TR/CryptRedol.347648.3 Résolu

Question

Bonjour,
j'ai trouvé sur mon ordi ce trojen TR/CryptRedol j'ai pas trouvé comment le nettoyer.... j'ai formaté pour m'en débarasser.
maintenant, je me rend compte qu'il est aussi sur mon disque dur externe...
petite précision, pour aller à mon disc dur ext il faut faire "explorer" à partir du clic droit... en double cliquant dessus, ca fonctionne pas (mess d'err) c'est suite à un virus choppé sur le réseau de mon école...

vous savez de quoi il s'agit?? j'ai l'impression que personne ne l'a déjà eut...inconnu sur google... :s

merci d'avance

Utilisateur anonyme · Answer

Salut,

Fais ceci :

    *  Télécharge Random's system information tool (RSIT) et enregistre le sur ton bureau.
    * Double clique sur RSIT.exe pour lancer l'outil.
    * Clique sur ' continue ' à l'écran Disclaimer.
    * Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

tutoriel d'installation

Rente · Answer

oki,
voici le info:



info.txt logfile of random's system information tool 1.06 2009-08-15 16:13:34

======Uninstall list======

-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E47302B-8081-46D3-9FEA-BEB2E5F5C3EC}\setup.exe" -l0x40c anything
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Download Manager-->"C:\WINDOWS\system32undll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ASUS Live Update-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\Setup.exe" -l0x9 
ASUS WebCam, 1.3M, USB2.0, FF-->C:\WINDOWS\StkUnist.exe
ATK Media-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{139B0FFA-187E-4BA1-BCA6-6B56B2B6AB8C}\Setup.exe" -l0x9 
ATK0100 ACPI UTILITY-->C:\WINDOWS\ATK0100\XPunin.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Bluetooth Stack for Windows-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Logiciel Intel(R) PROSet/Wireless-->C:\WINDOWS\Installer\iProInst.exe
mCore-->MsiExec.exe /I{E81667C6-2856-46D6-ABEA-6A2F42166779}
mDriver-->MsiExec.exe /I{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}
mDrWiFi-->MsiExec.exe /I{90CC4231-94AC-45CD-991A-0253BFAC0650}
mHelp-->MsiExec.exe /I{8C6BB412-D3A8-4AAE-A01B-35B681789D68}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F}
mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}
mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}
Motorola SM56 Speakerphone Modem-->rundll32.exe sm56co.dll,SM56UnInstaller
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}
mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9}
mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}
mXML-->MsiExec.exe /I{9CC89556-3578-48DD-8408-04E66EBEF401}
mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023}
NVIDIA Drivers-->C:\WINDOWS\system32
vudisp.exe UninstallGUI
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Power4 Gear-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4462AD13-F2AA-4CBD-9F95-293C38EED870}\Setup.exe" -l0x9 
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
REALTEK PCIE NIC Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{17E2F183-BAC4-4D01-BD7A-59F781E17EFA}\Setup.exe" -l0x40c REMOVE
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Wireless Console 2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{83F73CB1-7705-49D1-9852-84D839CA2A45}\setup.exe" -l0x9  -removeonly

======Hosts File======

127.0.0.1 mpa.one.microsoft.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: F3JMFLO
Event Code: 15007
Message: La réservation de l'espace de nom identifié par le préfixe d'URL http://*:2869/ a été correctement ajoutée.

Record Number: 5
Source Name: HTTP
Time Written: 20090815105931.000000+120
Event Type: Informations
User: 

Computer Name: F3JMFLO
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'WORKGROUP'.

Record Number: 4
Source Name: Workstation
Time Written: 20090815105632.000000+120
Event Type: Informations
User: 

Computer Name: F3JMFLO
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers F3JMFLO.

Record Number: 3
Source Name: EventLog
Time Written: 20090815105544.000000+120
Event Type: Informations
User: 

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20090815124354.000000+120
Event Type: Informations
User: 

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090815124354.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: F3JMFLO
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090815105728.000000+120
Event Type: Informations
User: 

Computer Name: F3JMFLO
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090815105725.000000+120
Event Type: Informations
User: 

Computer Name: F3JMFLO
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090815105629.000000+120
Event Type: Informations
User: 

Computer Name: F3JMFLO
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090815105607.000000+120
Event Type: Informations
User: 

