Virus cache mes dossier sur mon disque extern [Résolu/Fermé]

Signaler
Messages postés
20
Date d'inscription
dimanche 7 décembre 2008
Statut
Membre
Dernière intervention
5 octobre 2009
-
 tirana -
Bonjour,
Je n'arrive plus à accéder à mes dossiers contenus dans mon disque externe de 300Go via l'interface windows. Ils sont cachés par un virus (que je ne connais pas).
C'est la deuxième fois que je sois victime des effets de ce virus. Pour m'en sortir d'urgence la première fois j'étais obligé de déplacer les données via linux et puis de formater le disque sous windows.
Vous convenez avec moi qu'il n'est pas évident d'utiliser à chaque fois cette méthode quand on a pas assez d'espace de stockage et que serait d'adopter la politique de l'autruche.
Je veux une solution plus efficace.

Merci d'avance


10 réponses

bonjours,



***************** Recherche avec USBFix ***********************

Télécharger UsbFix de C_XX & Chiquitine29.

* Double-cliquer sur USBFix.exe

* Tapez "F" pour français et pressez sur Entrée pour valider

* Choisissez l'option 1 Recherche

* Brancher vos tout vos périphériques USB, support amovibles et cliquer "OK"

* La recherche peut prendre quelques minutes ..

* Le rapport s'ouvrira à l'écran, postez ce rapport - C:\USBFix.txt



*********** Recherche d'autre infection avec Malwarebyte's ***********

Téléchargez - Installez Malwarebyte's

* Laissez-vous guider : choix de la langue, acceptation de la licence, dossier par défaut ...

* Cocher la case "Créer une icône sur le Bureau".

* Cochez bien la case Mettre à jour

* Cliquez ensuite sur Terminer.

Utilisation

* Double-cliquez sur le raccourci créé sur votre bureau

* Dans l'onglet Recherche, cliquez sur Exécuter un examen complet puis sur Rechercher.
* Sélectionnez votre ou vos disques durs.

* Cliquez ensuite sur Lancer l'examen.

* Après le scan, sauvegarder le rapport (n'appuyer pas de suite sur "Supprimer la sélection")

* Affichez le rapport de Malwarebyte's dans votre prochaine réponse.
Messages postés
20
Date d'inscription
dimanche 7 décembre 2008
Statut
Membre
Dernière intervention
5 octobre 2009
3
############################## | UsbFix V6.037 |

Update on 27/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 13:11:05 | 02/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 25 Go (10,69 Go free) [WIN XP PS2] # NTFS
D:\ -> Disque fixe local # 39,52 Go (5,61 Go free) [NEC] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,73 Go (3,49 Go free) [SALL'USB 4N] # FAT32
G:\ -> Disque fixe local # 298,08 Go (33,21 Go free) [SALL'HD 300] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rohos\agent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Documents and Settings\All Users\Application Data\SeekService\seekservice129.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SeekService\seekservice.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\McAfee\Common Framework\udaterui.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Globe Software\StatBar\StatBar.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\Z
Shell\AutoRun\command =wx8o0bt1.com
Shell\open\Command =wx8o0bt1.com

HKCU\..\..\Explorer\MountPoints2\{6b2eaa27-7cf2-11de-a652-0016ec8ff653}
Shell\AutoRun\command =F:\u0riu2.exe
Shell\open\Command =F:\u0riu2.exe

################## | ! Fin du rapport # UsbFix V6.037 ! |

Y a quelques traces d'infection des supports USB, disque externe.. dans le registre, mais aucune fichier suspect sur ceux-ci.

Relancer tout de même USBFix en sélectionnant l'option 2 Suppression.

Et afficher le rapport de malwarebytes qui devrait le montrer s'il y a infection sur vos disques.

Aussi, pour afficher les fichiers cachés de Windows
Messages postés
20
Date d'inscription
dimanche 7 décembre 2008
Statut
Membre
Dernière intervention
5 octobre 2009
3
NB: J'ai suivi tout le process du scan. C'est lors du commencement du disque externe (G:) qu'il dedecté les 5 elements infectés.
J'ai pu afficher les dossiers dont $RECYCLE.BIN,System Volume Information et thums.db qui ne peuvent pas etre supprimés. Impossible de decocher l'option caché sur les proprietés de mes propres dossiers
===============================================================

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2893
Windows 5.1.2600 Service Pack 3

02/10/2009 14:21:25
mbam-log-2009-10-02 (14-21-23).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|)
Eléments examinés: 195844
Temps écoulé: 54 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge (Spyware.MarketScore) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.MarketScore) -> No action taken.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.MarketScore) -> No action taken.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\Support.lnk (Spyware.MarketScore) -> No action taken.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.MarketScore) -> No action taken.




