Virus/ver sur HD ext - dossiers inaccessibles
Fermé
mechantvirus
-
23 sept. 2009 à 20:16
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 24 sept. 2009 à 18:57
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 24 sept. 2009 à 18:57
A voir également:
- Virus/ver sur HD ext - dossiers inaccessibles
- Hd cleaner - Télécharger - Optimisation
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Mettre un mot de passe sur un dossier - Guide
- Youtube downloader hd télécharger. - Télécharger - Conversion & Codecs
4 réponses
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
23 sept. 2009 à 20:25
23 sept. 2009 à 20:25
salut,
worm/win32.jolee
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
worm/win32.jolee
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
23 sept. 2009 à 20:27
23 sept. 2009 à 20:27
Salut ;
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
================
• Télécharge et install UsbFix par Chiquitine29
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
================
Ensuite :
• Télécharge et install UsbFix par Chiquitine29
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Salut j'ai fait ce que tu m'as demandé et voici les rapports. Je n'ai pas encore vu le résultat...
SDFIX:
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 24/09/2009 at 12:23
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\msnmsgs.exe - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-24 12:41:21
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bf,e6,58,d8,6c,d7,b6,0b,e0,d3,df,b8,3b,88,27,0b,72,24,9a,5c,9c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bf,e6,58,d8,6c,d7,b6,0b,e0,d3,df,b8,3b,88,27,0b,72,24,9a,5c,9c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5d,03,71,ca,fa,b2,f2,a8,aa,ac,be,81,75,8d,26,a1,0f,99,f9,3c,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,d5,e1,c0,66,55,ca,a2,5a,ab,0d,7c,52,7f,0b,41,88,fb,1f,eb,c6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,d5,e1,c0,66,55,ca,a2,5a,ab,0d,7c,52,7f,0b,41,88,fb,1f,eb,c6,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:97,0e,19,da,f9,89,86,03,b9,a2,53,e6,89,39,5e,39,a5,f0,9c,bb,ac,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:97,0e,19,da,f9,89,86,03,b9,a2,53,e6,89,39,5e,39,a5,f0,9c,bb,ac,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AVG\\AVG8\\avgam.exe"="C:\\Program Files\\AVG\\AVG8\\avgam.exe:*:Enabled:avgam.exe"
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"="C:\\Program Files\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="C:\\Program Files\\AVG\\AVG8\\avgnsx.exe:*:Enabled:avgnsx.exe"
"E:\\eMule\\emule.exe"="E:\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Counter-Strike Source\\srcds.exe"="C:\\Program Files\\Counter-Strike Source\\srcds.exe:*:Enabled:srcds"
"C:\\Program Files\\Zattoo\\zattood.exe"="C:\\Program Files\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Program Files\\Zattoo\\Zattoo2.exe"="C:\\Program Files\\Zattoo\\Zattoo2.exe:*:Enabled: "
"G:\\eMule\\emule.exe"="G:\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\GIGABYTE\\@BIOS\\UpdExe.exe"="C:\\Program Files\\GIGABYTE\\@BIOS\\UpdExe.exe:*:Enabled:Exe File"
"C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe"="C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe:*:Enabled:@BIOS Application"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Neuf\\Media Center\\httpd\\httpd.exe"="C:\\Program Files\\Neuf\\Media Center\\httpd\\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sat 6 Jun 2009 444 ...HR --- "C:\Documents and Settings\Administrateur\Application Data\SecuROM\UserData\securom_v7_01.bak"
Sun 15 Mar 2009 51,712 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\Informatique WORD\~WRL0719.tmp"
Wed 20 Feb 2008 57,344 A.SH. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\RDC\TD\td greg responsabilit‚ du constructeur\~WRL0663.tmp"
Fri 22 Feb 2008 55,808 A.SH. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\RDC\TD\td greg responsabilit‚ du constructeur\~WRL1212.tmp"
Fri 22 Feb 2008 56,832 A.SH. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\RDC\TD\td greg responsabilit‚ du constructeur\~WRL3487.tmp"
[b]Finished![/b]
USBFIX
############################## | UsbFix V6.036 |
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Windows\System32\VisualTaskTips.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
C:\autorun.inf
E:\autorun.inf -> fichier appelé : "E:\2o1ajagt.exe" ( Présent ! )
E:\2o1ajagt.exe
E:\autorun.inf
E:\gjnfah.cmd
E:\wrsf.exe
G:\autorun.inf -> fichier appelé : "G:\qcod.exe" ( Présent ! )
G:\autorun.inf
G:\gjnfah.cmd
G:\qcod.exe
H:\autorun.inf
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 |
################## | ! Fin du rapport # UsbFix V6.036 ! |
SDFIX:
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 24/09/2009 at 12:23
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\msnmsgs.exe - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-24 12:41:21
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bf,e6,58,d8,6c,d7,b6,0b,e0,d3,df,b8,3b,88,27,0b,72,24,9a,5c,9c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bf,e6,58,d8,6c,d7,b6,0b,e0,d3,df,b8,3b,88,27,0b,72,24,9a,5c,9c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:5d,03,71,ca,fa,b2,f2,a8,aa,ac,be,81,75,8d,26,a1,0f,99,f9,3c,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,d5,e1,c0,66,55,ca,a2,5a,ab,0d,7c,52,7f,0b,41,88,fb,1f,eb,c6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:80,d5,e1,c0,66,55,ca,a2,5a,ab,0d,7c,52,7f,0b,41,88,fb,1f,eb,c6,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:97,0e,19,da,f9,89,86,03,b9,a2,53,e6,89,39,5e,39,a5,f0,9c,bb,ac,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:bc,5e,f0,b4,83,50,99,92,f8,ac,92,c4,a3,e7,08,10,f4,a9,89,6c,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,84,dd,1a,8e,45,c0,08,d0,2c,55,a5,1b,38,9e,1c,05,0a,..
