Troyen Chunky, est-il bien supprimé ?

Résolu/Fermé

Arno - 15 juin 2010 à 20:30
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 30 juin 2010 à 23:53

Bonjour à tous,

voici mon souci : hier je me suis aperçu que j'avais un processus bizarre qui tournait car le processeur de mon portable était à 60% d'utilisation et mon disque n'arrêtait pas de "gratter". Impossible de le stopper via le gestionnaire de tâches, j'ai du utiliser la commande tskill. Je me suis aperçu ensuite qu'il s'était installé dans les programmes au démarrage de windows (XP). Bien sûr dans le répertoire indiqué, le programme en question était invisible. J'ai installé Avira, qui me l'a dégagé... à priori.

Il a été détecté comme un troyen (TR/Chinky.B), la description qui s'en rapproche le plus dans le catalogue des virus d'Avira c'est le troyen Chinky.X.

Ce qui me fait un peu peur c'est ça :
" L'injection du code viral dans d'autres processus : Il injecte une routine porte dérobée dans un processus: Il est injecté à tous les processus."

Comment savoir si je suis bien débarrassé de ce truc, et si il n'est pas passé dans un processus windows de base sans que l'antivirus le détecte ?

Sachant que je n'avais pas d'antivirus (désolé) mais un firewall (SPF), le troyen n'a théoriquement pas pu transmettre de données car le firewall l'aurait détecté, non ?

Je vous joins le résultat de mon scan HiJackThis, après avoir fait un nettoyage complet du PC avec Avira (là je suis sur mon PC fixe, qui a lui aussi été infecté de la même manière)...

Ci dessous le fameux malicieux, la base de registre y fait encore référence car Avira n'a pas nettoyé la liste des programmes au démarrage :
O4 - HKCU\..\Run: [liurop] C:\Documents and Settings\Arno\liurop.exe

Voici le log complet (je le mets pour info, au cas où, j'utilise windows avec un Mac, d'où le Bootcamp.exe) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:09, on 15/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Boot Camp\Bootcamp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\AppleOSSMgr.exe
C:\WINDOWS\system32\AppleTimeSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Apple_KbdMgr] C:\Program Files\Boot Camp\Bootcamp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [liurop] C:\Documents and Settings\Arno\liurop.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Apple OS Switch Manager (AppleOSSMgr) - Unknown owner - C:\WINDOWS\system32\AppleOSSMgr.exe
O23 - Service: Apple Time Service (AppleTimeSrv) - Apple Inc. - C:\WINDOWS\system32\AppleTimeSrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

A voir également:

Troyen Chunky, est-il bien supprimé ?
Recuperer message whatsapp supprimé - Guide
Comment supprimer un fichier qui refuse d'être supprimé - Guide
Pourquoi il m'a supprimé de snap ✓ - Forum Snapchat
Confirmez qu'il s'agit bien de vous - Forum Gmail
Juliette a supprimé l'icône encadrée de son bureau. que peut-on dire - Forum Windows 7

21 réponses

Réponse 1 / 21

Arno
Modifié par Arno le 15/06/2010 à 20:35

--
End of file - 5620 bytes

Voilà !
Merci d'avance du temps que vous voudrez bien m'accorder.

Arno

Réponse 2 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 15/06/2010 à 22:51

Bonjour tu as peut-être une infection Vundo.
Vundo (également appelé Virtumonde) est un adware, c'est-à-dire un programme dont la fonction est d'afficher des publicités. Il n'est pas à proprement parler malicieux mais ses méthodes en font un logiciel assurément douteux, dans la mesure où il affiche des fenêtres publicitaires intempestives en faisant souvent la promotion de logiciels douteux tels que Spyware Secure et où il utilise diverses techniques pour tenter d'empêcher sa désinstallation

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ccownu
15 juin 2010 à 22:13

l'infection Vendo ou vundo est protéger des logiciel tels que malwarebytes et hijackthis car il reconnait les processus lancée et "s'endort" pour se rendre invisible au scan mais si tu télécharge HijackThis et que tu le renomme par exemple 123.exe le scan passera outre la protection dressé par vendo

Réponse 3 / 21

Arno
15 juin 2010 à 22:08

Merci pour la rapidité de ta réponse, je vais faire ça tout de suite.