Pour ce RelevantKnowledge détecté par Malwarebytes, vous utiliserez Ad-Remover qui devrait gratter davantage que Malwarebytes pour cette suppresssion.

Kamusal à écrit :
NB: J'ai suivi tout le process du scan. C'est lors du commencement du disque externe (G:) qu'il dedecté les 5 elements infectés.
De toute évidence, vous ne faites pas mention des détections de Malwarebytes faites sur le (C:\), mais plutôt de la Suppression faites avec USBFix sur le (G:\). J'aurais besoin de vérifier le rapport de suppression d'USBFix -> C:\USBFix.txt

Pour le reste avec les fichiers cachés, c'est usuel !




*********** Suppression de RelevantKnowledge avec Ad-Remover ***********

Téléchargez sur votre bureau Ad-Remover ( C_XX).

* Double-cliquer sur AD-R.exe - "l'installation ce fait automatiquement"

* Cliquez sur "OUI" à l'avertissement des risques possibles

* Au menu principal, choisissez L. Lancer le nettoyage

* Le rapport apparaitra à l'écran, postez ce rapport - C:\Ad-Report-CLEAN.log
Messages postés
20
Date d'inscription
dimanche 7 décembre 2008
Statut
Membre
Dernière intervention
5 octobre 2009
3
.
======= RAPPORT D'AD-REMOVER 1.1.4.5_W | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 02.10.2009 à 22:08
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:42:59, 02/10/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows Seven™ Ultimate v6.1.7100
Nom du PC: LAPTOPKAMUSALL | Utilisateur actuel: Amath SALL
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


Orphelin: Bho - {5C255C8A-E604-49b4-9D64-90988571CECB} - (Aucun fichier)

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.2 *
.
Nom du profil: lzxg4430.default (Amath SALL)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.yahoo.fr/|hxxp://www.google.fr/|hxxp://www.rewmi.com");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2");
.
.
* Internet Explorer Version 8.0.7100.0 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
Start Page Redirect Cache_TIMESTAMP: NARY f0c097a2ec2fca01
Start Page Redirect Cache AcceptLangs: fr
Secondary Start Pages: LTI_SZ hxxp://www.yahoo.fr/\0\0
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
2150 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
609 Fichier(s) - C:\Users\AMATHS~1\AppData\Local\Temp
10 Fichier(s) - C:\Windows\Temp
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 22:11:45 | 02/10/2009 - CLEAN[1]
.
============== E.O.F ==============
.
Ok, Ad-Remover n'a détecté aucune autre chose que Malwarebytes ne l'avait fait.
Ouvrez Malwarebytes et [Supprimer tout] ce qu'il y a dans la [Quarantaine].

Et pouvez vous poster le rapport de suppression d'Usbfix qui est sur le C:\
Bonjour,
C'est OK now avoir fait tout ce que vous m'avez dit. J'ai pu créer d'autres dossiers et copier les fichiers correspondants dans ces derniers.


Merci
Messages postés
20
Date d'inscription
dimanche 7 décembre 2008
Statut
Membre
Dernière intervention
5 octobre 2009
3
Bonjour,
C'est OK now avoir fait tout ce que vous m'avez dit. J'ai pu créer d'autres dossiers et copier les fichiers correspondants dans ces derniers.


Merci

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7952

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

15/10/2011 12:25:30
mbam-log-2011-10-15 (12-25-19).txt

Type d'examen: Examen complet (G:\|)
Elément(s) analysé(s): 180773
Temps écoulé: 10 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
g:\JEUX PC\nfs underground_2\needforspeed u2\Keys\rld-nu2k.exe (Trojan.Downloader) -> No action taken.
g:\system volume information\_restore{feea537f-4e78-4814-a60f-a7a8be8c9f38}\RP143\A0424544.exe (Trojan.FakeAlert) -> No action taken.
g:\system volume information\_restore{feea537f-4e78-4814-a60f-a7a8be8c9f38}\RP143\A0424555.exe (PUP.Hacktool.Patcher) -> No action taken.