Sujet Précédent Sujet Suivant

IE cachée, baisse du volume et process system

Résolu/Fermé
Pimouss_Epita - 12 juil. 2010 à 20:21
 pimouss_epita - 19 juil. 2010 à 17:58
Bonsoir a tous, je viens à vous car je rencontre de sérieux soucis avec l'ordinateur de ma mère actuellement. Elle a fait appel a moi car je suis plus a même de m'occuper de ses problèmes, mais j'avoue sêcher...

D'une part, lors d'un scan minutieux avast, je trouve des infections sur des processus systèmes, comme services.exe . Forcément, cela pose quelque problèmes car d'une part il est impossible de kill ces process, et d'autre part, ils sont présents même en mode sans échec.

D'autre part, le volume se baisse automatiquement au bout de quelques minutes ( OS : Windows xp), en réalité, c'est seulement la glissière de "Son wave" qui se met a 0. J'ai réinstallé les drivers audio non sans problèmes, mais après avoir réussi, le problème était toujours présent.
C'est a ce moment que j'ai entendu en remontant le volume le son d'une pub betclick souvent présente sur les sites webs ( un genre de haletement de chien). J'me suis donc intéressé aux processus ouvert, et j'ai vu que deux instances d'internet explorer étaient lancées et étaient cachées.

Serait-il possible d'avoir un peu d'aide pour ces problèmes un poil "génants" ? Merci.
A voir également:

41 réponses

Réponse 1 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 12/07/2010 à 20:44
hello,


infection sérieuse et coriace ( TR\Vilsel - Whistler Bootkit ) ...


je trouve des infections sur des processus systèmes, comme services.exe

> où très exactement se trouve ce process selon ton antivirus ?



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



commence par faire ceci pour avoir un diagnostique précis du PC :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!


> Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" .

> A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ... ( cela peut-être relativement long )


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

Ferme le programme ...



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 2 / 41
Pimouss_Epita
12 juil. 2010 à 21:37
Merci Ske69 de te préoccuper de mon problème.

Avast situe :

Services.exe comme étant une haute menace (Win32:Cycler-Q[Trj]) situé :
C:\System Volume Information\Microsoft\services.exe

L'autre process étant virusé étant "smss.exe".

Voici le lient cijoint :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijrjZy7Yl.txt

Merci encore de l'aide apportée !
0
Réponse 3 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 12/07/2010 à 22:15
bien ....



infection via support amovible en plus ... Y a du boulot ... ^^"




commence par ceci dans l'ordre :



1- Désonstalle proprement Ad-Aware depuis le panneau de config / "ajout et supp de prg " .

Inutile face aux nouvelles menaces ... de plus il alourdit le systeme et la navigation ...



======================


2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


C:\System Volume Information\Microsoft\services.exe  
C:\System Volume Information\Microsoft\smss.exe  
C:\System Volume Information\Microsoft 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-2:2321 
O64 - Services: CurCS - (.not file.) - SAVRTPEL (SAVRTPEL)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SAVRTPEL    
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI  
O43 - CFD:Common File Directory ----D- C:\Program Files\Symantec       
[HKCU\Software\Symantec] 
[HKLM\Software\Symantec]



Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



============================

3- Télécharge bootkit_remover :
> http://www.esagelab.com/files/bootkit_remover.rar

* Extrait le contenu de l'archive sur ton bureau.
* ! Désactive ton antivirus et ferme toutes applications en cours !
* Lance l'outil.
* Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


note :
pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"

En image ici > http://img37.imageshack.us/img37/3338/br1n.jpg

Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

Il suffit ensuite de le "coller" sur le forum ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 4 / 41
Pimouss_Epita
12 juil. 2010 à 22:51
Voici le rapport cijoint du Fix :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijuwGQmH8.txt

Et voici le copié/collé de la fenetre remover.exe


Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: bfa611d5fe300f883a84a4fd7447f26b

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 12/07/2010 à 23:22
bon ...



la suite :


Créer un doc texte sur ton bureau :

* Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Ensuite copie/colle le texte ci-dessous ( et rien d'autre ! ) dans le fichier texte que tu viens de créer : 


@ECHO OFF 
START remover.exe fix \\.\PhysicalDrive0 
EXIT



* Sauvegarde le document sur ton bureau :
Va sur "fichier"/"enregistrer sous" :
-> Nom du fichier, tu tapes : fix.bat
Type de fichier, tu choisis : "tous les fichiers"
-> clique sur "enregistrer"
( le .bat à la fin est important )

! Désactive ton antivirus et ferme toutes applications en cours !