Computer Name: F3JMFLO
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090815105554.000000+120
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------



et le log



Logfile of random's system information tool 1.06 (written by random/random)
Run by Florent at 2009-08-15 16:13:21
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 76 GB (94%) free of 80 GB
Total RAM: 2047 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:32, on 15/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\DllHost.exe
C:\Documents and Settings\Florent\Bureau\RSIT.exe
C:\Program Files	rend micro\Florent.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32undll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

gen-hackman · Answer

oh on dirait un xp titanium !! ^^

Utilisateur anonyme · Answer

Maintenant fais ceci :

    *  Telecharge UsbFix de C_XX & Chiquitine29
    * tutoriel d'installation
    * tutoriel recherche
    * Lance l'installation avec les paramètres par défaut
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau
    * Choisi l'option 1 (recherche)
    * Laisse travailler l'outil
    * Ensuite post le rapport UsbFix.txt qui apparaîtra
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque ( C:\UsbFix.txt )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Rente · Answer

c'est quoi un xp titanium...?

voila le compte rendu 





C:\ -> Disque fixe local # 78,13 Go (73,78 Go free) # NTFS
D:\ -> Disque fixe local # 33,65 Go (28,44 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 465,76 Go (49,06 Go free) [disque dur externe florent] # NTFS
G:\ -> Disque amovible # 978,57 Mo (0,07 Mo free) [CLÉ FLO 1GO] # FAT32
H:\ -> Disque amovible # 1,92 Go (1,91 Go free) [CLÉ FLO 2GO] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

F:\autorun.inf # -> fichier appelé  : "F:\"RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\"" ( Absent ! )  
Présent ! F:\autorun.inf  
Présent ! F:\msvcr71.dll  
Présent ! H:\autorun.inf  

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{e279d62d-8990-11de-ba22-001302e21588}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\
Shell\Open\command =RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\

HKCU\..\..\Explorer\MountPoints2\{e279d635-8990-11de-ba22-001302e21588}
Shell\AutoRun\command =H:\StartPortableApps.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.017 ! |

Rente · Answer

le début n'a pas été pris... dsl
le voila

############################## | UsbFix V6.017 |

User : Florent (Administrateurs) # F3JMFLO
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 16:31:17 | 15/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

Utilisateur anonyme · Answer

Titanium est une version non officielle d'XP, une version piratée si tu préfères.

Tu as bien une infection par support usb, fais ceci maintenant :

    * tutoriel nettoyage
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix présent sur ton bureau
    * choisi l'option 2 ( Suppression )
    * Ton bureau disparaîtra et le pc redémarrera .
    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    * Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
    * ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    * UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/ ... ichier.php
    * Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
    * Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
    * Merci d'avance pour ta contribution !!

gen-hackman · Answer

mais je te rassure :

sa version est  modifiée !

:)

Utilisateur anonyme · Answer

montre moi où, je dois être bigleux ;) !?

gen-hackman · Answer

2009-08-15 12:44:20 ----RA---- C:\WINDOWS\SET8.tmp
2009-08-15 12:44:17 ----RA---- C:\WINDOWS\SET4.tmp
2009-08-15 12:44:16 ----RA---- C:\WINDOWS\SET3.tmp 
127.0.0.1 mpa.one.microsoft.com 
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Utilisateur anonyme · Answer

T'es sur de toi je pense, je cherchais dans les 04 !! ;)

gen-hackman · Answer

127.0.0.1 mpa.one.microsoft.com 

ceci montre qu'il a été patché par les hosts

2009-08-15 12:44:20 ----RA---- C:\WINDOWS\SET8.tmp
2009-08-15 12:44:17 ----RA---- C:\WINDOWS\SET4.tmp
2009-08-15 12:44:16 ----RA---- C:\WINDOWS\SET3.tmp 

ceci sont trois fichiers tmp qui sont avec le titanium (l'ayant utilisé à mes debuts.....)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) 

ceci montre que les mises  jour automatiques sont : soit desactivées , soit selectionnées(Internet eexplorer 8 , Windows genuine advantage seraient exclus apparemment)

Utilisateur anonyme · Answer

Merci gen-hackman, excellent exposé, j'aurai au moins appris un truc utile aujourd'hui.
On sent l'expérience, pour ma part, je n'ai jamais utilisé de version modifiée ou encore crackée.

Rente · Answer

oui, c un craké, car ma partition de réinstalle à était endommagée, et  personne n'a pu m'aider à la récup...et comme c'est un pc portable, ya pas le cd xp... donc, depuis je cherche un xp pro officiel (car j'ai la clé) mais j'ai trouvé que des trucs qui ne fonctionnent pas... et pour les misent à jours, elles sont déactivées, et je tourne avec mozilla firefox...

pour en revenir au topic, une fois que j'ai fais cette manip, c'est fini??

vous pouvez m'expliquer à quoi ca a servit tout les résumé que j'ai publié... et si je dois les effacer...?
merci :D

Utilisateur anonyme · Answer

je ne te blâme pas, c'est pas mon problème si tu utilises du cracké, ce qui m'intéresse c'est de supprimer les infections. 
C'est juste important de le savoir lors d'une désinfection, pour les mises à jour à faire en final.

