Vbs:malware-gen

debo380 -  
 debo380 -
Bonjour,

Je viens vers vous car j'ai besoin d'aide. Vendredi j'ai reçu un message d'un ami avec un lien "my space" enfin soi disant. Comme une idiote j'ai cliqué dessus et je me suis retrouvée infectée par un virus VBS:malware-gen.

je précise qu'à ce moment là deux clés usb étaient branchés sur mon ordi ainsi que mon disque dur externe.

après de très nombreuses manip pour essayer de m'en débarasser je ne sais pas si je suis encore infectée. Quand je ne branche pas les clés usb tout à l'air normal mais dès que j'essaye de les brancher avast me détecte le virus.

j'ai également essayé de les brancher sur mon ordi portable pour voir si c'était pas l'ordi de maison qui déraillait et du coup je pense que je l'ai infecté aussi.

S'il vous plait aidez moi, comment me débarasser de tout ça je suis nulle en informatique.

Est-ce que mon disque dur externe est infecté? quand le branche tout est normal, et après analyse avec avst il ne trouve rien.

Merci
Configuration: Windows XP Internet Explorer 7.0

28 réponses

  • 1
  • 2
  1. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    salut

    en branchant tes amovibles un peu partout, y'a des chances que tu es tout infecté ^^

    Pour analyser ton pc :

    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation
    • Il se lancera automatiquement à la fin de l'installation
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  2. debo380
     
    http://www.cijoint.fr/cjlink.php?file=cj200912/cijRAAn6L5.txt

    voilà le lien. je précise que mes clé usb et mon disque dur ne sont plus connectées et ne l'étaient pas lors du test.

    merci
    0
  3. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    tu as bien plusieurs infections :

    DésactiveS le TeaTimer de Spybot (Merci à Nico): (en effet il pourrait nous gener en bloquant certains outils de desinfection)

    Pour désactiver le TeaTimer :
    => Ouvrir Spybot S&D
    => Dans le menu "Mode", séléctionner le mode avancé.
    => Une fenêtre demande confirmation cliquer sur "oui".
    => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
    => Cliquer sur Résident.
    => La partie Résident comporte deux lignes qui sont normalement cochées :
    *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
    * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
    => Décocher la ligne TeaTimer.
    => Redémarrer Spybot (le fermer et le réouvrir)

    ENSUITE

    * Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
    * Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    * Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
    * Au menu principal choisi l'option "L" et tape sur [entrée] .
    * Laisse travailler l'outil et ne touche à rien ...
    * Poste le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    ensuite


    * Telecharge UsbFix (de C_XX & Chiquitine29) sur ton bureau
    * tutoriel recherche
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
    * Choisi l'option 1 (recherche)
    * Laisse travailler l'outil
    * Ensuite post le rapport UsbFix.txt qui apparaîtra
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
    0
  4. debo380
     
    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
    .
    Mit à jour par C_XX le 20.12.2009 à 18:16
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:16:04, 21/12/2009 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Program Files\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
    Nom du PC: MOUCHACHO | Utilisateur actuel: BOBINEUSE
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    C:\DOCUME~1\BOBINE~1\APPLIC~1\Mozilla\FireFox\Profiles\hif7lbjd.default\extensions\{346de098-61f9-4b42-89da-6dfba7091bb6}
    C:\WINDOWS\Installer\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
    C:\Program Files\Mozilla FireFox\extensions\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    C:\Program Files\Mozilla FireFox\extensions\linkcontent@iminent
    C:\Program Files\Mozilla FireFox\searchplugins\SearchTheWeb.xml
    C:\Program Files\Dealio Toolbar
    C:\Program Files\IMBooster4web-en
    C:\Program Files\Iminent - ... [b]ERREUR SUPPRESSION !!/b
    C:\Program Files\Search Settings
    C:\DOCUME~1\BOBINE~1\APPLIC~1\Dealio
    C:\DOCUME~1\BOBINE~1\APPLIC~1\Search Settings
    C:\DOCUME~1\ALLUSE~1\APPLIC~1\Iminent
    C:\Documents and Settings\BOBINEUSE\Local Settings\Application Data\IMBooster4web-en
    C:\Documents and Settings\BOBINEUSE\Local Settings\Application Data\Iminent
    C:\Windows\Installer\16cc8.msi
    C:\Windows\Installer\23b56a6.msi
    C:\Windows\Installer\23b56ad.msi
    C:\Windows\Installer\479bab.msi

