Trojan-gameThief.Win32.Magania.cvzj
Résolu
bardamu29
Messages postés
23
Date d'inscription
Statut
Membre
Dernière intervention
-
jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention -
jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai écoppé d'un virus et je ne sais pas comment m'en débarrasser! Kaspersky le détecte mais quand je clique sur "ok", le scan s'arrête et un message "l'application ou la DLL h: etc etc" apparait et bloque mon pc...
Quelqu'un peut m'aider??
Merci!
J'ai écoppé d'un virus et je ne sais pas comment m'en débarrasser! Kaspersky le détecte mais quand je clique sur "ok", le scan s'arrête et un message "l'application ou la DLL h: etc etc" apparait et bloque mon pc...
Quelqu'un peut m'aider??
Merci!
A voir également:
- Trojan-gameThief.Win32.Magania.cvzj
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
36 réponses
Hello,
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :
https://www.malwarebytes.com/
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :
https://www.malwarebytes.com/
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
Aie, j'ai suivi à la lettre la procédure mais mon ordi ne veut pas redémarrer: j'ai un écran noir avec ce message:
"boot from CD
missing operating system"
Je ne sais pas quoi faire!
Merci de m'aider!
"boot from CD
missing operating system"
Je ne sais pas quoi faire!
Merci de m'aider!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
F8 ne fonctionne pas, par contre j'ai F9 (boot menu) - F10 (Set up) - F11 (recovery) - F12 (Boot from)
Que puis-je faire ??
Que puis-je faire ??
Avec F9, j'arrive dans le boot menu, et on me dit "select boot first device", et après on me demande de choisir avec Hard Disk ou CD ROM ou Network..
Avec F9, j'arrive dans le boot menu, et on me dit "select boot first device", et après on me demande de choisir avec Hard Disk ou CD ROM ou Network..
je suis dans system information / Main / Advanced /Boot / PC HEALTH / EXIT
il y a aussi F7 - Optimized Default..
pourriez-vous m'indiquer comment faire ensuite ?
il y a aussi F7 - Optimized Default..
pourriez-vous m'indiquer comment faire ensuite ?
Dans la rubrique "Boot", voici ce qui s'affiche :
device boot disabling - No one
F9 Boot Menu - enabled
F10 Set up prompting - enabled
F11 Recovery - enabled and prompt
F12 Boot from LAN Prompting - enabled
Hard disk boot seq
Optical drive boot seq
Network boot seq
First boot device - removabled
Second boot device - cd rom
Third boot device - hard disk
Fourth boot device - network
Set superviser password
Set user password
Security option - set up
BIOF write protection - disabled
device boot disabling - No one
F9 Boot Menu - enabled
F10 Set up prompting - enabled
F11 Recovery - enabled and prompt
F12 Boot from LAN Prompting - enabled
Hard disk boot seq
Optical drive boot seq
Network boot seq
First boot device - removabled
Second boot device - cd rom
Third boot device - hard disk
Fourth boot device - network
Set superviser password
Set user password
Security option - set up
BIOF write protection - disabled
Ouaip ..A mon avis ton mode sans echec a été désactivé par l'infection :(
As tu le Cd original de Xp ?
As tu le Cd original de Xp ?
Ok, je viens de pouvoir rallumer mon pc, "normalement": ma clé USB bloquait la mise en route!
Voici le rapport:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
23/02/2010 12:39:33
mbam-log-2010-02-23 (12-39-33).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Eléments examinés: 255691
Temps écoulé: 46 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
J:\System Volume Information\_restore{46D3AAC9-B8F8-439D-B859-3D5F6B1D86ED}\RP86\A0057621.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.
K:\log.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
H:\Documents and Settings\Administrateur\Local Settings\Temp\cvasds0.dll (Spyware.OnlineGames) -> Delete on reboot.
