Sujet Précédent Sujet Suivant

Virus autorun.inf (Bo3afash.exe)

belllangelo -  
sherred Messages postés 8605 Statut Membre -
Bonjour,

Je suis actuellement infecté par un virus. Ce virus se caractérise par l'apparition d'un fichier "autorun.inf" sur les clés insérées sur ma machine.
Une lecture de ce fichier sous linux m'indiquer que l'autorun concerne un programme nommé Bo3afash.exe.

Mes antivirus locaux (symantec, ad-aware) ne trouvent rien.

Après maintes recherches, j'ai trouvé un antivirus capable de supprimer l'autorun: le programme "rav", malheureusement dés que l'autorun est supprimé de la clé, il réapparait immédiatement, faisant boucler rav qui détecte, supprime, puis redétecte le virus et ainsi de suite.

Etant sur un poste de travail professionnel, je souhaiterai pouvoir éviter de poster des rapports type hijack this.

Je vous remercie pour toute l'aide que vous voudrez bien m'apporter.

Bell
A voir également:

10 réponses

Réponse 1 / 10
sherred Messages postés 8605 Statut Membre 351
 
Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
Aller dans démarrer puis panneau de configuration
Double Cliquer sur l'icône "Comptes d'utilisateurs"
Cliquer ensuite sur désactiver et valider.

Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

--> Lance l'installation avec les paramêtres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau
ou Faire un clic-droit sur le raccourci UsbFix présent sur le bureau et choisir Exécuter en tant qu'administrateur
Cliquez sur le bouton 3 fois sur Suivant pour passer à l'étape suivante
puis Cliquez sur le bouton Démarrer et enfin Quitter

Une nouvelle icône sur le bureau te permet de démarrer le programme. Double-clique dessus.
Là tu fait L'option 1 Recherche

connecte clés usb,,disque dur externe,,

appuyez sur une touche

et ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan est proposé... appuye sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html
0
Réponse 2 / 10
belllangelo
 
Merci pour ta réponse rapide,

En fait, dans l'intervale j'ai déjà lancé ce programme (mais sans désactiver le contrôle des comptes utilisateurs).

Si c'est nécessaire, je relance après désactivation.

############################## | UsbFix V6.047 |

User : Belllangelo (Administrateurs) # ORDI20
Update on 02/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:35:15 | 04/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
Microsoft® Windows Vista™ Entreprise (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled
AV : Symantec AntiVirus 10.2.0.276 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 43,95 Go (622,09 Mo free) # NTFS
D:\ -> Disque fixe local # 292,97 Go (250,16 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,5 Go (3,68 Go free) [KINGSTON] # FAT32
G:\ -> Disque fixe local # 465,65 Go (406 Go free) [CORSICA] # FAT32
H:\ -> Disque amovible
I:\ -> Disque fixe local # 7,43 Go (1,67 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Portrait Displays\Pivot Software\wpCtrl.exe
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
D:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Portrait Displays\PerfectSuite Plus\DTHtml.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
D:\Programme\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
D:\Programme\Photoshop.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

F:\autorun.inf

################## | Registre # Clés Run infectieuses |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\F
shell\AutoRun\command =sys/Bo3afash.exe
shell\explore\command =sys/Bo3afash.exe
shell\open\command =sys/Bo3afash.exe

HKCU\..\..\Explorer\MountPoints2\{0ad85bcf-b312-11de-b75e-001d7d013a23}
shell\AutoRun\command =F:\sys/Bo3afash.exe
shell\explore\command =F:\sys/Bo3afash.exe
shell\open\command =F:\sys/Bo3afash.exe

HKCU\..\..\Explorer\MountPoints2\{b44b2fe9-b95e-11de-b9f6-001d7d013a23}
shell\AutoRun\command =sys/Bo3afash.exe
shell\explore\command =sys/Bo3afash.exe
shell\open\command =sys/Bo3afash.exe

################## | Suspect | https://www.virustotal.com/gui/ |

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.047 ! |
0
Réponse 3 / 10
sherred Messages postés 8605 Statut Membre 351
 
relance usbfix
et cette fois fait l'option 2

--> Le pc va redémarer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!

si ca ne marche pas ...fait ce que je t'ai dit plus haut retire la protection Comptes d'utilisateurs
et demarre le programme en faisant un clic-droit sur le raccourci UsbFix et choisi Exécuter en tant qu'administrateur
0
Réponse 4 / 10
belllangelo
 
J'ai réalisé l'opération demandée.
Voici le rapport généré.
Un grand merci pour ton aide.

