Autorun / virus Worms sur disque dur multime

lulu380000 Messages postés 23 Statut Membre -  
lulu380000 Messages postés 23 Statut Membre -
Bonjour,
j'ai connecté le Disque dur de ma belle soeur sur mon pc (qui est sain, merci crapoulou ;-)), et à ce moment là antivir à déceler un virus worms surle lecteur D ( DD multimédia) et j'ai du ignorer la mise en 40aine pour pouvoir accéder au DD.
Aprés avoir transférer les dossiers qu'elle souhaitait sur son Dd, elle m'a demandé de lui faire une analyse anti virus sur son DD.
j'ai donc lancé antivir et dès le début de l'analyse il a décelé donc un virus worms, ma proposé la 40 aine que j'ai accepté et à ce moment là l'analyse s'est arrétée n'ayant plus accés au DD qui s'est déconnecté du pc.
en effet, les 2 fichiers ayant été mis en 40aine sont les fichiers autorun du DD ce qui empêche le dd de se lancer. je ne peux donc plus y accéder du tout donc impossible pour moi de restaurer les 2 fichiers sur le dd puisqu'il me met que le répertoire cible n'existe pas.....
j'ai peur de lui faire perdre toutes ses données d'autant plus qu'elle venait de vider son pc intégralement sur ce DD avant de formater son pc.... Aidez moi svp... .
merci d'avance
Configuration: Windows XP
Firefox 3.0.6

33 réponses

  • 1
  • 2
  1. ramiré Messages postés 261 Date d'inscription   Statut Membre 8
     
    et quan tu formate tu crois qui se passe quoi, quan tu formate sela fait comme tchérnnobil se le disc dur sa efface tout, donc formate le disc de ta belle soeur et ton probléme sera resolu.
    0
  2. lulu380000 Messages postés 23 Statut Membre
     
    oui mais si je formate son disque dur ca va effacer tout ce quil y a dessus, et le probleme c'est qu'elle perdra toutes ses données. n'y a t'il pas une autre solution???
    0
  3. ramiré Messages postés 261 Date d'inscription   Statut Membre 8
     
    envoye moi le rappore du scan spybot, si tu c'est pas comment fait je teu le dirai,ok?
    0
    1. lulu380000 Messages postés 23 Statut Membre
       
      spybot n'a trouvé aucune infection
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. ramiré Messages postés 261 Date d'inscription   Statut Membre 8
     
    quelle et le non du virus worms
    0
  6. lulu380000 Messages postés 23 Statut Membre
     
    ça me met contient le modele de detection de ver worm/vb qn2 et ce sont les 2 fichiers suivants qui sont en 40aine :
    d/autorun/in
    d/systemevolumeinformation/restore... le reste c des chiffres...
    0
  7. lulu380000 Messages postés 23 Statut Membre
     
    et si je reinstalle le disque dur avec le cd fourni ça m'efface tt les fichiers dessus non??? car à la limite le virus on peux le supprimer apres..
    0
  8. ramiré Messages postés 261 Date d'inscription   Statut Membre 8
     
    oui il va formaté le disc pour re instalé
    0
  9. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Pour suivre.

    Je ne pense pas que cela soit nécessaire de formater?
    0
  10. lulu380000 Messages postés 23 Statut Membre
     
    beinj'en ai pas trop envie non plus, le but c'es de sauver ce qu'il y a surle disque dur
    0
  11. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Laisse le DD branché et fait déjà ceci :

    Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

    Regarde bien le tuto qui est avec

    /!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

    En mode sans echec la suppression des fichiers présents.

    process.exe
    est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consulting/processutil/processutil.htm

    0
  12. lulu380000 Messages postés 23 Statut Membre
     
    des queje lance ce programme antivir me dit qu'il y a des virus... j'ignore ou pas ??
    0
  13. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    oui tu ignore.
    0
  14. lulu380000 Messages postés 23 Statut Membre
     
    ok la recherche s'effectue
    0
  15. lulu380000 Messages postés 23 Statut Membre
     
    voici le rapport : SmitFraudFix v2.392

    Rapport fait à 23:47:14,20, 05/02/2009
    Executé à partir de C:\Documents and Settings\Ludivine\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Apps\ActivBoard\nhksrv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Apps\ActivBoard\MMKeybd.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Apps\ActivBoard\TrayMon.exe
    C:\Apps\ActivBoard\OSD.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\lxcdcoms.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    Fichier hosts corrompu !

    127.0.0.1 www.legal-at-spybot.info
    127.0.0.1 legal-at-spybot.info
    127.0.0.1 www.spywareinfo.com
    127.0.0.1 spywareinfo.com

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ludivine

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Ludivine\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ludivine\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Ludivine\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau virtuelle FreeBox USB - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.40.240
    DNS Server Search Order: 212.27.40.241

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3128B1D-BE3F-46A2-8AE4-76B503B52BF5}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3128B1D-BE3F-46A2-8AE4-76B503B52BF5}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3128B1D-BE3F-46A2-8AE4-76B503B52BF5}: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  16. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    il n'a analyser que ton pc et à trouvé quelque chose d'ailleur.

    Pour ton pc fait ceci :

    Télécharge cet outil de SiRi sur ton bureau :

    RHost

    Double-clique dessus pour le lancer .

    -> clique sur " Restore original Hosts " et attendre un court instant ...

    ( ps : c'est normal que rien ne se passe ... )

    Fait ceci il devrait analyser tout les lecteurs :

    Telecharge malwarebytes

    NB : S'il te manque COMCTL32.OCX alors télécharge le ici

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    Tutoriaux
    0
  17. lulu380000 Messages postés 23 Statut Membre
     
    est ce que c possible de dabord voir pour le disque dur stp car ma belle soeur vient le recup de main matin et je culpabilise à fond, et en plus je vais pas pouvoir rester trop tard surle pc car demain faut que jeme leve pour l'école de mapuce. j'veux pas t'embeter c'est déjà gentil de ta part que tu m'aides
    0
  18. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    non ça prend 5 minutes à faire le 1er pour ton pc ensuite tu fera le reste il faut que ça soit fait. Merci.
    0
  19. lulu380000 Messages postés 23 Statut Membre
     
    j'ai quand meme fait le r host j'ai unepetite fentre d'ouverte mais rien dne se passe. jel'ai laissé ouverte, et là j'ailancé malaware qui amon avis va être trés long
    0
    1. antonin64
       
      Salut, j'ai peut être une solution pour accéder à ce disque, tape la lettre de ton disque dans la barre d'adresse, exemple : si le disque s'appele D tape ceci D:
      Et normalement le disque devrait s'ouvrir.
      0
  20. lulu380000 Messages postés 23 Statut Membre
     
    euh petite question comment je sais qu'il me manque COMCTL32.OCX.. vu quej'ai téléchargé malware cette semaine, je ne l'ai pas retéléchargé...
    0
  • 1
  • 2