file" 
sur la page de résultat , dire "Reanalyse" 
laisser travailler , et apparaitra la page de résultat d'analyse 
copier l' URL qui est dans la barre d' adresse 
http://www.virustotal.com/file-scan/report.html?id=1b414db407b460e69a533acab4cfcff7f4e716610723352770b7811659524088-1306876566 
et la coller dans la réponse 
pas de lien sur page web en anglais , je vole déjà assez tout seul

tracrium18 · Answer

voici:
http://www.virustotal.com/file-scan/report.html?id=111535b56ec21b9f579f55c6ff87a1693597b2ec22a9939230392bee9a5e913f-1306915048

tracrium18 · Answer

ok , c'est fait .
Merci pour ton aide .
Pour ce qui est de l'ouverture de mon disque dur externe cela n'est toujours pas résolu il y a toujours cette erreur d'application mais cela ne m'empèche pas de faire mes copier coller dedans .

tracrium18 · Answer

je ne peux pas vider le HDD car je n'ai pas 400 go d'espace  libre sur mon pc.
Et puis je ne sais pas recréer les partitions .
Bon merci pour aide depuis le début , je vais garder cette erreur d'application, tempis.

tracrium18 · Answer

En fait je pense qu'il n'y a peut être pas de rapport avec mon disque dur externe car j'ai mis un film dans "mes documents" et lorsque j'ouvre ce dossier arrive la fenêtre avec presque le même message d'erreur :

"explorer.EXE erreur d'application 
l'exception instruction non autorisée 
tentative d'exécution d'une instruction interdite(oxcooooo1d) s'est produite dans l'application à l'emplacement oxob6f7d05 "

Le changement c'est dans les lettres de l'emplacement .
Peut être devrais je ouvrir un autre post avec ce message d'erreur?
Qu'en penses tu?

Disque dur externe infecté par autorun

39 réponses

Discussions similaires

Newsletters