Tu ne m'a pas posté le rapport de suppression de USBFix, et je n'ai pas encore fini ta désinfection merci de continuer, je te donnerai toutes les directives pour supprimer ce qu'il y a besoin.

Rente · Answer

oki, voila le résumé (j'ai supprimé des fichiers dans G:\ (de la musique) car la longueur du fichier bloque pour publier le message...)



############################## | UsbFix V6.017 |

User : Florent (Administrateurs) # F3JMFLO
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 18:01:13 | 15/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 78,13 Go (73,88 Go free) # NTFS
D:\ -> Disque fixe local # 33,65 Go (28,44 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 465,76 Go (49,06 Go free) [disque dur externe florent] # NTFS
G:\ -> Disque amovible # 978,57 Mo (0,07 Mo free) [CLÉ FLO 1GO] # FAT32
H:\ -> Disque amovible # 1,92 Go (1,91 Go free) [CLÉ FLO 2GO] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

F:\autorun.inf # -> fichier appelé  : "F:\"RECYCLER\S-3-8-38-100031771-100003353-100021547-7255.com g:\"" ( Absent ! )  
Supprimé ! F:\autorun.inf 
Supprimé ! F:\msvcr71.dll 

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{e279d62d-8990-11de-ba22-001302e21588}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[15/08/2009 11:00|--a------|0] -> C:\AUTOEXEC.BAT 
[15/08/2009 11:33|---hs----|212] -> C:\boot.ini 
[28/08/2001 14:00|-rahs----|4952] -> C:\Bootfont.bin 
[15/08/2009 11:00|--a------|0] -> C:\CONFIG.SYS 
[15/08/2009 11:00|-rahs----|0] -> C:\IO.SYS 
[15/08/2009 11:00|-rahs----|0] -> C:\MSDOS.SYS 
[13/04/2008 09:43|-rahs----|47564] -> C:\NTDETECT.COM 
[13/04/2008 11:31|-rahs----|252240] -> C:
tldr 
[?|?|?] -> C:\pagefile.sys 
[15/08/2009 18:03|--a------|2767] -> C:\UsbFix.txt 
[07/06/2008 11:00|--a------|607277474] -> D:\!!! Seasons by The Collective [New 2008 MTB, FR, DH].avi 
[22/04/2009 14:02|--a------|11804299] -> D:\01. The Prodigy - Invaders Must Die[Visit pctrecords].mp3 
[08/05/2009 20:02|--a------|5525629] -> D:\03 Full Moon.mp3 
[09/03/2006 22:45|--a------|733581312] -> D:\Gad Elmaleh - L'autre c'est moi.avi 
[04/06/2006 21:03|--a------|366827520] -> D:\Roam.AVI 
[21/04/2009 14:24|--a------|1520675850] -> D:\Seven Sunny Days.avi 
[27/12/2007 11:36|--a------|806667836] -> D:\The Collective.MPG 
[05/08/2009 15:37|--a------|4417944] -> F:\aaa copie.jpg 
[05/08/2009 15:37|--a------|132114413] -> F:\aaa.psd 
[28/06/2009 10:49|--a------|65321] -> F:\ACCES_usine_BG depuis Lyon.pdf 
[28/06/2009 10:49|--a------|64997] -> F:\ACCES_usine_BG.pdf 
[14/11/2008 15:25|--a------|10668] -> F:\Affiche.pdf 
[12/03/2009 14:35|--a------|268] -> F:\code internet cite u.txt 
[13/07/2009 09:35|--a------|1335380] -> F:\DT_Ap25.pdf 
[11/08/2009 13:46|--a------|479235] -> F:\fleur copie.jpg 
[11/08/2009 13:46|--a------|29907110] -> F:\fleur.psd 
[19/02/2009 10:33|--a------|2693] -> F:\free 
[25/06/2009 19:16|--a------|26] -> F:\mail Romain.txt 
[26/05/2009 19:15|--a------|541] -> F:\mail to renault trucks.txt 
[13/07/2009 14:00|--a------|19347] -> F:\mes comptes 2008.xlsx 
[28/03/2009 18:12|--a------|386] -> F:\Nouveau Document texte.txt 
[11/03/2009 19:07|--a------|41] -> F:\pass-ftp.txt 
[15/08/2009 09:44|--a------|675] -> F:accourcis.txt 
[24/07/2009 22:32|--a------|228677677] -> F:\Sans titre - 1.pdf 
[28/06/2009 10:10|--a------|1611926] -> F:\Sans titre-1.psd 
[11/02/2009 22:46|--a------|1053] -> F:\stage.txt 
[04/04/2009 18:30|--ahs----|114176] -> F:\Thumbs.db 
[23/09/2007 19:29|--a------|8112302] -> G:\06 Search Party.m4a 
[11/03/2009 08:31|--a------|89280] -> H:\StartPortableApps.exe 