############################## | UsbFix V6.047 |

User : Belllangelo (Administrateurs) # INFO20
Update on 02/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:44:11 | 04/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
Microsoft® Windows Vista™ Entreprise (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled
AV : Symantec AntiVirus 10.2.0.276 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 43,95 Go (1,49 Go free) # NTFS
D:\ -> Disque fixe local # 292,97 Go (250,16 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,5 Go (3,68 Go free) [KINGSTON] # FAT32
G:\ -> Disque fixe local # 465,65 Go (406 Go free) [CORSICA] # FAT32
H:\ -> Disque amovible
I:\ -> Disque fixe local # 7,43 Go (1,67 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
C:\Windows\System32\svchost.exe
D:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
D:\Programme\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

F:\autorun.inf -> fichier appelé : "F:\sys/Bo3afash.exe" ( Présent ! )
Non supprimé ! F:\sys/Bo3afash.exe
F:\autorun.inf -> fichier appelé : "F:\sys/Bo3afash.exe" ( Présent ! )
Non supprimé ! F:\sys/Bo3afash.exe
Supprimé ! F:\autorun.inf

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0ad85bcf-b312-11de-b75e-001d7d013a23}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b44b2fe9-b95e-11de-b9f6-001d7d013a23}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[13/10/2008 17:52|--a------|712] C:\.emacs
[24/10/2008 13:49|--ahs----|768] C:\5lxfd2m0.sys
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr
[10/10/2008 18:33|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[29/10/2008 16:20|-rahs----|0] C:\IO.SYS
[29/10/2008 16:20|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[13/11/2008 14:12|--a------|173] C:\pdisdk.log
[13/11/2008 14:13|--a------|184] C:\pivot.log
[04/11/2009 12:47|--a------|4443] C:\UsbFix.txt
[04/11/2009 12:35|--a------|5004] C:\UsbFix1.txt
[08/10/2009 15:41|--a------|24417305] D:\NF104-Cours1.zip
[10/07/2009 10:00|--a------|29264] D:\signature.jpg
[02/11/2009 18:15|--a------|889373] D:\sql.zip
[08/10/2009 11:48|--ah-----|4096] F:\._.Trashes
[08/10/2009 12:00|--ah-----|6148] F:\.DS_Store
[08/10/2009 00:38|--a------|12355472] F:\Cours1_BW.pdf
[07/10/2009 18:31|--a------|12459536] F:\Cours1.pdf
[07/10/2009 16:57|--a------|24576] F:\PROGRAMME_UENF104.doc
[08/10/2009 12:00|--ah-----|82] F:\._PROGRAMME_UENF104.doc
[21/03/2009 13:20|--a------|11629568] F:\BG110SURRENALES09final.ppt
[11/05/2009 12:36|--a------|322048] F:\seq emibio.xls
[25/09/2009 17:19|--a------|1400832] G:\WD.fla
[25/09/2009 17:48|--a------|3386] G:\WD.swf
[07/02/2007 11:51|--a------|672] G:\page13.htm
[06/03/2007 11:04|--a------|706833662] G:\test.cif
[05/04/2007 16:06|--a------|27648] G:\Programme_detaille_Formation1.doc
[20/06/2007 15:58|--a------|1084597] G:\IMG_0001.jpg
[30/10/2007 16:44|--ahs----|5120] G:\Thumbs.db
[11/10/2007 16:26|--a------|44316252] G:\BF104_COURS_3.zip
[10/12/2007 15:32|--a------|466] G:\Brother MFC-7820N USB.lnk
[04/04/2008 11:09|--a------|781525] G:\spdbv.zip
[30/08/2005 14:07|--a------|98841699] G:\Adobe Acrobat Writer 5 (Full).exe
[21/04/2008 15:16|--a------|14264] G:\cricri.jpg
[21/11/2008 13:27|--a------|1367979] G:\[These2008]deaneau_final.pdf
