Fichier autorun.exe Urgen

Sabrina -  
 Utilisateur anonyme -
Bonjour,
s'il vous plait j'ai besoin d'aide !
je viens de télécharger un fichier et quand j'ai cliqué dessus mon ordinateur a redémarré , a fait un scan au début puis a installé un fichier autorun.exe dans C:\Documents and Settings\Utilisateur\Local Settings\Temp\ir_ext_temp_0 ! Et dés que je ferme le fichier , mon pc redémarre :(
svp aidez moi
Configuration: Windows XP
Safari 532.0

17 réponses

  1. Sabrina
     
    Tout d'abords j'ai oublié de vous dire que le programme disant virus est sous forme d'une fenêtre avec de la pub
    Sinon j'ai déjà fait alt+ctrl+supp quand je fait fin de tache , arrêter le processus ou bien arrêter l'absorbante du processus mon pc redemande :(
    sinon merci pour vos réponses .
    1
  2. Utilisateur anonyme
     
    Hello Sabrina ,

    • Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
    • Double-clique sur RSIT.exe afin de lancer le programme.
    • Clique sur Continue à l'écran Disclaimer.
    • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : les rapports sont sauvegardés dans le dossier C:\rsit.
    1
  3. Sabrina
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by zine at 2010-01-27 16:32:48
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 10 GB (44%) free of 22 GB
    Total RAM: 510 MB (8% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:33:23, on 27/01/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Documents and Settings\zine\winternet.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Ares\Ares.exe
    C:\WINDOWS\system32\svchost.exe
    C:\documents and settings\zine\local settings\application data\crhxmcyg.exe
    C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft\setup2.exe
    C:\Program Files\Microsoft\ddd.exe
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
    C:\Documents and Settings\zine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
    C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
    C:\Documents and Settings\zine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Program Files\Dofus\Dofus.exe
    C:\Program Files\Dofus\dofus.dll
    C:\Program Files\Dofus\dofus.dll
    C:\Documents and Settings\zine\Mes documents\Downloads\RSIT.exe
    C:\Program Files\trend micro\zine.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [winternet] C:\Documents and Settings\zine\winternet.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
    O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\zine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [crhxmcyg] "c:\documents and settings\zine\local settings\application data\crhxmcyg.exe" crhxmcyg
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Startup: menara1.lnk = E:\movies\MTkit\Menara.exe
    O4 - Startup: svchost.lnk = C:\Program Files\Microsoft\setup2.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm439YYMA
    O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\zine\scriptjava.html
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O15 - Trusted Zone: *.chat-land.org
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{517BFC44-075B-49E1-A3CD-4386CBCC5DA6}: NameServer = 62.251.229.223 62.251.229.237
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
    O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
    O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
    O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
    O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/zine/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
    1
  4. Utilisateur anonyme
     
    Re ,

    Il y a plusieures infections distinct sur ton pc mais rien de gravissime .

    ######### Commence par ceci :

    • Télécharge OTM (OldTimer) sur ton Bureau.
    • Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.
    • Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe
    ddd.exe
    setup2.exe
    autorun.exe
    winternet.exe

    :files
    C:\Program Files\Microsoft\setup2.exe
    C:\Program Files\Microsoft\ddd.exe
    C:\Documents and Settings\zine\winternet.exe
    C:\Documents and Settings\zine\Menu Démarrer\Programmes\Démarrage\svchost.lnk
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "winternet"=-

    :commands
    [purity]
    [emptytemp]
    [reboot]


    • Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    • Clique maintenant sur le bouton MoveIt! puis ferme OTM.

    ---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
    ---> Le nom du rapport correspond au moment de sa création : date_heure.log
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Je me doute bien , mais tu es encore infecté ....

    J attend donc le rapport OTM pour te donner la suite , sauf si tu veux rester avec un pc infecté .
    1
  7. delphine60 Messages postés 2125 Date d'inscription   Statut Membre Dernière intervention   130
     
    bonjour,
    as tu simplement essayer de le suprimer manuellement?
    0
  8. Sabrina
     
    salut merci pour ta réponse .
    Oui j'ai essayé de le supprimer mais impossible car le programme est en marche .
    0
  9. delphine60 Messages postés 2125 Date d'inscription   Statut Membre Dernière intervention   130
     
    alors fait control+alt+suppr, une fenètre va s'ouvrir(elle ressemble à cela :http://www.aidewindows.net/images/xp/ctrl_alt_suppr_xp.gif . Si tu connais le nom du programme ou du fichier regarde dans l'onglet application clique sur le fichier en question et clic sur fin de tache jusqu'à temps qu'il disparaisse. Puis retente une suppression manuelle.
    0
  10. Utilisateur anonyme
     
    Tu copies colle le rapport log.txt dans ta prochaine réponse stp
    0
  11. Sabrina
     
    merci bcp pour vos réponses
    Et merci El desaparecido ta méthode marche ^^
    0
  12. Sabrina
     
    jtrv plus le rapport j'ai fermé je fait comment ?
    0
  13. Utilisateur anonyme
     
    il est ici : C:\_OTM\MovedFiles\

    ---> Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  14. Sabrina
     
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named ddd.exe was found!
    No active process named setup2.exe was found!
    No active process named autorun.exe was found!
    No active process named winternet.exe was found!
    ========== FILES ==========
    C:\Program Files\Microsoft\setup2.exe moved successfully.
    C:\Program Files\Microsoft\ddd.exe moved successfully.
    C:\Program Files\Microsoft\Search Enhancement Pack\Choice Guard folder moved successfully.
    C:\Program Files\Microsoft\Search Enhancement Pack folder moved successfully.
    C:\Program Files\Microsoft folder moved successfully.
    C:\Documents and Settings\zine\winternet.exe moved successfully.
    C:\Documents and Settings\zine\Menu Démarrer\Programmes\Démarrage\svchost.lnk moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Images folder moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Icons folder moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Docs folder moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Buttons folder moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Audio folder moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay folder moved successfully.
    C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0 folder moved successfully.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: zine
    ->Temp folder emptied: 826641783 bytes
    ->Temporary Internet Files folder emptied: 42968763 bytes
    ->Java cache emptied: 38195139 bytes
    ->FireFox cache emptied: 6227253 bytes
    ->Google Chrome cache emptied: 112989049 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 13018337 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 28706338 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 1 022,00 mb

    OTM by OldTimer - Version 3.1.7.0 log created on 01272010_171133

    Files moved on Reboot...

    Registry entries deleted on Reboot...
    0
  15. Utilisateur anonyme
     
    Impec Sabrina ;)

    Tu as une infection par support amovible visible ici :

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10ba0eb8-035d-11df-9327-00e04c192d0c}]
    shell\AutoRun\command - G:\SLATKO/torta.exe
    shell\explore\command - G:\SLATKO/torta.exe
    shell\open\command - G:\SLATKO/torta.exe

    #####

    • Télécharge UsbFix sur ton Bureau :

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

    • Double clic sur UsbFix.exe présent sur ton bureau .

    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

    • Ton bureau disparaîtra et le pc redémarrera.

    • Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

    Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    • Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
  16. Sabrina
     
    ############################## | UsbFix V6.080 |

    User : zine (Administrateurs) # A6-EFA823F66E51
    Update on 27/01/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 18:18:39 | 27/01/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 2.66GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
    FW : Avira Firewall[ (!) Disabled ]9.0.1.32

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 21,82 Go (10,65 Go free) # NTFS
    D:\ -> Disque fixe local # 16,45 Go (16,11 Go free) [Sauvegarde] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM
    G:\ -> Disque amovible # 3,8 Go (2,68 Go free) [kingston] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 1080
    C:\WINDOWS\system32\csrss.exe 1528
    C:\WINDOWS\system32\winlogon.exe 1556
    C:\WINDOWS\system32\services.exe 1616
    C:\WINDOWS\system32\lsass.exe 1628
    C:\WINDOWS\system32\svchost.exe 1804
    C:\WINDOWS\system32\svchost.exe 1900
    C:\WINDOWS\System32\svchost.exe 1940
    C:\WINDOWS\system32\svchost.exe 192
    C:\WINDOWS\system32\svchost.exe 308
    C:\WINDOWS\system32\spoolsv.exe 408
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 472
    C:\WINDOWS\system32\svchost.exe 556
    C:\WINDOWS\system32\svchost.exe 1332
    C:\Program Files\Java\jre6\bin\jqs.exe 1364
    C:\WINDOWS\System32\svchost.exe 1420
    C:\WINDOWS\System32\svchost.exe 2044
    C:\WINDOWS\system32\svchost.exe 288
    C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe 608
    C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe 708
    C:\WINDOWS\system32\wuauclt.exe 828
    C:\WINDOWS\System32\alg.exe 1316
    C:\WINDOWS\system32\wbem\wmiprvse.exe 1928
    C:\WINDOWS\system32\userinit.exe 1884
    C:\WINDOWS\Explorer.EXE 920
    C:\Documents and Settings\zine\Application Data\kvmm.exe 952
    C:\Documents and Settings\zine\Application Data\kvmm.exe 392
    C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe 2060
    C:\Program Files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe 2064

