Sacré virus...
Fermé
ruch
-
18 août 2009 à 23:35
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 20 août 2009 à 08:53
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 20 août 2009 à 08:53
A voir également:
- Sacré virus...
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Softonic virus ✓ - Forum Virus
- Tinyurl.com virus - Forum Virus
12 réponses
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
18 août 2009 à 23:38
18 août 2009 à 23:38
Salut,
plusieurs infections !
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
commence par ceci dans l'ordre :
1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).
ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html
En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...
Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !
Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
une fois ceci fait ( et pas avant ! ) , tu enchaines .
=================
2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :
> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
! Déconnecte toi d'internet et ferme toutes applications en cours !
--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.
# Choisis l' option 1 ( Recherche )
# Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
plusieurs infections !
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
commence par ceci dans l'ordre :
1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).
ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html
En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...
Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !
Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
une fois ceci fait ( et pas avant ! ) , tu enchaines .
=================
2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :
> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
! Déconnecte toi d'internet et ferme toutes applications en cours !
--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.
# Choisis l' option 1 ( Recherche )
# Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
19 août 2009 à 08:30
19 août 2009 à 08:30
Salut Chiqui'
=)
Ruch ,
On va faire ce que Chiquitine29 demande ( créateur d'UsbFix ^^ ) ... reprends donc ainsi :
1- Supprime ta version d' UsbFix ainsi :
# Double clique sur le raccourci UsbFix présent sur ton bureau .
# Choisis l' option 5 ( Désinstaller ) et laisse toi guider ...
==============================
2- on va reprendre la suppression avec la nouvel version en ligne donc :
Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :
> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
! Déconnecte toi d'internet et ferme toutes applications en cours !
--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
===============================
3- utilise ZHPDiag ainsi pour avoir un rapport plus poussé
!! déconnecte toi et ferme toutes tes applications en cours !!
> Lance ZHPDiag .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) .
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
=)
Ruch ,
On va faire ce que Chiquitine29 demande ( créateur d'UsbFix ^^ ) ... reprends donc ainsi :
1- Supprime ta version d' UsbFix ainsi :
# Double clique sur le raccourci UsbFix présent sur ton bureau .
# Choisis l' option 5 ( Désinstaller ) et laisse toi guider ...
==============================
2- on va reprendre la suppression avec la nouvel version en ligne donc :
Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :
> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
! Déconnecte toi d'internet et ferme toutes applications en cours !
--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
===============================
3- utilise ZHPDiag ainsi pour avoir un rapport plus poussé
!! déconnecte toi et ferme toutes tes applications en cours !!
> Lance ZHPDiag .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) .
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
Mauvaise nouvelle à vous annoncer les amis: à peine avais-je téléchargé UsbFix et éteint mon pc, je le rallume aujourd'hui en vain. Windows n'apparaît pas aprés plusieurs tentatives, quand je suis décidé à le formater, j'ai inséré le CD de windows XP SP2 et voilà qu'il me dit qu'il le détecté même pas la présence de disque dur où XP est installé.
Je crois que je vous en ai fait part un peu trop tard. La seule option qui reste est le formatage.
Je ne vois plus quoi faire....(ce n'est pas l'installation d'USBFix qui analyse qelque chose j'espère^^)
Je crois que je vous en ai fait part un peu trop tard. La seule option qui reste est le formatage.
Je ne vois plus quoi faire....(ce n'est pas l'installation d'USBFix qui analyse qelque chose j'espère^^)
Annhydrium
Messages postés
1781
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
3 mars 2011
257
18 août 2009 à 23:37
18 août 2009 à 23:37
essaye smith fraud fix
bonsoir
Télécharge Smitfraudfix
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
le mieux serait que tu désactives tes protections résidente "anti-virus et anti-spyware"
le temps d'installer smitfraudfix et de faire l'analyse.
et télécharge SmitfraudFix.exe.
Double-clique sur SmitfraudFix.exe (Sous Vista, il faut cliquer droit sur SmitfraudFix et choisir Exécuter en tant qu'administrateur).
Exécute le en choisissant l’option 1
il va générer un rapport
Copie/colle le sur le poste stp.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge Smitfraudfix
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
le mieux serait que tu désactives tes protections résidente "anti-virus et anti-spyware"
le temps d'installer smitfraudfix et de faire l'analyse.
et télécharge SmitfraudFix.exe.
Double-clique sur SmitfraudFix.exe (Sous Vista, il faut cliquer droit sur SmitfraudFix et choisir Exécuter en tant qu'administrateur).
Exécute le en choisissant l’option 1
il va générer un rapport
Copie/colle le sur le poste stp.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
XaTon
Messages postés
2041
Date d'inscription
lundi 6 juillet 2009
Statut
Membre
Dernière intervention
22 janvier 2015
208
18 août 2009 à 23:38
18 août 2009 à 23:38
Bonsoir ,
Pourquoi ?