[24/11/2008 03:26|--a------|400885760] G:\Mafiosa,le.clan.-Episode.1.DvbRip.la-zz.fr.[emule-island.com].avi
[25/11/2008 01:10|--a------|409513984] G:\Mafiosa,le.clan.-Episode.2.DvbRip.la-zz.fr.[emule-island.com].avi
[25/11/2008 03:59|--a------|418414592] G:\Mafiosa,le.clan.-Episode.3.DvbRip.la-zz.fr.[emule-island.com].avi
[25/11/2008 03:27|--a------|419817472] G:\Mafiosa,le.clan.-Episode.4.DvbRip.la-zz.fr.[emule-island.com].avi
[03/03/2009 14:06|--a------|29696] G:\Demande de BR.doc
[06/04/2009 11:39|--a------|6703982] I:\Setup_FreeConverter.exe
[01/04/2008 14:14|--ah-----|4096] I:\._.Trashes
[01/08/2009 11:43|--a------|30780] I:\Serial systran.doc
[20/07/2009 16:05|--a------|889362] I:\fondrb1.jpg
[14/07/2009 13:59|--a------|25600] I:\PIZZA.doc
[20/07/2009 15:53|--a------|1062912] I:\couleurs.doc
[28/07/2009 17:24|--a------|12349] I:\La pizza … la scarole de Momon CocoB.docx
[07/09/2009 17:15|--a------|1605632] I:\porte-RT.fla
[15/10/2009 18:39|--ah-----|12292] I:\.DS_Store
[12/09/2009 10:05|--a------|151845] I:\porte-RT.swf
[17/10/2008 10:01|--a------|2351120] I:\mbam-setup.exe
[20/07/2009 16:25|--a------|30720] I:\font.doc
[20/07/2009 16:08|--a------|554753] I:\Peinture_melange.pdf
[27/10/2009 23:43|--a------|13062630] I:\bigloo3.2b-2.tar.gz
[03/11/2009 10:13|--a------|293] I:\copie-virus.txt
[03/11/2009 10:16|--a------|12] I:\virus

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |

################## | Cracks / Keygens / Serials |

################## | Upload |

Veuillez envoyer le fichier : C:\Users\Bellla~1\Desktop\UsbFix_Upload_Me_BIOINFO20.zip : https://www.androidworld.fr/
Merci pour votre contribution .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
sherred Messages postés 8605 Statut Membre 351
 
Relance usbfix et refait l'analyse
0
belllangelo
 
Content de pouvoir de nouveau communiquer avec toi! Plus aucun messages ne passaient hier et ce matin.

Voici la nouvelle analyse demandée:

Merci pour ton aide!


############################## | UsbFix V6.047 |

User : Belllangelo (Administrateurs) # INFO20
Update on 02/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:04:07 | 05/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
Microsoft® Windows Vista™ Entreprise (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled
AV : Symantec AntiVirus 10.2.0.276 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 43,95 Go (3,35 Go free) # NTFS
D:\ -> Disque fixe local # 292,97 Go (250,15 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 465,65 Go (406 Go free) [CORSICA] # FAT32
I:\ -> Disque fixe local # 7,43 Go (1,67 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Portrait Displays\Pivot Software\wpCtrl.exe
D:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
D:\Programme\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Portrait Displays\PerfectSuite Plus\DTHtml.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\LeechFTP\Leechftp.exe
C:\Program Files\7-Zip\7zFM.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows NT\Accessories\wordpad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.047 ! |
0
Réponse 6 / 10
Utilisateur anonyme
 
Bonjour ,

je vous conseille d utiliser la nouvelle mises a jours UsbFix V6.048 , cette infection a été ajoutée .

