Virus détecté sur disque dur externe neuf

Résolu/Fermé
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010 - 17 juil. 2009 à 19:32
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 - 19 juil. 2009 à 19:01
Bonjour,
ayant obtenu une aide précieuse sur ce forum il y a quelques temps, je me permets de faire appel à vos lumières de nouveau.
Je viens d'acheter un disque dur externe "memup" chez saturn et lorsque je l'ai relié à mon pc, avast a détecté immédiatement un virus de type "dropper" il me semble. Le disque dur étant neuf, dois-je tout de même m'inquiéter ou est-ce normal? En parcourant le forum j'ai pu voir que quelqu'un préconisait d'utiliser "flash disinfector", ce que j'ai fait. Avast ne détecte plus le virus mais comment être certaine d'utiliser mon disque dur sans risque et d'être débarassée de ce virus?
Suite à cela, j'ai procédé à un scan complet de mon pc avec avast, puis avec asquared et ad aware qui ont détecté plusieurs virus de type "trojan" ou autres!!! Je les ai mis en quarantaine mais comment m'en débarasser définitivement?
Je précise que je suis totalement novice :-(
Merci par avance à ceux qui auront la patience de m'aider à résoudre ce problème.

31 réponses

vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
18 juil. 2009 à 23:28
voici le tuto pour supprimer les éléments infectieux trouvés
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

donc les opérations à faire sont à partir du milieu de page quand le scann est terminé et qu'il affiche des éléments infectés en rouge
et Afficher les résultats en bas à droite

je n'ai jamais eu besoin de me servir "Afficher les résultats" , puis "Supprimer la sélection"
alors c'est le tuto qu'il faut suivre
( si il est à jour ??? je pense que oui , au vu des dates )

si tu as refermé Malwarebytes , tu le relanceras demain
et si tu as des difficultés pour la suppression des éléments , le faire en mode sans échec
pour le mode sans échec , il faut tapoter la touche de fonction "F5" au démarrage du PC

par contre , il faut désactiver le résident du Tea Teamer
cliquer sur l'onglet "Mode" , "Mode avancé"
puis dans la colonne de gauche sur "Résident" , et décocher la case Résident "Tea Timer"

une fois la suppression faite , tu recoches la case et tu accepte les deux modifications de la base de registre

à+
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
18 juil. 2009 à 23:53
J'ai supprimé la sélection sans problème! Merci beaucoup.

Par contre lorsque je connecte mon disque dur externe, mon pc ne le reconnait plus. Impossible de le trouver dans poste de travail. J'ai lancé ccleaner et corrigé les erreurs du registre (il y en avait énormément), est ce en rapport? Je commence à regretter d'avoir acheté ce maudit disque dur!
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 00:34
vérifier dans la BDR = HKLM\System\CurrentControlSet\Services\USBSTOR\Start , valeur = 3

donc tu fais menu "Démarrer/Exécuter"
tu tapes regedit et OK
sur la partie gauche tu cliques sur la croix devant HKEY_LOCAL_MACHINE ,
puis sur la croix devant SYSTEM ,
puis sur la croix devant CurrentControlSet
puis sur la croix devant Services
puis tu cliques sur USBSTOR
dans la partie de droite tu auras comme Nom "Start" , ses Données doivent être 0x00000003 (3)

si tu n'as pas (3) , tu double-cliques sur Start et dans la petite fenêtre qui s'ouvre , tu pourras modifier cette donnée
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
19 juil. 2009 à 00:45
J'ai bien "0x00000003 (3) "
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 00:49
alors essaie en mettant ces fichiers à jour
(télécharger ces fichiers avec Internet Explorer)

*USBSTOR.INF - Version: 5.1.2600.0
https://www.infdump.com/download-inf-files_new.php/inffiles/U/USBSTOR.INF/5.1.2600.0/download.html
http://www.commentcamarche.net/forum/affich 2098576 usbstor inf
à copier dans C:\Windows\inf
page info Microsoft = https://support.microsoft.com/en-us/help/823732/how-can-i-prevent-users-from-connecting-to-a-usb-storage-device

*USBSTOR.PNF
http://www.pnfdump.com/download-pnf-files.php/pnffiles/U/usbstor.PNF/download.html
à copier dans C:\windows\system32

