Virus Warning ! Votre ordinateur est infecté!Résolu/Fermé

Question

Bonjour,
J'ai un message qui s'affiche "Virus Warning ! Votre ordinateur est indecté !" J'ai été sur d'autres forums et ils m'ont dit d'utiliser le logiciel suivant (Malwarebytes' Anti-Malware)

Voici le rappot : 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 3

31/10/2009 14:33:04
mbam-log-2009-10-31 (14-33-01).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 106665
Temps écoulé: 9 minute(s), 20 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Mickael\Local Settings\Temp\b.exe (Trojan.Downloader) -> No action taken.

======================================================================
Que dois-je faire de plus ??? 
En attendant vos réponse.

Xplode · Answer

Supprime tout ce qui a été trouvé par malwarebyte's, puis fais ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

istary · Answer

Bon d'accord je vais essayer ceci. Je vous préviendrai du resulatat si l'ordi s'allume toujours apres ^^

istary · Answer

J'ai fais la manipulation voici le lien cjoint --> https://www.cjoint.com/?kFoQ2Gon12

Xplode · Answer

-+-+-+-> Lop S&D <-+-+-+- [x] Télécharge Lop S&D (par Eric_71 & Angeldark) à cette adresse : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 [x] /!\ Désactive les protections résidentes : Antivirus, antispywares, controleurs d'intégrité, etc... pour que l'outil puisse s'exécuter correctement. [x] Double clique sur " LopSD.exe " ( Vista : Clique droit -> Executer en tant qu'administrateur ) [x] Choisis l'option F pour français [x] Ensuite, Choisis l'option 1 ( Recherche ) [x] Laisse l'outil travailler [x] Copie/Colle le contenu du rapport qui s'ouvrira et poste le dans ton prochain message Puis ceci : -+-+-+-+-> ComboFix <-+-+-+- [x] Télécharge ComboFix ( de sUBs ) à cette adresse. [x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\ [x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ [x] Double clique sur " Combofix.exe " [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le [x] Combofix va maintenant déconnecter ton PC d'internet [x] Pendant le scan, ne touche à rien ( souris, clavier ) [x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message. [o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

istary · Answer

--------------------\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz )
   BIOS : BIOS Date: 12/25/07 11:38:36 Ver: 08.00.12
   USER : Mickael ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1356 [VPS 091030-0] 4.8.1356 (Not Activated)
   Firewall  : Sunbelt Personal Firewall 4.6.1861 T (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:232 Go (Free:224 Go)
   D:\ (CD or DVD)
   E:\ (CD or DVD)
   F:\ (Local Disk) - NTFS - Total:465 Go (Free:460 Go)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 31/10/2009|14:47 )
 
   --------------------\  Listing des dossiers dans APPLIC~1

   [31/10/2009|13:40] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

   [31/10/2009|00:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
   [31/10/2009|14:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
   [31/10/2009|02:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
   [31/10/2009|03:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [31/10/2009|00:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NVIDIA Corporation
   [31/10/2009|00:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [31/10/2009|01:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [31/10/2009|00:12] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [31/10/2009|12:54] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [31/10/2009|01:10] C:\DOCUME~1\Mickael\APPLIC~1\Adobe
   [31/10/2009|00:21] C:\DOCUME~1\Mickael\APPLIC~1\Identities
   [31/10/2009|01:10] C:\DOCUME~1\Mickael\APPLIC~1\Macromedia
   [31/10/2009|14:12] C:\DOCUME~1\Mickael\APPLIC~1\Malwarebytes
   [31/10/2009|01:11] C:\DOCUME~1\Mickael\APPLIC~1\Microsoft
   [31/10/2009|00:57] C:\DOCUME~1\Mickael\APPLIC~1\Mozilla
   [31/10/2009|01:22] C:\DOCUME~1\Mickael\APPLIC~1\Nvu
   [31/10/2009|00:55] C:\DOCUME~1\Mickael\APPLIC~1\Sun
   [31/10/2009|01:35] C:\DOCUME~1\Mickael\APPLIC~1\vlc
   [31/10/2009|01:10] C:\DOCUME~1\Mickael\APPLIC~1\WinRAR