* Double clique sur fix.bat > ça doit ouvrir une fenêtre noir qui va se refermer.

* Une fois finit, une nouvelle fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse et attends la suite ...


Note :
si après avoir lancer fix.bat, une fenêtre apparait avec le message suivant :
Its strongly recommended to reboot immediately after the disinfection
Otherwise the malicious boot code can be restored by the trojan etc...
> clique sur [Yes] afin que l'outil redémarre le PC et qu'il puisse terminer le nettoyage .



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 6 / 41
pimouss_epita
12 juil. 2010 à 23:30
Voici le contenu de la fenetre DOS :

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

Restoring boot code at \\.\PhysicalDrive0...
OK

Press any key to quit...
0
Réponse 7 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
12 juil. 2010 à 23:49
bien ...


on est Ok de ce côté là ...


Tiens moi aucourant si tu as de nouveau des alertes d' Avast concernant les process services.exe et smss.exe


autre chose , c'est quoi ce prg exactement > cwRsync Server ? ...



On continue ... dans l'ordre :


1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )




2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Program Files\cwRsyncServer\bin\rsync.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\Documents and Settings\SvcwRsync\Application Data\Microsoft\jyquofes.exe

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fait la suite ...


=============================

3- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Clique sur le bouton [ Recherche ] .

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html




0
Réponse 8 / 41
pimouss_epita
13 juil. 2010 à 00:03
Voici le compte rendu pour l'analyse de rsync.exe par virustotal:

Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.12 -
AhnLab-V3 2010.07.13.00 2010.07.12 -
AntiVir 8.2.4.10 2010.07.12 -
Antiy-AVL 2.0.3.7 2010.07.12 -
Authentium 5.2.0.5 2010.07.12 -
Avast 4.8.1351.0 2010.07.12 -
Avast5 5.0.332.0 2010.07.12 -
AVG 9.0.0.836 2010.07.12 -
BitDefender 7.2 2010.07.12 -
CAT-QuickHeal 11.00 2010.07.12 -
ClamAV 0.96.0.3-git 2010.07.12 -
Comodo 5407 2010.07.12 -
DrWeb 5.0.2.03300 2010.07.12 -
eSafe 7.0.17.0 2010.07.11 -
eTrust-Vet 36.1.7700 2010.07.12 -
F-Prot 4.6.1.107 2010.07.11 -
F-Secure 9.0.15370.0 2010.07.12 -
Fortinet 4.1.143.0 2010.07.11 -
GData 21 2010.07.12 -
Ikarus T3.1.1.84.0 2010.07.12 -
Jiangmin 13.0.900 2010.07.12 -
Kaspersky 7.0.0.125 2010.07.12 -
McAfee 5.400.0.1158 2010.07.12 -
McAfee-GW-Edition 2010.1 2010.07.12 -
Microsoft 1.5902 2010.07.12 -
NOD32 5273 2010.07.12 -
Norman 6.05.11 2010.07.12 -
nProtect 2010-07-12.01 2010.07.12 -
Panda 10.0.2.7 2010.07.12 -
PCTools 7.0.3.5 2010.07.12 -
Prevx 3.0 2010.07.12 -
Rising 22.56.00.04 2010.07.12 -
Sophos 4.55.0 2010.07.12 -
Sunbelt 6571 2010.07.12 -
SUPERAntiSpyware 4.40.0.1006 2010.07.12 -
Symantec 20101.1.0.89 2010.07.12 -
TheHacker 6.5.2.1.312 2010.07.12 -
TrendMicro 9.120.0.1004 2010.07.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.12 -
VBA32 3.12.12.6 2010.07.12 -
ViRobot 2010.7.12.3932 2010.07.12 -
VirusBuster 5.0.27.0 2010.07.12 -
Information additionnelle
File size: 260608 bytes
MD5...: 606852391343a319746db8daa1a114c9
SHA1..: 03fb6f4418f9c7e145046f986d7d2febf9a31027
SHA256: 36aadfa2686ee8227f92ca5530c59feb2d6a064397a5e9c0771a0a124e64b435
ssdeep: 6144:/UHNAtdMD78N3HcCtXgyW6h+mHHHTB05mhbMqrFTB8:6NAjq7c3HcgQytHr
rFT
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x434c4922 (Tue Oct 11 23:22:10 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x31c20 0x31e00 6.30 f4f73ffc43d23c83f2883371e1b88535
.data 0x33000 0x15f0 0x1600 2.61 5850c577294cdde831edea5df861acb3
.rdata 0x35000 0xb190 0xb200 6.15 ba3d41c9b2d65933bdcbb499a1ad19c9
.bss 0x41000 0x30e0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x45000 0xfd8 0x1000 4.82 6cb3d6e18f3eaa36deea81b54eb4dbca