Réponse 4 / 21

Arno
15 juin 2010 à 22:40

Voici :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4201

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/06/2010 22:37:02
mbam-log-2010-06-15 (22-37-02).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 170518
Temps écoulé: 23 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
15 juin 2010 à 22:50

On va faire un autre diagnostic plus poussé de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

Réponse 6 / 21

Arno
Modifié par Arno le 15/06/2010 à 23:18

Merci. Voici le log de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijgyH4U68.txt

PS: j'ai executé vundofix au cas où et il n'a rien trouvé. Avant lui (et avant Malewarbyte) Avira a trouvé et nettoyé 4 fichiers avec le troyen Chinky.B.
Avec HiJackThis j'ai supprimé l'entrée dans la base de registre.

Arno

Réponse 7 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
16 juin 2010 à 01:05

Il faut éviter de passer des outils autres que ce que l'on te conseille quand on fait une désinfection, pour la simple raison que celui qui t'aide est perdu dans les rapports demandés et ne sait plus à quoi se fier.
De plus tu utilises des outils comme VundoFix qui ne sont plus mis à jour depuis longtemps. Si tu veux que je continue à t'aider, évite d'utiliser des outils ou programmes comme cela au hasard, sinon tu le fais tout seul.

Fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Smart

Réponse 8 / 21

Arno
Modifié par Arno le 16/06/2010 à 20:22

Ok. Voici le rapport d'USB Fix :

############################## | UsbFix 7.010 | [Recherche]

Utilisateur: Arno (Administrateur) # C8B1589848 [ ]
Mis à jour le 14/06/2010 par El Desaparecido / C_XX
Lancé à 20:16:10 | 16/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E7600 @ 3.06GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E7600 @ 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: Sunbelt Personal Firewall 4.6.1861 T [Enabled]
RAM -> 3047 Mo
C:\ (%systemdrive%) -> Disque fixe # 464 Go (425 Go libre(s) - 92%) [BOOTCAMP] # NTFS
D:\ -> Disque fixe # 298 Go (36 Go libre(s) - 12%) [My Passport] # FAT32
E:\ -> CD-ROM
G:\ -> Disque fixe # 467 Go (446 Go libre(s) - 96%) [Macintosh HD] # HFS
H:\ -> CD-ROM
I:\ -> Disque fixe # 298 Go (74 Go libre(s) - 25%) [My Passport] # FAT32

################## | Éléments infectieux |

Présent! C:\DOCUME~1\Arno\LOCALS~1\Temp\xmlUpdater.exe
Présent! C:\Documents and Settings\Arno\autorun.inf
Présent! C:\Recycler\S-1-5-21-1417001333-113007714-839522115-1003

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\I
Shell\AutoRun\Command = I:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{afb21e56-3e8c-11df-9c28-60fb42f1a846}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL LIUrOP.Exe

HKCU\.\.\.\.\Explorer\MountPoints2\{c468c502-473a-11df-9c3f-00264aa63ea1}
Shell\AutoRun\Command = H:\install.exe /AUTORUN
Shell\configure\Command = H:\install.exe
Shell\install\Command = H:\install.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fb8a1480-748f-11df-9c61-00264aa63ea1}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MpHaOx.EXE

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Réponse 9 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
16 juin 2010 à 20:27

OK.
On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Smart

Réponse 10 / 21

Arno
16 juin 2010 à 20:56

Voilà c'est fait :

############################## | UsbFix 7.010 | [Suppression]

Utilisateur: Arno (Administrateur) # C8B1589848 [ ]
Mis à jour le 14/06/2010 par El Desaparecido / C_XX
Lancé à 20:34:28 | 16/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E7600 @ 3.06GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E7600 @ 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: Sunbelt Personal Firewall 4.6.1861 T [Enabled]
RAM -> 3047 Mo
C:\ (%systemdrive%) -> Disque fixe # 464 Go (425 Go libre(s) - 92%) [BOOTCAMP] # NTFS
D:\ -> Disque fixe # 298 Go (37 Go libre(s) - 13%) [My Passport] # FAT32
E:\ -> CD-ROM
G:\ -> Disque fixe # 467 Go (446 Go libre(s) - 96%) [Macintosh HD] # HFS
H:\ -> CD-ROM
I:\ -> Disque fixe # 298 Go (74 Go libre(s) - 25%) [My Passport] # FAT32