   [31/10/2009|00:14] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [31/10/2009 14:39][--ah-----] C:\WINDOWS	asks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
   [31/10/2009 14:47][--ah-----] C:\WINDOWS	asks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
   [31/10/2009 13:48][--ah-----] C:\WINDOWS	asks\SA.DAT
   [14/04/2008 13:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [31/10/2009|00:44] C:\Program Files\Alwil Software
   [31/10/2009|00:09] C:\Program Files\ComPlus Applications
   [31/10/2009|01:00] C:\Program Files\Fichiers communs
   [31/10/2009|00:29] C:\Program Files\InstallShield Installation Information
   [31/10/2009|00:10] C:\Program Files\Internet Explorer
   [31/10/2009|00:56] C:\Program Files\Java
   [31/10/2009|00:30] C:\Program Files\ma-config.com
   [31/10/2009|14:12] C:\Program Files\Malwarebytes' Anti-Malware
   [31/10/2009|00:09] C:\Program Files\Messenger
   [31/10/2009|01:02] C:\Program Files\Messenger Plus! Live
   [31/10/2009|00:12] C:\Program Files\microsoft frontpage
   [31/10/2009|00:10] C:\Program Files\Movie Maker
   [31/10/2009|14:02] C:\Program Files\Mozilla Firefox
   [31/10/2009|00:08] C:\Program Files\MSN
   [31/10/2009|00:09] C:\Program Files\MSN Gaming Zone
   [31/10/2009|00:10] C:\Program Files\NetMeeting
   [31/10/2009|00:37] C:\Program Files\NVIDIA Corporation
   [31/10/2009|01:21] C:\Program Files\Nvu
   [31/10/2009|00:10] C:\Program Files\Outlook Express
   [31/10/2009|00:29] C:\Program Files\Realtek
   [31/10/2009|00:11] C:\Program Files\Services en ligne
   [31/10/2009|13:34] C:\Program Files\Sunbelt Software
   [31/10/2009|14:05] C:\Program Files	rend micro
   [31/10/2009|00:21] C:\Program Files\Uninstall Information
   [31/10/2009|00:23] C:\Program Files\VIA
   [31/10/2009|01:35] C:\Program Files\VideoLAN
   [31/10/2009|01:02] C:\Program Files\Windows Live
   [31/10/2009|01:34] C:\Program Files\Windows Media Connect 2
   [31/10/2009|01:34] C:\Program Files\Windows Media Player
   [31/10/2009|00:09] C:\Program Files\Windows NT
   [31/10/2009|00:11] C:\Program Files\WindowsUpdate
   [31/10/2009|01:10] C:\Program Files\WinRAR
   [31/10/2009|00:12] C:\Program Files\xerox
   [31/10/2009|14:41] C:\Program Files\ZHPDiag

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [31/10/2009|00:28] C:\Program Files\Fichiers communs\InstallShield
   [31/10/2009|01:01] C:\Program Files\Fichiers communs\Microsoft Shared
   [31/10/2009|00:10] C:\Program Files\Fichiers communs\MSSoap
   [31/10/2009|00:50] C:\Program Files\Fichiers communs\ODBC
   [31/10/2009|00:10] C:\Program Files\Fichiers communs\Services
   [31/10/2009|00:50] C:\Program Files\Fichiers communs\SpeechEngines
   [31/10/2009|00:10] C:\Program Files\Fichiers communs\System
   [31/10/2009|01:01] C:\Program Files\Fichiers communs\WindowsLiveInstaller

   --------------------\  Process

   ( 42 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-10-31 14:54:25
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Mickael\Bureau\Mes cr‚ations\Crack_gta_4.bat
   C:\DOCUME~1\Mickael\Bureau\Mes serveurs SAMP\Mini Counter strike\gamemodes\crack.amx
   C:\DOCUME~1\Mickael\Bureau\Mes serveurs SAMP\Mini Counter strike\gamemodes\crack.pwn


   [F:34][D:2]-> C:\DOCUME~1\Mickael\LOCALS~1\Temp
   [F:1][D:0]-> C:\DOCUME~1\Mickael\Cookies
   [F:89][D:4]-> C:\DOCUME~1\Mickael\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 31/10/2009|14:56 - Option : [1]

   --------------------\  Fin du rapport a 14:56:28

istary · Answer

Combo fix ne veut pas se lancer, il met  le chargement (barres vertes) et apres un signalement d'erreur.

istary · Answer

Que dois-je faire maintenant ? 
En attendant vos réponses.
Merci d'avance
Istary

Xplode · Answer

Quel message d'erreur as-tu ?