H:\Documents and Settings\Administrateur\Local Settings\Temp\herss.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
Voici le rapport:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
23/02/2010 12:39:33
mbam-log-2010-02-23 (12-39-33).txt
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Eléments examinés: 255691
Temps écoulé: 46 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
J:\System Volume Information\_restore{46D3AAC9-B8F8-439D-B859-3D5F6B1D86ED}\RP86\A0057621.com (Spyware.OnlineGames) -> Quarantined and deleted successfully.
K:\log.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
H:\Documents and Settings\Administrateur\Local Settings\Temp\cvasds0.dll (Spyware.OnlineGames) -> Delete on reboot.
H:\Documents and Settings\Administrateur\Local Settings\Temp\herss.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
Mouarrff.....
Bon ,on continu :
Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).
Une fois installé le programme s'ouvre automatiquement .
Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .
Rend toi sur ce site : http://www.cijoint.fr/index.php
Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .
Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
Bon ,on continu :
Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).
Une fois installé le programme s'ouvre automatiquement .
Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .
Rend toi sur ce site : http://www.cijoint.fr/index.php
Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .
Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
Extra!!
Merci pour la patience!
Voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijEHo9oxl.txt
Merci d'avance!
Merci pour la patience!
Voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijEHo9oxl.txt
Merci d'avance!
Tu n'a aucuns pare-feu ni antivirus /!\
Aie .....
• Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Aie .....
• Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Merci!!
Voici le rapport:
############################## | UsbFix V6.097 |
User : Administrateur (Administrateurs) # SERVEUR
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:23:51 | 24/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
C:\ -> Disque amovible
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 78,13 Go (36,08 Go free) # NTFS
I:\ -> Disque fixe local # 70,91 Go (59,69 Go free) # NTFS
J:\ -> Disque fixe local # 465,76 Go (299,6 Go free) [FV-U35] # NTFS
K:\ -> Disque amovible # 1,87 Go (1,86 Go free) [USB DISK] # FAT32
############################## | Processus actifs |
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\Program Files\Unlocker\UnlockerAssistant.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
H:\Program Files\Ares\Ares.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
H:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
H:\autorun.inf
H:\tgt.exe
I:\autorun.inf -> fichier appelé : "I:\tgt.exe" ( Présent ! )
I:\autorun.inf
I:\tgt.exe
J:\autorun.inf -> fichier appelé : "J:\tgt.exe" ( Présent ! )
J:\autorun.inf
J:\Administrateur.exe
J:\tgt.exe
J:\administrateur.exe
J:\administrateur.exe
K:\autorun.inf -> fichier appelé : "K:\tgt.exe" ( Présent ! )
K:\autorun.inf
K:\ice\fire
K:\ice
K:\oufddh.exe
K:\tgt.exe
K:\AFMK.exe
K:\feeeay.pif
K:\bckcxk.pif
K:\wjrndc.pif
K:\yklegt.pif
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
[HKLM\SYSTEM\ControlSet001\Services\AVPsys]
[HKLM\SYSTEM\ControlSet002\Services\AVPsys]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{00dcc853-c794-11de-aa8c-001d92689746}
Shell\AutoRun\command =J:\s3ek.exe
Shell\open\Command =J:\s3ek.exe
HKCU\..\..\Explorer\MountPoints2\{00dcc854-c794-11de-aa8c-001d92689746}
Shell\AutoRun\command =K:\s3ek.exe
Shell\open\Command =K:\s3ek.exe
HKCU\..\..\Explorer\MountPoints2\{00dcc855-c794-11de-aa8c-001d92689746}
Shell\AutoRun\command =L:\s3ek.exe
Shell\open\Command =L:\s3ek.exe
HKCU\..\..\Explorer\MountPoints2\{1305f723-2b6d-11de-a956-001d92689746}
Shell\AutoRun\command =s9it.bat