( 2 imports )
> cygwin1.dll: __errno, __getreent, __main, _ctype_, _exit, _fcntl64, _fopen64, _fstat64, _ftruncate64, _getegid32, _geteuid32, _getgrgid32, _getgrnam32, _getgroups32, _getpwuid32, _getuid32, _impure_ptr, _lchown32, _lseek64, _lstat64, _mknod32, _open64, _setgid32, _setgroups32, _setuid32, _stat64, accept, access, asctime, asprintf, atof, atoi, bind, calloc, chdir, chmod, chroot, close, closedir, connect, cygwin_internal, dll_crt0__FP11per_process, dup, dup2, execvp, exit, fchmod, fclose, fflush, fork, fprintf, fputc, fread, free, fwrite, getc, getcwd, getenv, gethostbyaddr, gethostbyname, getpass, getpeername, getpgrp, getpid, getpwnam, getservbyname, getservbyport, getsockname, getsockopt, gettimeofday, glob, globfree, h_errno, inet_ntop, inet_pton, kill, link, listen, localtime, mallinfo, malloc, memcpy, memmove, memset, mkdir, mkstemp, opendir, openlog, qsort, read, readdir, readlink, realloc, rename, rmdir, select, setlocale, setmode, setsid, setsockopt, shutdown, signal, sleep, snprintf, socket, socketpair, sprintf, sscanf, strcasecmp, strchr, strcmp, strcpy, strdup, strerror, strftime, strlcat, strlcpy, strlen, strncasecmp, strncmp, strncpy, strpbrk, strrchr, strspn, strstr, strtod, strtok, strtol, symlink, sysconf, syslog, system, tcgetpgrp, time, umask, unlink, utime, vsnprintf, waitpid, write
> KERNEL32.dll: GetModuleHandleA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ 5.0 (50.3%)
Win32 Executable MS Visual C++ (generic) (31.2%)
Win32 Executable Generic (7.0%)
Win32 Dynamic Link Library (generic) (6.2%)
Win16/32 Executable Delphi generic (1.7%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


Je ne trouve pas le second fichier dont tu as parlé (ni en fichier visible, ni en fichier caché).

Pour cwRsync Server, je ne suis pas sur de ce que c'est. L'ordinateur était la station de travail de mon paternel avant, mais je crois savoir qu'il s'agit de ce que son service informatique avait mis sur son ordinateur.

Pour usbfix, je ne pourrais faire cela que demain, n'ayant pas acces aux périphériques externes ce soir.

Merci déja pour ton aide plus que bienvenue !!!
0
Réponse 9 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 13/07/2010 à 00:12
oki ...


donc pour demain , le rapport d'UsbFix ...

Puis dans la foulée , désinstalle ce fameux prg depuis le panneau de config / "ajout et supp de prg" > cwRsync Server




A demain ....


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 10 / 41
pimouss_epita
13 juil. 2010 à 12:12
Voici le rapport usbfix. Il me manque un DD externe que je n'aurais que ce soir.


############################## | UsbFix 7.016 | [Recherche]

Utilisateur: Pascale (Administrateur) # THIS [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 11:00:17 | 13/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 75 Go (38 Go libre(s) - 51%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 2 Go (2 Go libre(s) - 100%) [AEFCO] # FAT32
F:\ -> Disque amovible # 31 Mo (1 Mo libre(s) - 3%) [] # FAT
G:\ -> Disque fixe # 149 Go (97 Go libre(s) - 65%) [WD Passport] # FAT32

################## | Éléments infectieux |

Présent! F:\msvcr71.dll

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{73545120-1982-11df-a135-0000f0726f3f}
Shell\AutoRun\Command = E:\ZASLUZUJES///vrhpravi.exe
Shell\explore\Command = E:\ZASLUZUJES///vrhpravi.exe
Shell\open\Command = E:\ZASLUZUJES///vrhpravi.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e1d2eef1-2461-11df-a139-0000f0726f3f}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL aDMinIStrateur.exE


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



Petite question. lors du branchement une menace a été détectée et mise en quarantaine, auqu'un risque d'infection supplémentaire ?
Autre chose. Mon ordinateur a moi est sans doute déja rentré en contact avec ces disques/cles. Est il probablement infecté ?
0
Réponse 11 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 13/07/2010 à 12:17
Hello,


Autre chose. Mon ordinateur a moi est sans doute déja rentré en contact avec ces disques/cles. Est il probablement infecté ?