Sinon supprimes le puis télécharge le a partir de ce lien : ( combofix renommé )

http://sd-1.archive-host.com/membres/up/17959594961240255/CCM.exe

istary · Answer

Ok je vais essayer

istary · Answer

Il ne se lance toujours pas. :(

Xplode · Answer

Tu as quel message d'erreur ?

Sinon on va essayer avec autre chose si vraiment ça passe pas

istary · Answer

Je n'ai plus de message d'erreur (pour le lancement du logiciel) mais il se lance toujours pas. 
J'ai toujours le problème par contre :( 
Est-ce possible de le résoudre ? 
En attendant vos réponses.. 
Istary

Xplode · Answer

-+-+-+-> OTMoveIt <-+-+-+-


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved



:processes
explorer.exe
msa.exe
b.exe

:reg
[-HKEY_CURRENT_USER\SOFTWARE\NordBull]
[-HKEY_CURRENT_USER\SOFTWARE\XML] 
[-HKEY_CURRENT_USER\SOFTWARE\poprock]


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"poprock"=-

:files
C:\WINDOWS\msa.exe 
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job 
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job 
C:\Documents and Settings\Mickael\Local Settings\Temp\b.exe


:commands
[emptytemp]
[purity]
[start explorer]



[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles

istary · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
Process msa.exe killed successfully.
Process b.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\NordBull\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\XML\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\poprock\ deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock deleted successfully.
========== FILES ==========
C:\WINDOWS\msa.exe moved successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job moved successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job moved successfully.
C:\Documents and Settings\Mickael\Local Settings\Temp\b.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_8c0.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_b80.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_c18.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_f4c.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Mickael\LOCALS~1\Temp\~DF2B9D.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_34c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_6e8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 10312009_155132

Files moved on Reboot...
File C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_8c0.dat not found!
File C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_b80.dat not found!
File C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_c18.dat not found!
File C:\DOCUME~1\Mickael\LOCALS~1\Temp\Perflib_Perfdata_f4c.dat not found!
C:\DOCUME~1\Mickael\LOCALS~1\Temp\~DF2B9D.tmp moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_34c.dat not found!
File C:\WINDOWS	emp\Perflib_Perfdata_6e8.dat not found!
C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Mickael\Local Settings\Application Data\Mozilla\Firefox\Profiles	rdq0cud.default\XUL.mfl moved successfully.

Xplode · Answer

Bien, refais un ZHPDiag stp

istary · Answer

OK

istary · Answer

J'ai trouver le fichier suspet, il se met sur tout les périphériques amovibles. et le pb c'est que je le supprime et qu'il revient a chaque fois. E

istary · Answer

Je ne peux pas formater les périphérique usb aussi :( c'est la galère totale. 
ourrais-tu prendre mon pc a distance ?

Xplode · Answer

Je ne peux pas " prendre ton PC à distance " , par contre, j'avais effectivement vu une infection USB sur ton premier ZHPDiag qu'on va traîter à l'aide de cet outil :

-+-+-+-> USBfix <-+-+-+-


[x] Télécharge USBfix à cette adresse : https://www.androidworld.fr/

[x] Un tutoriel est disponible ici : https://www.malekal.com/usbfix-supprimer-virus-usb/

[x] Installe le

[x] Branche tout tes médias amovibles ( clés USB, DD externe )

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisi l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

istary · Answer

Et ca va "réparer" tout ca ?

Xplode · Answer

Ca va supprimer l'infection USB ;)

Ensuite tu referas un ZHPDiag pour que je vérifie s'il reste des infections.