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\Dealio
    HKCU\software\IMBooster4web-en
    HKCU\software\Iminent
    HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    HKCU\software\microsoft\internet explorer\searchscopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{346de098-61f9-4b42-89da-6dfba7091bb6}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{346de098-61f9-4b42-89da-6dfba7091bb6}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\software\Search Settings
    HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\Software\Classes\CLSID\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
    HKLM\Software\Classes\CLSID\{696E3174-4F6C-4777-7834-654C4A705677}
    HKLM\Software\Classes\CLSID\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
    HKLM\Software\Classes\CLSID\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
    HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Classes\CLSID\{F97B5BBF-A2DF-4492-B95D-228F3F71F570}
    HKLM\software\classes\IminentBHONavigationError.CHelperBHO
    HKLM\software\classes\IminentBHONavigationError.CHelperBHO.1
    HKLM\software\classes\IminentLinkToContent.LinkToContent
    HKLM\software\classes\IminentLinkToContent.LinkToContent.1
    HKLM\software\classes\installer\Features\A3BB3C491A65ED342A24B8144FE679FE
    HKLM\software\classes\installer\Products\53449B1EE14291541B3C4CDDE93B252A
    HKLM\software\classes\installer\Products\79CAA1B036589D14EA74856E2A220F1E
    HKLM\software\classes\installer\Products\A3BB3C491A65ED342A24B8144FE679FE
    HKLM\software\classes\installer\Products\C73660D04266C3348A703CD454AD1B48
    HKLM\Software\Classes\Interface\{0CA97EEE-C8C4-4B10-A332-10AF1FBEB534}
    HKLM\Software\Classes\Interface\{12FB9C3D-0875-4CAA-B3B1-9DCCCE749DE5}
    HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
    HKLM\software\classes\SearchSettings.BHO
    HKLM\software\classes\SearchSettings.BHO.1
    HKLM\Software\Classes\TypeLib\{2C6674DB-EFB5-464A-A715-3E770B9C8A94}
    HKLM\Software\Classes\TypeLib\{587D1093-12E0-4B0E-9426-AF9DC5ABB77D}
    HKLM\Software\Classes\TypeLib\{77860007-19AE-4C29-B26D-AEA48F3A05C5}
    HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
    HKLM\software\Dealio
    HKLM\software\iAvatars.com
    HKLM\software\IMBooster4web-en
    HKLM\software\Iminent
    HKLM\software\Loader
    HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\software\microsoft\internet explorer\searchscopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{346de098-61f9-4b42-89da-6dfba7091bb6}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0292226F570267D459357AF78015E534
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\03285961954D5824C85975D955031EE8
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\23A03A6765D10864EB278629A2DF32C3
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\3A4FCCE032CA50340A6975C92410AE30
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AC3985F4D64C2245A96D31569D1BF40
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6E00D9B24354FBA44AE2CA0FA86EF2E2
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7C13F41728A69EF41AA1A3372FB86FA6
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\855847FA0E25FBA46B8516389DFDD4B3
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9DC2844D0E3E8924C8973C3B3BAE1F58
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\AFEB575AA30ACB243B748619F62F0782
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B92A2929968AED344BD6B34AD60E6604
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\C7D9132F42224AC49BD8C06A0F8E39C4
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F461B8DD96FF5AA41A52D14E1D7B69C7
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\53449B1EE14291541B3C4CDDE93B252A
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A3BB3C491A65ED342A24B8144FE679FE
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\C73660D04266C3348A703CD454AD1B48
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\IMBooster
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Iminent.Notifier
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings
    HKLM\software\microsoft\windows\currentversion\uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
    HKLM\software\microsoft\windows\currentversion\uninstall\{0D06637C-6624-433C-A807-C34D45DAB184}
    HKLM\software\microsoft\windows\currentversion\uninstall\{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}
    HKLM\software\microsoft\windows\currentversion\uninstall\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
    HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster
    HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster4web-en Toolbar
    HKLM\software\microsoft\windows\currentversion\uninstall\SearchTheWeb
    HKLM\software\Search Settings
    HKLM\software\Viewpoint
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.0.11 [fr] *
    .
    Nom du profil: hif7lbjd.default (BOBINEUSE)
    .
    (BOBINE~1, prefs.js) Browser.search.selectedEngine, SearchTheWeb
    (BOBINE~1, prefs.js) Browser.startup.homepage, hxxp://search.iminent.com/?appId=469af14b-be64-45bf-84f5-641a9fd76ff9
    (BOBINE~1, prefs.js) Extensions.enabledItems, {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}:4.0,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{20a82645-c095-46ed-80e3-08825760534b}:1.1,linkcontent@iminent:1.0,{346de098-61f9-4b42-89da-6dfba7091bb6}:2.3.0.4,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.11
    (BOBINE~1, prefs.js) Keyword.URL, hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Use Search Asst: no
    Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    Search Bar: hxxp://search.msn.com/spbasic.htm
    HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    10140 Octet(s) - C:\Ad-Report-CLEAN[1].log
    .
    0 Fichier(s) - C:\DOCUME~1\BOBINE~1\LOCALS~1\Temp
    2 Fichier(s) - C:\WINDOWS\Temp
    0 Fichier(s) - C:\WINDOWS\Prefetch
    .
    17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
    606 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
    .
    Fin à: 13:28:10 | 21/12/2009 - CLEAN[1]
    .
    ============== E.O.F ==============
    .

    Je n'ai pas fait l'étape avec usbfix car tu as marqué qu'il faut connecté mes périphériques sans les ouvrir or quand je les connecte, j'ai l'éxécution automatique qui se déclanche avec un fenêtre qui me demande quoi faire? (ouvrir le dossier, ne rien faire...)

    comment faire pour les connectés sans que ça s'ouvre?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. debo380
     
    des fois même ça m'ouvre directement la clé ou le disque dur externe sans mettre la fenêtre.
    0
  7. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    tu branches tout et tu refermes toutes les fenetres sans rien faire de facon a revenir sur ton bureau puis tu fais Usbfix
    0
  8. debo380
     
    j'ai lancé usbfix mais il bloque à 50% depuis plus de 5 minutes est-ce normal?
    0
  9. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    laisses le tourner , ca peut prendre un peu de temps :)

    par contre : Utilisateur actuel: BOBINEUSE tu n'es pas connecté sur la session administrateur , ca posera sans doute probleme a un moment ou a un autre !

    0
  10. debo380
     
    je ne comprend pas trop ce que ça veut dire. L'ordi est un ordi d'occasion qu'on a récupéré et je l'ai toujours utilisé comme ça (peut-être à tort)
    0
  11. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    laisses tomber, je t'ai dis une betise

    tiens moi au courant pour Usbfix ?
    0
  12. debo380
     
    il est toujours à 50% et j'ai pas l'impression qu'il travaille mais j'y connais rien alors...
    0
  13. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    1/2 h ca fait beaucoup, dans 5 ou 10 minutes s'il est toujours bloqué , arretes le et re-essaies en mode sans echec

    Démarrer en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    AIDE
    AIDE
    0
  14. debo380
     
    je laisse mes clé usb et mon disque dur externe branchés?
    0
  15. debo380
     
    ############################## | UsbFix V6.066 |

    User : BOBINEUSE () # MOUCHACHO
    Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 16:47:04 | 21/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1335 [VPS 091221-0] 4.8.1335 [ Enabled | Updated ]
    AV : [ (!) Disabled | Updated ]
    FW : [ (!) Disabled ]

    C:\ -> Disque fixe local # 145,96 Go (126,28 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 967,2 Mo (966,67 Mo free) # FAT
    F:\ -> Disque fixe local # 465,76 Go (455,82 Go free) [Iomega HDD] # NTFS
    G:\ -> Disque amovible
    H:\ -> Disque amovible # 3,73 Go (3,73 Go free) # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 156
    C:\WINDOWS\system32\csrss.exe 204
    C:\WINDOWS\system32\winlogon.exe 228
    C:\WINDOWS\system32\services.exe 272
    C:\WINDOWS\system32\lsass.exe 284
    C:\WINDOWS\system32\svchost.exe 440
    C:\WINDOWS\system32\svchost.exe 504
    C:\WINDOWS\system32\svchost.exe 568
    C:\WINDOWS\Explorer.EXE 824
    C:\WINDOWS\system32\wbem\wmiprvse.exe 888

    ################## | Fichiers # Dossiers infectieux |

    E:\autorun.inf
    E:\autorun.inf -> fichier appelé : "E:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )
    E:\driver\usb
    H:\autorun.inf
    H:\autorun.inf -> fichier appelé : "H:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )
    H:\driver\usb

    ################## | Registre # Clés infectieuses |

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{43e94478-d33b-11dd-954e-001320d49d8a}
    Shell\AutoRun\command =E:\InstallTomTomHOME.exe

    HKCU\..\..\Explorer\MountPoints2\{84e395da-89ff-11dd-94d1-001150a530eb}
    Shell\AutoRun\command =E:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{aa5d4e08-b648-11dd-9510-001320d49d8a}
    Shell\AutoRun\command =G:\InstallTomTomHOME.exe

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.066 ! |

    voilà je l'ai fait en mode sans échec
    0
  16. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    * tutoriel nettoyage
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix présent sur ton bureau
    * choisi l'option 2 ( Suppression )
    * Ton bureau disparaîtra et le pc redémarrera .
    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    * Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    * :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse :>>>ici<<<
    * Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
    * Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
    * Merci d'avance pour ta contribution !!
    0
  17. debo380
     
    ############################## | UsbFix V6.066 |

    User : BOBINEUSE (Administrateurs) # MOUCHACHO
    Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 17:33:27 | 21/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : avast! Internet Security 5.0.83886339 [ Enabled | Updated ]
    AV : [ (!) Disabled | Updated ]
    FW : [ (!) Disabled ]
    FW : avast! Internet Security[ Enabled ]5.0.83886339

    C:\ -> Disque fixe local # 145,96 Go (125,45 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 967,2 Mo (966,67 Mo free) # FAT
    F:\ -> Disque fixe local # 465,76 Go (455,82 Go free) [Iomega HDD] # NTFS
    G:\ -> Disque amovible
    H:\ -> Disque amovible # 3,73 Go (3,73 Go free) # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 612
    C:\WINDOWS\system32\csrss.exe 664
    C:\WINDOWS\system32\winlogon.exe 688
    C:\WINDOWS\system32\services.exe 732
    C:\WINDOWS\system32\lsass.exe 744
    C:\WINDOWS\system32\svchost.exe 932
    C:\WINDOWS\system32\svchost.exe 1052
    C:\WINDOWS\System32\svchost.exe 1148
    C:\WINDOWS\system32\svchost.exe 1296
    C:\WINDOWS\system32\svchost.exe 1376
    C:\Program Files\Alwil Software\Avast5\afwServ.exe 1520
    C:\WINDOWS\system32\WgaTray.exe 1584
    C:\WINDOWS\Explorer.EXE 1704
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 1800
    C:\WINDOWS\system32\spoolsv.exe 400
    C:\Program Files\Alwil Software\Avast5\setup\avast.setup 460
    C:\Program Files\Google\Update\GoogleUpdate.exe 640
    C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe 652
    C:\WINDOWS\system32\svchost.exe 960
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1004
    C:\Program Files\Bonjour\mDNSResponder.exe 1096
    C:\Program Files\Google\Update\GoogleUpdate.exe 1140
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 1284
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 1460
    C:\Program Files\Google\Update\GoogleUpdate.exe 1412
    C:\Program Files\rnamfler\naofsvc.exe 1860
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2052
    C:\WINDOWS\system32\svchost.exe 2100
    C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 2112
    C:\WINDOWS\system32\wuauclt.exe 2328
    C:\WINDOWS\system32\wbem\wmiprvse.exe 2644
    C:\WINDOWS\System32\alg.exe 2772