Essaye smith fraud fix
Pourquoi ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
19 août 2009 à 01:22
19 août 2009 à 01:22
re,
chez moi il marche bien ...
télécharge le ici > http://www.cijoint.fr/cjlink.php?file=cj200908/cijBCeGg08.zip
UsbFix se trouve dans cette archive ... tu l'extrais sur ton bureau et tu reprends la manipe ....
chez moi il marche bien ...
télécharge le ici > http://www.cijoint.fr/cjlink.php?file=cj200908/cijBCeGg08.zip
UsbFix se trouve dans cette archive ... tu l'extrais sur ton bureau et tu reprends la manipe ....
C'est bon, le second lien marche :)
############################## | UsbFix V6.018 |
User : Administrateur (Administrateurs) # SWEET-0957259A3
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 00:34:52 | 19/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 19,53 Go (9,59 Go free) # NTFS
D:\ -> Disque fixe local # 17,73 Go (10,38 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 121,72 Mo (0,04 Mo free) [LAMIA] # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Program Files\WinMover\WinMover.exe
C:\Program Files\Modem Samsung SCH-U209\SamsungPnPServiceManager.exe
C:\Program Files\Modem Samsung SCH-U209\sysctrlU.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\otgbuf.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winoohor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\WINDOWS\svchost.exe
Présent ! C:\WINDOWS\system32\autorun.ini
Présent ! C:\WINDOWS\system32\blastclnnn.exe
Présent ! C:\WINDOWS\system32\mmm.exe
Présent ! C:\WINDOWS\system32\nmdfgds0.dll
Présent ! C:\WINDOWS\system32\olhrwef.exe
Présent ! C:\WINDOWS\system32\setting.ini
C:\autorun.inf # -> fichier appelé : "C:\ysep1.exe" ( Présent ! )
Présent ! C:\ysep1.exe
Présent ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\ysep1.exe" ( Présent ! )
Présent ! D:\ysep1.exe
Présent ! D:\autorun.inf
G:\autorun.inf # -> fichier appelé : "G:\ysep1.exe" ( Présent ! )
Présent ! G:\abk.bat
Présent ! G:\ljnhwt.bat
Présent ! G:\New Folder.exe
Présent ! G:\uvsqfgwd.cmd
Présent ! G:\xh319r9b.bat
Présent ! G:\xh319r9b.bat
Présent ! G:\ysep1.exe
Présent ! G:\i.cmd
Présent ! G:\autorun.inf
Présent ! G:\ojdud.pif
Présent ! G:\kykrk.pif
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
G:\Music\Music.exe
G:\images 2\images 2.exe
G:\photos SENEGAL\photos SENEGAL.exe
G:\Mme leila\Mme leila.exe
G:\Etudes terminale\Etudes terminale.exe
G:\supports paa\supports paa.exe
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "(Default)"
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Mmm"
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Yahoo Messengger"
Présent ! HKU\S-1-5-21-1993962763-1500820517-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKU\S-1-5-21-1993962763-1500820517-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Yahoo Messengger"
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UpdatesDisableNotify" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableRegistryTools" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableTaskMgr" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\C
Shell\AutoRun\command =C:\ysep1.exe
Shell\open\Command =C:\ysep1.exe
HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =D:\ysep1.exe
Shell\open\Command =D:\ysep1.exe
HKCU\..\..\Explorer\MountPoints2\G
Shell\AutoRun\command =G:\ysep1.exe
Shell\open\Command =G:\ysep1.exe
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.018 ! |
Voilà
############################## | UsbFix V6.018 |
User : Administrateur (Administrateurs) # SWEET-0957259A3
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 00:34:52 | 19/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 19,53 Go (9,59 Go free) # NTFS
D:\ -> Disque fixe local # 17,73 Go (10,38 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 121,72 Mo (0,04 Mo free) [LAMIA] # FAT
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Program Files\WinMover\WinMover.exe
C:\Program Files\Modem Samsung SCH-U209\SamsungPnPServiceManager.exe
C:\Program Files\Modem Samsung SCH-U209\sysctrlU.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\otgbuf.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winoohor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\WINDOWS\svchost.exe
Présent ! C:\WINDOWS\system32\autorun.ini
Présent ! C:\WINDOWS\system32\blastclnnn.exe
Présent ! C:\WINDOWS\system32\mmm.exe
Présent ! C:\WINDOWS\system32\nmdfgds0.dll
Présent ! C:\WINDOWS\system32\olhrwef.exe
Présent ! C:\WINDOWS\system32\setting.ini
C:\autorun.inf # -> fichier appelé : "C:\ysep1.exe" ( Présent ! )
Présent ! C:\ysep1.exe
Présent ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\ysep1.exe" ( Présent ! )
Présent ! D:\ysep1.exe
Présent ! D:\autorun.inf
G:\autorun.inf # -> fichier appelé : "G:\ysep1.exe" ( Présent ! )
Présent ! G:\abk.bat
Présent ! G:\ljnhwt.bat
Présent ! G:\New Folder.exe
Présent ! G:\uvsqfgwd.cmd
Présent ! G:\xh319r9b.bat
Présent ! G:\xh319r9b.bat
Présent ! G:\ysep1.exe
Présent ! G:\i.cmd
Présent ! G:\autorun.inf
Présent ! G:\ojdud.pif
Présent ! G:\kykrk.pif
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
G:\Music\Music.exe