    ################## | Elements infectieux |

    Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004\nissan.exe
    Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004\Desktop.ini
    Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004
    Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664\windll.exe
    Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664\Desktop.ini
    Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664
    Supprimé ! C:\Recycler\S-1-5-21-1275210071-179605362-1177238915-1003
    Supprimé ! C:\Recycler\S-1-5-21-4428278000-6134106548-083276948-6116
    Supprimé ! C:\Recycler\S-1-5-21-7004581485-9183551211-570087795-2979
    Supprimé ! D:\Recycler\S-1-5-21-1275210071-179605362-1177238915-1003
    Supprimé ! D:\Recycler\S-1-5-21-796845957-2139871995-725345543-500
    G:\autorun.inf -> fichier appelé : "G:\filesystem/pagefile.exe" ( Présent ! )
    Non supprimé ! G:\filesystem/pagefile.exe
    G:\autorun.inf -> fichier appelé : "G:\filesystem/pagefile.exe" ( Présent ! )
    Non supprimé ! G:\filesystem/pagefile.exe
    Supprimé ! G:\bycfht.exe
    Supprimé ! G:\filesystem\Desktop.ini
    Supprimé ! G:\filesystem\pagefile.exe
    Supprimé ! G:\filesystem
    Supprimé ! G:\icxpa.cmd
    Supprimé ! G:\Recycle.exe
    Supprimé ! G:\SLATKO\Desktop.ini
    Supprimé ! G:\SLATKO\torta.exe
    Supprimé ! G:\SLATKO
    Supprimé ! G:\yannh.cmd
    Supprimé ! G:\autorun.inf

    ################## | MD5 |

    ################## | Registre |

    Supprimé ! [HKCU\SOFTWARE\Bifrost]
    Supprimé ! [HKLM\SOFTWARE\Bifrost]
    Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{10ba0eb8-035d-11df-9327-00e04c192d0c}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2f1c9e24-ef5e-11de-92c3-00e04c192d0c}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{9ba2faf6-ef45-11de-92c1-00e04c192d0c}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{e2fd72b2-efa7-11de-92c4-00e04c192d0c}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [25/10/2009 12:21|--a------|0] C:\AUTOEXEC.BAT
    [28/11/2009 02:35|---hs----|212] C:\boot.ini
    [14/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin
    [25/10/2009 12:21|--a------|0] C:\CONFIG.SYS
    [13/12/2009 00:53|--a------|120] C:\drmHeader.bin
    [09/12/2009 02:38|--a------|184] C:\drwtsn32.log
    [?|?|?] C:\hiberfil.sys
    [25/10/2009 12:21|-rahs----|0] C:\IO.SYS
    [25/10/2009 12:21|-rahs----|0] C:\MSDOS.SYS
    [14/04/2008 12:00|-rahs----|47564] C:\NTDETECT.COM
    [14/04/2008 12:00|-rahs----|252240] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [27/01/2010 18:28|--a------|4975] C:\UsbFix.txt
    [27/01/2010 18:17|--a------|1732] G:\BOOTEX.LOG

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.
    # G:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Upload |

    Veuillez envoyer le fichier : C:\DOCUME~1\zine\Bureau\UsbFix_Upload_Me_A6-EFA823F66E51.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.080 ! |
    0
  17. Utilisateur anonyme
     
    Impec ;)

    Réouvre UsbFix et choisis désinstaller .

    #####

    Je te ferais supprimer tout les outils que je te fais télécharger une fois que ton pc sera propre .

    ######

    Tu as une infection Navipromo , visible ici :

    O4 - HKCU\..\Run: [crhxmcyg] "c:\documents and settings\zine\local settings\application data\crhxmcyg.exe" crhxmcyg

    Télécharge Ad-Remover : http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe sur ton bureau .

    Ensuite suis ce tutoriel : http://pagesperso-orange.fr/nostools/tuto_adr_3.html

    Une fois le scan terminé , post le rapport de Ad-Remover .
    0