################## | Éléments infectieux |

Supprimé! C:\DOCUME~1\Arno\LOCALS~1\Temp\xmlUpdater.exe
Supprimé! C:\Documents and Settings\Arno\autorun.inf
Supprimé! C:\Recycler\S-1-5-21-1417001333-113007714-839522115-1003

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\I
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c468c502-473a-11df-9c3f-00264aa63ea1}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fb8a1480-748f-11df-9c61-00264aa63ea1}

################## | Listing |

(contenu des disques que j'ai retiré )

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

Réponse 11 / 21

Arno
Modifié par Arno le 16/06/2010 à 21:26

Hum ! Bon j'espère que je ne vais pas me faire taper sur les doigts, mais j'ai relancé une détection après la suppression par acquis de conscience.... :-)

... et USBFix détecte encore cet élément qui fait de la résistance :

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1417001333-113007714-839522115-1003

EDIT : je lui ai fait la peau en ligne de commande. Il s'agissait d'un fichier Desktop.ini bien caché. Pour l'outil tout est clean maintenant.

Réponse 12 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 16/06/2010 à 22:07

"je lui ai fait la peau en ligne de commande"

Hé bien tu prends des risque sans t'y connaitre.
En plus ton rapport est icomplet et je ne sais pas ce que tu as fait avec USBFix mode suppression et vaccination.

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 13 / 21

Arno
Modifié par Arno le 16/06/2010 à 22:49

Je n'ai fait que modifier les attributs du fichier détecté comme infectieux pour pouvoir l'effacer !

Tu dis
"je ne sais pas ce que tu as fait avec USBFix mode suppression et vaccination."

J'ai bien fait la suppression (je n'ai fais rien d'autre), et le log de suppression est celui que j'ai posté deux messages plus haut. Comme indiqué j'ai retiré le contenu de mes disques (assez long), en voici la version intégrale :

(nb : je n'ai pas fait "vaccination", seulement "suppression", bien qu'a la fin du log il y ai une rubrique "Vaccin")

############################## | UsbFix 7.010 | [Suppression]

Utilisateur: Arno (Administrateur) # C8B1589848 [ ]
Mis à jour le 14/06/2010 par El Desaparecido / C_XX
Lancé à 20:34:28 | 16/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E7600 @ 3.06GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E7600 @ 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: Sunbelt Personal Firewall 4.6.1861 T [Enabled]
RAM -> 3047 Mo
C:\ (%systemdrive%) -> Disque fixe # 464 Go (425 Go libre(s) - 92%) [BOOTCAMP] # NTFS
D:\ -> Disque fixe # 298 Go (37 Go libre(s) - 13%) [My Passport] # FAT32
E:\ -> CD-ROM
G:\ -> Disque fixe # 467 Go (446 Go libre(s) - 96%) [Macintosh HD] # HFS
H:\ -> CD-ROM
I:\ -> Disque fixe # 298 Go (74 Go libre(s) - 25%) [My Passport] # FAT32

################## | Éléments infectieux |

Supprimé! C:\DOCUME~1\Arno\LOCALS~1\Temp\xmlUpdater.exe
Supprimé! C:\Documents and Settings\Arno\autorun.inf
Supprimé! C:\Recycler\S-1-5-21-1417001333-113007714-839522115-1003

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\I
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c468c502-473a-11df-9c3f-00264aa63ea1}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fb8a1480-748f-11df-9c61-00264aa63ea1}