istary · Answer

ok

istary · Answer

############################## | UsbFix V6.046 |

User : Mickael (Administrateurs) # ARMENGOL-62704F
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:17:55 | 31/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1356 [VPS 091030-0] 4.8.1356 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 232,88 Go (224,5 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 465,76 Go (460,18 Go free) [Iomega HDD] # NTFS
G:\ -> Disque amovible # 993,2 Mo (992,62 Mo free) # FAT
H:\ -> Disque amovible # 1,86 Go (1,85 Go free) [USB MICKAEL] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\Mickael	auobey.exe
C:\Documents and Settings\Mickael	auocey.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\System32\svchost.exe
F:\cZwSqw.exe
C:\DOCUME~1\Mickael\LOCALS~1\Temp\b.exe
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\Mickael\LOCALS~1\Temp\a.exe 
C:\DOCUME~1\Mickael\LOCALS~1\Temp\b.exe 
C:\DOCUME~1\Mickael\LOCALS~1\Temp\c.exe 
F:\autorun.inf  
F:\a.bat  
F:\Documents.lnk  
F:\Music.lnk   
F:\New Folder.lnk   
F:\Passwords.lnk   
F:\Pictures.lnk   
F:	emp.exe  
F:\Video.lnk  
G:\autorun.inf  
G:\Documents.lnk  
G:\Music.lnk   
G:\New Folder.lnk   
G:\Passwords.lnk   
G:\Pictures.lnk   
G:\Video.lnk  
H:\autorun.inf  
H:\Documents.lnk  
H:\Music.lnk   
H:\New Folder.lnk   
H:\Passwords.lnk   
H:\Pictures.lnk   
H:\Video.lnk  

################## | Registre # Clés Run infectieuses |

[HKLM\Software\Classes\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}]  
[HKCR\CLSID\{500BCA15-57A7-4EAF-8143-8C619470B13D}]  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\F
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fiLen.eXE

HKCU\..\..\Explorer\MountPoints2\{e19a9e99-c5aa-11de-b126-001e8cd255bf}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL TAuObeY.Exe

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |

Xplode · Answer

Il faut maintenant que tu lances l'option 2 ( suppression )

Poste ensuite le rapport

istary · Answer

ok ^^

istary · Answer

J'ai lancer l'option 2 et le logiciel a l'air d'etre bloqué sur le procéssus "b.exe"
Est-ce normal

Xplode · Answer

Non c'est pas normal, si ca dure trop longtemps tu fais ceci :

CTRL+ALT+SUPPR -> Onglet " processus " -> séléctionne b.exe -> terminer le processus

et tu relances USBfix

istary · Answer

ok

istary · Answer

J'ai fais CTRL + ALT + SUPPR et le "b.exe" ne veut pas se fermer. Ainsi que tout les autres porcessus.

Xplode · Answer

Redémarre ton PC en mode sans échec

istary · Answer

Je viens de le faire et la il est en train de faire un scan. Tu veux le log apres ??
++

Xplode · Answer

Oui

istary · Answer

Voila le log :

=================================


############################## | UsbFix V6.046 |

User : Mickael (Administrateurs) # ARMENGOL-62704F
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:39:34 | 31/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1356 [VPS 091030-0] 4.8.1356 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.6.1861 T

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 232,88 Go (224,48 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 465,76 Go (460,18 Go free) [Iomega HDD] # NTFS
G:\ -> Disque amovible # 993,2 Mo (992,62 Mo free) # FAT
H:\ -> Disque amovible # 1,86 Go (1,85 Go free) [USB MICKAEL] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\msa.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Mickael\LOCALS~1\Temp\b.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\DOCUME~1\Mickael\LOCALS~1\Temp\a.exe 
Supprimé ! C:\DOCUME~1\Mickael\LOCALS~1\Temp\b.exe 
Supprimé ! C:\DOCUME~1\Mickael\LOCALS~1\Temp\c.exe 
Supprimé ! F:\autorun.inf 
Supprimé ! F:\a.bat 
Supprimé ! F:\Documents.lnk 
Supprimé ! F:\Music.lnk  
Supprimé ! F:\New Folder.lnk  
Supprimé ! F:\Passwords.lnk  
Supprimé ! F:\Pictures.lnk  
Supprimé ! F:	emp.exe 
Supprimé ! F:\Video.lnk 
Supprimé ! G:\autorun.inf 
Supprimé ! G:\Documents.lnk 
Supprimé ! G:\Music.lnk  
Supprimé ! G:\New Folder.lnk  
Supprimé ! G:\Passwords.lnk  
Supprimé ! G:\Pictures.lnk  
Supprimé ! G:\Video.lnk 
Supprimé ! H:\autorun.inf 
Supprimé ! H:\Documents.lnk 
Supprimé ! H:\Music.lnk  
Supprimé ! H:\New Folder.lnk  
Supprimé ! H:\Passwords.lnk  
Supprimé ! H:\Pictures.lnk  
Supprimé ! H:\Video.lnk 