> il y a de forte chance ! ... on vera cela après ...

montre moi si possible ce qu'a mit ton AV en quarataine ...



Tu referas la manipe suivante avec ton DD externe qui manque dès que possible ....



Dans l'ordre :


1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu cliques sur le bouton [ Suppression ].

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Une fois le rapport posté , redémarre de suite ton PC pour que l'outil finisse le nettoyage !


Note : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide )


==========================

2- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...





"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 12 / 41
Pimouss_Epita
13 juil. 2010 à 12:33
Pour Avast :

Cheval de troie bloqué
Objet : C:\UsbFix\UsbFix.exe|>>>>>AUTOIT SCRIPT<<<<<<
Infection : Win32:VB-JI[Trj]
Action : Mise en quarantaine

Enfin c'est sans doute la menace dont tu m'avais parlé.
0
Réponse 13 / 41
pimouss_epita
Modifié par pimouss_epita le 13/07/2010 à 12:56
Lien cijoint Zhpdiag :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijWm71Lcd.txt

Rapport du fix :

############################## | UsbFix 7.016 | [Suppression]

Utilisateur: Pascale (Administrateur) # THIS [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 11:34:21 | 13/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 75 Go (38 Go libre(s) - 51%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 2 Go (2 Go libre(s) - 100%) [AEFCO] # FAT32
F:\ -> Disque amovible # 31 Mo (1 Mo libre(s) - 3%) [] # FAT
G:\ -> Disque fixe # 149 Go (97 Go libre(s) - 65%) [WD Passport] # FAT32

################## | Éléments infectieux |

Supprimé! F:\msvcr71.dll

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{73545120-1982-11df-a135-0000f0726f3f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e1d2eef1-2461-11df-a139-0000f0726f3f}