################## | Listing |

[08/06/2010 - 22:17:48 | D ] C:\13b4b852ee078c1e3c3a0c63
[31/03/2010 - 21:20:41 | A | 0] C:\AUTOEXEC.BAT
[31/03/2010 - 23:03:59 | A | 120] C:\BCUIUpdate.log
[31/03/2010 - 21:14:47 | SH | 212] C:\boot.ini
[28/09/2001 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[15/06/2010 - 20:51:13 | SHD ] C:\Config.Msi
[31/03/2010 - 21:20:41 | A | 0] C:\CONFIG.SYS
[31/03/2010 - 21:30:06 | D ] C:\d677318685a6e850ec696f40de033c
[31/03/2010 - 21:24:09 | D ] C:\Documents and Settings
[15/06/2010 - 20:51:16 | ASH | 3195392000] C:\hiberfil.sys
[15/06/2010 - 20:36:45 | D ] C:\HiJackThis
[14/05/2010 - 16:16:53 | D ] C:\IcyBox
[31/03/2010 - 21:29:19 | D ] C:\Intel
[31/03/2010 - 21:20:41 | RASH | 0] C:\IO.SYS
[31/03/2010 - 21:20:41 | RASH | 0] C:\MSDOS.SYS
[03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
[03/08/2004 - 22:59:44 | RASH | 251712] C:\ntldr
[15/06/2010 - 20:51:13 | ASH | 2145386496] C:\pagefile.sys
[15/06/2010 - 23:00:58 | RD ] C:\Program Files
[16/06/2010 - 20:36:43 | SHD ] C:\RECYCLER
[08/04/2010 - 23:53:14 | A | 2034] C:\RHDSetup.log
[18/04/2010 - 07:54:20 | SHD ] C:\System Volume Information
[16/06/2010 - 20:36:43 | D ] C:\UsbFix
[16/06/2010 - 20:36:45 | A | 1764] C:\UsbFix.txt
[15/06/2010 - 22:51:08 | D ] C:\VundoFix Backups
[15/06/2010 - 22:57:01 | A | 159] C:\VundoFix.txt
[24/04/2010 - 01:32:32 | D ] C:\wamp
[15/06/2010 - 20:51:59 | D ] C:\WINDOWS
[21/03/2009 - 14:32:46 | SHD ] D:\FOUND.000
[09/05/2010 - 20:05:04 | D ] D:\timeshift
[08/05/2010 - 21:14:56 | D ] D:\record
[12/04/2008 - 20:44:06 | SHD ] D:\Recycled
[12/04/2008 - 20:44:06 | SHD ] D:\System Volume Information
[30/03/2010 - 20:21:25 | N | 8192] G:\.DS_Store
[25/06/2009 - 22:02:00 | N | 0] G:\.file
[13/06/2010 - 16:05:06 | ND ] G:\.fseventsd
[02/10/2009 - 19:04:25 | ND ] G:\.HFS+ Private Directory Data

[17/10/2009 - 23:05:01 | N | 65536] G:\.hotfiles.btree
[02/10/2009 - 19:04:26 | N | 83886080] G:\.journal
[02/10/2009 - 19:04:25 | N | 4096] G:\.journal_info_block
[02/10/2009 - 20:00:01 | ND ] G:\.Spotlight-V100
[02/10/2009 - 20:09:37 | ND ] G:\.Trashes
[18/05/2009 - 20:29:24 | ND ] G:\.vol
[17/04/2010 - 11:48:23 | N | 131072] G:\.VolumeIcon.icns
[11/04/2010 - 21:06:43 | ND ] G:\Applications
[30/03/2010 - 20:37:17 | ND ] G:\bin
[25/06/2009 - 22:01:54 | ND ] G:\cores
[25/06/2009 - 22:01:54 | ND ] G:\dev
[02/10/2009 - 19:14:27 | N | 4096] G:\etc
[02/03/2010 - 19:40:26 | N | 4096] G:\Guides de l'utilisateur et informations
[17/10/2009 - 23:05:21 | ND ] G:\home
[18/04/2010 - 20:56:43 | ND ] G:\Library
[26/02/2010 - 21:59:52 | N | 18661376] G:\mach_kernel
[17/10/2009 - 23:05:21 | ND ] G:\net
[25/06/2009 - 22:01:54 | ND ] G:\Network
[02/10/2009 - 19:17:16 | ND ] G:\private
[30/03/2010 - 20:37:22 | ND ] G:\sbin
[30/03/2010 - 21:00:06 | ND ] G:\System
[02/10/2009 - 19:14:27 | N | 4096] G:\tmp
[30/03/2010 - 20:28:41 | ND ] G:\Users
[02/10/2009 - 19:25:50 | ND ] G:\usr
[02/10/2009 - 19:14:27 | N | 4096] G:\var
[13/06/2010 - 16:58:14 | ND ] G:\Volumes
[29/11/2009 - 12:39:34 | D ] I:\MUSIQUE
[04/11/2009 - 20:53:44 | D ] I:\SERIES
[28/11/2009 - 23:45:22 | D ] I:\NEW MUSIQUE
[11/04/2010 - 20:40:34 | D ] I:\timeshift
[11/04/2010 - 20:41:24 | D ] I:\record
[04/10/2008 - 23:54:30 | SHD ] I:\System Volume Information
[05/10/2008 - 00:00:36 | SHD ] I:\Recycled
[11/02/2009 - 22:09:08 | D ] I:\INSTALLATION
[22/02/2009 - 20:21:16 | D ] I:\LOISIRS
[22/02/2009 - 20:28:02 | D ] I:\SAUVEGARDES
[22/02/2009 - 20:32:18 | D ] I:\TRAVAIL
[22/02/2009 - 21:15:42 | D ] I:\GPS
[22/02/2009 - 20:02:00 | D ] I:\PHOTOS
[01/03/2009 - 16:21:12 | SHD ] I:\$RECYCLE.BIN
[25/09/2009 - 23:09:32 | D ] I:\FILMS CHRIS
[22/02/2009 - 20:20:10 | D ] I:\DIVERS
[25/10/2009 - 18:36:18 | D ] I:\VRAC

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

PS: C'est sympa de m'aider quand même !!

Réponse 14 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 16/06/2010 à 23:14

"PS: C'est sympa de m'aider quand même"

Mais c'est mon plaisir d'aider les profanes, c'est pour cela que je le fais bénévolement et surtout de les conseiller à ne pas faire les mêmes erreurs en allant sur internet
En revanche quand nous aidons , il est vrai que, nous les helpers, nous vous faisons utiliser des outils que nous maitrisons et les rapports nous indiquent beaucoup de chose. Si entre temps l'helpé passe ses outils ou fait des commandes de suppression, il est sera difficile pour nous de nous y retrouver.
Pour le moi le rapport de suppressions de USBFix m'a donné beaucoup d'informations, que je n'avais pas dans ta réponse précédente.
Bon voilà après ces explications:
Refais un scan ZHPDiag et poste le rapport dans ta prochaine réponse

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 15 / 21

Arno
21 juin 2010 à 19:11

Hello ! Je suis de retour, voici le log de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijSt8DiRH.txt

Arno

Réponse 16 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
21 juin 2010 à 21:57

Comment se comporte ton PC ? As-tu toujours les mêmes problèmes?
Sinon on peut passer à l'optimisation et la désinstallation des outils de désinfection

Smart

Réponse 17 / 21

Arno
22 juin 2010 à 21:34

A priori je n'ai plus de souci. Plus de process suspect, ni de message d'erreur.

Arno.

Réponse 18 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
23 juin 2010 à 10:26

Vérifie la mise à jour de ton antivirus et tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Désinstalle également le DAEMON Tools Toolbar, sauf si tu la veux abolument, lis le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires:

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

- Par rapport au P2P : http://www.libellules.ch/...

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour c'est terminé, si tu as des questions n'hésite pas.

Smart

Arno
Modifié par Arno le 23/06/2010 à 21:22

Hello,

j'ai effectué les opérations.

Une dernière chose toutefois j'ai fais un dernier scan avec Avira : pas de fichier suspect, en revanche je reçois quelques avertissements de ce type dans le rapport :

"C:\WINDOWS\NiwradSoft Shell Pack\Tools\Reloader.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !"

"C:\System Volume Information\_restore{68720565-314A-412F-9EFB-50ADF096D0D1}\RP25\A0008678.exe
[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !"

Le premier fichier fait partie d'un thème pour XP. Ces fichiers scannés avec MBAM ne lève aucune alerte...

Faut-il s'en inquiéter ?

Arno.

Réponse 19 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
23 juin 2010 à 22:19

Est-ce que tu as bien désactivé la restauration système et ensuite créer un nouveau point de restauration ?

Smart

Réponse 20 / 21

Arno
30 juin 2010 à 23:00

Hello,

désolé je me suis absenté une petite semaine... Oui j'ai bien créé le point de restauration. Par ailleurs je relance l'antivirus de temps à autres et plus rien à signaler.

Pour moi le problème est résolu. Encore merci pour ton aide et ta patience :-)

Arno

Discussions similaires

cette phrase est elle correcte

Vérifier que le server freebox est bien connecté à internet

Whatsapp: différences entre bloquer et supprimer contact

Arnaques sur annonce le bon coin

Message récurent de Google : Nos systèmes ont détecté un trafic exceptionnel sur

Discussions similaires

Newsletters