*USBSTOR.SYS
http://sanderriere.free.fr/upload/USBSTOR.SYS
à copier dans C:\windows\system32\drivers

et tu rebranches ton HDD externe
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 00:52
et si tu retrouves ton HDD , tu recopies ces trois fichiers à sa racine
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
19 juil. 2009 à 01:19
Quand tu dis "à copier dans C:\Windows\inf " par exemple, tu veux dire que lorsque je lance le téléchargement je fais enregistrer->enregistrer sous->poste de travail->C:->windows->et là je l'enregistre tout simplement dans "inf"? Je t'avoue que ça devient un peu compliqué pour moi et je crains de faire n'importe quoi. Je n'aime pas trop aller farfouiller dans tous ces dossiers donc ça m'angoisse un peu.
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 01:26
tu ne changes pas le dossier dans lequel télécharge ton explorateur habituel
( pour moi , j'ai créé un répertoire "Fichier reçu" dans "Mes Documents" qui sert à IE8 et à Mozilla )

et je fais un copier/coller ( ou un couper/coller ) où je veux mettre le fichier
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010 > vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023
19 juil. 2009 à 01:39
windows me dit de ne pas modifier le contenu de system 32, je colle quand même?
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
19 juil. 2009 à 01:53
Youhouuuu ça marche!!! Je n'ai pas eu besoin de coller le dernier car il était déjà existant.
Mille merci à toi vieux bison :D
Je préfère ne pas te faire une fausse joie en te disant que tu es débarassé de moi, car j'aurai peut être une ou deux questions demain (je vais sûrement cogiter d'ici là et digérer toutes ces manip) :-)
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 01:55
ok
bonne fin de nuit
à+
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 11:57
il y a un complément pour sécuriser Windows et IE8 = Windows® Defender
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D
à+
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
19 juil. 2009 à 15:23
Ok

* Je viens de faire un scan en ligne avec" housecall". Il a de nouveau détecté "adware.casino" et l'a supprimé (alors qu'il avait été supprimé par malwarebytes).

* Sinon je voulais savoir si je pouvais supprimer sans problèmes les erreurs de registre dans ccleaner car il y en a environ 1000 et je ne me vois pas les vérifier un par un mais je ne voudrais pas supprimer n'importe quoi.

* Enfin, étrangement mon pc rame un peu depuis hier alors qu'il devrait être boosté non?
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
19 juil. 2009 à 16:48
ps: voici les fichiers mis en quarantaine, puis-je les supprimer définitivement?

Dans malwarebytes:
- C:\windows\system32\kmdrto_navps.dat

- C:\windows\system32\kmdrto_nav.dat

Dans a-squared:
- C:\microgaming

- C:\documentsandsettings\allusers\applicationdata\symantec\nortonantivirus:
une dizaine de " Trojan.zlob!IK "
4 " exploit.win32.wmfop!IK "
4 " Trojan-dropper.agent!IK "

- C:\windows\$ntservicepackuninstall$\ftp.exe ( trojan.agent!IK )

Dans avast:

- C:\windows\system32 ( nom: kmdrto.exe ) ( win32:skimorph (cryp] )

- les fichiers détectés hier lors du branchement de mon disque dur externe (faut-il les supprimer ou peut-on penser qu'il s'agit du logiciel présent dans le disque dur externe détecté à tort comme un virus???):
F:\systemvolumeinformation\-restore ( nom: A0053614.inf ) ( VBS:malware-gen )
F:\systemvolumeinformation\-restore ( nom: A0054732.cmd ) ( win32:kavos[Trj] )
F: ( nom: autorun.inf ) ( VBS:malware-gen )
F: ( nom: jeorels.cmd ) ( win32:kavos[Trj] )
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 18:27
tu peux tout virer

pour le HDD externe USB , aussi
systématiquement , je vire tout ce qui est sur des HDD externes neufs
si le disque plante , on ne peut pas s'en servir

concernant Avast , c'est la version free que tu as ???
si c'est oui , je te conseille d'en prendre un autre , genre Avira AntiVir version free ( il y en a d'autres , mais je les connais pas ) qui est plus performant
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

pour le "F:\System Volume Information" qui est sur ton HDD externe
fait le vide dedans de temps en temps , mais le dernier "_restaure" en date tu ne pourras pas ( volume actuellement utilisé... )

******************************************************************************
concernant l'infection que tu as eu ou que tu peux toujours avoir , il faudrait vérifier avec "navilog1" ou "Combofix"
mais pour eux , mes compétences sont vraiment très limitées
il vaudrait mieux que tu recrées un poste en citant les fichiers que "a-squared" a mis en quarantaine
ce message a déjà trop de postes pour qu'un bon helper prenne la suite

pour d'autres questions , je suis toujours là si je peux répondre

à+
0
choubidou06 Messages postés 90 Date d'inscription lundi 15 octobre 2007 Statut Membre Dernière intervention 29 décembre 2010
19 juil. 2009 à 18:47
Ok

Merci pour tout!!!!
0
vieu bison boiteu Messages postés 43206 Date d'inscription lundi 11 avril 2005 Statut Contributeur Dernière intervention 28 mars 2023 3 498
19 juil. 2009 à 19:01
ok
à+
0