Infection zone de démarrage windows
stanleytos
-
plopus Messages postés 6113 Statut Contributeur sécurité -
plopus Messages postés 6113 Statut Contributeur sécurité -
Bonjour à tous,
J'ai été infecté il y a 2 jours, lors d'un téléchargement sans doute ( j'ai l'impression qu'une sorte de document PDF s'est chargé hyper vite, et à partir de là Avast s'est réveillé).
Résultat, je ne pouvais plus allumer mon ordi, y compris en mode sans echec... chose que j'ai résolue avec ce tuto:http://www.informatruc.com/forum/topic1610.html
Cependant les éléments nuisibles sont toujours là...j'ai l'impression que ça désactive le firewall, et que ça essaye de me charger un soft... "PC 2010 clear" (ou un nom du style, je ne suis pas sur mon ordi je ne m'en souviens plus exactement) alors vu que je ne m'y connais pas, j'ai appliqué la méthode indiquée ici: http://www.commentcamarche.net/faq/sujet-3174-virus-methode-preliminaire-de-desinfection-version-fr
Donc voici le rapport RSIT:
mon fichier log:
http://www.cijoint.fr/cjlink.php?file=cj200908/cijVmXC2oT.txt
mon fichier info:
http://www.cijoint.fr/cjlink.php?file=cj200908/cijz3Qpd4z.txt
et le rapport MBAM:
http://www.cijoint.fr/cjlink.php?file=cj200908/cijNo1eWNx.txt
Quant à Bitdefender, ça a planté plusieurs fois.... j'ai pas eu le temps de réessayer ce matin.
En espérant que quelqu'un puisse m'aider.
Merci à tous. (d'avance)
J'ai été infecté il y a 2 jours, lors d'un téléchargement sans doute ( j'ai l'impression qu'une sorte de document PDF s'est chargé hyper vite, et à partir de là Avast s'est réveillé).
Résultat, je ne pouvais plus allumer mon ordi, y compris en mode sans echec... chose que j'ai résolue avec ce tuto:http://www.informatruc.com/forum/topic1610.html
Cependant les éléments nuisibles sont toujours là...j'ai l'impression que ça désactive le firewall, et que ça essaye de me charger un soft... "PC 2010 clear" (ou un nom du style, je ne suis pas sur mon ordi je ne m'en souviens plus exactement) alors vu que je ne m'y connais pas, j'ai appliqué la méthode indiquée ici: http://www.commentcamarche.net/faq/sujet-3174-virus-methode-preliminaire-de-desinfection-version-fr
Donc voici le rapport RSIT:
mon fichier log:
http://www.cijoint.fr/cjlink.php?file=cj200908/cijVmXC2oT.txt
mon fichier info:
http://www.cijoint.fr/cjlink.php?file=cj200908/cijz3Qpd4z.txt
et le rapport MBAM:
http://www.cijoint.fr/cjlink.php?file=cj200908/cijNo1eWNx.txt
Quant à Bitdefender, ça a planté plusieurs fois.... j'ai pas eu le temps de réessayer ce matin.
En espérant que quelqu'un puisse m'aider.
Merci à tous. (d'avance)
A voir également:
- Infection zone de démarrage windows
- Problème démarrage windows 10 - Guide
- Forcer demarrage pc - Guide
- Alternative zone telechargement - Accueil - Outils
- Ordinateur lent au démarrage - Guide
- Demarrage windows 10 - Guide
14 réponses
mouarffff
j'ai rien compris, ecrit comme il faut
mais je pense que l'on va pouvoir resoudre son probleme oui...
j'ai rien compris, ecrit comme il faut
mais je pense que l'on va pouvoir resoudre son probleme oui...
salut
en effet pas mal touché, tu as une infection USB qui ouvre un port TCP pour que l'on puisse te pirater
Fait de suite ceci en branchant TOUS ce que tu branche au PC pour ne pas relancer l'infection et tu feras sa aussi sur tes autres PC
* Telecharge UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
* Lance l installation avec les parametres par default
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
en effet pas mal touché, tu as une infection USB qui ouvre un port TCP pour que l'on puisse te pirater
Fait de suite ceci en branchant TOUS ce que tu branche au PC pour ne pas relancer l'infection et tu feras sa aussi sur tes autres PC
* Telecharge UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
* Lance l installation avec les parametres par default
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
Merci plopus,
Galère, je pensais pas être autant touché. Je testerai ça ce soir en rentrant.