G:\images 2\images 2.exe
G:\photos SENEGAL\photos SENEGAL.exe
G:\Mme leila\Mme leila.exe
G:\Etudes terminale\Etudes terminale.exe
G:\supports paa\supports paa.exe
################## | Registre # Clés Run infectieuses |
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "(Default)"
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Mmm"
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Yahoo Messengger"
Présent ! HKU\S-1-5-21-1993962763-1500820517-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKU\S-1-5-21-1993962763-1500820517-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Yahoo Messengger"
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UpdatesDisableNotify" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableRegistryTools" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableTaskMgr" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\C
Shell\AutoRun\command =C:\ysep1.exe
Shell\open\Command =C:\ysep1.exe
HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =D:\ysep1.exe
Shell\open\Command =D:\ysep1.exe
HKCU\..\..\Explorer\MountPoints2\G
Shell\AutoRun\command =G:\ysep1.exe
Shell\open\Command =G:\ysep1.exe
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.018 ! |
Voilà
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
>
ruch
19 août 2009 à 01:53
19 août 2009 à 01:53
re,
c'est jamais bien simple avec ce genre de bestiole , l'infection est bien sûr toujours présente ( il n'y a pas que olhrwef.exe, il est venu avec tous ces petits copains ! ) ... c'est pour cela qu'il existe des outils spécifiques ... ;)
la suite ici > https://forums.commentcamarche.net/forum/affich-13949904-sacre-virus#9
c'est jamais bien simple avec ce genre de bestiole , l'infection est bien sûr toujours présente ( il n'y a pas que olhrwef.exe, il est venu avec tous ces petits copains ! ) ... c'est pour cela qu'il existe des outils spécifiques ... ;)
la suite ici > https://forums.commentcamarche.net/forum/affich-13949904-sacre-virus#9
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
19 août 2009 à 01:45
19 août 2009 à 01:45
re,
la suite dans l'ordre :
1- ! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
===================
2- utilise ZHPDiag ainsi pour avoir un rapport plus poussé :
!! déconnecte toi et ferme toutes tes applications en cours !!
> Lance ZHPDiag .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) .
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
=================
poste donc les rapports demandés , je te donnerai la suite en fonction demain matin ...
bonne nuit .... ;)
la suite dans l'ordre :
1- ! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
===================
2- utilise ZHPDiag ainsi pour avoir un rapport plus poussé :
!! déconnecte toi et ferme toutes tes applications en cours !!
> Lance ZHPDiag .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) .
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
=================
poste donc les rapports demandés , je te donnerai la suite en fonction demain matin ...
bonne nuit .... ;)
Utilisateur anonyme
19 août 2009 à 06:39
19 août 2009 à 06:39
Hello Ruch ske69 ,
Ruch , avant de passer a la phase suppression avec UsbFix , pourrais tu le désinstaller et utiliser la derniere mises a jours : http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
Cela a pour objectif de supprimer l infection new folder.exe visible ici :
Présent ! G:\New Folder.exe
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
G:\Music\Music.exe
G:\images 2\images 2.exe
G:\photos SENEGAL\photos SENEGAL.exe
G:\Mme leila\Mme leila.exe
G:\Etudes terminale\Etudes terminale.exe
G:\supports paa\supports paa.exe
Bonne suite à tous les 2 .
Ruch , avant de passer a la phase suppression avec UsbFix , pourrais tu le désinstaller et utiliser la derniere mises a jours : http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
Cela a pour objectif de supprimer l infection new folder.exe visible ici :
Présent ! G:\New Folder.exe
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
G:\Music\Music.exe
G:\images 2\images 2.exe
G:\photos SENEGAL\photos SENEGAL.exe
G:\Mme leila\Mme leila.exe
G:\Etudes terminale\Etudes terminale.exe
G:\supports paa\supports paa.exe
Bonne suite à tous les 2 .
Mermozzz
Messages postés
86
Date d'inscription
mercredi 19 août 2009
Statut
Membre
Dernière intervention
10 décembre 2011
12
19 août 2009 à 21:50
19 août 2009 à 21:50
Essaie de reinstaller windows et telecharge le logiciel Killcmos (ca remet tonn bios a zero et enleve les mot de passe)
Voila
Voila
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
19 août 2009 à 23:24
19 août 2009 à 23:24
re,
....(ce n'est pas l'installation d'USBFix qui analyse qelque chose j'espère^^)
>pas du tout ! ... :)))
Si il ne reconnait pas les disques , soit ils sont grillés , soit il y a un mauvais contact au niveau des nappes de branchement ...
débranche ton PC electriquement / ouvre le caisson / vérifies toutes les connections ( surtout celle entre les disque dure et la carte mère , au niveau des barret de RAM aussi ) / fait un dépoussiérage si besoin ...
re-branche et redémarre le PC pour voir ...