################## | Cracks / Keygens / Serials |

Utilisateur anonyme · Answer

c'est bon, tu vas maintenant vacciner tous les disques et supports.

Tous les scans et rapports servent à repérer des infections et vérifier si elles sont bien supprimées par les outils.

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
    * Double clique sur le raccourci UsbFix présent sur ton bureau .
    * Choisis l'option 3 ( Vaccination )
    * Laisse travailler l'outil.
    * Ensuite poste le rapport UsbFix.txt qui apparaîtra.

* Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Utilisateur anonyme · Answer

ok, tous tes disques et supports usb sont maintenant vaccinés.

Tu vas faire d'autres vérifications tant qu'on y est :

    *  Télécharge Malwarebytes
    * Tutoriel
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

Utilisateur anonyme · Answer

C'est magique la désinfection ;)

Peux tu faire un rapport HiajckThis, il a été installé par RSIT, tu dois le trouver sur ton bureau.

- ouvres HijackThis
- cliques sur "Do a system scan and save a logfile"
- un rapport bloc-notes va s'ouvrir, tu le colles dans ta prochaine réponse.

Utilisateur anonyme · Answer

Ce trojan se trouve dans la restauration système, on va le supprimer en fin de désinfection. 
Ne fais pas de restauration système sans mon accord.

Postes le rapport HijakckThis stp.

Utilisateur anonyme · Answer

Tu as refais un RSIT.

Fais seulement un HijakcThis, tu dois trouver un icône sur ton bureau avec un bonhomme en rouge qui tient une loupe, le fichier exe doit porter le nom de ta session.

Suis les instructions au dessus pour généré le rapport

Utilisateur anonyme · Answer

ok, merci tu as bien fais ;)

Tu n'es plus infecté, c'est déjà une bonne nouvelle, maintenant on va finaliser ta désinfection.

Compte tenu du fait que tu roules avec une version crackée de XP, je ne te ferais pas faire les mises à jour, c'est mieux pour toi n'est-ce pas.

- Tu vas lancer HijackThis 
- cette fois ci tu cliques sur "Do a systeme scan only"
- coches (sur la gauche) les lignes que je désigne ci-dessous : 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 

- une fois c'est lignes cochées tu cliques sur fix checked

======================================================================

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
• Télécharge ToolsCleaner sur ton Bureau
• Double-clique sur ToolsCleaner2.exe et laisse le travailler
• Clique sur Recherche et laisse le scan se terminer.
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse 

======================================================================

Tu vas télécharger CCleaner 
Un tutoriel pour t'aider à l'utiliser ICI

======================================================================

Cette étape est indispensable pour finaliser la désinfection, elle permet de supprimer les points de restauration et du même coup les éventuels malwares qui s'y seraient logés.

!! Très Important !!


Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider.
Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui là.

Postes le rapport de toolscleaner, meric.

Utilisateur anonyme · Answer

c'est bon, 

Tu peux mettre ton sujet sur résolu.

Bonne continuation !

Utilisateur anonyme · Answer

Salut !

C'est le dossier recycler de ton disque externe qui est infecté.

Tu peux supprimer la quarantaine d'avira.

Supprime le dossier recycler de ton disque externe, connectes le :

fais démarrer -> Exécuter 

dans la fenêtre tapes :

rd F:\recycler /s

Refais un scan avec avira par la suite.

Utilisateur anonyme · Answer

Fais le scan et tiens moi au courant ! 

Et n'oublies pas de mettre ton sujet sur résolu dès que c'est tout bon.

Je te rassure je n'ai pas tout compris non plus !!!

Je plaisante évidemment lol

Bon dimanche !

gen-hackman · Answer

;)

TR/CryptRedol.347648.3

26 réponses

Votre réponse

Discussions similaires

Newsletters