Espace libre qui disparait

yorelchr -  
 yorelchr -
Salut a tous,
voilà, depuis quelques jours je perds régulièrement de l'espace libre sur mon disque C. J'avais 5Go de libre il y a qelques jours et aujourd'hui j'arrive à un peu plus de 300Mo. chaque jour j'en ai perdu un peu...sans rien faire, sans rien installer ni télécharger..
Mon ordi plante assez souvent, enfin ralentit énormément. Je ne l'utilise que le soir après le boulot pour des trucs genre internet et la chat ( msn ou skype) et j'en ai una utilisation très basique. Je ne bosse pas avec donc je ne fais pas tourner de gros logiciels. Seule chose, là où je bosse, je me suis pris un virus sur la clef usb, mais quand je l'ai mise dans le pc, Avira l'a de suite reconnu. Et par sécurité j'ai fait un scan complet, puis des scan avec des programmes en ligne (Bit Defender et Panda Active). Et rien n'a été détecté.
Je ne sais donc pas ce qu'il se passe. Et je crois que ça devient urgent car à ce rythme, demain soir mon lecteur C sera plein !!!!
Ah oui, le virus qui s'était installé sur la clef, et qui peut-etre serait donc passé sur le PC sans toutefois etre détecté ensuite lors des différents scan s'appelle : TR/VB.aqt.58. Il a mis un fichier autorun sur ma clef puis a crée un dossier avec dedans un fichier nommé cfdmon.exe. Quelqu'un aurait-il une idée?
J'ai windows Vista, je surfe avec Mozilla et, ah oui, msn plante tjrs, mais ça n'a peut-etre rien a voir...
Suite aux conseils de mcvivien2 sur un autre forum, j'ai fait tourner CCleaner, Malawarebytes et Hyjackthis et je joins le link du log : https://www.cjoint.com/?ekrSF7HMo5

merci a tous

PS: pour le moment, je ne perds plus d'espace sur le disc, par contre, le PC rame bien, la memoire est presque toujours utilisée au max...

6 réponses

  1. gen-hackman
     
    ▶ Telecharge UsbFix

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    ?G3?-?@¢??@?(TM)©®?
    0
  2. Utilisateur anonyme
     
    bonjour,
    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.


    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  3. yorelchr
     
    bonsoir,

    merci pour vos réponses aussi rapides !!!

    alors, en réponse a Gen-Hackman, voilà le rapport de UsbFix:

    ############################## | UsbFix V6.102 |

    User : deneb (Administrators) # PC-DENEB
    Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 18.02.37 | 10/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Genuine Intel(R) CPU T2080 @ 1.73GHz
    Microsoft® Windows Vista(TM) Home Premium (6.0.6000 32-bit) #
    Internet Explorer 7.0.6000.17037
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    C:\ -> Disco rigido locale # 51,15 Go (4,66 Go free) [ACER] # NTFS
    D:\ -> Disco rigido locale # 50,88 Go (3,82 Go free) [DATA] # NTFS
    E:\ -> Disco CD-ROM # 702,31 Mo (689,91 Mo free) [marzo2010] # UDF
    G:\ -> Disco rimovibile # 3,77 Go (2,22 Go free) [New Volume] # FAT32

    ################## | Elements infectieux |

    ################## | Registre |

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{29dba396-4d01-11dd-962c-c638f7636730}
    shell\AutoRun\command =G:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{78cf5740-3376-11de-bcfd-0016d4de989f}
    shell\AutoRun\command =G:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{d7c17b8f-ca3f-11de-b556-0016d4de989f}
    shell\AutoRun\command =F:\install.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.102 ! |

    c'est pas cool :(
    0
  4. gen-hackman
     
    et en reponse à Electricien69 ??(salut)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. yorelchr
     
    et en réponse à Electricien69 ( désolée, premier samedi ensoleillé pour de vrai, j'étais partie faire un petit tour pdt le scan :) )
    voilà le rapport :