Ah oui et j'avais oublié de préciser (pourtant je savais que qqn allait me le dire): je ne souhaite pas réinstaller mon pc du tout, je suis content de ma config, et je ne veux pas réinstaller tous mes synths etc... Et le coup du " formate et laisse tomber".... ça ne me convient pas.
Mais merci bien.
Galère, je pensais pas être autant touché. Je testerai ça ce soir en rentrant.
Ah oui et j'avais oublié de préciser (pourtant je savais que qqn allait me le dire): je ne souhaite pas réinstaller mon pc du tout, je suis content de ma config, et je ne veux pas réinstaller tous mes synths etc... Et le coup du " formate et laisse tomber".... ça ne me convient pas.
Mais merci bien.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ben écoute... tu peux pas dire que j'ai tord en mm temps osef de resoudre son prob... y save ses data sur un DD externe et format + réinstalle
ben écoute... tu peux pas dire que j'ai tord en mm temps osef de resoudre son prob... y save ses data sur un DD externe et format + réinstalle
question subsidiaire: quand tu dis "tu as une infection USB qui ouvre un port TCP pour que l'on puisse te pirater "
Me pirater quoi exactement? comment je sais si on m'a déjà piraté? y'a moyen de voir ça dans les rapports?
rha le stress.
Me pirater quoi exactement? comment je sais si on m'a déjà piraté? y'a moyen de voir ça dans les rapports?
rha le stress.
au vu des rapports, tu es deja "piraté" dans le sens ou vu les infections que tu as.
ensuite y'a le piratage par le biais d'un virus qui execute des ordres seul qui ont ete preprogrammé et il y a ceux comme adober qui sont en fait la pour facilité l'accés a ton PC pour qu'une personne puisse le controler totalement.
en gros une infections est arrivé et a invités des copines a elle...
je ne pourrai pas te dire exactement ce qui ait fait de ton PC mais il y a activité "caché" donc ne tarde pas trop
ensuite y'a le piratage par le biais d'un virus qui execute des ordres seul qui ont ete preprogrammé et il y a ceux comme adober qui sont en fait la pour facilité l'accés a ton PC pour qu'une personne puisse le controler totalement.
en gros une infections est arrivé et a invités des copines a elle...
je ne pourrai pas te dire exactement ce qui ait fait de ton PC mais il y a activité "caché" donc ne tarde pas trop
tiens regarde sa pour te donner une idée
http://www.commentcamarche.net/forum/affich-12542907-avis-a-ceux-qui-sont-infectes
http://www.commentcamarche.net/forum/affich-12542907-avis-a-ceux-qui-sont-infectes
bon voilà jsuis rentré.
le rapport:
############################## | UsbFix V6.017 |
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 17:25:30 | 14/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
AMD Athlon(tm) 64 Processor 3500+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090813-0] 4.8.1296 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 48,93 Go (26,09 Go free) # NTFS
D:\ -> Disque CD-ROM # 566,52 Mo (0 Mo free) [VRMHOEM_FR] # CDFS
E:\ -> Disque fixe local # 184,83 Go (151,57 Go free) [E] # NTFS
F:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ADS Tech\INSTANT TV PVR\Scheduled.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Packard Bell Data Secure\PBDataSecure.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! D:\autorun.inf
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
D:\DOTNETFX\DOTNETFX.EXE
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{0f7ddf52-a6dc-11dd-afee-000fea37b406}
Shell\AutoRun\command =H:\LaunchU3.exe
HKCU\..\..\Explorer\MountPoints2\{0f7ddf53-a6dc-11dd-afee-000fea37b406}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{5c24a79d-be07-11dd-b02d-000fea37b406}
Shell\Auto\command =wscript "esta ig.vbs"
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"
HKCU\..\..\Explorer\MountPoints2\{74624875-98ae-11dd-874b-806d6172696f}
Shell\AutoRun\command =F:\setup.exe
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.017 ! |
le rapport:
############################## | UsbFix V6.017 |
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 17:25:30 | 14/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
AMD Athlon(tm) 64 Processor 3500+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090813-0] 4.8.1296 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 48,93 Go (26,09 Go free) # NTFS
D:\ -> Disque CD-ROM # 566,52 Mo (0 Mo free) [VRMHOEM_FR] # CDFS
E:\ -> Disque fixe local # 184,83 Go (151,57 Go free) [E] # NTFS
F:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ADS Tech\INSTANT TV PVR\Scheduled.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Packard Bell Data Secure\PBDataSecure.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\ADS Tech\Instant TV Remote\ADSRMT.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! D:\autorun.inf
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
D:\DOTNETFX\DOTNETFX.EXE
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{0f7ddf52-a6dc-11dd-afee-000fea37b406}
Shell\AutoRun\command =H:\LaunchU3.exe
HKCU\..\..\Explorer\MountPoints2\{0f7ddf53-a6dc-11dd-afee-000fea37b406}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{5c24a79d-be07-11dd-b02d-000fea37b406}
Shell\Auto\command =wscript "esta ig.vbs"
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"
HKCU\..\..\Explorer\MountPoints2\{74624875-98ae-11dd-874b-806d6172696f}
Shell\AutoRun\command =F:\setup.exe
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.017 ! |
# Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau
# choisi l'option 2 ( Suppression )
# Ton bureau disparaîtra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
# ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/
# Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
# Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
# Merci d'avance pour ta contribution !!
ensuite clic https://www.virustotal.com/gui/ ici et clic sur parcourir et fait analyser le fichier ci dessous (sait tu a quoi il correspond ?)
D:\DOTNETFX\DOTNETFX.EXE
et après poste moi un nouveau log.txt de RSIIT
# Double clic sur le raccourci UsbFix présent sur ton bureau
# choisi l'option 2 ( Suppression )
# Ton bureau disparaîtra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
# ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/
# Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
# Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
# Merci d'avance pour ta contribution !!
ensuite clic https://www.virustotal.com/gui/ ici et clic sur parcourir et fait analyser le fichier ci dessous (sait tu a quoi il correspond ?)
D:\DOTNETFX\DOTNETFX.EXE
et après poste moi un nouveau log.txt de RSIIT
salut,
Bon en fait j'ai formaté... trop de problèmes, je n'arrivas plus à me connecter à internet, mon ordi s'éteignait automatiquement toutes le 5 mins... (dès que je venais poster mon rapport usbfix)
Donc j'ai préféré repartir sur un truc sain.
Rassure moi, y'a plus de risques là ? (non je dis ça parce que tu parlais des périphériques USB.. ça me ferait mal de voir un de ces trucs réapparaître)
et en ce qui concerne D:\DOTNETFX\DOTNETFX.EXE je trouve ça bizarre, parce que le D: c'est mon lecteur CD ROM, et dedans il y avait le cd windows d'install, bizarre?
En explorant le cd, je retombe sur ce fichier et il y a indiqué " IExpress setup...Microsoft" Donc je suppose que c'est un truc pour internet explorer...
J'ai fait analyser avec le site que tu m'as dit, j'ai l'impression qu'il n'y a pas de soucis.
Et dernière question... quel antivirus pour le futur? avast toujours?
Merci
Bon en fait j'ai formaté... trop de problèmes, je n'arrivas plus à me connecter à internet, mon ordi s'éteignait automatiquement toutes le 5 mins... (dès que je venais poster mon rapport usbfix)
Donc j'ai préféré repartir sur un truc sain.
Rassure moi, y'a plus de risques là ? (non je dis ça parce que tu parlais des périphériques USB.. ça me ferait mal de voir un de ces trucs réapparaître)
et en ce qui concerne D:\DOTNETFX\DOTNETFX.EXE je trouve ça bizarre, parce que le D: c'est mon lecteur CD ROM, et dedans il y avait le cd windows d'install, bizarre?
En explorant le cd, je retombe sur ce fichier et il y a indiqué " IExpress setup...Microsoft" Donc je suppose que c'est un truc pour internet explorer...
J'ai fait analyser avec le site que tu m'as dit, j'ai l'impression qu'il n'y a pas de soucis.
Et dernière question... quel antivirus pour le futur? avast toujours?
Merci