@+
0
Réponse 7 / 10
sherred Messages postés 8605 Statut Membre 351
 
merci Chiquitine29

belllangelo delete ton usbfix
et telecharge le nouveau ici
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
refait un analyse
0
belllangelo
 
Ok, je m'en occupe immédiatement et je colle les deux rapports.

Pour info, j'ai un autre ordi contaminé sur lequel je viens de passer cette nouvelle version et le problème revient quand je redémarre l'ordinateur!

Dois-je "vacciner" l'ordi?
0
belllangelo
 
J'ai effectué l'opération avec le nouvel antivirus.
Tu trouveras ci dessous
1/ Le rapport de l' option 1


############################## | UsbFix V6.048 |

User : Belllangelo (Administrateurs) # INFO20
Update on 04/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:08:04 | 05/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
Microsoft® Windows Vista™ Entreprise (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled
AV : Symantec AntiVirus 10.2.0.276 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 43,95 Go (3,24 Go free) # NTFS
D:\ -> Disque fixe local # 292,97 Go (250,15 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 465,65 Go (406 Go free) [CORSICA] # FAT32
I:\ -> Disque fixe local # 7,43 Go (1,67 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 424
C:\Windows\system32\csrss.exe 556
C:\Windows\system32\csrss.exe 608
C:\Windows\system32\wininit.exe 616
C:\Windows\system32\services.exe 652
C:\Windows\system32\lsass.exe 664
C:\Windows\system32\lsm.exe 672
C:\Windows\system32\winlogon.exe 720
C:\Windows\system32\svchost.exe 868
C:\Windows\system32\nvvsvc.exe 912
C:\Windows\system32\svchost.exe 940
C:\Windows\System32\svchost.exe 1076
C:\Windows\System32\svchost.exe 1112
C:\Windows\system32\svchost.exe 1148
C:\Windows\system32\svchost.exe 1276
C:\Windows\system32\SLsvc.exe 1320
C:\Windows\system32\svchost.exe 1348
C:\Windows\system32\rundll32.exe 1460
C:\Windows\system32\svchost.exe 1552
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe 1648
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 1780
C:\Windows\System32\spoolsv.exe 1996
C:\Windows\system32\svchost.exe 2024
C:\Windows\system32\Dwm.exe 1032
C:\Windows\system32\taskeng.exe 1336
C:\Windows\Explorer.EXE 2092
C:\Windows\system32\taskeng.exe 2236
C:\Windows\System32\rundll32.exe 2260
C:\Program Files\Common Files\Symantec Shared\ccApp.exe 2276
C:\Program Files\Symantec AntiVirus\VPTray.exe 2288
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe 2312
C:\Program Files\Bonjour\mDNSResponder.exe 2452
C:\Program Files\Symantec AntiVirus\DefWatch.exe 2488
C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe 2508
C:\Windows\System32\svchost.exe 2544
D:\Programme\CDBurnerXP\NMSAccessU.exe 2588
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe 2692
C:\Windows\System32\svchost.exe 2700
C:\Windows\system32\svchost.exe 2736
C:\Windows\system32\svchost.exe 2760
C:\Program Files\Symantec AntiVirus\Rtvscan.exe 2772
C:\Program Files\Portrait Displays\Pivot Software\wpCtrl.exe 2812
C:\Windows\System32\svchost.exe 2948
C:\Windows\system32\SearchIndexer.exe 2988
D:\Programme\Spybot - Search & Destroy\SDWinSec.exe 3140
C:\Windows\system32\wbem\unsecapp.exe 3436
C:\Windows\system32\wbem\wmiprvse.exe 3488
C:\Program Files\Java\jre6\bin\jusched.exe 3636
C:\Program Files\Logitech\SetPoint\SetPoint.exe 3684
C:\Windows\system32\wbem\wmiprvse.exe 3752
C:\Program Files\Portrait Displays\PerfectSuite Plus\DTHtml.exe 3856
C:\Program Files\Portrait Displays\Pivot Software\floater.exe 4080
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE 2176
C:\Windows\system32\conime.exe 2420
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 2868
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe 3668
C:\Windows\system32\SearchProtocolHost.exe 2296
C:\Windows\system32\SearchFilterHost.exe 3184