    .
    ======= LOGFILE OF AD-REMOVER 2.0.0.0,B | ONLY XP/VISTA/7 =======
    .
    Updated by C_XX on 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Started: 18:08:18 le 10/04/2010 | Normal boot | Option: SCAN
    Executed from: C:\Ad-Remover\ADR.exe
    OS: Microsoft® Windows Vista(TM) HomePremium - X86
    Computer name: PC-DENEB | Current user: deneb (Administrator)
    .
    ============== FOUND ELEMENTS ==============
    .
    Service: *ASKService*
    Service: *ASKUpgrade*
    .
    C:\Program Files\AskBarDis
    C:\Program Files\Bandoo
    C:\ProgramData\Bandoo
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandoo
    C:\ProgramData\Trymedia
    C:\Users\deneb\AppData\LocalLow\FunWebProducts
    C:\Users\deneb\AppData\Roaming\Bandoo
    C:\Windows\Downloaded Program Files\F3initialsetup1.0.1.1.inf
    .
    HKCU\Software\AppDataLow\AskBarDis
    HKCU\Software\AppDataLow\Software\FunWebProducts
    HKCU\Software\AppDataLow\Software\MyWebSearch
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKLM\Software\AppDataLow\AskBarDis
    HKLM\Software\bandoo
    HKLM\Software\Classes\AskIBar.PopSwatterBarButton
    HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
    HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
    HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
    HKLM\Software\Classes\AskToolBar.SettingsPlugin
    HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
    HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
    HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
    HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
    HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
    HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
    HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
    HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
    HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
    HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
    HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
    HKLM\Software\Trymedia Systems
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    .
    .
    ============== ADDITIONNAL SCAN ==============
    .
    * Mozilla FireFox Version 3.5.9 (it) *
    .
    C:\Users\deneb\..\idrukjr7.default\prefs.js - browser.startup.homepage: hxxp://www.google.it/webhp?sourceid=navclient&hl=it&ie=UTF-8
    C:\Users\deneb\..\idrukjr7.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.9
    .
    .
    * Internet Explorer Version 7.0.6000.17037 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Search_URL: hxxp://www.google.com/ie
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://www.google.com/ie
    Search Page: hxxp://www.google.com
    Show_ToolBar: yes
    Start Page: hxxp://www.google.it/webhp?sourceid=navclient&hl=it&ie=UTF-8
    Use Custom Search URL: 1
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://it.intl.acer.yahoo.com
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://it.intl.acer.yahoo.com
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Users\deneb\AppData\Roaming\HouseCall 6.6\patch.exe
    C:\Users\deneb\Favorites\Pc\http--www.tuttoperinternet.it-computer-Software_crack.htm.url
    .
    ========================================
    .
    C:\Users\deneb\AppData\Local\Temp: 44 Files, 6 Folders
    C:\Windows\temp: 2 Files, 4 Folders
    C:\Users\deneb\AppData\Roaming\Microsoft\Windows\Cookies: 20 Files, 2 Folders
    Temporary Internet Files: 9 Files, 7 Folders
    .
    C:\Ad-Remover\Quarantine: 0 Files
    C:\Ad-Remover\Backup: 0 Files
    .
    C:\Ad-Report-SCAN[1].txt - 5221 Byte(s)
    .
    End at: 18:14:33, 10/04/2010
    .
    ============== E.O.F - SCAN[1] ==============

    Mais donc, il a quoi mon cher PC ?
    0
  7. gen-hackman
     
    ok fais l'option 2 de usbfix , puis suis les directives d'electricien stp

    desinstalle usbfix apres la suppression
    0
    1. Utilisateur anonyme
       
      salut Gen,
      j'avais pas vu ton poste, bonne chasse ;-)
      0
    2. yorelchr
       
      voici le rapport de UsbFix et j'ai envoyé comme demandé le fichier zippé..
      mais donc au final mon PC est propre? le virus était le TR/VB.aq.58 que j'avais vu sur la clef USB et qui s'était installé sur le PC?
      En ce qui concerne electricien69, dans mon post précédent, j'ai mis le rapport obtenu par AdRemover.
      Grand merci a tous pour votre aide !!!!

