Infection f.exe et autres dérivés...

Résolu/Fermé
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009 - 20 déc. 2009 à 18:29
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009 - 21 déc. 2009 à 12:21
Bonsoir,
Depuis deux jours mon netbook s'est mit à ramer... Je regarde donc les processus et me rend compte que un f.exe sans aucune description tourne en tache de fond et bouffe le CPU.
Je me vois donc forcé à redémarrer en mode sans échec avec le réseau afin de me renseigner. J'ai donc trouvé le virus dans C:/utilisateurs/Richard/AppData/Local/Temp ou se trouvent f.exe ainsi que plusieurs de ses dérivés tels que a.exe par exemple.
Je les supprimes tous mais là je me rends compte également que dans C:/windows (si j'ai bon souvenir) se trouvent msa.exe et msc.exe... Je me renseigne et les supprimes également.

Je redémarre et je me rend compte que crss.exe tourne également mais en me renseignant je vois que c'est sois disant un processus windows alors qu'il ne possède aucune description et ne peut pas être arrêté.

Je vous demande donc de l'aide s'il vous plait affin d'avoir un Pc bien clean.

Cordialement.

24 réponses

Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 18:33
Salut,

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message
2
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 18:53
Ok, on continue :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cijoint

[x] Clique sur " Parcourir "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message
1
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 19:19
Oui c'est celà.

Hmm.. c'est assez embêtant.. mais on va s'en passer :-)

Fais ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse
1
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 déc. 2009 à 12:18
Ok, n'oublie pas de mettre ton post en '' résolu '' ;-)
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 18:52
Voici le rapport il est un peu long par contre... =(


############################## | UsbFix V6.066 |

User : Richard (Administrators) # RICHARD-PC
Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:37:53 | 20/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Atom(TM) CPU Z520 @ 1.33GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 141,05 Go (62,44 Go free) [ACER] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 14,92 Go (14,92 Go free) # FAT32
Q:\ -> Disque fixe local

############################## | Processus actifs |

C:\Windows\System32\smss.exe 276
C:\Windows\system32\csrss.exe 356
C:\Windows\system32\wininit.exe 420
C:\Windows\system32\csrss.exe 428
C:\Windows\system32\winlogon.exe 464
C:\Windows\system32\services.exe 524
C:\Windows\system32\lsass.exe 532
C:\Windows\system32\lsm.exe 540
C:\Windows\system32\svchost.exe 648
C:\Windows\system32\svchost.exe 720
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 784
C:\Windows\System32\svchost.exe 884
C:\Windows\System32\svchost.exe 936
C:\Windows\system32\svchost.exe 972
C:\Windows\system32\svchost.exe 1176
C:\Windows\system32\svchost.exe 1356
C:\Windows\System32\spoolsv.exe 1468
C:\Windows\system32\svchost.exe 1504
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe 1860
C:\Windows\system32\sppsvc.exe 1900
C:\Windows\system32\svchost.exe 1940
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe 2016
C:\Windows\system32\wbem\wmiprvse.exe 1524
C:\Windows\system32\taskhost.exe 1992
C:\Windows\system32\taskeng.exe 1572
C:\Windows\system32\userinit.exe 2072
C:\Windows\system32\Dwm.exe 2092
C:\Windows\Explorer.EXE 2120
C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE 2240
C:\Windows\system32\svchost.exe 2392
C:\Windows\system32\runonce.exe 2552
C:\Windows\system32\WUDFHost.exe 2576
C:\Windows\system32\conhost.exe 2652

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
Supprimé ! C:\Windows\System32\sshnas.dll
Supprimé ! C:\Users\Richard\AppData\Local\Temp\a.dat
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2802370-267230456-4173750975-1000
Supprimé ! C:\Recycler\S-1-5-21-1183073070-2589800181-2619313026-1005

################## | Registre # Clés infectieuses |

Supprimé ! [HKCU\SOFTWARE\XML]
Supprimé ! [HKCU\SOFTWARE\Zeldar]
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Zeldar"

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[24/10/2009 15:56|--a------|3] C:\7Loader.TAG
[10/06/2009 21:42|--a------|24] C:\autoexec.bat
[30/09/2009 00:00|---h-----|216] C:\Boot.BAK
[30/09/2009 00:00|---------|216] C:\BOOT.BXP
[25/10/2009 00:57|-rahs----|360] C:\Boot.ini.saved
[14/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin
[14/07/2009 01:38|-rahs----|383562] C:\bootmgr
[25/10/2009 00:57|-rahs----|8192] C:\BOOTSECT.BAK
[10/06/2009 21:42|--a------|10] C:\config.sys
[06/12/2009 18:25|--a------|1888] C:\fl-server-errors.log
[24/10/2009 15:55|-rahs----|171136] C:\grldr
[?|?|?] C:\hiberfil.sys
[15/04/2009 03:38|-rahs----|0] C:\IO.SYS
[17/03/2009 07:43|--a------|2016] C:\MOD01SET0J00P2000O.enc
[11/09/2008 09:27|--a------|2488] C:\MOD01WOS02FRP20001.enc
[15/04/2009 03:38|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 12:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 12:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[15/04/2009 04:42|--a------|1876] C:\RHDSetup.log
[15/04/2009 04:37|--a------|190] C:\Setup.log
[20/12/2009 18:42|--a------|3852] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.


################## | Upload |

Veuillez envoyer le fichier : C:\Users\Richard\Desktop\UsbFix_Upload_Me_Richard-PC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.066 ! |


Par contre je dois redémarrer il m'a désactivé l'antivirus et le gestionnaire multitouch.
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 19:01
Ok c'est en cours.
Il semble bloqué sur les fichiers modifiés.
Il m'a mit que 6 n'est pas une valeur correcte.
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 19:06
Il est bel et bien bloqué...
"6" n'est pas une valeur entière correcte.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 19:06
Désinstalle le/Réinstalle le.
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 19:10
Idem après réinstallation je vais trouver une autre version de ZHPDiag.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 19:11
Pas vu que tu es sous windows 7.

Tu as essayé en le lançant en administrateur ( Clic droit -> Exécuter en tant qu'administrateur ) ?
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 19:14
Oui aussi en exécutant en administrateur rien...
Même erreur au même moment.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 19:16
Tu as désactivé l'UAC ?
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 19:18
L'UAC c'est ce qui demande avant chaque exécution?
Si c'est bien cela oui il est désactivé...
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 19:22
Non c'est bon =)
Avec une version antérieure cela à fonctionné : http://www.cijoint.fr/cjlink.php?file=cj200912/cijiKuYjAz.txt
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 déc. 2009 à 19:25
Ok, passe à Malwarebyte's maintenant.
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 21:35
L'analyse est en cours depuis plus de 2 heures, plus de 100 000 fichiers analysés et 2 infectés.
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
20 déc. 2009 à 23:13
Voila la fin de l'analyse :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3398
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20/12/2009 23:12:20
mbam-log-2009-12-20 (23-12-20).txt

Type de recherche: Examen complet (C:\|Q:\|)
Eléments examinés: 280369
Temps écoulé: 3 hour(s), 42 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{547DCD75-2F35-413C-B8B1-980A7B0FFD71}\RP2\A0002860.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{547DCD75-2F35-413C-B8B1-980A7B0FFD71}\RP2\A0002861.exe (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00057a (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000596 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00057b (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\Downloads\Adobe Audition v3 Keygen.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Temp\sshnas.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 déc. 2009 à 10:37
Refais moi un rapport ZHPDiag.
0
Riichard63 Messages postés 15 Date d'inscription dimanche 20 décembre 2009 Statut Membre Dernière intervention 22 décembre 2009
21 déc. 2009 à 11:17
Voici le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj200912/cijWa1f2Q7.txt
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 déc. 2009 à 11:20
Comment se porte le PC ?
0