....(ce n'est pas l'installation d'USBFix qui analyse qelque chose j'espère^^)
>pas du tout ! ... :)))
Si il ne reconnait pas les disques , soit ils sont grillés , soit il y a un mauvais contact au niveau des nappes de branchement ...
débranche ton PC electriquement / ouvre le caisson / vérifies toutes les connections ( surtout celle entre les disque dure et la carte mère , au niveau des barret de RAM aussi ) / fait un dépoussiérage si besoin ...
re-branche et redémarre le PC pour voir ...
SOS HELP XD
J'ai essayé de débrancher et rebranché les disques durs, mais rien ne change. J'essaierais de tout redémonter demain et dépoussiérer.
Le problème de la désactivation du gestionnaire de tâches est réapparu dans l'autre pc portable. Du coup, j'ai restauré le système à une date précise (le 10 août) et tout remarchait nickel. Puis je décide de télécharger un antivirus (kaspersky).
Celui ci, dès qu'il est installé, détecte des virus et me dis qu'il faut redémarrer le pc pour que ça fasse effet. Seul problème, au redémarrage, ma souris ne marche plus! J'ai essayé d'introduire une souris usb mais elle marche pas non plus.
Kaspersky de *****... J'ai redémarré le pc portable plusieurs fois, mais rien. Là actuellement, je fais tout avec le clavier.
Aidez-moi je perds les pédales XD
PS: je croyais que les antivirus étaient censés aider...
J'ai essayé de débrancher et rebranché les disques durs, mais rien ne change. J'essaierais de tout redémonter demain et dépoussiérer.
Le problème de la désactivation du gestionnaire de tâches est réapparu dans l'autre pc portable. Du coup, j'ai restauré le système à une date précise (le 10 août) et tout remarchait nickel. Puis je décide de télécharger un antivirus (kaspersky).
Celui ci, dès qu'il est installé, détecte des virus et me dis qu'il faut redémarrer le pc pour que ça fasse effet. Seul problème, au redémarrage, ma souris ne marche plus! J'ai essayé d'introduire une souris usb mais elle marche pas non plus.
Kaspersky de *****... J'ai redémarré le pc portable plusieurs fois, mais rien. Là actuellement, je fais tout avec le clavier.
Aidez-moi je perds les pédales XD
PS: je croyais que les antivirus étaient censés aider...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
>
ruch
20 août 2009 à 01:38
20 août 2009 à 01:38
hop hop hop ! ...
pas tous les PC à la fois miss !!!!
on reste sur le PC de bureau pour le moment ... le portable , t'y touches pas ! Il doit être tout autant infecté mais ce ne sera pas forcement la même démarche à suivre ! ...
reste zen et ne touche plus au portable ! ....
on se concentre sur le PC de bureau pour le moment :
vérifications des connectiques et nettoyage à l'intérieur de la tour !
tu redémarres et tu me dis ce qu'il en est ....
++
PS :
et quand je lis des conneries pareil > Puis je décide de télécharger un antivirus (kaspersky).
cela sous entend que tu n'avais pas de protection anti-viral avant ... donc faut pas s'étonner du merdier dans lequel tu es .... c'est comme rouler les yeux fermés sur l'autoroute, le carton est inévitable ...
pas tous les PC à la fois miss !!!!
on reste sur le PC de bureau pour le moment ... le portable , t'y touches pas ! Il doit être tout autant infecté mais ce ne sera pas forcement la même démarche à suivre ! ...
reste zen et ne touche plus au portable ! ....
on se concentre sur le PC de bureau pour le moment :
vérifications des connectiques et nettoyage à l'intérieur de la tour !
tu redémarres et tu me dis ce qu'il en est ....
++
PS :
et quand je lis des conneries pareil > Puis je décide de télécharger un antivirus (kaspersky).
cela sous entend que tu n'avais pas de protection anti-viral avant ... donc faut pas s'étonner du merdier dans lequel tu es .... c'est comme rouler les yeux fermés sur l'autoroute, le carton est inévitable ...
ruch
>
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
20 août 2009 à 01:57
20 août 2009 à 01:57
Le problème c'est que ce pc portable est très utilisé par ma famille. IL vaudrait mieux que je le désinfecte au plus vite avant qu'il ne se passe d'autres choses (je constate malgré moi que le gestionnaire des tâches s'est encore désactive et que les lecteurs C et D ne peuvent même plus s'ouvrir).
Rien ne nous empêche de faire les 2 au même temps et indépendamment. Devrais-je créer un autre topic?
Rien ne nous empêche de faire les 2 au même temps et indépendamment. Devrais-je créer un autre topic?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
20 août 2009 à 02:02
20 août 2009 à 02:02
re,
Rien ne nous empêche de faire les 2 au même temps et indépendamment
c'est bien simple ... moi c'est l'un après l'autre ... sinon cela va devenir un vrai foutoir .... !
et c'est le meilleur moyen de tout planter ! ...
donc pas de prb , on se tape le portable en premier ....
========================
TRES IMPORTANT !!! QUE TU TE RENTRES BIEN CE QUI SUIT DANS LE CRANE !