      ############################## | UsbFix V6.102 |

      User : deneb (Administrators) # PC-DENEB
      Update on 10/04/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 20.00.01 | 10/04/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      Genuine Intel(R) CPU T2080 @ 1.73GHz
      Microsoft® Windows Vista(TM) Home Premium (6.0.6000 32-bit) #
      Internet Explorer 7.0.6000.17037
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

      C:\ -> Disco rigido locale # 51,15 Go (4,1 Go free) [ACER] # NTFS
      D:\ -> Disco rigido locale # 50,88 Go (3,82 Go free) [DATA] # NTFS
      E:\ -> Disco CD-ROM # 702,31 Mo (689,91 Mo free) [marzo2010] # UDF
      G:\ -> Disco rimovibile # 3,77 Go (2,22 Go free) [New Volume] # FAT32

      ################## | Elements infectieux |

      Supprimé ! C:\$Recycle.Bin\S-1-5-21-1377907476-1850139604-1875141843-1000
      Supprimé ! D:\$Recycle.Bin\S-1-5-21-1377907476-1850139604-1875141843-1000
      Supprimé ! D:\$Recycle.Bin\S-1-5-21-1377907476-1850139604-1875141843-500

      ################## | Registre |

      Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"

      ################## | Mountpoints2 |

      Supprimé ! HKCU\...\Explorer\MountPoints2\{29dba396-4d01-11dd-962c-c638f7636730}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{78cf5740-3376-11de-bcfd-0016d4de989f}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{d7c17b8f-ca3f-11de-b556-0016d4de989f}\Shell\AutoRun\Command

      ################## | Listing des fichiers présent |

      [10/04/2010 19.58|--a------|1788] C:\aaw7boot.log
      [10/04/2010 18.14|--a------|5345] C:\Ad-Report-SCAN[1].txt
      [18/09/2006 23.43|--a------|24] C:\autoexec.bat
      [02/11/2006 11.53|--a------|438840] C:\bootmgr
      [27/03/2007 18.18|-ra-s----|8192] C:\BOOTSECT.BAK
      [18/09/2006 23.43|--a------|10] C:\config.sys
      [?|?|?] C:\hiberfil.sys
      [10/01/2008 19.52|-rahs----|0] C:\IO.SYS
      [10/01/2008 19.52|-rahs----|0] C:\MSDOS.SYS
      [?|?|?] C:\pagefile.sys
      [27/03/2007 09.54|--a------|420] C:\RHDSetup.log
      [27/03/2007 10.17|--a------|178] C:\setup.log
      [27/03/2007 10.38|--a------|0] C:\Trace.log
      [10/04/2010 20.06|--a------|2194] C:\UsbFix.txt
      [09/09/2007 00.31|--a------|158] C:\YServer.txt
      [16/09/2007 09.27|-ra------|528] D:\MediaID.bin
      [10/04/2010 17.52|--a------|340013600] D:\_TEMP
      [09/02/2010 16.11|--a------|24372] G:\edi090210.txt
      [08/04/2010 12.48|--a------|17854] G:\gennet.f
      [01/04/2010 12.02|--a------|3788800] G:\meteo0911.dat
      [31/03/2010 13.54|--a------|1741288] G:\xconv1.91.exe
      [10/04/2010 19.32|--a------|1954] G:\BOOTEX.LOG
      [09/04/2010 14.37|--a------|36590872] G:\sdsetup.exe
      [22/01/2010 17.26|--a------|10276] G:\edi220110.txt
      [09/04/2010 14.53|--a------|502168] G:\SpyHunter-Installer.exe
      [16/02/2010 11.52|--a------|19756] G:\Edi160210.txt
      [17/02/2010 15.57|--a------|29848] G:\edi170210.txt
      [25/02/2010 20.04|--a------|52736] G:\CV_feb10_english.doc
      [22/02/2010 09.58|--a------|69251] G:\Edition RIB.pdf
      [25/02/2010 20.04|--a------|24064] G:\covering letter_eng.doc
      [25/02/2010 20.05|--a------|51712] G:\CV_Christine_Leroy_it.doc
      [27/02/2006 14.14|--a------|69083] G:\plaquettesnm.pdf

      ################## | Vaccination |

      # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
      # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
      # G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

      ################## | Upload |

      Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-deneb.zip : https://www.ionos.fr/?affiliate_id=77097
      Merci pour votre contribution .

      ################## | ! Fin du rapport # UsbFix V6.102 ! |
      0
    3. yorelchr
       
      bonsoir à tous,

      je me permet de relancer pour savoir si, suite à toutes ces manip, mon PC est ok? quel était donc le virus? ( je pourrai suivre la démarche de nouveau si je me le reprends...je bosse dans une fac en ce moment et bien sur, il traine de tout dans les PC....meme si j'évite de mettre la clé USB que j'utilise là-bas dans mon Pc chez moi, parfois, je n'ai pas le choix pour bosser ...)

      merci à tous
      0