################## | Listing |

[22/03/2008 - 08:28:32 | D ] C:\1db14ce5decb5688d621000aa5ab
[26/12/2006 - 22:02:56 | D ] C:\3f4944f5be7d2c0711b6cd99f6628953
[01/02/2005 - 12:46:19 | D ] C:\Adobe
[18/08/2005 - 16:29:55 | D ] C:\ATILF-TLFI
[27/05/2004 - 09:14:06 | A | 0] C:\AUTOEXEC.BAT
[10/07/2010 - 18:08:52 | RASH | 216] C:\boot.ini
[24/04/2003 - 13:00:00 | RASH | 4952] C:\Bootfont.bin
[12/03/2005 - 12:18:15 | HD ] C:\CanoScan
[27/05/2004 - 09:14:06 | A | 0] C:\CONFIG.SYS
[11/10/2006 - 17:28:45 | D ] C:\Dell
[28/02/2006 - 19:24:43 | D ] C:\DHO
[25/12/2009 - 12:26:38 | D ] C:\Documents and Settings
[13/07/2010 - 11:30:27 | ASH | 535875584] C:\hiberfil.sys
[02/07/2006 - 08:12:14 | A | 1119] C:\INSTALL.LOG
[27/05/2004 - 09:14:06 | RASH | 0] C:\IO.SYS
[01/02/2005 - 12:46:50 | D ] C:\KPCMS
[23/04/2008 - 16:20:50 | D ] C:\Logs
[27/05/2004 - 09:14:06 | RASH | 0] C:\MSDOS.SYS
[31/01/2005 - 10:28:12 | RASH | 47564] C:\NTDETECT.COM
[25/12/2009 - 12:50:05 | RASH | 252240] C:\ntldr
[13/07/2010 - 11:30:26 | ASH | 805306368] C:\pagefile.sys
[12/07/2010 - 21:31:34 | RD ] C:\Program Files
[13/07/2010 - 11:38:20 | SHD ] C:\RECYCLER
[20/06/2010 - 12:13:12 | SHD ] C:\System Volume Information
[24/05/2001 - 11:59:30 | A | 162304] C:\UNWISE.EXE
[13/07/2010 - 11:38:21 | D ] C:\UsbFix
[13/07/2010 - 11:38:24 | A | 967] C:\UsbFix.txt
[13/07/2010 - 00:01:09 | D ] C:\WINDOWS
[12/07/2010 - 21:31:34 | A | 71728] C:\ZHPExportRegistry-12-07-2010-21-31-34.txt
[11/07/2010 - 16:07:52 | A | 87552] E:\Tableau chimio prev CNGOF 10.doc
[17/06/2009 - 08:58:16 | A | 223443] E:\Prev Horm KdS ASCO Visvanathan JCO 09.pdf
[20/06/2010 - 15:20:54 | A | 56832] E:\SYNTHESE PREV KdS PREP CNGOF.doc.doc
[13/07/2010 - 11:38:22 | SHD ] E:\Recycled
[13/07/2010 - 11:38:22 | SHD ] E:\System Volume Information
[22/11/2009 - 17:59:52 | D ] F:\scans tel
[06/09/2009 - 13:16:20 | SHD ] F:\Recycled
[27/09/2009 - 16:24:04 | A | 545792] F:\Tumeurs bénignes ov F K 09.ppt
[03/10/2009 - 15:32:50 | A | 194560] F:\Cas cliniques FAR Fet K 09.ppt
[02/10/2009 - 17:41:24 | A | 230400] F:\Cas clinique FAR Fet K 09 synthèse.ppt
[04/10/2009 - 16:43:26 | A | 188416] F:\Article Photo FAR Indemnes V4.doc
[08/10/2009 - 16:51:06 | A | 139776] F:\Cas cliniques FAR Fet K 09-2.ppt
[10/10/2009 - 17:58:26 | A | 2463744] F:\Hormones et Hormono-dépendance 09.ppt
[11/06/2010 - 14:27:42 | RSHD ] F:\RECYCLER
[23/09/2009 - 12:58:50 | AH | 4096] F:\._.Trashes
[23/09/2009 - 12:58:50 | HD ] F:\.Trashes
[23/09/2009 - 12:58:50 | HD ] F:\.fseventsd
[23/09/2009 - 12:59:06 | AH | 0] F:\._Contraception ap 40 CHV 09.ppt
[24/01/2010 - 17:29:26 | A | 207872] F:\Article Photo FAR Indemnes V5.doc
[14/02/2010 - 16:56:12 | A | 220160] F:\Figures article V5.doc
[14/02/2010 - 16:49:24 | A | 97280] F:\Article Photo FAR Indemnes V5, relu DSL.doc
[14/02/2010 - 16:56:52 | A | 209920] F:\REUNION GFAR 18 02 10.ppt
[28/02/2010 - 17:34:04 | A | 519168] F:\Désir grossesse contracept SGP 10.ppt
[08/03/2010 - 11:27:30 | A | 241152] F:\Figures article V6.doc
[08/03/2010 - 11:16:28 | A | 113664] F:\Article Photo FAR Indemnes V6.doc
[20/01/2010 - 08:13:34 | A | 616448] F:\Suivi et tolérance Htt adj La Réunion 08.ppt
[24/05/2010 - 16:08:52 | A | 96768] F:\Article Photo FAR Indemnes V7.doc
[24/05/2010 - 16:05:12 | A | 99328] F:\Tableaux V7.doc
[24/05/2010 - 16:03:52 | A | 70656] F:\Figures articles V7.doc
[13/05/2010 - 17:24:20 | A | 879104] F:\La DMP P This Juin 10.ppt
[27/04/2010 - 14:25:48 | A | 1723392] F:\Prise en charge FAR Juin 2010.ppt
[11/06/2010 - 14:27:34 | RSHD ] F:\ZASLUZUJES
[20/06/2010 - 12:00:54 | A | 55296] F:\SYNTHESE PREV KdS PREP CNGOF.doc.doc
[22/06/2010 - 15:57:56 | A | 11409408] F:\Prise en charge FAR Juin 2010 AT PT.ppt
[20/10/2007 - 17:47:28 | SHD ] G:\System Volume Information
[08/12/2007 - 11:25:52 | SHD ] G:\$RECYCLE.BIN
[09/12/2007 - 18:38:38 | SHD ] G:\Recycled
[26/12/2007 - 16:36:18 | D ] G:\Pascale
[29/12/2009 - 17:05:28 | D ] G:\Chouchou
[31/12/2009 - 13:16:36 | D ] G:\Divers
[11/01/2010 - 10:40:52 | D ] G:\DATASAVE
[11/01/2010 - 10:50:18 | D ] G:\DATASAVE_1
[15/01/2010 - 08:10:28 | D ] G:\DATASAVE_2

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_THIS.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
Réponse 14 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 juil. 2010 à 13:14
bon ....


en faite Avast shoote une parti de l'outil UsbFix !


donc faut recommencer ! ...