################## | Fichiers # Dossiers infectieux |

I:\sys

################## | Registre # Clés Run infectieuses |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Registre # Mountpoints2 |


################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.048 ! |


2/ Le rapport de l' option 2

############################## | UsbFix V6.048 |

User : Belllangelo (Administrateurs) # INFO20
Update on 04/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:16:48 | 05/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
Microsoft® Windows Vista™ Entreprise (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled
AV : Symantec AntiVirus 10.2.0.276 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 43,95 Go (2,67 Go free) # NTFS
D:\ -> Disque fixe local # 292,97 Go (250,15 Go free) # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 465,65 Go (406 Go free) [CORSICA] # FAT32
I:\ -> Disque fixe local # 7,43 Go (1,67 Go free) [LaCie] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 488
C:\Windows\system32\csrss.exe 556
C:\Windows\system32\csrss.exe 608
C:\Windows\system32\wininit.exe 616
C:\Windows\system32\services.exe 652
C:\Windows\system32\lsass.exe 664
C:\Windows\system32\lsm.exe 672
C:\Windows\system32\winlogon.exe 720
C:\Windows\system32\svchost.exe 864
C:\Windows\system32\nvvsvc.exe 908
C:\Windows\system32\svchost.exe 936
C:\Windows\system32\LogonUI.exe 1024
C:\Windows\System32\svchost.exe 1076
C:\Windows\System32\svchost.exe 1104
C:\Windows\system32\svchost.exe 1128
C:\Windows\system32\svchost.exe 1268
C:\Windows\system32\SLsvc.exe 1312
C:\Windows\system32\svchost.exe 1344
C:\Windows\system32\rundll32.exe 1476
C:\Windows\system32\svchost.exe 1572
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe 1684
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 1776
C:\Windows\System32\spoolsv.exe 1972
C:\Windows\system32\svchost.exe 2012
C:\Program Files\Bonjour\mDNSResponder.exe 1668
C:\Program Files\Symantec AntiVirus\DefWatch.exe 1752
C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe 196
C:\Windows\System32\svchost.exe 1188
D:\Programme\CDBurnerXP\NMSAccessU.exe 2088
C:\Windows\System32\svchost.exe 2120
C:\Windows\system32\svchost.exe 2136
C:\Windows\system32\taskeng.exe 2144
C:\Windows\system32\svchost.exe 2196
C:\Program Files\Symantec AntiVirus\Rtvscan.exe 2212
C:\Windows\System32\svchost.exe 2340
C:\Windows\system32\SearchIndexer.exe 2372
D:\Programme\Spybot - Search & Destroy\SDWinSec.exe 2620
C:\Windows\system32\taskeng.exe 2916
C:\Windows\system32\userinit.exe 2944
C:\Windows\system32\Dwm.exe 2980
C:\Windows\system32\wbem\unsecapp.exe 3096
C:\Windows\Explorer.EXE 3180
C:\Windows\system32\wbem\wmiprvse.exe 3192
C:\RECYCLER\S-1-5-21-7071799776-7056743321-162360694-5290\f1.exe 3300
C:\Windows\system32\runonce.exe 3312
C:\RECYCLER\S-1-5-21-7071799776-7056743321-162360694-5290\f1.exe 3336
C:\Windows\system32\conime.exe 3400
C:\Windows\system32\wbem\wmiprvse.exe 3528
C:\Windows\system32\DllHost.exe 3576

