Sujet Précédent Sujet Suivant

Infection par PHP Nuke Tollbar

Résolu/Fermé
Utilisateur anonyme - 25 sept. 2011 à 23:08
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 28 sept. 2011 à 12:38
Bonjour à tous,

Je m'occupe du pc d'une amie, dont les deux navigateurs IE et Firefox sont infectés avec PHP Nuke Toolbar.

Pour l'instant, j'ai désinstallé Firefox (version obsolète de toute façon). J'ai utilisé Spybot, qui m'a trouvé quelque cochonneries mais rien sur PHP Nuke Toolbar.

Pouvez-vous me filer un coup de main, sachant que je ne suis pro dans le domaine? (j'en sais juste assez pour passer une soufflante à la pote en question la prochaine fois que je la verrai et lui donner quelques conseils de bon sens pour s'occuper de sa bécane et naviguer safe à l'avenir)

Son PC est un Notebook Sony sous Vista

Merci d'avance :)


A voir également:

16 réponses

Réponse 1 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Jeff le 7/05/2012 à 20:05
Bonjour,

Tu vas faire ceci:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport

Et ensuite tu fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Cela fait deux rapports à poster

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Réponse 2 / 16
Utilisateur anonyme
26 sept. 2011 à 11:42
Bonjour Smart91,

Rapport AdwCleaner :

# AdwCleaner v1.308 - Rapport créé le 26/09/2011 à 09:15:56
# Mis à jour le 25/09/11 à 17h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Lissa - ORDIBABYDELILI (Administrateur)
# Exécuté depuis : C:\Users\Lissa\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

Aucun navigateur n'était en cours d'exécution.

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Lissa\AppData\Roaming\OfferBox

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\..\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2102473 --> hxxp://www.google.fr

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Lissa\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1133 octets] - [26/09/2011 09:15:56]

*************************

Dossier Temporaire : 3 dossier(s) et 5 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1355 octets] ##########
0
Réponse 3 / 16
Utilisateur anonyme
26 sept. 2011 à 11:44
Concernant MalwareBytes :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7799

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18702

26/09/2011 11:35:17
mbam-log-2011-09-26 (11-35-17).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 341540
Temps écoulé: 2 heure(s), 12 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



J'ai l'impression que la bestiole est partie. Je poste sous IE et la fenetre PHP Nuke Toolbar ne s'est pas ouverte.
0
Réponse 4 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
26 sept. 2011 à 12:46
Super. On va quand même faire un diagnostic du PC, pour voir s'il ny a pas des restes ou alors d'autres infections.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\ZHP\).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Utilisateur anonyme
Modifié par sherokee le 26/09/2011 à 14:19
Ok, donc voici le lien du fichier :

http://www.cijoint.fr/cjlink.php?file=cj201109/cijOVDmqVK.txt

Pour info, depuis que j'ai posté les rapports de AdwCleaner et Malwarebytes, j'ai installé une version plus récente de Firefox et effectué l'installation du Pack SP2 de Vista. J'espère ne pas avoir merdé en faisant ça.
0
Réponse 6 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
26 sept. 2011 à 16:55
Tu as bien de faire cest mises, je t'aurai demandé de le faire en fon de désinfection. d'ailleurs il ya d'autres mises à jour à faire.

Tu peu également désintaler spybot , il est dépassé aujourd'hui et ne fait que ralentir ton PC

Il reste ecore des traces et surement une infection par supprots amovibles USB

Tu vas faire ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[HKCU\Software\FissaSearch]
[HKCU\Software\Spointer]
[HKCU\Software\WideStream]
O43 - CFD: 25/09/2011 - 11:53:00 - [0] ----D- C:\Program Files\Widestream6
O43 - CFD: 25/09/2011 - 11:18:40 - [24914] ----D- C:\Users\Lissa\AppData\Roaming\FissaSearch
O43 - CFD: 27/10/2010 - 20:45:44 - [614] ----D- C:\Users\Lissa\AppData\Roaming\widestream
O43 - CFD: 25/09/2011 - 11:51:30 - [562935] ----D- C:\Users\Lissa\AppData\Local\widestream6 Air
O51 - MPSK:{212838ef-672b-11de-8e2e-00214f4b6962}\AutoRun\command. (...) -- C:\Windows\system32\AdobeR.exe (.not file.)
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} [DefaultScope] - (Fissa) - https://fissa.com/
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{723328FF-22D0-497f-9EB5-1AC919582DE1}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKCU\Software\FissaSearch]
[HKCU\Software\Spointer]
[HKCU\Software\WideStream]
C:\Program Files\Widestream6
C:\Users\Lissa\AppData\Roaming\FissaSearch
C:\Users\Lissa\AppData\Roaming\Widestream
C:\Users\Lissa\AppData\Local\widestream6 Air
O51 - MPSK:{12de5769-0bfa-11de-80ec-00214f4b6962}\AutoRun\command - Clé orpheline
O51 - MPSK:{12de576d-0bfa-11de-80ec-00214f4b6962}\AutoRun\command - Clé orpheline
O51 - MPSK:{3bb1cb67-774d-11de-88a5-001dba86b607}\AutoRun\command - Clé orpheline
O51 - MPSK:{3bb1cb6c-774d-11de-88a5-001dba86b607}\AutoRun\command - Clé orpheline
O51 - MPSK:{3bb1cb6d-774d-11de-88a5-001dba86b607}\AutoRun\command - Clé orpheline
O51 - MPSK:{736fb2fe-5132-11de-b872-001dba86b607}\AutoRun\command - Clé orpheline
O51 - MPSK:{736fb303-5132-11de-b872-001dba86b607}\AutoRun\command - Clé orpheline
O51 - MPSK:{736fb304-5132-11de-b872-001dba86b607}\AutoRun\command - Clé orpheline
EmptyTemp
EmptyFlash
FirwallRAZ

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite on va vérifier pour l'infection USB:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : "Recherche"

Cela fait deux rapports à poster, tu peux le faire directement dans ta réponse.