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Classes\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}]  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[31/10/2009 00:12|--a------|0] C:\AUTOEXEC.BAT 
[31/10/2009 00:07|---hs----|216] C:\boot.ini 
[14/04/2008 13:00|-rahs----|4952] C:\Bootfont.bin 
[31/10/2009 15:05|--a------|22562] C:\Bug.txt 
[31/10/2009 00:12|--a------|0] C:\CONFIG.SYS 
[29/10/2009 17:07|--a------|2918] C:\HFS SERVER FTP.vfs 
[31/10/2009 00:12|-rahs----|0] C:\IO.SYS 
[31/10/2009 14:56|--a------|6578] C:\lopR.txt 
[31/10/2009 00:12|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 13:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 13:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[31/10/2009 14:20|--a------|511] C:apport.txt 
[31/10/2009 01:02|--ah-----|268] C:\sqmdata00.sqm 
[31/10/2009 01:02|--ah-----|244] C:\sqmnoopt00.sqm 
[31/10/2009 15:04|--a------|319] C:\Start_.cmd 
[31/10/2009 18:44|--a------|4191] C:\UsbFix.txt 
[31/10/2009 16:06|--a------|300] F:\corGbe.bat 
[31/10/2009 16:06|--a------|196608] F:\cZwSqw.exe 
[17/10/2009 17:55|-r-hs----|49152] F:\filen.exe 
[17/10/2009 17:55|-r-hs----|49152] F:\filen.scr 
[31/10/2009 13:57|--a------|78336] F:\FJjXVP.exe 
[31/10/2009 14:20|-r-hs----|49152] F:	auobey.exe 
[31/10/2009 02:00|-r-hs----|49152] F:	auobey.scr 
[31/10/2009 16:14|-r-hs----|49152] F:	auocey.exe 
[31/10/2009 13:45|-r-hs----|49152] F:	auocey.scr 
[31/10/2009 13:57|--a------|252] F:\wtQmKQ.bat 
[30/10/2009 01:21|--a------|49152] G:\HRAAnZ.exe 
[30/10/2009 01:21|--a------|78336] G:\KHdAZf.exe 
[31/10/2009 13:45|-r-hs----|49152] G:	auocey.scr 
[17/10/2009 18:55|-r-hs----|49152] G:\filen.exe 
[17/10/2009 18:55|-r-hs----|49152] G:\filen.scr 
[21/08/2007 02:12|-r-hs----|49152] G:\sauobex.exe 
[15/08/2007 05:00|-r-hs----|49152] G:\sauobex.scr 
[31/10/2009 13:45|-r-hs----|49152] G:	auocey.exe 
[26/10/2009 16:22|--a------|19033] H:\LISTE DES INVITÉS AU PREMIER DE L'AN.docx 
[29/10/2009 21:55|--a------|536] H:\favicon.ico 
[30/10/2009 01:07|--a------|10341657] H:\phpwebsite_1_6_3.zip 
[24/10/2009 23:37|--a------|233342] H:\mwa.bmp 
[28/10/2009 19:54|--a------|2950] H:\icon_progress_bar.gif 
[29/10/2009 23:26|--a------|177714] H:\moi grimace.bmp 
[30/10/2009 03:35|-r-hs----|49152] H:\filen.exe 
[17/10/2009 17:55|-r-hs----|49152] H:\filen.scr 
[30/10/2009 03:47|--a------|78336] H:\MJgBag.exe 
[30/10/2009 03:47|--a------|294] H:\WilAVX.bat 
[31/10/2009 16:16|-r-hs----|49152] H:	auobey.exe 
[31/10/2009 02:00|-r-hs----|49152] H:	auobey.scr 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

istary · Answer

Ah ! Ca a l'air d'etre bon. Plus de virus je pense. 
J'ai pu formater mes disques amovibles. Et les virus ne reviennent pas. 
Merci beaucoup.

Xplode · Answer

Fais quand même un nouveau ZHPDiag, il reste des saletées il me semble.

istary · Answer

Je vais refaire un ZHPDiag et jenvoi le log.
Je n'ai plus de cousis avec le message Virus Warning! .........
Mais windows crée des fichiers tout seul (New Folder, Passwords...) et en plus c'est des racourcis.

istary · Answer

voila j'ai fais un lien cjoint >>> http://cjoint.com/data/lcbtOaNQo2.htm
Que dois-je faire pour les raccourcis que windows crée tout seul sur mes supports amovibles ?

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?lcbMZZPlhS

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

istary · Answer

https://www.cjoint.com/?lcbXT0Y00g

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Virus Warning ! Votre ordinateur est infecté!

40 réponses

Discussions similaires

Newsletters