"khjeh"=hex:88,a7,c9,c2,6f,e0,d9,c1,42,4f,4e,89,b5,1a,40,04,1a,c2,be,86,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:97,0e,19,da,f9,89,86,03,b9,a2,53,e6,89,39,5e,39,a5,f0,9c,bb,ac,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AVG\\AVG8\\avgam.exe"="C:\\Program Files\\AVG\\AVG8\\avgam.exe:*:Enabled:avgam.exe"
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"="C:\\Program Files\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="C:\\Program Files\\AVG\\AVG8\\avgnsx.exe:*:Enabled:avgnsx.exe"
"E:\\eMule\\emule.exe"="E:\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Counter-Strike Source\\srcds.exe"="C:\\Program Files\\Counter-Strike Source\\srcds.exe:*:Enabled:srcds"
"C:\\Program Files\\Zattoo\\zattood.exe"="C:\\Program Files\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Program Files\\Zattoo\\Zattoo2.exe"="C:\\Program Files\\Zattoo\\Zattoo2.exe:*:Enabled: "
"G:\\eMule\\emule.exe"="G:\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\GIGABYTE\\@BIOS\\UpdExe.exe"="C:\\Program Files\\GIGABYTE\\@BIOS\\UpdExe.exe:*:Enabled:Exe File"
"C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe"="C:\\Program Files\\GIGABYTE\\@BIOS\\gwflash.exe:*:Enabled:@BIOS Application"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Neuf\\Media Center\\httpd\\httpd.exe"="C:\\Program Files\\Neuf\\Media Center\\httpd\\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sat 6 Jun 2009 444 ...HR --- "C:\Documents and Settings\Administrateur\Application Data\SecuROM\UserData\securom_v7_01.bak"
Sun 15 Mar 2009 51,712 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\Informatique WORD\~WRL0719.tmp"
Wed 20 Feb 2008 57,344 A.SH. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\RDC\TD\td greg responsabilit‚ du constructeur\~WRL0663.tmp"
Fri 22 Feb 2008 55,808 A.SH. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\RDC\TD\td greg responsabilit‚ du constructeur\~WRL1212.tmp"
Fri 22 Feb 2008 56,832 A.SH. --- "C:\Documents and Settings\Administrateur\Bureau\Droit\MASTER I\Semestre II\RDC\TD\td greg responsabilit‚ du constructeur\~WRL3487.tmp"
[b]Finished![/b]
USBFIX
############################## | UsbFix V6.036 |
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Windows\System32\VisualTaskTips.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\WINDOWS\system32\lxcrcoms.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
C:\autorun.inf
E:\autorun.inf -> fichier appelé : "E:\2o1ajagt.exe" ( Présent ! )
E:\2o1ajagt.exe
E:\autorun.inf
E:\gjnfah.cmd
E:\wrsf.exe
G:\autorun.inf -> fichier appelé : "G:\qcod.exe" ( Présent ! )
G:\autorun.inf
G:\gjnfah.cmd
G:\qcod.exe
H:\autorun.inf
################## | Registre # Clés Run infectieuses |
################## | Registre # Mountpoints2 |
################## | ! Fin du rapport # UsbFix V6.036 ! |
RE, je viens de retester la stabilité de mon DD externe et à mon grand désespoir le problème est toujours là. Est-ce la bonne infection qui a été supprimée? a t elle été réellement supprimée? C'est bizarre j'ai réussi à accéder à mon dossier infecté la première fois mais la 2e n'a pas fonctionné: la fenêtre windows affichant le dossier disparaît et me ramène sur le bureau.. alors quid?
Je précise qu'en plus des manips que tu m'as conseillé j'ai en plus fait une désactivation des autorun sur mes disques, j'ai ajouté au registre une clé noautorun trouvée sur le site de sécurité ou il y avait usbfix ainsi qu'un scan usbnorisk que je n'ai pas achevé car je ne capte pas trop ce qu'il va me faire.
Voilà voilà ce n'est pas si facile si tu as d'autres conseils n'hésite pas je suis tout ouïe.Merci
Je précise qu'en plus des manips que tu m'as conseillé j'ai en plus fait une désactivation des autorun sur mes disques, j'ai ajouté au registre une clé noautorun trouvée sur le site de sécurité ou il y avait usbfix ainsi qu'un scan usbnorisk que je n'ai pas achevé car je ne capte pas trop ce qu'il va me faire.
Voilà voilà ce n'est pas si facile si tu as d'autres conseils n'hésite pas je suis tout ouïe.Merci
merci pour vos réponses c'est très sympa j'espère que ca fonctionnera.
Je ferais les manip demain et vous tiens au courant. bonne soirée
Je ferais les manip demain et vous tiens au courant. bonne soirée
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
24 sept. 2009 à 18:57
24 sept. 2009 à 18:57
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