Smart
0
Réponse 7 / 16
Utilisateur anonyme
26 sept. 2011 à 21:27
Pour le moment, je ne peux te poster que le rapport de ZHPfix car je n'ai pas les périphériques que ma pote utilise habituellement avec son netbook. Je les aurai demain (DD externe, Ipod et clé USB).

Voici le rapport :

Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011
Fichier d'export Registre :
Run by Lissa at 26/09/2011 19:44:26
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\FissaSearch
SUPPRIME Key: HKCU\Software\Spointer
SUPPRIME Key: HKCU\Software\WideStream
SUPPRIME CLSID MPSK: {212838ef-672b-11de-8e2e-00214f4b6962}
SUPPRIME Key: SearchScopes :{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{723328FF-22D0-497f-9EB5-1AC919582DE1}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
SUPPRIME CLSID MPSK: {12de5769-0bfa-11de-80ec-00214f4b6962}
SUPPRIME CLSID MPSK: {12de576d-0bfa-11de-80ec-00214f4b6962}
SUPPRIME CLSID MPSK: {3bb1cb67-774d-11de-88a5-001dba86b607}
SUPPRIME CLSID MPSK: {3bb1cb6c-774d-11de-88a5-001dba86b607}
SUPPRIME CLSID MPSK: {3bb1cb6d-774d-11de-88a5-001dba86b607}
SUPPRIME CLSID MPSK: {736fb2fe-5132-11de-b872-001dba86b607}
SUPPRIME CLSID MPSK: {736fb303-5132-11de-b872-001dba86b607}
SUPPRIME CLSID MPSK: {736fb304-5132-11de-b872-001dba86b607}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Widestream6
SUPPRIME Folder: C:\Users\Lissa\AppData\Roaming\FissaSearch
SUPPRIME Folder: C:\Users\Lissa\AppData\Roaming\widestream
SUPPRIME Folder: C:\Users\Lissa\AppData\Local\widestream6 Air
SUPPRIME Temporaires Windows: : 93
SUPPRIME Flash Cookies: 7

========== Fichier(s) ==========
ABSENT Folder/File: c:\program files\widestream6
ABSENT Folder/File: c:\users\lissa\appdata\roaming\fissasearch
ABSENT Folder/File: c:\users\lissa\appdata\roaming\widestream
ABSENT Folder/File: c:\users\lissa\appdata\local\widestream6 air
SUPPRIME Temporaires Windows: : 427
SUPPRIME Flash Cookies: 3

========== Autre ==========
NON TRAITE FirwallRAZ


========== Récapitulatif ==========
16 : Clé(s) du Registre
6 : Dossier(s)
6 : Fichier(s)
1 : Autre


End of clean in 00mn 13s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 26/09/2011 19:44:26 [2306]



Coté MAJ de logiciels, y'a effectivement du boulot, je viens de récupérer une trentaine de MAJ critiques de Vista. On frôle la non-assistance à PC en danger...

En tous cas, merci beaucoup de ton coup de main. Je te poste la suite demain.
0
Réponse 8 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 26/09/2011 à 22:56
OK à Demain et redémarre le PC avant de faire USBFix

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Réponse 9 / 16
Utilisateur anonyme
27 sept. 2011 à 11:11
Salut Smart91,

La pote m'a amené ses périph.:
- 1 clé USB de 1 Go
- 1 autre de 4 Go
- 1 carte HDSC de 8 Go
- 1 Ipod de 8 Go
- 1 DD externe de 500 Go

J'ai du faire l'analyse avec USBFix en 2 fois. D'abord, les 4 premiers périph. branchés sur un hub USB, puis le DD externe branché en direct sur le notebook parce que c'était le seul moyen que la bécane le reconnaisse.

Du coup j'ai un rapport en 2 parties, dont le contenu risque d'être redondant. Désolée.

1ère partie :

############################## | UsbFix 7.060 | [Recherche]

Utilisateur: Lissa (Administrateur) # ORDIBABYDELILI
Mis à jour le 22/09/2011 par El Desaparecido
Lancé à 10:29:48 | 27/09/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Sony Corporation (VGN-SR21M_S) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz (2267)
RAM -> [ Total : 3038 | Free : 1764 ]
BIOS: BIOS Date: 06/04/08 14:30:19 Ver: 08.00.10
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.19120

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: AntiVir Desktop [ (!)Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 287 Go (87 Go libre(s) - 30%) [] # NTFS
D:\ -> Disque amovible # 7 Go (7 Go libre(s) - 97%) [] # FAT32
F:\ -> CD-ROM
G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 88%) [] # FAT32
H:\ -> Disque fixe # 960 Mo (156 Mo libre(s) - 16%) [USB DISK] # FAT
I:\ -> Disque amovible # 7 Go (386 Mo libre(s) - 5%) [IPOD BABY L] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (624)
C:\Windows\system32\wininit.exe (688)
C:\Windows\system32\csrss.exe (700)
C:\Windows\system32\services.exe (736)
C:\Windows\system32\lsass.exe (752)
C:\Windows\system32\lsm.exe (764)
C:\Windows\system32\winlogon.exe (804)
C:\Windows\system32\svchost.exe (948)
C:\Windows\system32\svchost.exe (1028)
C:\Windows\System32\svchost.exe (1064)
C:\Windows\system32\Ati2evxx.exe (1160)
C:\Windows\System32\svchost.exe (1180)
C:\Windows\System32\svchost.exe (1256)
C:\Windows\system32\svchost.exe (1276)
C:\Windows\system32\svchost.exe (1380)
C:\Windows\system32\SLsvc.exe (1400)
C:\Windows\system32\svchost.exe (1452)
C:\Windows\system32\Ati2evxx.exe (1540)
C:\Windows\RtkAudioService.exe (1608)
C:\Windows\system32\svchost.exe (1688)
C:\Windows\System32\spoolsv.exe (1860)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (1884)
C:\Windows\system32\svchost.exe (1900)
C:\Windows\system32\WLANExt.exe (336)
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe (508)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (592)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (628)
C:\Program Files\Bonjour\mDNSResponder.exe (1228)
C:\Windows\system32\svchost.exe (1560)
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe (924)
C:\Program Files\Intel\WiFi\bin\EvtEng.exe (1948)
C:\Windows\system32\svchost.exe (2144)
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (2180)
C:\Windows\System32\svchost.exe (2232)
C:\Program Files\Sony\Network Utility\NSUService.exe (2344)
C:\Windows\System32\svchost.exe (2408)
C:\Windows\system32\svchost.exe (2428)
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (2488)
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (2556)
C:\Windows\system32\svchost.exe (2600)
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe (2628)
C:\Program Files\Sony\VAIO Power Management\SPMService.exe (2672)
C:\Windows\system32\Dwm.exe (2912)
C:\Windows\Explorer.EXE (2960)
C:\Windows\system32\DllHost.exe (2988)
C:\Windows\system32\taskeng.exe (3004)
C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe (3292)
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (3308)
C:\Windows\system32\taskeng.exe (3324)
C:\Windows\System32\svchost.exe (3348)
C:\Windows\system32\SearchIndexer.exe (3380)
C:\Windows\system32\DRIVERS\xaudio.exe (3428)
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe (3600)
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe (3608)
C:\Windows\system32\DllHost.exe (3740)
C:\Windows\system32\wbem\wmiprvse.exe (3844)
C:\Windows\system32\WUDFHost.exe (4000)
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (2640)
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe (1100)
C:\Program Files\Windows Defender\MSASCui.exe (3972)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (4088)
C:\Program Files\Sony\ISB Utility\ISBMgr.exe (2608)
C:\Program Files\Sony\VAIO Mode Switch\VMSwitch.exe (2952)
C:\Program Files\Java\jre6\bin\jusched.exe (3188)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (1236)
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (2548)
C:\Program Files\Sony\Network Utility\LANUtil.exe (1460)
C:\Windows\system32\wbem\unsecapp.exe (4196)
C:\Windows\system32\taskeng.exe (4352)
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (4916)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (5616)
C:\Windows\system32\svchost.exe (5640)
C:\Windows\servicing\TrustedInstaller.exe (4856)
C:\Windows\System32\svchost.exe (2216)
C:\Program Files\Windows Media Player\wmplayer.exe (5848)
C:\Windows\system32\wuauclt.exe (6084)
C:\UsbFix\UsbFix.exe (4816)
C:\Windows\system32\wbem\wmiprvse.exe (4712)

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{59e94eea-909e-11de-9ff5-00214f4b6962}
Shell\AutoRun\Command = H:\LaunchU3.exe -a


################## | Listing |

[21/02/2009 - 19:10:49 | SHD ] C:\$Recycle.Bin
[03/05/2011 - 10:48:49 | D ] C:\6688493f8cc7c48a97006ded831904
[26/09/2011 - 09:16:31 | A | 1356] C:\AdwCleaner[S1].txt
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[26/09/2011 - 13:06:58 | SHD ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[12/08/2008 - 21:35:45 | RAS | 8192] C:\BOOTSECT.BAK
[26/09/2011 - 22:24:32 | SHD ] C:\Config.Msi
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[07/09/2008 - 22:31:10 | D ] C:\Documentation
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[18/02/2010 - 18:15:01 | D ] C:\Fichiers Movavi
[27/09/2011 - 10:20:01 | ASH | 3186663424] C:\hiberfil.sys
[07/09/2008 - 22:07:28 | A | 187] C:\Installer_Setup.log
[27/09/2011 - 10:20:00 | ASH | 3500269568] C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[26/09/2011 - 13:58:12 | A | 512] C:\PhysicalDisk0_MBR.bin
[26/09/2011 - 22:23:13 | RD ] C:\Program Files
[26/09/2011 - 13:36:56 | HD ] C:\ProgramData
[27/09/2011 - 10:25:05 | SHD ] C:\System Volume Information
[06/04/2009 - 22:05:14 | A | 594] C:\updatedatfix.log
[27/09/2011 - 10:32:12 | D ] C:\UsbFix
[27/09/2011 - 10:32:12 | A | 6662] C:\UsbFix.txt
[24/04/2009 - 23:03:39 | RD ] C:\Users
[26/09/2011 - 22:23:35 | D ] C:\Windows
[26/09/2011 - 19:44:26 | D ] C:\ZHP
[01/01/1601 - 02:00:00 | D ] D:\DCIM
[01/01/1601 - 02:00:00 | D ] D:\MISC
[27/03/2010 - 13:02:56 | D ] D:\PRIVATE1
[20/03/2011 - 15:43:46 | AH | 4096] D:\._.Trashes
[20/03/2011 - 15:43:46 | HD ] D:\.Trashes
[13/04/2010 - 11:23:38 | A | 296] D:\WMPInfo.xml
[13/04/2010 - 11:23:38 | D ] D:\Music
[28/04/2011 - 23:56:08 | AH | 6148] G:\.DS_Store
[09/09/2010 - 15:32:28 | AH | 4096] G:\._.Trashes
[09/09/2010 - 15:32:28 | HD ] G:\.Trashes
[09/09/2010 - 15:32:30 | HD ] G:\.Spotlight-V100
[25/06/2011 - 11:45:50 | D ] G:\Spectacle lili adultes 2011
[17/06/2011 - 18:57:04 | AH | 4096] G:\._B.O Tourne disque en 80 tou.mp3
[09/06/2011 - 21:52:34 | AH | 4096] G:\._04 Le grand blond avec une chaussure.aif
[09/06/2011 - 21:52:54 | AH | 4096] G:\._48 Coucous D'horloge Seul.aif
[09/06/2011 - 21:52:58 | AH | 4096] G:\._49 Horloge De Parquet 1.aif
[09/06/2011 - 21:53:02 | AH | 4096] G:\._50 Horloge De Parquet 2.aif
[09/06/2011 - 21:53:10 | AH | 4096] G:\._51 Horloge De Parquet 3.aif
[09/06/2011 - 22:08:20 | AH | 4096] G:\._02 Paris, cloches du sacré coeur.aif
[09/06/2011 - 22:37:42 | AH | 4096] G:\._25 The Murder (Tiré du film _Psychos.aif
[24/06/2011 - 20:09:26 | A | 47114] G:\chambres et inventaire Fini ouioui.odt
[07/09/2007 - 11:47:40 | A | 3863763] H:\Présentation Société CAN S.A..pdf
[13/06/2008 - 23:13:58 | A | 838957056] H:\The.Chronicles.of.Narnia.Prince.Caspian.French.CAM.DivX-LTT.avi
[27/09/2011 - 09:44:26 | SHD ] H:\$RECYCLE.BIN
[18/09/2009 - 09:23:12 | HD ] I:\iPod_Control
[18/09/2009 - 09:23:14 | D ] I:\DCIM
[18/09/2009 - 09:23:14 | N | 0] I:\.metadata_never_index
[18/09/2009 - 09:23:14 | D ] I:\Calendars
[18/09/2009 - 09:23:14 | D ] I:\Contacts
[18/09/2009 - 09:23:14 | D ] I:\Notes
[18/09/2009 - 09:23:14 | D ] I:\Recordings
[05/08/2010 - 21:28:32 | D ] I:\Photos
[15/11/2010 - 15:51:06 | A | 7453103] I:\01 Hey It's OK.m4a
[15/11/2010 - 15:51:32 | A | 5777716] I:\02 No No (Kids).m4a
[15/11/2010 - 15:51:56 | A | 6007515] I:\03 Down The Drain.m4a
[15/11/2010 - 15:52:32 | A | 8241902] I:\04 Cover My Face.m4a
[15/11/2010 - 15:52:56 | A | 6047433] I:\05 Prayer In C.m4a
[15/11/2010 - 15:53:24 | A | 7451663] I:\06 My Best.m4a
[15/11/2010 - 15:53:52 | A | 7586189] I:\07 Water Ran.m4a
[15/11/2010 - 15:54:24 | A | 8412489] I:\08 Little Johnny.m4a
[15/11/2010 - 15:54:50 | A | 7534204] I:\09 Hopeless Kids.m4a
[15/11/2010 - 15:55:20 | A | 7868289] I:\10 A TIme Is Near.m4a
[15/11/2010 - 15:55:54 | A | 9769151] I:\11 Hymn To My Invisible Friend.m4a
[15/11/2010 - 15:56:26 | A | 6216999] I:\12 This Is A Love Song.m4a
[07/06/2011 - 18:08:18 | A | 63056938] I:\01 Piste 01.aif
[07/06/2011 - 18:04:38 | A | 49702282] I:\02 Manel 02.aif
[07/06/2011 - 18:05:12 | A | 67222330] I:\03 Manel 03.aif
[07/06/2011 - 18:05:32 | A | 46256602] I:\04 Manel 04.aif
[07/06/2011 - 18:05:56 | A | 50690122] I:\05 Manel 05.aif
[09/06/2011 - 23:57:36 | A | 5270191] I:\20 Misirlou (Tiré du film _Pulp Fict.m4a
[09/06/2011 - 23:57:30 | A | 2917011] I:\Chine.mp3
[09/06/2011 - 23:57:54 | A | 5444697] I:\Final Applause.mp3

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


2ème partie :

############################## | UsbFix 7.060 | [Recherche]

Utilisateur: Lissa (Administrateur) # ORDIBABYDELILI
Mis à jour le 22/09/2011 par El Desaparecido
Lancé à 10:53:11 | 27/09/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Sony Corporation (VGN-SR21M_S) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz (2267)
RAM -> [ Total : 3038 | Free : 1763 ]
BIOS: BIOS Date: 06/04/08 14:30:19 Ver: 08.00.10
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: AntiVir Desktop [ (!)Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 287 Go (86 Go libre(s) - 30%) [] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (250 Go libre(s) - 54%) [500] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (620)
C:\Windows\system32\wininit.exe (676)
C:\Windows\system32\csrss.exe (688)
C:\Windows\system32\services.exe (720)
C:\Windows\system32\lsass.exe (740)
C:\Windows\system32\lsm.exe (748)
C:\Windows\system32\winlogon.exe (780)
C:\Windows\system32\svchost.exe (920)
C:\Windows\system32\svchost.exe (1000)
C:\Windows\System32\svchost.exe (1040)
C:\Windows\system32\Ati2evxx.exe (1140)
C:\Windows\System32\svchost.exe (1152)
C:\Windows\System32\svchost.exe (1216)
C:\Windows\system32\svchost.exe (1244)
C:\Windows\system32\svchost.exe (1356)
C:\Windows\system32\SLsvc.exe (1372)
C:\Windows\servicing\TrustedInstaller.exe (1404)
C:\Windows\system32\svchost.exe (1432)
C:\Windows\system32\Ati2evxx.exe (1496)
C:\Windows\RtkAudioService.exe (1540)
C:\Windows\system32\svchost.exe (1684)
C:\Windows\System32\spoolsv.exe (1896)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (1936)
C:\Windows\system32\WLANExt.exe (1952)
C:\Windows\system32\svchost.exe (1964)
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe (800)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (904)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1352)
C:\Program Files\Bonjour\mDNSResponder.exe (1476)
C:\Windows\system32\svchost.exe (916)
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe (2068)
C:\Program Files\Intel\WiFi\bin\EvtEng.exe (2096)
C:\Windows\system32\svchost.exe (2140)
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (2200)
C:\Windows\System32\svchost.exe (2288)
C:\Program Files\Sony\Network Utility\NSUService.exe (2320)
C:\Windows\System32\svchost.exe (2392)
C:\Windows\system32\svchost.exe (2424)
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (2464)
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (2480)
C:\Windows\system32\svchost.exe (2548)
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe (2572)
C:\Program Files\Sony\VAIO Power Management\SPMService.exe (2636)
C:\Windows\system32\DllHost.exe (2680)
C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe (2848)
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe (2868)
C:\Windows\System32\svchost.exe (2908)
C:\Windows\system32\SearchIndexer.exe (2928)
C:\Windows\system32\DRIVERS\xaudio.exe (2996)
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe (3084)
C:\Windows\system32\DllHost.exe (3276)
C:\Windows\system32\WUDFHost.exe (3336)
C:\Windows\system32\wbem\wmiprvse.exe (3376)
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe (3716)
C:\Windows\system32\taskeng.exe (2544)
C:\Windows\system32\taskeng.exe (3172)
C:\Windows\system32\Dwm.exe (3020)
C:\Windows\Explorer.EXE (3028)
C:\Windows\system32\taskeng.exe (3476)
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe (3952)
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe (2304)
C:\Program Files\Windows Defender\MSASCui.exe (1448)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (804)
C:\Program Files\Sony\ISB Utility\ISBMgr.exe (3784)
C:\Program Files\Sony\VAIO Mode Switch\VMSwitch.exe (4084)
C:\Program Files\Java\jre6\bin\jusched.exe (1480)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (3412)
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (2056)
C:\Program Files\Sony\Network Utility\LANUtil.exe (4032)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (4192)
C:\Windows\system32\wbem\unsecapp.exe (4272)
C:\Windows\system32\svchost.exe (4356)
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (5096)
C:\Windows\System32\mobsync.exe (5420)
C:\Windows\system32\wbem\wmiprvse.exe (5936)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (4200)
C:\UsbFix\UsbFix.exe (4308)

################## | Éléments infectieux |

Présent! G:\Centre de solutions HP.lnk
Présent! G:\HP Photosmart Express.lnk
Présent! G:\HP Photosmart Premier.lnk
Présent! G:\Visionneuse de documents HP.lnk

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{59e94eea-909e-11de-9ff5-00214f4b6962}
Shell\AutoRun\Command = H:\LaunchU3.exe -a


################## | Listing |

[21/02/2009 - 19:10:49 | SHD ] C:\$Recycle.Bin
[03/05/2011 - 10:48:49 | D ] C:\6688493f8cc7c48a97006ded831904
[26/09/2011 - 09:16:31 | A | 1356] C:\AdwCleaner[S1].txt
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[26/09/2011 - 13:06:58 | SHD ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[12/08/2008 - 21:35:45 | RAS | 8192] C:\BOOTSECT.BAK
[26/09/2011 - 22:24:32 | SHD ] C:\Config.Msi
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[07/09/2008 - 22:31:10 | D ] C:\Documentation
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[18/02/2010 - 18:15:01 | D ] C:\Fichiers Movavi
[27/09/2011 - 10:46:41 | ASH | 3186663424] C:\hiberfil.sys
[07/09/2008 - 22:07:28 | A | 187] C:\Installer_Setup.log
[27/09/2011 - 10:46:40 | ASH | 3500269568] C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[26/09/2011 - 13:58:12 | A | 512] C:\PhysicalDisk0_MBR.bin
[26/09/2011 - 22:23:13 | RD ] C:\Program Files
[26/09/2011 - 13:36:56 | HD ] C:\ProgramData
[27/09/2011 - 10:40:51 | SHD ] C:\System Volume Information
[06/04/2009 - 22:05:14 | A | 594] C:\updatedatfix.log
[27/09/2011 - 10:56:12 | D ] C:\UsbFix
[27/09/2011 - 10:53:14 | A | 6568] C:\UsbFix.txt
[24/04/2009 - 23:03:39 | RD ] C:\Users
[26/09/2011 - 22:23:35 | D ] C:\Windows
[26/09/2011 - 19:44:26 | D ] C:\ZHP
[27/12/2009 - 17:07:10 | SHD ] G:\$RECYCLE.BIN
[05/08/2010 - 21:35:03 | D ] G:\actualisation assedic
[14/11/2009 - 09:55:46 | D ] G:\carte photo
[08/03/2009 - 21:56:59 | A | 1064] G:\Centre de solutions HP.lnk
[08/03/2009 - 21:57:27 | A | 1881] G:\HP Photosmart Express.lnk
[08/03/2009 - 22:03:11 | A | 956] G:\HP Photosmart Premier.lnk
[21/02/2010 - 12:32:15 | D ] G:\John
[14/11/2009 - 09:53:42 | D ] G:\LILI
[14/11/2009 - 09:41:57 | D ] G:\LUMIX
[20/11/2010 - 18:12:41 | D ] G:\Mes images
[14/11/2009 - 09:54:57 | RD ] G:\Musique
[12/12/2009 - 20:04:15 | D ] G:\Photos
[14/02/2010 - 20:19:44 | SHD ] G:\RECYCLER
[12/08/2010 - 17:10:55 | SHD ] G:\System Volume Information
[13/08/2010 - 13:23:19 | D ] G:\Séries
[08/03/2009 - 22:06:01 | A | 1928] G:\Visionneuse de documents HP.lnk
[21/02/2010 - 12:29:44 | D ] G:\Yaël

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



Visiblement, c'est le DD qui est infecté?
0
Réponse 10 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 sept. 2011 à 12:25
Alors en fait c'est le disque de DE 466 GO (2ème rapport) qui a des fichiers infectés.

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Comme tu as plusieurs clés et/ou disques USB, il faut que tu le fasses deux fois

Smart
0
Réponse 11 / 16
Utilisateur anonyme
27 sept. 2011 à 13:36
Voici les rapports :

1ère partie :

############################## | UsbFix 7.060 | [Suppression]

Utilisateur: Lissa (Administrateur) # ORDIBABYDELILI
Mis à jour le 22/09/2011 par El Desaparecido
Lancé à 12:49:45 | 27/09/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Sony Corporation (VGN-SR21M_S) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz (2267)
RAM -> [ Total : 3038 | Free : 1959 ]
BIOS: BIOS Date: 06/04/08 14:30:19 Ver: 08.00.10
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: AntiVir Desktop [ (!)Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 287 Go (84 Go libre(s) - 29%) [] # NTFS
D:\ -> Disque amovible # 7 Go (7 Go libre(s) - 97%) [] # FAT32
F:\ -> CD-ROM
G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 88%) [] # FAT32
H:\ -> Disque fixe # 960 Mo (156 Mo libre(s) - 16%) [USB DISK] # FAT
I:\ -> Disque amovible # 7 Go (386 Mo libre(s) - 5%) [IPOD BABY L] # FAT32

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1550961753-157052870-3807384937-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3387457687-1405142129-2551778395-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-888849644-1823576987-351975861-1000

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{59e94eea-909e-11de-9ff5-00214f4b6962}

################## | Listing |

[27/09/2011 - 12:55:43 | SHD ] C:\$Recycle.Bin
[03/05/2011 - 10:48:49 | D ] C:\6688493f8cc7c48a97006ded831904
[26/09/2011 - 09:16:31 | N | 1356] C:\AdwCleaner[S1].txt
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[26/09/2011 - 13:06:58 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[12/08/2008 - 21:35:45 | N | 8192] C:\BOOTSECT.BAK
[26/09/2011 - 22:24:32 | D ] C:\Config.Msi
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[07/09/2008 - 22:31:10 | D ] C:\Documentation
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[18/02/2010 - 18:15:01 | D ] C:\Fichiers Movavi
[27/09/2011 - 12:45:03 | ASH | 3186663424] C:\hiberfil.sys
[07/09/2008 - 22:07:28 | N | 187] C:\Installer_Setup.log
[27/09/2011 - 12:45:01 | ASH | 3500269568] C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[26/09/2011 - 13:58:12 | N | 512] C:\PhysicalDisk0_MBR.bin
[26/09/2011 - 22:23:13 | D ] C:\Program Files
[26/09/2011 - 13:36:56 | HD ] C:\ProgramData
[27/09/2011 - 11:12:07 | SHD ] C:\System Volume Information
[06/04/2009 - 22:05:14 | N | 594] C:\updatedatfix.log
[27/09/2011 - 12:55:43 | D ] C:\UsbFix
[27/09/2011 - 12:49:48 | A | 2908] C:\UsbFix.txt
[24/04/2009 - 23:03:39 | D ] C:\Users
[26/09/2011 - 22:23:35 | D ] C:\Windows
[26/09/2011 - 19:44:26 | D ] C:\ZHP
[01/01/1601 - 02:00:00 | D ] D:\DCIM
[01/01/1601 - 02:00:00 | D ] D:\MISC
[27/03/2010 - 13:02:56 | D ] D:\PRIVATE1
[20/03/2011 - 15:43:46 | N | 4096] D:\._.Trashes
[20/03/2011 - 15:43:46 | D ] D:\.Trashes
[13/04/2010 - 11:23:38 | N | 296] D:\WMPInfo.xml
[13/04/2010 - 11:23:38 | D ] D:\Music
[28/04/2011 - 23:56:08 | N | 6148] G:\.DS_Store
[09/09/2010 - 15:32:28 | N | 4096] G:\._.Trashes
[09/09/2010 - 15:32:28 | D ] G:\.Trashes
[09/09/2010 - 15:32:30 | D ] G:\.Spotlight-V100
[25/06/2011 - 11:45:50 | D ] G:\Spectacle lili adultes 2011
[17/06/2011 - 18:57:04 | N | 4096] G:\._B.O Tourne disque en 80 tou.mp3
[09/06/2011 - 21:52:34 | N | 4096] G:\._04 Le grand blond avec une chaussure.aif
[09/06/2011 - 21:52:54 | N | 4096] G:\._48 Coucous D'horloge Seul.aif
[09/06/2011 - 21:52:58 | N | 4096] G:\._49 Horloge De Parquet 1.aif
[09/06/2011 - 21:53:02 | N | 4096] G:\._50 Horloge De Parquet 2.aif
[09/06/2011 - 21:53:10 | N | 4096] G:\._51 Horloge De Parquet 3.aif
[09/06/2011 - 22:08:20 | N | 4096] G:\._02 Paris, cloches du sacré coeur.aif
[09/06/2011 - 22:37:42 | N | 4096] G:\._25 The Murder (Tiré du film _Psychos.aif
[24/06/2011 - 20:09:26 | N | 47114] G:\chambres et inventaire Fini ouioui.odt
[07/09/2007 - 11:47:40 | N | 3863763] H:\Présentation Société CAN S.A..pdf
[13/06/2008 - 23:13:58 | N | 838957056] H:\The.Chronicles.of.Narnia.Prince.Caspian.French.CAM.DivX-LTT.avi
[27/09/2011 - 09:44:26 | SHD ] H:\$RECYCLE.BIN
[18/09/2009 - 09:23:12 | D ] I:\iPod_Control
[18/09/2009 - 09:23:14 | D ] I:\DCIM
[18/09/2009 - 09:23:14 | N | 0] I:\.metadata_never_index
[18/09/2009 - 09:23:14 | D ] I:\Calendars
[18/09/2009 - 09:23:14 | D ] I:\Contacts
[18/09/2009 - 09:23:14 | D ] I:\Notes
[18/09/2009 - 09:23:14 | D ] I:\Recordings
[05/08/2010 - 21:28:32 | D ] I:\Photos
[15/11/2010 - 15:51:06 | N | 7453103] I:\01 Hey It's OK.m4a
[15/11/2010 - 15:51:32 | N | 5777716] I:\02 No No (Kids).m4a
[15/11/2010 - 15:51:56 | N | 6007515] I:\03 Down The Drain.m4a
[15/11/2010 - 15:52:32 | N | 8241902] I:\04 Cover My Face.m4a
[15/11/2010 - 15:52:56 | N | 6047433] I:\05 Prayer In C.m4a
[15/11/2010 - 15:53:24 | N | 7451663] I:\06 My Best.m4a
[15/11/2010 - 15:53:52 | N | 7586189] I:\07 Water Ran.m4a
[15/11/2010 - 15:54:24 | N | 8412489] I:\08 Little Johnny.m4a
[15/11/2010 - 15:54:50 | N | 7534204] I:\09 Hopeless Kids.m4a
[15/11/2010 - 15:55:20 | N | 7868289] I:\10 A TIme Is Near.m4a
[15/11/2010 - 15:55:54 | N | 9769151] I:\11 Hymn To My Invisible Friend.m4a
[15/11/2010 - 15:56:26 | N | 6216999] I:\12 This Is A Love Song.m4a
[07/06/2011 - 18:08:18 | N | 63056938] I:\01 Piste 01.aif
[07/06/2011 - 18:04:38 | N | 49702282] I:\02 Manel 02.aif
[07/06/2011 - 18:05:12 | N | 67222330] I:\03 Manel 03.aif
[07/06/2011 - 18:05:32 | N | 46256602] I:\04 Manel 04.aif
[07/06/2011 - 18:05:56 | N | 50690122] I:\05 Manel 05.aif
[09/06/2011 - 23:57:36 | N | 5270191] I:\20 Misirlou (Tiré du film _Pulp Fict.m4a
[09/06/2011 - 23:57:30 | N | 2917011] I:\Chine.mp3
[09/06/2011 - 23:57:54 | N | 5444697] I:\Final Applause.mp3

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
I:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ORDIBABYDELILI.zip
http://eldesaparecido.com/support.php
Merci de votre contribution.

################## | E.O.F |



2ème partie : le DD externe

############################## | UsbFix 7.060 | [Suppression]

Utilisateur: Lissa (Administrateur) # ORDIBABYDELILI
Mis à jour le 22/09/2011 par El Desaparecido
Lancé à 13:03:30 | 27/09/2011

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

PC: Sony Corporation (VGN-SR21M_S) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz (2267)
RAM -> [ Total : 3038 | Free : 2033 ]
BIOS: BIOS Date: 06/04/08 14:30:19 Ver: 08.00.10
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: AntiVir Desktop [ (!)Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 287 Go (84 Go libre(s) - 29%) [] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (250 Go libre(s) - 54%) [500] # NTFS

################## | Éléments infectieux |

Supprimé! G:\Centre de solutions HP.lnk
Supprimé! G:\HP Photosmart Express.lnk
Supprimé! G:\HP Photosmart Premier.lnk
Supprimé! G:\Visionneuse de documents HP.lnk
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-888849644-1823576987-351975861-1000
Supprimé! G:\$RECYCLE.BIN\S-1-5-21-583285702-2999422799-2444331673-1000
Supprimé! G:\$RECYCLE.BIN\S-1-5-21-888849644-1823576987-351975861-1000
Supprimé! G:\Recycler\S-1-5-21-1091314698-3791739414-1641298824-1006
Supprimé! G:\Recycler\S-1-5-21-1343024091-813497703-854245398-1003

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[27/09/2011 - 13:04:32 | SHD ] C:\$Recycle.Bin
[03/05/2011 - 10:48:49 | D ] C:\6688493f8cc7c48a97006ded831904
[26/09/2011 - 09:16:31 | N | 1356] C:\AdwCleaner[S1].txt
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[27/09/2011 - 12:58:18 | RASHD ] C:\Autorun.inf
[26/09/2011 - 13:06:58 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[12/08/2008 - 21:35:45 | N | 8192] C:\BOOTSECT.BAK
[26/09/2011 - 22:24:32 | D ] C:\Config.Msi
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[07/09/2008 - 22:31:10 | D ] C:\Documentation
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[18/02/2010 - 18:15:01 | D ] C:\Fichiers Movavi
[27/09/2011 - 12:45:03 | ASH | 3186663424] C:\hiberfil.sys
[07/09/2008 - 22:07:28 | N | 187] C:\Installer_Setup.log
[27/09/2011 - 12:45:01 | ASH | 3500269568] C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[26/09/2011 - 13:58:12 | N | 512] C:\PhysicalDisk0_MBR.bin
[26/09/2011 - 22:23:13 | D ] C:\Program Files
[26/09/2011 - 13:36:56 | HD ] C:\ProgramData
[27/09/2011 - 11:12:07 | SHD ] C:\System Volume Information
[06/04/2009 - 22:05:14 | N | 594] C:\updatedatfix.log
[27/09/2011 - 13:04:32 | D ] C:\UsbFix
[27/09/2011 - 13:03:32 | A | 2970] C:\UsbFix.txt
[27/09/2011 - 12:58:24 | N | 81378] C:\UsbFix_Upload_Me_ORDIBABYDELILI.zip
[24/04/2009 - 23:03:39 | D ] C:\Users
[26/09/2011 - 22:23:35 | D ] C:\Windows
[26/09/2011 - 19:44:26 | D ] C:\ZHP
[27/09/2011 - 13:04:32 | SHD ] G:\$RECYCLE.BIN
[05/08/2010 - 21:35:03 | D ] G:\actualisation assedic
[14/11/2009 - 09:55:46 | D ] G:\carte photo
[21/02/2010 - 12:32:15 | D ] G:\John
[14/11/2009 - 09:53:42 | D ] G:\LILI
[14/11/2009 - 09:41:57 | D ] G:\LUMIX
[20/11/2010 - 18:12:41 | D ] G:\Mes images
[14/11/2009 - 09:54:57 | D ] G:\Musique
[12/12/2009 - 20:04:15 | D ] G:\Photos
[27/09/2011 - 13:04:32 | SHD ] G:\RECYCLER
[12/08/2010 - 17:10:55 | SHD ] G:\System Volume Information
[13/08/2010 - 13:23:19 | D ] G:\Séries
[21/02/2010 - 12:29:44 | D ] G:\Yaël

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ORDIBABYDELILI.zip
http://eldesaparecido.com/support.php
Merci de votre contribution.

################## | E.O.F |



J'ai 2 questions :

- les fichiers supprimés par USBFix sur le DD semblent être des fichiers HP, en rapport avec l'imprimante qu'elle utilise (je crois). Faut-il que je désinstalle les programmes HP présents sur le notebook (HP Photoqmart essential, centre de solutions HP)?

- avant désinstallation de sa vieille version de Firefox, j'avais à la fois sauvegardé et exporté ses bookmarks. Je suppose qu'il vaut mieux que je supprime totalement ces fichiers, qui doivent encore contenir des bribes de PHP Nuke Toolbar?
0
Réponse 12 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 sept. 2011 à 13:43
En fait USBFix a supprimé des raccourcis sous le nom d'HP mais devait rediriger vers des élémnts infectieux. Je ne pense pas qu'il soit utile de supprimer les prog HP

Pour la sauvegarde des bookmarks de firefox, oui je te conseille de supprimer.
il faudra les recréer manuellement.

Tu vas faire un dernier scan ZHPDiag, poste le rapport via cijoint eet je pense que l'on a presque terminé

PS: Je ne serai pas dispo cet après-midi. Je verrais cela à mon retour ce soir

Smart
0
Réponse 13 / 16
Utilisateur anonyme
27 sept. 2011 à 15:10
Merci pour tes réponses. J'ai supprimé les fichiers de bookmarks.


Voici le lien pour le rapport de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201109/cijcMDxa0l.txt


Bon après-midi.
0
Réponse 14 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 sept. 2011 à 22:27
OK. On passe à la phase finale.
Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Fais les mises à jour suivantes:

Mise à jour Java 6 update 27 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 27

Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans votre téléchargement la barre Google"

Mise à jour flashplayer vers la version 10.3.183.5
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O43 - CFD: 25/09/2011 - 22:37:04 - [5145259] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 25/09/2011 - 22:35:48 - [3979] ----D- C:\ProgramData\Spybot - Search & Destroy
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 01/07/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait.

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Installe l'extension de sécurité adblock plus pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
0
Réponse 15 / 16
Utilisateur anonyme
28 sept. 2011 à 10:33
Salut Smart,

Désolée pour mon silence. Je n'ai pu terminer la phase finale que ce matin.

Voici les petits problèmes que j'ai rencontré :

- Abode reader :
j'ai utilisé le logiciel recommandé par ton lien pour désinstaller la version obsolète (V 8 je crois).
Cependant le logiciel ne s'est pas désinstallé, je peux toujours le lancer avec le raccourci sur le bureau. J'ai relancé Windows Installer Clean Up, mais il ne l'affiche plus dans sa liste de programmes. Quand je veux désinstaller Adobe par le panneau de configuration, il m'affiche "Cette action est valide uniquement pour les produits déjà installés".
Quoi qu'il en soit, j'ai installé la version 10

- J'ai mis à jour le plus de logiciels possibles. Par contre comme ma pote n'utilise pas les Windows Live Essential & Co, je me dis que je peux peut-être plutôt les désinstaller?



Rapport ZHPFix :

Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-09-2011-09-22-52.txt
Run by Lissa at 28/09/2011 09:22:52
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: Service: Bonjour Service

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: WindowsWelcomeCenter

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
SUPPRIME Folder: C:\ProgramData\Spybot - Search & Destroy


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 26/09/2011 18:44:26 [2358]
C:\ZHP\ZHPFix[R2].txt - 28/09/2011 09:22:52 [847]


Rapport DelFix :

# DelFix v8.5 - Rapport créé le 28/09/2011 à 09:28:06
# Mis à jour le 25/09/11 à 11h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Lissa - ORDIBABYDELILI (Administrateur)
# Exécuté depuis : C:\Users\Lissa\Desktop\delfix0.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_ORDIBABYDELILI.zip
Supprimé : C:\Users\Lissa\Desktop\adwcleaner.exe
Supprimé : C:\Users\Lissa\Desktop\UsbFix.exe
Supprimé : C:\Users\Lissa\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Lissa\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Lissa\Downloads\2005-impots-1-Lissa.JPG
Supprimé : C:\Users\Lissa\Downloads\2005-impots-2.JPG
Supprimé : C:\Users\Lissa\Downloads\impots.fonciers.08.renemaman.pdf
Supprimé : C:\Users\Lissa\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1608 octets] - [28/09/2011 09:28:06]

########## EOF - C:\DelFix[S1].txt - [1732 octets] ##########



Merci pour tes conseils.

Je tiens aussi à préciser (pour ma petite fierté) que le notebook que tu m'aides à désinfecter n'est pas le mien ;)
0
Réponse 16 / 16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
28 sept. 2011 à 12:38
Supprime le raccourci pour le lancement d'Adobe Reader 8 et n'utilises que Adobe Reader.

Pour Windows Live c'est à toi et à ton pote de voir

Sinon heureux de t'avoir aidé

Smart
0

Discussions similaires

ALERT en php
snoopy -
appkech -

14 réponses
Que veux dire faire une Nuke/Moab sur BO2
MrWizekTv -
MrWizekTv -

6 réponses
balise de retour à la ligne en php
2I++ -
Naguez Abderraouf -

5 réponses
que veut dire php natif
playboy-1990 -
avion-f16 -

2 réponses
Page avec index.php?id=1
jeef06 -
Mihawk -

2 réponses