Shell\open\Command =s9it.bat
HKCU\..\..\Explorer\MountPoints2\{166af51a-76af-11de-aa00-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL JULes DIaKhatE.exE
HKCU\..\..\Explorer\MountPoints2\{253251de-e1c0-11de-aab9-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL DiOP TiRaR.exe
HKCU\..\..\Explorer\MountPoints2\{255bccf9-b404-11dd-a878-001d92689746}
Shell\AutoRun\command =J:\ice\fire\traymgr.exe
Shell\Explore\Command =J:\ice\fire\traymgr.exe
Shell\open\command =J:\ice\fire\traymgr.exe
HKCU\..\..\Explorer\MountPoints2\{258446a3-cf8b-11dd-a8a0-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Hitman.exe
Shell\Open\command =Hitman.exe
HKCU\..\..\Explorer\MountPoints2\{30ed2266-cde2-11de-aa97-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{387c719e-13a4-11de-a91d-001d92689746}
Shell\AutoRun\command =K:\Recycled.exe
HKCU\..\..\Explorer\MountPoints2\{3b0f752f-b023-11de-aa63-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL aDMiNIsTraTeur.eXe
HKCU\..\..\Explorer\MountPoints2\{70c12ed9-cf9c-11de-aa9c-001d92689746}
Shell\AutoRun\command =J:\22yj2fy1.exe
Shell\open\Command =J:\22yj2fy1.exe
HKCU\..\..\Explorer\MountPoints2\{7c3b0306-c09c-11dd-a891-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{891897a5-031d-11de-a8f5-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{891897b4-031d-11de-a8f5-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{8af8f3ed-b8a8-11de-aa76-001d92689746}
Shell\AutoRun\command =J:\v.com
Shell\explore\Command =J:\v.com
Shell\open\Command =J:\v.com
HKCU\..\..\Explorer\MountPoints2\{98e2dbcc-f054-11dd-a8d4-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jULes DIakHate.eXe
HKCU\..\..\Explorer\MountPoints2\{9b296c6a-b4c8-11dd-a87b-001d92689746}
Shell\AutoRun\command =J:\tgt.exe
Shell\open\Command =J:\tgt.exe
HKCU\..\..\Explorer\MountPoints2\{9da2dade-b5a2-11de-aa70-001d92689746}
Shell\AutoRun\command =J:\tgt.exe
Shell\open\Command =J:\tgt.exe
HKCU\..\..\Explorer\MountPoints2\{9e91ad49-16c7-11de-a925-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{a66168d8-8b1e-11de-aa1b-001d92689746}
Shell\AutoRun\command =J:\ice\fire\traymgr.exe
Shell\Explore\Command =J:\ice\fire\traymgr.exe
Shell\open\command =J:\ice\fire\traymgr.exe
HKCU\..\..\Explorer\MountPoints2\{afb21e20-5f4d-11de-a9db-001d92689746}
Shell\AutoRun\command =22yj2fy1.exe
Shell\open\Command =22yj2fy1.exe
HKCU\..\..\Explorer\MountPoints2\{b2cfb23e-08cc-11df-aaf4-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe
HKCU\..\..\Explorer\MountPoints2\{b600e2af-d29b-11de-aaa1-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{bd474c34-b09b-11dd-a871-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jULes DIakHate.eXe
HKCU\..\..\Explorer\MountPoints2\{be78ccd6-c2dc-11de-aa84-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{c700ba77-1d48-11df-ab21-001d92689746}
Shell\AutoRun\command =J:\tgt.exe
Shell\open\Command =J:\tgt.exe
HKCU\..\..\Explorer\MountPoints2\{cb19fdf5-b491-11dd-a87a-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{cf6d2f06-1d16-11de-a932-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{e4c3ba3b-bc95-11de-aa7b-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{e55b4e48-ee1b-11de-aacf-001d92689746}
Shell\AutoRun\command =wrsf.exe
Shell\open\Command =wrsf.exe
HKCU\..\..\Explorer\MountPoints2\{ec67e9bb-d29d-11de-aaa2-001d92689746}
Shell\AutoRun\command =J:\ice\fire\traymgr.exe
Shell\Explore\Command =J:\ice\fire\traymgr.exe
Shell\open\command =J:\ice\fire\traymgr.exe
HKCU\..\..\Explorer\MountPoints2\{f2d0f69e-c224-11dd-a893-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{f499a7ae-4394-11de-a988-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
################## | Vaccin |
# H:\autorun.inf -> Panda USB Vaccine
################## | ! Fin du rapport # UsbFix V6.097 ! |
Pendant le scan un message est apparu: cmd.exe-fichier endommagé (...) executez l'outil CHKDSK
Je suis protégé par Kaspersky mais je l'ai desinstallé depuis peu, il m'empêchait d'utiliser mon pc!