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
=========================
Puis commence par faire ceci :
Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .
> Lance ZHPDiag depuis le raccouci du bureau .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
Rien ne nous empêche de faire les 2 au même temps et indépendamment
c'est bien simple ... moi c'est l'un après l'autre ... sinon cela va devenir un vrai foutoir .... !
et c'est le meilleur moyen de tout planter ! ...
donc pas de prb , on se tape le portable en premier ....
========================
TRES IMPORTANT !!! QUE TU TE RENTRES BIEN CE QUI SUIT DANS LE CRANE !
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
=========================
Puis commence par faire ceci :
Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .
> Lance ZHPDiag depuis le raccouci du bureau .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
20 août 2009 à 02:23
20 août 2009 à 02:23
et bien ...
c'est la grosse cata ! .... ya du boulot ...
la petite famille va se passer de ce PC jusqu' à nouvel ordre !
Et pas d'antivirus ... c'est vraiment du n'importe quoi ...
commence par ceci dans l'ordre :
1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
====================
2- Utilsation de l'outil ZHPFix :
Rends dans ce répertoire > C:\Program files\ZHPDiag
* Là tu double-cliques sur "ZHPFix.exe" .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :
> https://www.cjoint.com/?iucwdxXmHk
Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Pense à réactiver tes défenses !...
=======================
3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :
> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
! Déconnecte toi d'internet et ferme toutes applications en cours !
--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.
# Choisis l' option 1 ( Recherche )
# Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
c'est la grosse cata ! .... ya du boulot ...
la petite famille va se passer de ce PC jusqu' à nouvel ordre !
Et pas d'antivirus ... c'est vraiment du n'importe quoi ...
commence par ceci dans l'ordre :
1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
====================
2- Utilsation de l'outil ZHPFix :
Rends dans ce répertoire > C:\Program files\ZHPDiag
* Là tu double-cliques sur "ZHPFix.exe" .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :
> https://www.cjoint.com/?iucwdxXmHk
Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Pense à réactiver tes défenses !...
=======================
3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :
> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
! Déconnecte toi d'internet et ferme toutes applications en cours !
--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.
# Choisis l' option 1 ( Recherche )
# Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
Rapport TB:
-----------\\ ToolBar S&D 1.2.8 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M processor 1300MHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : a ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:19 Go (Free:3 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:17 Go (Free:17 Go)
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 20/08/2009| 1:27 )
C:\DOCUME~1\a\LOCALS~1\Temp\nsa1E.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nsc6.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nsr3.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nst3.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nsv3.tmp
-----------\\ SUPPRESSION
Supprime! - C:\Program Files\FunWebProducts\Shared
Supprime! - C:\Program Files\MyWebSearch\bar
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nsa1E.tmp
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nsc6.tmp
Echec ! - C:\DOCUME~1\a\LOCALS~1\Temp\nsr3.tmp
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nst3.tmp
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nsv3.tmp
Supprime! - C:\Program Files\FunWebProducts
Supprime! - C:\Program Files\MyWebSearch
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.inwi.ma/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="https://www.google.fr/?gws_rd=ssl"
"Url"="http://www.microsoft.com/atwork/community/rss.xml"
"Url"="http://www.microsoft.com/athome/community/rss.xml"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
1 - "C:\ToolBar SD\TB_1.txt" - 20/08/2009| 1:28 - Option : [2]
-----------\\ Fin du rapport a 1:28:16,32
Rapport ZHPfix:
ZHPFix v1.12.07 by Nicolas Coolman - Rapport de suppression du 20/08/2009 01:33:27
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2009-01-33-27.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
C:\WINDOWS\system32\drivers\hgloks.sys => File not found
Module mémoire :
(Néant)
Clé du Registre :
O41 - Driver: abp470n5 (abp470n5) - C:\WINDOWS\system32\drivers\hgloks.sys => Registry Key removed successfully
Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\wscntfy.exe"="C:\WINDOWS\system32\wscntfy.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\ttljj.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\ttljj.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\bdglfv.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\bdglfv.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\winbgjfe.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\winbgjfe.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\we0402.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\we0402.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\ixqecv.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\ixqecv.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\windceyt.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\windceyt.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\oceqcd.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\oceqcd.exe:*:Enabled:ipsec" => Registry key value removed successfully
Elément de données du Registre :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 8
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0
End of the scan
PS: pour ZHPFix, le message "la modification du registre a été désactivé par l'administrateur" est apparu plusieurs fois.
