autorun / virus Worms sur disque dur multime

Question

Bonjour,
j'ai connecté le Disque dur de ma belle soeur sur mon pc (qui est sain, merci crapoulou ;-)), et à ce moment là antivir à déceler un virus worms surle lecteur D ( DD multimédia) et j'ai du ignorer la mise en 40aine pour pouvoir accéder au DD. 
Aprés avoir transférer les dossiers qu'elle souhaitait sur son Dd, elle m'a demandé de lui faire une analyse anti virus sur son DD. 
j'ai donc lancé antivir et dès le début de l'analyse il a décelé donc un virus worms, ma proposé la 40 aine que j'ai accepté et à ce moment là l'analyse s'est arrétée n'ayant plus accés au DD qui s'est déconnecté du pc. 
en effet, les 2 fichiers ayant été mis en 40aine sont les fichiers autorun du DD ce qui empêche le dd de se lancer. je ne peux donc plus y accéder du tout donc impossible pour moi de restaurer les 2 fichiers sur le dd puisqu'il me met  que le répertoire cible n'existe pas..... 
j'ai peur de lui faire perdre toutes ses données d'autant plus qu'elle venait de vider son pc intégralement sur ce DD avant de formater son pc.... Aidez moi svp... .
merci d'avance

ramiré · Answer

et quan tu formate tu crois qui se passe quoi, quan tu formate sela fait comme tchérnnobil se le disc dur sa efface tout, donc formate le disc de ta belle soeur et ton probléme sera resolu.

lulu380000 · Answer

oui mais si je formate son disque dur ca va effacer tout ce quil y a dessus, et le probleme c'est qu'elle perdra toutes ses données. n'y a t'il pas une autre solution???

ramiré · Answer

telecharge et instale et fait, scan tout, a la fin fait supprimé le élément séléctionné http://www.spybotupdates.com/files/spybotsd162.exe

ramiré · Answer

envoye moi le rappore du scan spybot, si tu c'est pas comment fait je teu le dirai,ok?

ramiré · Answer

quelle et le non du virus worms

lulu380000 · Answer

ça me met contient le modele de detection de ver worm/vb qn2 et ce sont les 2 fichiers suivants qui sont en 40aine : 
d/autorun/in
d/systemevolumeinformation/restore... le reste c des chiffres...

lulu380000 · Answer

et si je reinstalle le disque dur avec le cd fourni ça m'efface tt les fichiers dessus non??? car à la limite le virus on peux le supprimer apres..

ramiré · Answer

oui il va formaté le disc pour re instalé

pimprenelle27 · Answer

Pour suivre.

Je ne pense pas que cela soit nécessaire de formater?

lulu380000 · Answer

beinj'en ai pas trop envie non plus, le but c'es de sauver ce qu'il y a surle disque dur

pimprenelle27 · Answer

Laisse le DD branché et fait déjà ceci : 

Téléchargez SmitfraudFix et enregistrez-le sur le bureau
    * Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
    * Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
    * A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.

Regarde bien le tuto qui est avec


/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.

En mode sans echec la suppression des fichiers présents.


process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

lulu380000 · Answer

des queje lance ce programme antivir me dit qu'il y a des virus... j'ignore ou pas ??

pimprenelle27 · Answer

oui tu ignore.

lulu380000 · Answer

ok la recherche s'effectue

lulu380000 · Answer

voici le rapport  : SmitFraudFix v2.392

Rapport fait à 23:47:14,20, 05/02/2009
Executé à partir de C:\Documents and Settings\Ludivine\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Apps\ActivBoard
hksrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\lxcdcoms.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info
127.0.0.1	www.spywareinfo.com
127.0.0.1	spywareinfo.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ludivine


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Ludivine\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ludivine\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Ludivine\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau virtuelle FreeBox USB - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3128B1D-BE3F-46A2-8AE4-76B503B52BF5}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3128B1D-BE3F-46A2-8AE4-76B503B52BF5}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3128B1D-BE3F-46A2-8AE4-76B503B52BF5}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

pimprenelle27 · Answer

il n'a analyser que ton pc et à trouvé quelque chose d'ailleur.

Pour ton pc fait ceci : 

Télécharge cet outil de SiRi sur ton bureau :

RHost

Double-clique dessus pour le lancer .

-> clique sur " Restore original Hosts " et attendre un court instant ...

( ps : c'est normal que rien ne se passe ... )


Fait ceci il devrait analyser tout les lecteurs : 


Telecharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


Tutoriaux

lulu380000 · Answer

est ce que c possible de dabord voir pour le disque dur  stp car ma belle soeur vient le recup de main matin et je culpabilise à fond, et en plus je vais pas pouvoir rester trop tard surle pc car demain faut que jeme leve pour l'école de mapuce. j'veux pas t'embeter c'est déjà gentil de ta part que tu m'aides

pimprenelle27 · Answer

non ça prend 5 minutes à faire le 1er pour ton pc ensuite tu fera le reste il faut que ça soit fait. Merci.

lulu380000 · Answer

j'ai quand meme fait le  r host j'ai unepetite fentre d'ouverte mais rien dne se passe. jel'ai laissé ouverte, et là j'ailancé malaware qui amon avis va être trés long

lulu380000 · Answer

euh petite question comment je sais qu'il me manque  COMCTL32.OCX.. vu quej'ai téléchargé malware cette semaine, je ne l'ai  pas retéléchargé...

pimprenelle27 · Answer

si tu là déjà téléchargé, tu le met à jour et tu lance l'analyse.

lulu380000 · Answer

j'vais tjs plus vite que la musique.. je ne l'ai pas mis à jour, mais je l'ai depuis style 3 ou 4 jours alors logiquement il est à jour..... car là l'analyse est déjà en cours


et pour rhost tjs rien j'ai tjs la petite fenetre ou je peux cliquer sur restaurer mais rien ne se passe...

pimprenelle27 · Answer

non on arrête l'analyse et met le à jour avant c'est comme un antivirus il y a des mise à jour tout les jours.

lulu380000 · Answer

ok 
d'accord c fait. effectivement  ma derniere mise a jour datait du 4 , et il m'a mis a jour sur une version au dessus. désolée, je suis vraiment pas douée en informatique.
là, l'analyse se fait. je poste le rapport des que c terminé

lulu380000 · Answer

euh?? malware n'est plus affiché sur mon ecran mais dans les processus il est tjs en cours d'execution, mais quand je clique basculer vers ou mettre au 1er plan rien ne se passe.. par contre antivir s'éclate à me trouver des virus ou programmes indesirables notament dans mon profil mozilla apparemment... pfff j'en ai marre

lulu380000 · Answer

on en est a 50 minutes pour malware et ce n'est pas fini,je vais me coucher je continuerai demain. merci de ton aide.

lulu380000 · Answer

voici le rapport 

 Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1732
Windows 5.1.2600 Service Pack 2

06/02/2009 07:12:15
mbam-log-2009-02-06 (07-12-15).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 100896
Temps écoulé: 58 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

bon ba rien ensuite essaye ceci :

Télécharge Superantispyware (SAS) en cliquant sur ce lien :



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

lulu380000 · Answer

pimprenelle j'ai une question concernant le disque dur externe. vu que les fihiers servant à le démarrer (autorun et restore) ont été mis en 40 aine sur mon pc  et que donc son disque dur ne voulant pas se lancer sur mon pc il m'est impossible de restaurer les 2 ichiers en 40aine, va elle avoir un moyen pour récupérer tt ce qu'il y a dessus car il y a lesphotos de sa fille et elle n'en a aucune autre sauvegarde.???

pimprenelle27 · Answer

Même en faisant clique droit ouvrir

lulu380000 · Answer

non meme en faisant ça on y accede pas

pimprenelle27 · Answer

essaye de faire ceci pour ton DD : # Télécharge RavAntivirus d'Evosla, # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! Tuto Puis : Télécharge Flash Disinfector de sUBs sur le bureau * Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau). * Branche les supports amovibles, démarre-les (disques dur externes par exemple) pour ceux qui le devraient, sans ouvrir le contenu par le poste de travail. * Double-clique sur Flash_Disinfector.exe. * Le nettoyage est rapide, un message informer de la fin des opérations. * Si un rapport est généré en cas d'infection, sauvegarde-le et poste le dans la prochaine réponse. * S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par un

lulu380000 · Answer

merci à tous pour votre aide, je ne peux malheureusement pas mettre en application vos derniers conseils, ma belle soeur à récupérer son disque dur et va le confier à un de ses amis qui s'y connais un peu en informatique. j'espère qu'il va pouvoir l'aider. en tout cas merci à tous.

Autorun / virus Worms sur disque dur multime

33 réponses

Newsletters