    ################## | Fichiers # Dossiers infectieux |

    Supprimé ! C:\Recycler\S-1-5-21-4172112199-1156492446-956631925-1005
    Supprimé ! C:\Recycler\S-1-5-21-4172112199-1156492446-956631925-500
    E:\autorun.inf -> fichier appelé : "E:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )
    Supprimé ! E:\autorun.inf
    Supprimé ! E:\driver\usb
    Supprimé ! F:\Recycler\S-1-5-21-4172112199-1156492446-956631925-1005
    H:\autorun.inf -> fichier appelé : "H:\driver\usb\–¼‡‘Š•†‘Í€ŒŽ" ( Absent ! )
    Supprimé ! H:\autorun.inf
    Supprimé ! H:\driver\usb

    ################## | Registre # Clés infectieuses |

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{43e94478-d33b-11dd-954e-001320d49d8a}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{84e395da-89ff-11dd-94d1-001150a530eb}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{aa5d4e08-b648-11dd-9510-001320d49d8a}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [21/12/2009 13:28|--a------|10510] C:\Ad-Report-CLEAN[1].log
    [19/08/2004 13:18|--a------|0] C:\AUTOEXEC.BAT
    [14/06/2006 14:22|-rahs----|212] C:\boot.ini
    [05/08/2004 12:00|-rahs----|4952] C:\Bootfont.bin
    [19/08/2004 13:18|--a------|0] C:\CONFIG.SYS
    [26/04/2006 20:26|-rah-----|4644] C:\dell.sdr
    [?|?|?] C:\hiberfil.sys
    [14/06/2006 15:01|--a------|4128] C:\INFCACHE.1
    [19/08/2004 13:18|--ah-----|0] C:\IO.SYS
    [26/04/2006 20:44|--ah-----|839] C:\IPH.PH
    [19/08/2004 13:18|--ah-----|0] C:\MSDOS.SYS
    [05/08/2004 12:00|-rahs----|47564] C:\NTDETECT.COM
    [05/08/2004 12:00|-rahs----|251712] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [21/12/2009 17:36|--a------|4232] C:\UsbFix.txt
    [17/04/2009 19:55|--a------|89] C:\wl.err
    [18/05/2007 08:44|---hs----|348160] E:\msvcr71.dll
    [14/12/2009 21:05|--a------|54272] F:\EMPLOI DU TEMPS.doc
    [15/12/2009 18:17|--a------|27136] F:\Group‚-1-...doc
    [15/12/2009 18:18|--a------|34816] F:\Group‚-12-...doc
    [15/12/2009 18:18|--a------|32768] F:\Group‚-13-...doc
    [15/12/2009 18:18|--a------|36864] F:\Journ‚e-r...doc
    [08/12/2009 22:42|--a------|138716672] F:\MEMOIRE 2.doc
    [05/12/2009 23:56|--a------|2936832] F:\SOUTENANCE..ppt

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # E:\autorun.inf -> Dossier créé par UsbFix.
    # F:\autorun.inf -> Dossier créé par UsbFix.
    # H:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Cracks / Keygens / Serials |
    0
  18. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    Télécharge Malwarebytes’ Anti-Malware

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)

    - Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
    - Enregistres le sur le bureau
    - Double cliques sur le fichier téléchargé pour lancer le processus d’installation
    - Mets le a jour /!\
    - Double-cliques sur l’icône de malwarebytes pour le relancer
    - Dans l’onglet, Recherche, probablement ouvert par défaut,
    - Sélectionne Exécuter un examen complet et Rechercher
    - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
    - Cliques sur Ok pour poursuivre.
    - Si des malwares ont été détectés, cliques sur Afficher les résultats
    - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    - Colle le rapport ici, il se trouve dans l’onglet rapport/log

    Si tu as besoin d’aide regarde ce tutorial

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    ps: s'il te demande de redemarrer : fais le !
    0
  19. debo380
     
    j'ai fait l'analyse, il a trouvé 11 infections, j'ai fait la suppression mais après ça a buggé et impossible d'avoir le rapport.
    quand je vais dans l'onglet rapport il n'y a rien

    en plus maintenant l'ordinateur est super lent.

    que dois-je faire? dois-je relancer une analyse

    en tout cas merci pour votre aide
    0
  20. neo*** Messages postés 3115 Date d'inscription   Statut Contributeur sécurité Dernière intervention   194
     
    es tu sur que la suppression a été prise en compte, t'a t'il demandé de redemarrer ?

    lorsque tu vas dans l'onglet Rapoort/log , il y a rien ??

    refais une analyse complete stp et poste le rapport, s'il y a rien, c'est que ta suppression a fonctionné mais j'aurais bien voulu le voir :(

    a la suite , si Mbam ne trouve rien :

    Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

    Lance CCleaner
    Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
    Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
    Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

    (Tu peux garder ce logiciel et l'utiliser régulièrement).

    et repostes un nouveau rapport Zhpdiag comme tu as fais au début
    0
  21. debo380
     
    j'ai refait malware.

    Il m'a encore trouvé 13 fichiers infectés. Cette fois j'ai enregistré le rapport avant de lancer la suppression et j'ai eu raison car ça a refait la même chose.

    J'ai voulu lancer la suprression et ça m'a affiché "erreur d'exécution '480'. Erreur définie par l'application ou par l'objet'.

    Je te colle le rapport que j'ai enregistré avant de lancer la suppression

    Malwarebytes' Anti-Malware 1.42
    Version de la base de données: 3407
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    22/12/2009 15:05:07
    mbam-log-2009-12-22 (15-04-44).txt

    Type de recherche: Examen complet (C:\|E:\|F:\|H:\|)
    Eléments examinés: 204808
    Temps écoulé: 1 hour(s), 37 minute(s), 5 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 11

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\TWUNK_16.EXE (Trojan.Agent) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\Download-FR\tbDown.dll (Adware.NetPumper) -> No action taken.
    C:\WINDOWS\assembly\GAC\Microsoft.Office.Interop.InfoPath\11.0.0.0__71e9bce111e9429c\Microsoft.Office.Interop.InfoPath.dll (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\assembly\GAC_MSIL\WindowsFormsIntegration\3.0.0.0__31bf3856ad364e35\WindowsFormsIntegration.dll (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\system32\OEMBKGN1.BMP (Trojan.Downloader) -> No action taken.
    C:\WINDOWS\system32\TWUNK_16.EXE (Trojan.Agent) -> No action taken.
    C:\WINDOWS\Dell.bmp (Trojan.Downloader) -> No action taken.
    C:\WINDOWS\wiadebug.log (Trojan.Agent) -> No action taken.
    C:\WINDOWS\wiaservc.log (Trojan.Agent) -> No action taken.
    C:\WINDOWS\WindowsUpdate.log (Trojan.Agent) -> No action taken.
    C:\WINDOWS\inf\1394.inf (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\d3dramp.dll (Trojan.FakeAlert) -> No action taken.

    Que dois-je faire maintenant? J'ai l'impression que je me débarasserai jamais de ces fichues infections.
    En plus mon ordi rame comme il n'a jamais ramé, est-ce normal?

    merci encore
    0
  • 1
  • 2