-----------\\ ToolBar S&D 1.2.8 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M processor 1300MHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : a ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:19 Go (Free:3 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:17 Go (Free:17 Go)
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 20/08/2009| 1:27 )
C:\DOCUME~1\a\LOCALS~1\Temp\nsa1E.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nsc6.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nsr3.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nst3.tmp
C:\DOCUME~1\a\LOCALS~1\Temp\nsv3.tmp
-----------\\ SUPPRESSION
Supprime! - C:\Program Files\FunWebProducts\Shared
Supprime! - C:\Program Files\MyWebSearch\bar
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nsa1E.tmp
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nsc6.tmp
Echec ! - C:\DOCUME~1\a\LOCALS~1\Temp\nsr3.tmp
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nst3.tmp
Supprime! - C:\DOCUME~1\a\LOCALS~1\Temp\nsv3.tmp
Supprime! - C:\Program Files\FunWebProducts
Supprime! - C:\Program Files\MyWebSearch
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.inwi.ma/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="https://www.google.fr/?gws_rd=ssl"
"Url"="http://www.microsoft.com/atwork/community/rss.xml"
"Url"="http://www.microsoft.com/athome/community/rss.xml"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
1 - "C:\ToolBar SD\TB_1.txt" - 20/08/2009| 1:28 - Option : [2]
-----------\\ Fin du rapport a 1:28:16,32
Rapport ZHPfix:
ZHPFix v1.12.07 by Nicolas Coolman - Rapport de suppression du 20/08/2009 01:33:27
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2009-01-33-27.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
C:\WINDOWS\system32\drivers\hgloks.sys => File not found
Module mémoire :
(Néant)
Clé du Registre :
O41 - Driver: abp470n5 (abp470n5) - C:\WINDOWS\system32\drivers\hgloks.sys => Registry Key removed successfully
Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\wscntfy.exe"="C:\WINDOWS\system32\wscntfy.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\ttljj.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\ttljj.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\bdglfv.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\bdglfv.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\winbgjfe.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\winbgjfe.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\we0402.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\we0402.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\ixqecv.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\ixqecv.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\windceyt.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\windceyt.exe:*:Enabled:ipsec" => Registry key value removed successfully
O47 - AAKE:Key Export SP - "C:\DOCUME~1\a\LOCALS~1\Temp\oceqcd.exe"="C:\DOCUME~1\a\LOCALS~1\Temp\oceqcd.exe:*:Enabled:ipsec" => Registry key value removed successfully
Elément de données du Registre :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 8
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0
End of the scan
PS: pour ZHPFix, le message "la modification du registre a été désactivé par l'administrateur" est apparu plusieurs fois.
Rapport USBFix:
############################## | UsbFix V6.018 |
User : a (Administrateurs) # 254416B04F83498
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 01:41:40 | 20/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Celeron(R) M processor 1300MHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 19,53 Go (3,59 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 17,72 Go (17,25 Go free) [Nouveau nom] # NTFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
C:\Program Files\Modem Samsung SCH-U209\sysctrlU.exe
C:\Program Files\Modem Samsung SCH-U209\SamsungPnPServiceManager.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\a\LOCALS~1\Temp\ttljj.exe
C:\DOCUME~1\a\LOCALS~1\Temp\bdglfv.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\FirefoxPortable\FirefoxPortable.exe
C:\Program Files\FirefoxPortable\App\firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\WINDOWS\AhnRpta.exe
Présent ! C:\WINDOWS\system32\e8main0.dll
Présent ! C:\WINDOWS\system32\e8main1.dll
Présent ! C:\WINDOWS\system32\gasretyw0.dll
Présent ! C:\WINDOWS\system32\kamsoft.exe
Présent ! C:\WINDOWS\system32\nmdfgds0.dll
Présent ! C:\WINDOWS\system32\nmdfgds1.dll
Présent ! C:\WINDOWS\system32\olhrwef.exe
Présent ! C:\DOCUME~1\a\LOCALS~1\Temp\cvasds1.dll
Présent ! C:\DOCUME~1\a\LOCALS~1\Temp\nmdfgds0.dll
Présent ! C:\DOCUME~1\a\LOCALS~1\Temp\nmdfgds1.dll
C:\autorun.inf # -> fichier appelé : "C:\q8e6.bat" ( Présent ! )
Présent ! C:\1xniph.bat
Présent ! C:\22yj2fy1.exe
Présent ! C:\2a.exe
Présent ! C:\3j2h0tf.bat
Présent ! C:\8b3.bat
Présent ! C:\8dtyjjf.exe
Présent ! C:\9kretct.exe
Présent ! C:\abk.bat
Présent ! C:\cv8j.exe
Présent ! C:\hm1bfpuj.exe
Présent ! C:\ljnhwt.bat
Présent ! C:\mb9x.exe
Présent ! C:\mqhnawe.bat
Présent ! C:\nkbd1v.exe
Présent ! C:\q1alx.exe
Présent ! C:\qothmn.cmd
Présent ! C:\uvsqfgwd.cmd
Présent ! C:\w9hw8.exe
Présent ! C:\wbj.exe
Présent ! C:\xmcckw.bat
Présent ! C:\xs6kpr0.exe
Présent ! C:\autorun.inf
E:\autorun.inf # -> fichier appelé : "E:\q8e6.bat" ( Présent ! )
Présent ! E:\1xniph.bat
Présent ! E:\22yj2fy1.exe
Présent ! E:\2a.exe
Présent ! E:\3j2h0tf.bat
Présent ! E:\8b3.bat
Présent ! E:\8dtyjjf.exe
Présent ! E:\9kretct.exe
Présent ! E:\abk.bat
Présent ! E:\cv8j.exe
Présent ! E:\hm1bfpuj.exe
Présent ! E:\ljnhwt.bat
Présent ! E:\mb9x.exe
Présent ! E:\mqhnawe.bat
Présent ! E:\nkbd1v.exe
Présent ! E:\q1alx.exe
Présent ! E:\qothmn.cmd
Présent ! E:\uvsqfgwd.cmd
Présent ! E:\w9hw8.exe
Présent ! E:\wbj.exe
Présent ! E:\xmcckw.bat
Présent ! E:\xs6kpr0.exe
Présent ! E:\autorun.inf
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
E:\SecondLife\SecondLife.exe
################## | Registre # Clés Run infectieuses |
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kamsoft"
Présent ! HKU\S-1-5-21-448539723-113007714-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKU\S-1-5-21-448539723-113007714-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kamsoft"
Présent ! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{BB4C402F-882A-4526-8C08-51278EA437C1}"
Présent ! HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}
Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UpdatesDisableNotify" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableRegistryTools" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableTaskMgr" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{282851c0-43eb-11de-acfc-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
HKCU\..\..\Explorer\MountPoints2\{32312c61-d697-11dd-916f-000e354775ec}
Shell\AutoRun\command =E:\abk.bat
Shell\explore\Command =E:\abk.bat
Shell\open\Command =E:\abk.bat
HKCU\..\..\Explorer\MountPoints2\{42bd1480-7247-11de-ad5c-000e354775ec}
Shell\AutoRun\command =F:\ysep1.exe
Shell\open\Command =F:\ysep1.exe
HKCU\..\..\Explorer\MountPoints2\{6eaea111-d68f-11dd-8438-806d6172696f}
Shell\AutoRun\command =C:\q8e6.bat
Shell\open\Command =C:\q8e6.bat
HKCU\..\..\Explorer\MountPoints2\{8770fdc0-3d9f-11de-acdf-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
HKCU\..\..\Explorer\MountPoints2\{d6a03d70-f82e-11dd-9197-000e354775ec}
Shell\AutoRun\command =F:\abk.bat
Shell\explore\Command =F:\abk.bat
Shell\open\Command =F:\abk.bat
HKCU\..\..\Explorer\MountPoints2\{f626f9f0-461a-11de-ad01-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
HKCU\..\..\Explorer\MountPoints2\{f6578bb0-d720-11dd-9170-000e354775ec}
Shell\AutoRun\command =E:\q8e6.bat
Shell\open\Command =E:\q8e6.bat
HKCU\..\..\Explorer\MountPoints2\{fdeaa4e0-390a-11de-acda-000e354775ec}
Shell\AutoRun\command =F:\abk.bat
Shell\explore\Command =F:\abk.bat
Shell\open\Command =F:\abk.bat
HKCU\..\..\Explorer\MountPoints2\{fe385a20-3648-11de-91bd-000e354775ec}
Shell\AutoRun\command =G:\Setup.exe
HKCU\..\..\Explorer\MountPoints2\{fff1f450-445d-11de-acfd-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.018 ! |
PS: je n'ai pas branché la clé USB parce qu'on l'a jeté malgré moi ^^
############################## | UsbFix V6.018 |
User : a (Administrateurs) # 254416B04F83498
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 01:41:40 | 20/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Celeron(R) M processor 1300MHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
C:\ -> Disque fixe local # 19,53 Go (3,59 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 17,72 Go (17,25 Go free) [Nouveau nom] # NTFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe
C:\Program Files\Modem Samsung SCH-U209\sysctrlU.exe
C:\Program Files\Modem Samsung SCH-U209\SamsungPnPServiceManager.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\a\LOCALS~1\Temp\ttljj.exe
C:\DOCUME~1\a\LOCALS~1\Temp\bdglfv.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\FirefoxPortable\FirefoxPortable.exe
C:\Program Files\FirefoxPortable\App\firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\WINDOWS\AhnRpta.exe
Présent ! C:\WINDOWS\system32\e8main0.dll
Présent ! C:\WINDOWS\system32\e8main1.dll
Présent ! C:\WINDOWS\system32\gasretyw0.dll
Présent ! C:\WINDOWS\system32\kamsoft.exe
Présent ! C:\WINDOWS\system32\nmdfgds0.dll
Présent ! C:\WINDOWS\system32\nmdfgds1.dll
Présent ! C:\WINDOWS\system32\olhrwef.exe
Présent ! C:\DOCUME~1\a\LOCALS~1\Temp\cvasds1.dll
Présent ! C:\DOCUME~1\a\LOCALS~1\Temp\nmdfgds0.dll
Présent ! C:\DOCUME~1\a\LOCALS~1\Temp\nmdfgds1.dll
C:\autorun.inf # -> fichier appelé : "C:\q8e6.bat" ( Présent ! )
Présent ! C:\1xniph.bat
Présent ! C:\22yj2fy1.exe
Présent ! C:\2a.exe
Présent ! C:\3j2h0tf.bat
Présent ! C:\8b3.bat
Présent ! C:\8dtyjjf.exe
Présent ! C:\9kretct.exe
Présent ! C:\abk.bat
Présent ! C:\cv8j.exe
Présent ! C:\hm1bfpuj.exe
Présent ! C:\ljnhwt.bat
Présent ! C:\mb9x.exe
Présent ! C:\mqhnawe.bat
Présent ! C:\nkbd1v.exe
Présent ! C:\q1alx.exe
Présent ! C:\qothmn.cmd
Présent ! C:\uvsqfgwd.cmd
Présent ! C:\w9hw8.exe
Présent ! C:\wbj.exe
Présent ! C:\xmcckw.bat
Présent ! C:\xs6kpr0.exe
Présent ! C:\autorun.inf
E:\autorun.inf # -> fichier appelé : "E:\q8e6.bat" ( Présent ! )
Présent ! E:\1xniph.bat
Présent ! E:\22yj2fy1.exe
Présent ! E:\2a.exe
Présent ! E:\3j2h0tf.bat
Présent ! E:\8b3.bat
Présent ! E:\8dtyjjf.exe
Présent ! E:\9kretct.exe
Présent ! E:\abk.bat
Présent ! E:\cv8j.exe
Présent ! E:\hm1bfpuj.exe
Présent ! E:\ljnhwt.bat
Présent ! E:\mb9x.exe
Présent ! E:\mqhnawe.bat
Présent ! E:\nkbd1v.exe
Présent ! E:\q1alx.exe
Présent ! E:\qothmn.cmd
Présent ! E:\uvsqfgwd.cmd
Présent ! E:\w9hw8.exe
Présent ! E:\wbj.exe
Présent ! E:\xmcckw.bat
Présent ! E:\xs6kpr0.exe
Présent ! E:\autorun.inf
################## | Suspect ! ... | https://www.virustotal.com/gui/ |
E:\SecondLife\SecondLife.exe
################## | Registre # Clés Run infectieuses |
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kamsoft"
Présent ! HKU\S-1-5-21-448539723-113007714-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKU\S-1-5-21-448539723-113007714-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kamsoft"
Présent ! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "{BB4C402F-882A-4526-8C08-51278EA437C1}"
Présent ! HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}
Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "FirewallOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UacDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center\Svc "UpdatesDisableNotify" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableRegistryTools" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableTaskMgr" ( 0x1 )
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{282851c0-43eb-11de-acfc-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
HKCU\..\..\Explorer\MountPoints2\{32312c61-d697-11dd-916f-000e354775ec}
Shell\AutoRun\command =E:\abk.bat
Shell\explore\Command =E:\abk.bat
Shell\open\Command =E:\abk.bat
HKCU\..\..\Explorer\MountPoints2\{42bd1480-7247-11de-ad5c-000e354775ec}
Shell\AutoRun\command =F:\ysep1.exe
Shell\open\Command =F:\ysep1.exe
HKCU\..\..\Explorer\MountPoints2\{6eaea111-d68f-11dd-8438-806d6172696f}
Shell\AutoRun\command =C:\q8e6.bat
Shell\open\Command =C:\q8e6.bat
HKCU\..\..\Explorer\MountPoints2\{8770fdc0-3d9f-11de-acdf-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
HKCU\..\..\Explorer\MountPoints2\{d6a03d70-f82e-11dd-9197-000e354775ec}
Shell\AutoRun\command =F:\abk.bat
Shell\explore\Command =F:\abk.bat
Shell\open\Command =F:\abk.bat
HKCU\..\..\Explorer\MountPoints2\{f626f9f0-461a-11de-ad01-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
HKCU\..\..\Explorer\MountPoints2\{f6578bb0-d720-11dd-9170-000e354775ec}
Shell\AutoRun\command =E:\q8e6.bat
Shell\open\Command =E:\q8e6.bat
HKCU\..\..\Explorer\MountPoints2\{fdeaa4e0-390a-11de-acda-000e354775ec}
Shell\AutoRun\command =F:\abk.bat
Shell\explore\Command =F:\abk.bat
Shell\open\Command =F:\abk.bat
HKCU\..\..\Explorer\MountPoints2\{fe385a20-3648-11de-91bd-000e354775ec}
Shell\AutoRun\command =G:\Setup.exe
HKCU\..\..\Explorer\MountPoints2\{fff1f450-445d-11de-acfd-000e354775ec}
Shell\AutoRun\command =F:\uvsqfgwd.cmd
Shell\open\Command =F:\uvsqfgwd.cmd
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.018 ! |
PS: je n'ai pas branché la clé USB parce qu'on l'a jeté malgré moi ^^
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
20 août 2009 à 08:53
20 août 2009 à 08:53
salut,
on continue ... dans l'ordre :
1- ! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\
==============================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
on continue ... dans l'ordre :
1- ! Déconnecte toi d'internet et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu choisis l' option 2 ( Suppression ) .
> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\
==============================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
18 août 2009 à 23:42
19 août 2009 à 01:16