* supprime la version d' UsbFix que tu as
* puis retélécharge le ( important ! )
* DESACTIVE Avast !
* relance l'ensemble de cette manipe > https://forums.commentcamarche.net/forum/affich-18467851-ie-cachee-baisse-du-volume-et-process-system#11


Poste les nouveaux rapports obtenus ...
( réactive Avast une fois fait )




0
Réponse 15 / 41
Pimouss_Epita
13 juil. 2010 à 13:19
En réalité pour pouvoir utiliser usbfix, j'ai été obligé de faire cette manip ( et même désactiver avast avant même la fin du DL sinon il n'arrivait même pas jusqu'a chez moi) :)
0
Réponse 16 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 juil. 2010 à 13:23
Ok ...



fait ceci stp :


toujours tes unités externes branchées au PC !


Télécharge SystemLook de jpshortstuff sur ton bureau :

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe


* Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre : 


:dir
F:\ZASLUZUJES



* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...


( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )



0
Réponse 17 / 41
pimouss_epita
13 juil. 2010 à 13:34
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 12:34 on 13/07/2010 by Pascale (Administrator - Elevation successful)

========== dir ==========

F:\ZASLUZUJES - Parameters: "(none)"

---Files---
Desktop.ini --ahs- 64 bytes [13:27 11/06/2010] [13:27 11/06/2010]

---Folders---
None found.

-=End Of File=-
0
Réponse 18 / 41
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 juil. 2010 à 14:37
bien ....



fait ce qui suit dans l'ordre :



1- toujours tes unités externes branchées au PC !


Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous, 


:Files
F:\ZASLUZUJES 

:Commands
[purity]
[emptytemp]
[Reboot]



et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



============================

2- Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


--> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! Déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


============================

3- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour ( onglet "mise à jour").

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=========================

4- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




0
Réponse 19 / 41
pimouss_epita
13 juil. 2010 à 16:31
All processes killed
========== FILES ==========
F:\ZASLUZUJES folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49152 bytes

User: hervé this
->Temp folder emptied: 350194 bytes
->Temporary Internet Files folder emptied: 3941486052 bytes
->Java cache emptied: 1143857 bytes
->FireFox cache emptied: 56300686 bytes
->Flash cache emptied: 1383 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: MsS
->Temp folder emptied: 99290149 bytes
->Temporary Internet Files folder emptied: 29537863 bytes
->FireFox cache emptied: 2754518 bytes
->Flash cache emptied: 2298 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 592 bytes

User: Pascale
->Temp folder emptied: 12217057 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->FireFox cache emptied: 31207649 bytes
->Google Chrome cache emptied: 15564102 bytes
->Flash cache emptied: 1929093 bytes

User: Propriétaire

User: SvcwRsync
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->Flash cache emptied: 348 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1049943 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 73256446 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 4 069,00 mb


OTM by OldTimer - Version 3.1.14.0 log created on 07132010_152224

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
0
Réponse 20 / 41
pimouss_Epita
13 juil. 2010 à 17:08
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4309

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13/07/2010 16:07:49
mbam-log-2010-07-13 (16-07-49).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 164934
Temps écoulé: 8 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{549b5ca7-4a86-11d7-a4df-000874180bb3} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System volume information\Microsoft\services.exe (Trojan.Cycler) -> Quarantined and deleted successfully.
C:\System volume information\Microsoft\smss.exe (Trojan.Cycler) -> Quarantined and deleted successfully.
0

Discussions similaires

mon Xiaomi redmi note 8 pro monte et baisse le son tout seul !
mtex1131 -
Merci -

103 réponses
comment faire si on a un mail delivery system
angeldu5954 -
angeldu5954 -

5 réponses
Prélèvement Google Ireland Limited
jaffa1961 -
gill34051 -

32 réponses
Facture de google 380€ !
Misternet -
okapi -

61 réponses
Impossible de copier car cet élément est trop volumineux
Alan_Cohen -
Utilisateur anonyme -

9 réponses