################## | Fichiers # Dossiers infectieux |

Supprimé ! I:\sys

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[13/10/2008 17:52|--a------|712] C:\.emacs
[24/10/2008 13:49|--ahs----|768] C:\5lxfd2m0.sys
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr
[10/10/2008 18:33|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[29/10/2008 16:20|-rahs----|0] C:\IO.SYS
[04/11/2009 13:11|--a------|7940] C:\log.txt
[29/10/2008 16:20|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[13/11/2008 14:12|--a------|173] C:\pdisdk.log
[13/11/2008 14:13|--a------|184] C:\pivot.log
[05/11/2009 16:19|--a------|3813] C:\UsbFix.txt
[08/10/2009 15:41|--a------|24417305] D:\BNF104-Cours1.zip
[10/07/2009 10:00|--a------|29264] D:\spadoni-signature.jpg
[02/11/2009 18:15|--a------|889373] D:\sql.zip
[25/09/2009 17:19|--a------|1400832] G:\WD.fla
[25/09/2009 17:48|--a------|3386] G:\WD.swf
[07/02/2007 11:51|--a------|672] G:\page13.htm
[06/03/2007 11:04|--a------|706833662] G:\test.cif
[05/04/2007 16:06|--a------|27648] G:\Programme_detaille_Formation1.doc
[20/06/2007 15:58|--a------|1084597] G:\IMG_0001.jpg
[30/10/2007 16:44|--ahs----|5120] G:\Thumbs.db
[11/10/2007 16:26|--a------|44316252] G:\BNF104_COURS_3.zip
[10/12/2007 15:32|--a------|466] G:\Brother MFC-7820N USB.lnk
[04/04/2008 11:09|--a------|781525] G:\spdbv.zip
[30/08/2005 14:07|--a------|98841699] G:\Adobe Acrobat Writer 5 (Full).exe
[21/04/2008 15:16|--a------|14264] G:\cricri.jpg
[21/11/2008 13:27|--a------|1367979] G:\[These2008]delaneau_final.pdf
[24/11/2008 03:26|--a------|400885760] G:\Mafiosa,le.clan.-Episode.1.DvbRip.la-zz.fr.[emule-island.com].avi
[25/11/2008 01:10|--a------|409513984] G:\Mafiosa,le.clan.-Episode.2.DvbRip.la-zz.fr.[emule-island.com].avi
[25/11/2008 03:59|--a------|418414592] G:\Mafiosa,le.clan.-Episode.3.DvbRip.la-zz.fr.[emule-island.com].avi
[25/11/2008 03:27|--a------|419817472] G:\Mafiosa,le.clan.-Episode.4.DvbRip.la-zz.fr.[emule-island.com].avi
[03/03/2009 14:06|--a------|29696] G:\Demande de BQR.doc
[06/04/2009 11:39|--a------|6703982] I:\Setup_FreeConverter.exe
[01/04/2008 14:14|--ah-----|4096] I:\._.Trashes
[01/08/2009 11:43|--a------|30780] I:\Serial systran.doc
[20/07/2009 16:05|--a------|889362] I:\fondrb1.jpg
[14/07/2009 13:59|--a------|25600] I:\PIZZA.doc
[20/07/2009 15:53|--a------|1062912] I:\couleurs.doc
[28/07/2009 17:24|--a------|12349] I:\La pizza … la scarole de Momon CocoB.docx
[07/09/2009 17:15|--a------|1605632] I:\porte-RT.fla
[15/10/2009 18:39|--ah-----|12292] I:\.DS_Store
[12/09/2009 10:05|--a------|151845] I:\porte-RT.swf
[17/10/2008 10:01|--a------|2351120] I:\mbam-setup.exe
[20/07/2009 16:25|--a------|30720] I:\font.doc
[20/07/2009 16:08|--a------|554753] I:\Peinture_melange.pdf
[27/10/2009 23:43|--a------|13062630] I:\bigloo3.2b-2.tar.gz
[03/11/2009 10:13|--a------|293] I:\copie-virus.txt
[03/11/2009 10:16|--a------|12] I:\virus

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | Upload |

Veuillez envoyer le fichier : C:\Users\Bellla~1\Desktop\UsbFix_Upload_Me_BIOINFO20.zip : https://www.androidworld.fr/
Merci pour votre contribution .

Merci encore pour ton aide.
0
belllangelo > belllangelo
 
Bonjour,

Je reviens vers vous afin de finir la procédure de désinfection.

J'ai suivi jusqu'à présent toutes les procédures demandées, mais lors du redémarrage le virus revient.

Que dois-je faire?

Merci pour votre aide.

Bell
0
Réponse 8 / 10
sherred Messages postés 8605 Statut Membre 351
 
>>Télécharge random's system information tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe par random/random
>>sauvegarde-le sur le Bureau.
>>Double-clique sur RSIT.exe Clic Continue à l'écran Disclaimer.
>>Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
>>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. log.txt qui sera affiché ..ainsi que de info.txt qui sera réduit dans la Barre des Tâches.

Fait un copié / collé sur ta prochaine reponse
0
belllangelo
 
Salut, merci beaucoup pour la suite de ton aide.

Voici la copie du fichier log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Belllangelo at 2009-11-09 11:38:10
Microsoft® Windows Vista™ Entreprise Service Pack 1
System drive C: has 3 GB (6%) free of 45 GB
Total RAM: 3582 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:38, on 09/11/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Portrait Displays\Pivot Software\wpCtrl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Portrait Displays\Pivot Software\floater.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Portrait Displays\PerfectSuite Plus\DTHtml.exe
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
D:\Programme\Adobe Dreamweaver CS4\Dreamweaver.exe
C:\Program Files\LeechFTP\Leechftp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Jean-Louis\Desktop\RSIT.exe
C:\Program Files\trend micro\Belllangelo.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cam.fr/jsp/fiche_pagelibre.jsp?STNAV=&RUBNAV=&CODE=36392593&LANGUE=0&RH=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = cache.cam.fr:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [PivotSoftware] "C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe"
O4 - HKLM\..\Run: [DT VSC] C:\Program Files\Common Files\Portrait Displays\Shared\DT_startup.exe -VSC
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AutorunRemover.exe] D:\Programme\AutorunRemover\AutorunRemover.exe -Hide
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\dtsrvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Programme\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
0
Réponse 9 / 10
sherred Messages postés 8605 Statut Membre 351
 
télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour.
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
https://www.malekal.com/tutorial-aboutbuster/
Une fois a jour, le programme va se lancer; click sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des éléments on été trouvés > click sur supprimer la sélection.

si il t´es demandé de redémarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log
0
belllangelo
 
Voici le rapport généré par Malwarebytes, une menace a été trouvée et détruite.


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3132
Windows 6.0.6001 Service Pack 1

09/11/2009 14:09:25
mbam-log-2009-11-09 (14-09-25).txt

Type de recherche: Examen rapide
Eléments examinés: 92187
Temps écoulé: 5 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
belllangelo > belllangelo
 
Après redemarrage, et mise en place d'une clé "propre", l'autorun.inf revient de nouveau!

Je commence à vraiment désespérer ;-(
0
Réponse 10 / 10
sherred Messages postés 8605 Statut Membre 351
 
ok

bon... ton antivirus c'est de la daube

fait ce qui suis EXACTEMENT dans cet ordre
telecharge antivir sur une de ces add , laisse le sur ton bureau
http://www.commentcamarche.net/download/telecharger-55-antivir

puis
telecharge
Norton Removal Tool sur ton bureau
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

redemarre sans echec
Pour démarrer en mode sans échec

>>1--demarre ou redémarre l’ordinateur. L'affichage affichent la progression du BIOS,

>>2--A la fin du chargement du BIOS, tapotte sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.

>>4--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec » dans le menu puis appuie sur Entrée.

une fois dans ton bureau "session abituelle mais en sans echec"
double clic sur Norton Removal Tool
quand la desinstallation sera fini redemarre en mode normal
et installe avira antivir que tu a telecharger sur ton bureau
fait la mise a jour et un scan complet avec antivir

Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses