Sujet Précédent Sujet Suivant

Virus X.tmp

skybenouche Messages postés 31 Statut Membre -  
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

je rencontre depuis peu un problème similaire à celui énoncé dans ce topic
http://www.commentcamarche.net/forum/affich 8884544 virus 3 tmp reboot windows au demarrage

J'ai suivi les instructions énoncées dans ce post et depuis, mon ordinateur ne reboot plus (peut être aussi parce que je n'essaie plus de fermer les processus que j'énonce par la suite...). J'ai toujours l'apparition de processus X.tmp, X pouvant être n'importe quel nombre (3, 4, 5, etc.) AINSI que d'un processus comme "actcontroller.exe".

Après recherche, j'ai pu constater qu'il s'agit du fichier identifié ici :
https://www.broadcom.com/

Ill apparaît en effet sous divers noms, tous listés dans le lien ci dessus, le nom changeant à chaque démarrage... je remarque aussi que tout ça ne se déclenche que lorsque j'ai accès à internet. Dès que je branche mon câble reliant mon modem et mon ordinateur, je vois toute une panoplie de processus se lancer dans le gestionnaire de tâches

- les X.tmp
- actcontroller.exe (ou sous un autre nom)
- des cmd.exe

J'ai l'impression que ma connexion internet est "pompée". Même en ne faisant rien, le clignant de mon routeur s'agite comme un dingue, je constate de gros ralentissements quand je vais sur internet. Les processus sont toujours présents, et ils réapparaissent sans cesse même lorsque je les supprime (situés dans windows\system32). D'ailleurs, ça se ressent au niveau de l'utilisation de l'UC qui frôle les 100%...

Je poste mon rapport hijackthis et vous remercie d'avance pour votre aide car là, je désespère :(

Logfile of HijackThis v1.99.1
Scan saved at 18:28:31, on 05/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
C:\windows\system32\nvsvc32.exe
C:\windows\Explorer.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\windows\system32\taskmgr.exe
C:\windows\system32\rundll32.exe
C:\windows\system32\svchost.exe
C:\windows\system32\actcontroller.exe
C:\windows\system32\5.tmp
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\svchost.exe
C:\windows\system32\cmd.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrateur\kgyolwv.exe \s
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\windows\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\windows\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\fichiers communs\pc tools\lsp\pctlsp.dll
O20 - Winlogon Notify: byXOgFWo - byXOgFWo.dll (file missing)
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe" /service (file missing)
O23 - Service: PCI Latency Tool Service (LtcyCfgSvc) - Unknown owner - C:\Program Files\PCI Latency Tool 3\LtcyCfgSvc.exe
O23 - Service: Microsoft NtfsSvc Manager Service (NtfsSvc) - Unknown owner - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
A voir également:

59 réponses

Précédent
Réponse 41 / 59
skybenouche Messages postés 31 Statut Membre 1
 
ComboFix 09-02-06.01 - Administrateur 2009-02-06 17:45:59.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.605 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\services.exe
c:\windows\system32\drivers\protect.sys
c:\windows\system32\drivers\str.sys . . . . impossible à supprimer

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\system32\svchost.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PROTECT
-------\Legacy_SYNSEND
-------\Service_Passthru
-------\Service_protect
-------\Service_synsend

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-06 au 2009-02-06 ))))))))))))))))))))))))))))))))))))
.

2009-02-06 01:32 . 2009-02-06 01:32 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-02-05 23:10 . 2009-02-05 23:11 <REP> d-------- C:\rsit
2009-02-05 23:10 . 2009-02-05 23:11 <REP> d-------- c:\program files\trend micro
2009-02-05 21:37 . 2009-02-05 21:37 32,768 --ah----- c:\documents and settings\Administrateur\nywe.exe
2009-02-05 21:32 . 2009-02-05 21:32 <REP> d-------- C:\_OTMoveIt
2009-02-05 20:33 . 2009-02-05 20:33 <REP> d----c--- c:\documents and settings\All Users.WINDOWS\Application Data\{51019853-129C-4EDE-9030-D5FD7BBD9AD0}
2009-02-05 20:29 . 2009-02-05 20:29 32,768 --ah----- c:\documents and settings\Administrateur\yfpc.exe
2009-02-05 18:02 . 2009-02-05 21:37 53,248 --a------ c:\windows\system32\drivers\ndisio.sys
2009-02-05 18:02 . 2009-02-05 18:02 32,768 --ah----- c:\documents and settings\Administrateur\kgyolwv.exe
2009-02-05 18:02 . 2009-02-05 20:29 130 --a------ c:\windows\adobe.bat
2009-02-05 17:01 . 2009-02-05 17:01 <REP> d-------- c:\windows\ERUNT
2009-02-05 17:00 . 2009-02-05 17:12 <REP> d-------- C:\SDFix
2009-02-05 16:57 . 2009-02-05 16:44 1,529,241 --a------ C:\SDFix.exe
2009-02-05 14:52 . 2009-02-05 14:52 <REP> d-------- c:\program files\Prevx
2009-02-05 14:52 . 2009-02-05 18:09 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PrevxCSI
2009-02-05 14:52 . 2009-02-05 14:52 21,512 --a------ c:\windows\system32\drivers\pxscan.sys
2009-02-05 14:52 . 2009-02-05 14:52 79 --a------ c:\windows\wininit.ini
2009-02-05 14:51 . 2009-02-05 14:51 <REP> d--h-c--- c:\documents and settings\All Users.WINDOWS\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
2009-02-05 02:40 . 2009-02-05 02:40 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\PC Tools
2009-02-05 02:40 . 2008-12-02 23:28 160,792 --a------ c:\windows\system32\drivers\pctfw2.sys
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-02-04 23:51 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-04 23:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 23:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-04 23:41 . 2009-02-04 23:41 <REP> d-------- c:\program files\BitComet
2009-02-04 23:30 . 2009-02-04 23:30 <REP> d-------- c:\documents and settings\NetworkService.AUTORITE NT\Menu Démarrer
2009-02-04 19:32 . 2009-02-04 19:32 33,920 --a------ c:\windows\system32\drivers\aqowrmmm.sys
2009-02-04 19:06 . 2009-02-05 21:37 66,560 ---h----- c:\windows\system32\secupdat.dat
2009-02-04 19:05 . 2009-02-04 19:05 138,080 --a------ c:\windows\system32\drivers\ethdmqlp.sys
2009-02-02 11:54 . 2009-02-02 11:54 <REP> d-------- c:\windows\ACAMPREF
2009-02-02 11:53 . 1996-06-05 05:09 12,800 --a------ c:\windows\system32\wing32.dll
2009-02-02 11:53 . 2009-02-06 16:22 1,035 --a------ c:\windows\wacam.ini
2009-02-02 11:53 . 1999-03-12 21:42 592 --a------ c:\windows\wacam.bak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 16:42 --------- d-----w c:\program files\Panda Security
2009-02-05 19:46 --------- d-----w c:\program files\Starcraft
2009-02-05 18:20 --------- d-----w c:\program files\Hijackthis Version Française
2009-02-05 16:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\SecTaskMan
2009-02-05 02:06 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-02-05 02:06 --------- d-----w c:\program files\Spyware Doctor
2009-02-05 01:40 --------- d-----w c:\program files\Fichiers communs\PC Tools
2009-02-05 00:12 --------- d-----w c:\program files\RegCure
2009-02-04 22:25 --------- d-----w c:\program files\a-squared Free
2009-02-04 19:27 --------- d-----w c:\program files\Zoom Player
2009-02-04 18:05 578,048 ----a-w c:\windows\system32\DllCache\user32.dll.vir
2009-02-03 22:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
2009-02-03 12:47 --------- d-----w c:\program files\eclipse
2009-02-02 13:21 --------- d-----w c:\program files\eMule
2009-01-26 14:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-12-30 18:27 --------- d-----w c:\program files\KONAMI
2008-12-29 17:25 7,430 ----a-w c:\windows\system32\wvylwnt.dll
2008-12-29 17:25 289,792 ----a-w c:\windows\system32\dts3212.exe
2008-12-20 17:53 --------- d-----w c:\program files\adslTV
2008-12-18 19:01 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-18 19:01 --------- d--h--r c:\documents and settings\Administrateur\Application Data\SecuROM
2008-12-18 18:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\gnupg
2008-12-18 06:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\RayV
2008-12-18 06:12 --------- d-----w c:\program files\easycleaner
2008-12-18 06:04 --------- d-----w c:\program files\Mozilla XULRunner
2008-12-15 17:16 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-12-15 06:45 --------- d-----w c:\documents and settings\Administrateur\Application Data\Hamachi
2008-12-15 06:42 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys
2008-12-12 03:50 --------- d-----w c:\program files\mplayer-1.0pre8-3.4.2
2008-10-17 14:07 470,272 ----a-w c:\program files\fxdecod1.dll
2007-10-03 13:15 809,699 ----a-w c:\program files\copguy6eg.gif
2007-08-08 15:46 1 ----a-w c:\documents and settings\Administrateur\SI.bin
2007-06-16 13:44 2,855 ----a-w c:\documents and settings\Administrateur\Install.PIF
2006-12-01 11:40 162 ----a-w c:\program files\DivFix.ini
2006-09-30 14:48 3,808,512 ----a-w c:\program files\FoxitReader.exe
2003-05-05 12:10 210,944 ----a-w c:\program files\DivFix.exe
.

------- Sigcheck -------

2004-08-03 23:55 31744 369afa0663a8ae86888238d65c206b9a c:\windows\system32\svchost.exe
2004-08-03 23:55 31744 c9763724a16b0651f5e9869d0c5f49f8 c:\windows\system32\DllCache\svchost.exe

2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\user32.dll
2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a c:\windows\system32\DllCache\user32.dll

2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\DllCache\TCPIP.SYS
2008-03-28 18:52 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\drivers\TCPIP.SYS

2004-08-03 23:54 1053696 3a22c315dde5cccfb28a7d5d39752f06 c:\windows\explorer.exe
2004-08-03 23:54 1053696 c076cdcd758b6601c508d788825cea2c c:\windows\system32\DllCache\explorer.exe

2004-08-03 23:54 32768 e951027b2d15c9566f6f370f6ada0de7 c:\windows\system32\ctfmon.exe
2004-08-03 23:54 32768 4d8345932cf8851113a39ea754e789ea c:\windows\system32\DllCache\ctfmon.exe

2004-08-03 23:55 75776 c791d971195e041b3c8a82abe0a99825 c:\windows\system32\spoolsv.exe
2004-08-03 23:55 75264 5ac6da17b5a309e6bacd5ae00e4ec145 c:\windows\system32\DllCache\spoolsv.exe

2004-08-03 23:55 130048 ec28ada3b508d47e78ecf649e61df336 c:\windows\system32\wuauclt.exe
2004-08-03 23:55 130048 b3a3590010ac99aff151ac5ab536e19a c:\windows\system32\DllCache\wuauclt.exe