Merci encore
Voici le rapport:
############################## | UsbFix V6.097 |
User : Administrateur (Administrateurs) # SERVEUR
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:23:51 | 24/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
C:\ -> Disque amovible
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 78,13 Go (36,08 Go free) # NTFS
I:\ -> Disque fixe local # 70,91 Go (59,69 Go free) # NTFS
J:\ -> Disque fixe local # 465,76 Go (299,6 Go free) [FV-U35] # NTFS
K:\ -> Disque amovible # 1,87 Go (1,86 Go free) [USB DISK] # FAT32
############################## | Processus actifs |
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\Program Files\Unlocker\UnlockerAssistant.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
H:\Program Files\Ares\Ares.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
H:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
H:\autorun.inf
H:\tgt.exe
I:\autorun.inf -> fichier appelé : "I:\tgt.exe" ( Présent ! )
I:\autorun.inf
I:\tgt.exe
J:\autorun.inf -> fichier appelé : "J:\tgt.exe" ( Présent ! )
J:\autorun.inf
J:\Administrateur.exe
J:\tgt.exe
J:\administrateur.exe
J:\administrateur.exe
K:\autorun.inf -> fichier appelé : "K:\tgt.exe" ( Présent ! )
K:\autorun.inf
K:\ice\fire
K:\ice
K:\oufddh.exe
K:\tgt.exe
K:\AFMK.exe
K:\feeeay.pif
K:\bckcxk.pif
K:\wjrndc.pif
K:\yklegt.pif
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
[HKLM\SYSTEM\ControlSet001\Services\AVPsys]
[HKLM\SYSTEM\ControlSet002\Services\AVPsys]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{00dcc853-c794-11de-aa8c-001d92689746}
Shell\AutoRun\command =J:\s3ek.exe
Shell\open\Command =J:\s3ek.exe
HKCU\..\..\Explorer\MountPoints2\{00dcc854-c794-11de-aa8c-001d92689746}
Shell\AutoRun\command =K:\s3ek.exe
Shell\open\Command =K:\s3ek.exe
HKCU\..\..\Explorer\MountPoints2\{00dcc855-c794-11de-aa8c-001d92689746}
Shell\AutoRun\command =L:\s3ek.exe
Shell\open\Command =L:\s3ek.exe
HKCU\..\..\Explorer\MountPoints2\{1305f723-2b6d-11de-a956-001d92689746}
Shell\AutoRun\command =s9it.bat
Shell\open\Command =s9it.bat
HKCU\..\..\Explorer\MountPoints2\{166af51a-76af-11de-aa00-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL JULes DIaKhatE.exE
HKCU\..\..\Explorer\MountPoints2\{253251de-e1c0-11de-aab9-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL DiOP TiRaR.exe
HKCU\..\..\Explorer\MountPoints2\{255bccf9-b404-11dd-a878-001d92689746}
Shell\AutoRun\command =J:\ice\fire\traymgr.exe
Shell\Explore\Command =J:\ice\fire\traymgr.exe
Shell\open\command =J:\ice\fire\traymgr.exe
HKCU\..\..\Explorer\MountPoints2\{258446a3-cf8b-11dd-a8a0-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Hitman.exe
Shell\Open\command =Hitman.exe
HKCU\..\..\Explorer\MountPoints2\{30ed2266-cde2-11de-aa97-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{387c719e-13a4-11de-a91d-001d92689746}
Shell\AutoRun\command =K:\Recycled.exe
HKCU\..\..\Explorer\MountPoints2\{3b0f752f-b023-11de-aa63-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL aDMiNIsTraTeur.eXe
HKCU\..\..\Explorer\MountPoints2\{70c12ed9-cf9c-11de-aa9c-001d92689746}
Shell\AutoRun\command =J:\22yj2fy1.exe
Shell\open\Command =J:\22yj2fy1.exe
HKCU\..\..\Explorer\MountPoints2\{7c3b0306-c09c-11dd-a891-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{891897a5-031d-11de-a8f5-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{891897b4-031d-11de-a8f5-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{8af8f3ed-b8a8-11de-aa76-001d92689746}
Shell\AutoRun\command =J:\v.com
Shell\explore\Command =J:\v.com
Shell\open\Command =J:\v.com
HKCU\..\..\Explorer\MountPoints2\{98e2dbcc-f054-11dd-a8d4-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jULes DIakHate.eXe
HKCU\..\..\Explorer\MountPoints2\{9b296c6a-b4c8-11dd-a87b-001d92689746}
Shell\AutoRun\command =J:\tgt.exe
Shell\open\Command =J:\tgt.exe
HKCU\..\..\Explorer\MountPoints2\{9da2dade-b5a2-11de-aa70-001d92689746}
Shell\AutoRun\command =J:\tgt.exe
Shell\open\Command =J:\tgt.exe
HKCU\..\..\Explorer\MountPoints2\{9e91ad49-16c7-11de-a925-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{a66168d8-8b1e-11de-aa1b-001d92689746}
Shell\AutoRun\command =J:\ice\fire\traymgr.exe
Shell\Explore\Command =J:\ice\fire\traymgr.exe
Shell\open\command =J:\ice\fire\traymgr.exe
HKCU\..\..\Explorer\MountPoints2\{afb21e20-5f4d-11de-a9db-001d92689746}
Shell\AutoRun\command =22yj2fy1.exe
Shell\open\Command =22yj2fy1.exe
HKCU\..\..\Explorer\MountPoints2\{b2cfb23e-08cc-11df-aaf4-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe
HKCU\..\..\Explorer\MountPoints2\{b600e2af-d29b-11de-aaa1-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{bd474c34-b09b-11dd-a871-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jULes DIakHate.eXe
HKCU\..\..\Explorer\MountPoints2\{be78ccd6-c2dc-11de-aa84-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{c700ba77-1d48-11df-ab21-001d92689746}
Shell\AutoRun\command =J:\tgt.exe
Shell\open\Command =J:\tgt.exe
HKCU\..\..\Explorer\MountPoints2\{cb19fdf5-b491-11dd-a87a-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{cf6d2f06-1d16-11de-a932-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
HKCU\..\..\Explorer\MountPoints2\{e4c3ba3b-bc95-11de-aa7b-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{e55b4e48-ee1b-11de-aacf-001d92689746}
Shell\AutoRun\command =wrsf.exe
Shell\open\Command =wrsf.exe
HKCU\..\..\Explorer\MountPoints2\{ec67e9bb-d29d-11de-aaa2-001d92689746}
Shell\AutoRun\command =J:\ice\fire\traymgr.exe
Shell\Explore\Command =J:\ice\fire\traymgr.exe
Shell\open\command =J:\ice\fire\traymgr.exe
HKCU\..\..\Explorer\MountPoints2\{f2d0f69e-c224-11dd-a893-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
HKCU\..\..\Explorer\MountPoints2\{f499a7ae-4394-11de-a988-001d92689746}
Shell\AutoRun\command =H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =J:\log.exe
################## | Vaccin |
# H:\autorun.inf -> Panda USB Vaccine
################## | ! Fin du rapport # UsbFix V6.097 ! |
Pendant le scan un message est apparu: cmd.exe-fichier endommagé (...) executez l'outil CHKDSK
Je suis protégé par Kaspersky mais je l'ai desinstallé depuis peu, il m'empêchait d'utiliser mon pc!
Merci encore