2004-08-03 23:55 42496 d9005d85fd35de4eac0c0e21379810ae c:\windows\system32\userinit.exe
2004-08-03 23:55 42496 91ed217a0fea6c7ee625bf6047e18e9f c:\windows\system32\DllCache\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-05_18.50.50.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-06 16:50:11 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-05 17:48:53 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-06 16:50:11 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-05 17:48:53 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-06 16:50:11 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2009-02-05 15:12:08 118,152 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2009-02-06 11:30:17 118,152 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2005-05-16 18:34:48 213,048 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2008-08-13 14:03:26 86,016 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2008-08-13 14:03:26 798,720 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 --a------ c:\program files\Fichiers communs\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 229432]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 61440]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 84408]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 472576]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 c:\windows\system32\nvmctray.dll]
"nwiz"="nwiz.exe" [2006-06-01 c:\windows\system32\nwiz.exe]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.FMVC"= fmcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aqowrmmm.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Might and Magic VIII.lnk]
backup=c:\windows\pss\Might and Magic VIII.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
--a------ 2008-08-25 12:36 1168264 c:\program files\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-04-20 09:07 405504 c:\windows\system32\JMRaidTool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-12-11 10:56 307200 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveIT Pro XT]
--a------ 2008-09-16 14:02 602112 c:\program files\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-07-12 03:00 132496 c:\program files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-07-10 23:27 185896 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-10-30 19:49 16286720 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 18:04 2899968 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"a2free"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\SmartFTP Client\\SmartFTP.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16023:TCP"= 16023:TCP:BitComet 16023 TCP
"16023:UDP"= 16023:UDP:BitComet 16023 UDP
"16124:TCP"= 16124:TCP:BitComet 16124 TCP
"16124:UDP"= 16124:UDP:BitComet 16124 UDP

R0 aqowrmmm;aqowrmmm;c:\windows\system32\drivers\aqowrmmm.sys [2009-02-04 33920]
R0 IABFilt;Iomega Snapshot Volume Filter;c:\windows\system32\drivers\IABFilt.sys [2007-03-31 25344]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2009-02-05 21512]
R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2009-02-05 160792]
R2 LtcyCfgSvc;PCI Latency Tool Service;c:\program files\PCI Latency Tool 3\LtcyCfgSvc.exe [2005-12-25 22528]
R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 31744]
R3 LtcyCfgWDM;PCI Latency Tool Driver Service;c:\windows\system32\drivers\LtcyCfgWDM.sys [2005-12-25 6656]
S1 ethdmqlp;ethdmqlp;c:\windows\system32\drivers\ethdmqlp.sys [2009-02-04 138080]
S2 CSIScanner;CSIScanner;c:\program files\Prevx\prevx.exe [2009-02-05 4107832]
S2 NtfsSvc;Microsoft NtfsSvc Manager Service; [x]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-12-02 356920]
S3 urvpndrv;F5 Networks VPN Adapter;c:\windows\system32\DRIVERS\urvpndrv.sys --> c:\windows\system32\DRIVERS\urvpndrv.sys [?]
S3 XDva020;XDva020;\??\c:\windows\system32\XDva020.sys --> c:\windows\system32\XDva020.sys [?]
S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys --> c:\windows\system32\XDva090.sys [?]
S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2009-02-06 c:\windows\Tasks\ayattnhg.job
- c:\windows\system32\geBrppPi.dll []

2009-02-06 c:\windows\Tasks\RegCure Program Check.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]

2009-02-06 c:\windows\Tasks\RegCure.job
- c:\program files\RegCure\RegCure.exe [2007-04-16 17:51]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
LSP: c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\7gj3tp2j.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPuroamHost.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Panda Security\TotalScan\npwrapper.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 17:50:22
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\system32\drivers\str.sys 0 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\xbqigro]
"ImagePath"="\??\c:\windows\system32\drivers\wskcuhw.sys"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\Administrator\Software\SecuROM\License information*]
"datasecu"=hex:ad,5a,18,f8,62,ba,4e,d4,eb,ee,91,cc,4f,a5,92,e2,50,d1,8d,c7,fc,
4f,4d,b9,1e,ea,5d,81,e7,06,2d,f4,a4,f3,23,ab,27,64,3e,29,2a,20,64,42,4d,9f,\
"rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\program files\Fichiers communs\PC Tools\LSP\PCTLsp.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Heure de fin: 2009-02-06 17:52:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-06 16:52:43
ComboFix2.txt 2009-02-05 18:18:16
ComboFix3.txt 2009-02-05 17:52:10

Avant-CF: 9 930 162 176 octets libres
Après-CF: 9,991,409,664 octets libres

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
341
0
Réponse 42 / 59
noctambule28 Messages postés 35799 Date d'inscription   Statut Webmaster Dernière intervention   2 858
 
Avant le script fait ceci

Télécharger GMER ( http://www2.gmer.net/gmer.zip )
Extraire le contenu du ZIP puis renommer "gmer.exe" en "bypass.exe"
Onglet "Rootkit" ; cliquez sur "SCAN" puis patienter...
En fin de traitement cliquez sur "SAVE" et enregistrer sur votre bureau "date_du_jour.txt"
Double cliquez sur "date_du_jour.txt" ; le fichier s'ouvre dans le bloc-notes.
Copiez le contenu et collez le sur votre prochain message.
0
Réponse 43 / 59
skybenouche Messages postés 31 Statut Membre 1
 
il plante quand je le lance

"bypass.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru."

en cliquant pour afficher les données du rapport

Signature de l'erreur
AppName: bypass.exe AppVer: 1.0.14.14536 ModName: ntdll.dll
ModVer: 5.1.2600.2180 Offset: 00006278

si ça peut aider...
0
Réponse 44 / 59
skybenouche Messages postés 31 Statut Membre 1
 
bon bah c'est résolu...
les logs sont désormais clean, merci à tous
@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
---> Fais analyser le fichier suivant : c:\windows\system32\userinit.exe

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/
0
Réponse 46 / 59
noctambule28 Messages postés 35799 Date d'inscription   Statut Webmaster Dernière intervention   2 858
 
Salut

Sur les conseils de Lyonnais qui nous donne un coup de main :

Il faudrait que tu analyses ça egalement:

c:\windows\system32\drivers\pxscan.sys
c:\program files\copguy6eg.gif

Sur Virus Total
0
Réponse 47 / 59
skybenouche Messages postés 31 Statut Membre 1
 
Bonjour,

c:\program files\copguy6eg.gif = clean
c:\windows\system32\userinit.exe = clean
d'après virustotal...
quant à c:\windows\system32\drivers\pxscan.sys, je l'avais supprimé

ces lignes

"[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\system32\svchost.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\system32\spoolsv.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR"

ne sont plus présentes dans mes logs, et ni bitdefender ni kapersky online ne détecte de virus/trojan/etc. à présent (idem pour combofix et compagnie)
0
Réponse 48 / 59
noctambule28 Messages postés 35799 Date d'inscription   Statut Webmaster Dernière intervention   2 858
 
Ok, ..fait ceci maintenant ( merci Lyonnais92)

copie/colle ce qui est en gras dans le bloc notes


Rootkit::
c:\documents and settings\Administrateur\nywe.exe
c:\documents and settings\Administrateur\yfpc.exe
c:\windows\system32\drivers\ndisio.sys
c:\documents and settings\Administrateur\kgyolwv.exe
c:\windows\system32\drivers\aqowrmmm.sys
c:\windows\system32\secupdat.dat
c:\windows\system32\drivers\ethdmqlp.sys
c:\windows\Tasks\ayattnhg.job
c:\windows\system32\geBrppPi.dll
c:\windows\Tasks\RegCure Program Check.job
c:\program files\RegCure\RegCure.exe
c:\windows\Tasks\RegCure.job
c:\program files\RegCure\RegCure.exe
c:\windows\system32\DllCache\user32.dll.vir
c:\windows\system32\wvylwnt.dll
c:\windows\system32\dts3212.exe
c:\windows\system32\drivers\aqowrmmm.sys
c:\windows\system32\drivers\ethdmqlp.sys
c:\windows\system32\DRIVERS\urvpndrv.sys
c:\windows\system32\XDva020.sys
c:\windows\system32\XDva090.sys
c:\windows\system32\XDva190.sys
c:\windows\system32\drivers\wskcuhw.sys
c:\windows\system32\dts3212.exe

folder::
c:\program files\RegCure

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aqowrmmm.sys]
[-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\xbqigro]

Driver::
aqowrmmm
ethdmqlp
NtfsSvc
urvpndrv
XDva020
XDva090
XDva190

* Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 49 / 59
skybenouche Messages postés 31 Statut Membre 1
 
"
c:\documents and settings\Administrateur\nywe.exe
c:\documents and settings\Administrateur\yfpc.exe
c:\windows\system32\drivers\ndisio.sys
c:\documents and settings\Administrateur\kgyolwv.exe
c:\windows\system32\drivers\aqowrmmm.sys
c:\windows\system32\secupdat.dat
c:\windows\system32\drivers\ethdmqlp.sys
c:\windows\Tasks\ayattnhg.job
c:\windows\system32\geBrppPi.dll
c:\windows\Tasks\RegCure Program Check.job
c:\program files\RegCure\RegCure.exe
c:\windows\Tasks\RegCure.job
c:\program files\RegCure\RegCure.exe
c:\windows\system32\DllCache\user32.dll.vir
c:\windows\system32\wvylwnt.dll
c:\windows\system32\dts3212.exe
c:\windows\system32\drivers\aqowrmmm.sys
c:\windows\system32\drivers\ethdmqlp.sys
c:\windows\system32\DRIVERS\urvpndrv.sys
c:\windows\system32\XDva020.sys
c:\windows\system32\XDva090.sys
c:\windows\system32\XDva190.sys
c:\windows\system32\drivers\wskcuhw.sys
c:\windows\system32\dts3212.exe
"

Dans cette liste, le seul fichier présent sur mon pc est "c:\program files\RegCure\RegCure.exe"
je me souviens en avoir virer pas mal de cette liste, dont aqowrmmm.sys (et pas au pif non), ainsi que les entrées associées présentes dans la base de registre

Je suis venu demander de l'aide, OK, et avec l'aide des nombreux outils que l'on m'a "conseillé" j'ai pu identifier et virer le virus qui me polluait mon ordi.

Cependant, je me tue à dire que le problème est résolu et que mes logs sont clean... j'ai même re-passé les exécutables tel que userinit, ainsi que le fichier gif sur virustotal.com et tous me donnent
"Résultats 0/35" (ceux qui connaissent le site sauront de quoi je parle)

Bref, je vous remercie de m'avoir aider et de vous assurer que le problème est résolu à la source et non en surface mais je vous assure, une fois de plus, que tout est rentré dans l'ordre. Merci de laisser ce topic rendre l'âme maintenant qu'il a fait son office.

skybenouche
0
Réponse 50 / 59
skybenouche Messages postés 31 Statut Membre 1
 
Re,

Il s'est passé un moment depuis ma dernière réponse et il pourrait sembler que j'ai laissé en plan ceux qui ont répondu et même si j'avoue que c'est un peu le cas, il se trouve également que je n'ai pas touché au PC depuis (décès dans la famille, entretiens d'embauche et j'en passe...).

Bref, j'avais tout simplement formater le disque dur, pour y installer un XP officiel que l'on m'a prêté. Tout marchait impec et les logs étaient clean. J'avais osé espérer qu'après un formatage complet, je n'ai plus de problèmes seulement voilà, le PC est de nouveau infecté... personne n'y a touché depuis le reformatage et.... j'en reste sans voix.

J'en appelle aux âmes charitables pour me venir en aide car j'ai chopé un virus vraiment... très persistant et cette fois ci je compte bien aller au bout pour être sûr qu'il soit bien éradiqué. Bien sûr, je comprendrai que vous ne vouliez plus m'aider après cette absence de réponse mais j'espère malgré tout avoir une réponse positive.
0
Réponse 51 / 59
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
http://www.commentcamarche.net/faq/sujet 16138 comment supprimer virut#formatage killdisk
0
skybenouche Messages postés 31 Statut Membre 1
 
Je commence à comprendre comment je suis ré-infecté aussi vite... j'ai plusieurs DD internes et j'ai effectivement sauvegarder certains logiciels (contenant des .exe donc) sur l'un pour formater l'autre. Comme le virus n'entre réellement en oeuvre que lorsque mon pc est connecté, je suppose que ça colle parfaitement à ma situation actuelle.

Je vais suivre à la lettre les instructions dans ce post dès que possible, en espérant résoudre le problème. Très bon post en tout cas Destrio5. Je ne sais pas si j'arriverai à désinfecter mon ordi sans utiliser killdisk (j'avoue que j'en ai un peu marre de formater), mais ça soulage un peu de connaître la cause de tout ce mal.
0
Réponse 52 / 59
skybenouche Messages postés 31 Statut Membre 1
 
Dr.Web CureIt! ne détecte rien
AVPTool ne détecte rien

je peux coller le reste du rapport de AVPTool si nécessaire mais je pense que ces quelques lignes suffiront

Scan
----
Scanned: 86100
Detected: 0
Untreated: 0
Start time: 16/02/2009 20:47:06
Duration: 01:12:30
Finish time: 16/02/2009 21:59:36

Je n'ai pas encore essayé eScan Antivirus Toolkit mais je tiens à préciser qu'il y a une légère erreur dans le post

entre
"Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure. "
et
"ensuite, double-cliquez sur le fichier kavupd.exe. Vous verrez maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. "

sans accès Internet, je ne vois pas comment on pourrait télécharger les mises à jour puisqu'il essaie bel et bien d'accéder au net ;)

En tout cas, pour le moment c'est clean. Juste après avoir posté, j'avais coupé l'accès à Internet, reformaté mes 2 disques durs, et installer windows. J'ai osé me connecter à internet après les scans de Dr.Web CureIt! et AVPTool et toujours rien.

J'ose croire que le virus n'est plus présent mais je tiens à aller jusqu'au bout pour en être parfaitement sûr. Je vais donc installer les mises à jour de eScan Antivirus Toolkit et le lancer. S'il ne détecte rien non plus, merci de me dire quels logiciels et quels rapports afficher. Vous (comprendre plusieurs personnes) m'en aviez fait installer tellement auparavant que je ne sais par lequel commencer.

Ceci dit, j'avais sauvegardé tous mes documents sur un disque dur externe, qui ne sert que de disque de stockage. Seulement, je redoute que le virus ce soit "migré" là dessus, attendant l'occasion propice de revenir sur mon système. Que faire ? D'après ce que j'ai pu comprendre (cf post Comment supprimer Virut ?), un "logiciel exécutable ou zippé" et un risque potentiel. Cela signifie t-il qu'un fichier vidéo/audio/texte est sans risque ?

Voilà, ça fait beaucoup de blabla mais je peux lancer la phase "eScan Antivirus Toolkit" maintenant.

NB: j'ai un mac et un unix que je peux utiliser pour faire des opérations sur le disque dur externe si besoin est, d'ailleurs j'utilise le mac pour poster
0
Réponse 53 / 59
skybenouche Messages postés 31 Statut Membre 1
 
bon bah eScan Antivirus Toolkit ne donne rien non plus
la fenêtre "Virus Log Information" est vide

il reste le problème du disque dur externe à régler, je n'ai pas envie de prendre de risque :s
0
Réponse 54 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Salut,

est ce qu'il y a des .exe, .scr, .htm ou .html dans ton DD externe ?

Oui, il est presque surement infecté.

Non, il est presque surement pas infecté.
0
Réponse 55 / 59
skybenouche Messages postés 31 Statut Membre 1
 
Il y a quelques .exe (vieux jeux) et probablement quelques .html bien que j'en doute.
Est-ce que je cours un risque en consultant le contenu du disque via un système mac ou linux ? Vu que le système ne fonctionne pas de la même manière, je serais tenté de dire non mais j'en sais pas plus que ça.

Par infecté, tu entends le disque en entier ou juste certains fichiers ?
0
Réponse 56 / 59
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

seuls certains fichiers sont infectés, pas le disque.

Il me semble que démarrer sur un autre OS est dans danger. Utiliser un live CD linux serait un plus.

Une idée complémentaire serait le CD rescue de Kaspersky qui embarque un outils capable de réparer certaines variantes.

Ouvre ce lien :

https://www.raymond.cc/blog/

Il te donne le lien de téléchargement :

Here’s the detailed step-by-step on how to use Kaspersky Rescue Disk.
1. Download Kaspersky Rescue Disk ISO.

en cliquant sur download qui te renvoie ici :

http://dnl-eu10.kaspersky-labs.com/devbuilds/RescueDisk/

et le mode d'emploi de l'outil.

Sur la fenêtre de choix des partitions à scanner, tu ne cocheras que la case de ton DD externe.

Dans la fenêtre de configuration des actions à mener, tu chois de réparer en premier lieu, de supprimer en deuxième action.

Deux choses sont importantes :

- bien enregistrer le fichier téléchargé avec la bonne extension (.iso)

- bien graver comme "une image" car c'est ce qui rend le CD "bootable".

Pour être sûr de l'extension, il faut avoir bien paramétré « masquer les extensions dont le type est connu ». Il faut que la case soit décochée. Ceci peut dépendre de l'OS.

Quand tu quitteras l'outil, sur l'écran, en bas à gauche, tu as une icône.

Tu cliqueras dessus.

Tu as la commande pour te déconnecter. Ca fermera le système.

Tu as aussi un éditeur de texte. Attention, la présentation ,n'est pas identique à celle de Windows mais, sous "disques", tu as tes partitions du disque dur.

quand tu ouvres cet explorateur de fichiers, tu as les répertoires d'une partition Linux.

Tu as, dedans, ton disque dur.

Cela permet de créer un fichier nouveau pour le rapport que tu pourras ouvrir sous Windows et poster.
0
Réponse 57 / 59
skybenouche Messages postés 31 Statut Membre 1
 
Re,

voici le log :

Analyse: terminée le 20/02/09 15:15 (événements : 6, objets : 24817, durée : 00:07:26)
20/02/09 15:15 Fin de la tâche
20/02/09 15:15 Supprimés: Virus.Win32.Virut.ce /discs/C:/save/TDinfo/quake.exe
20/02/09 15:15 Supprimés: Virus.Win32.Virut.ce /discs/C:/save/TDinfo/tremblement.exe
20/02/09 15:15 Détectés: Virus.Win32.Virut.ce /discs/C:/save/TDinfo/quake.exe
20/02/09 15:15 Détectés: Virus.Win32.Virut.ce /discs/C:/save/TDinfo/tremblement.exe
20/02/09 15:08 Lancement de la tâche

Comment je le craignais, il y avait bien des traces sur mon disque externe.
0
Réponse 58 / 59
willem
 
je viens de me faire infecter par le même virus sur mes cinq pc chez moi ... et ce que je vais dire ne va peut être pas te remonter le moral j'ai tout tenter mais ce truck ce propage à une vitesse hallucinante à peine enlever il est de retour j'ai pas eu d'autre solution que de formater tout mes pc ( les 5 partagé un disque commun ..) . Bon courage ;)
0
Réponse 59 / 59
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
 
Salut, oui le salaire des cracks, alors au moins toi tu vas t'en souvenir ;-)
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses