aide virus anna i liebe chxnxyx winrun autoru Résolu/Fermé

Question

bonjour 
il semble que j'ai beaucoupo de virus sur mon ordi je n'arrive pas a les enlever


la zone de quarantaine de avast est pleine

suite a des sujet j'ai telecharger hijackthis et lancé un scan
avant j'ai tué des wscript dans les processus (ils semblaient trop nombreux pour etre honnete)

voici le log 

quelqu'un peut il m'aider 

merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:11:05, on 13/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32	askmgr.exe
C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pascale\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = // ;) anna I Liebe YOU ==> MILK@3|_!!!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [winrun.dll] C:\WINDOWS\winrun.dll.vbs
O4 - HKLM\..\Run: [officescan] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Pascale\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [nod32] C:\DOCUME~1\Pascale\LOCALS~1\Temp
odqq.exe
O4 - HKCU\..\Run: [dso32] C:\DOCUME~1\Pascale\LOCALS~1\Temp\dsoqq.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: officescan.vbs
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

marc1301 · Answer

bonjour, oui tu es bien infecté 

nous attaquons le "pc numero 1"



* Télécharge UsbFix sur ton bureau . 

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­ 
https://www.androidworld.fr/­ix.exe 

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 
 
* Double clic sur "UsbFix.exe" présent sur ton bureau . 

* Choisis l'option F pour français et tape sur [entrée] . 

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] . 

* Laisse travailler l'outil. 

* Ensuite post le rapport UsbFix.txt qui apparaitra. 

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

okay · Answer

Salut, juste pour info, avant la désinfections, 

Si tu veux garder Avast, désinstalle Antivir !!

thomasgal · Answer

merci pour la rapidité
je viens de desinstaller antivir 
et voici le .txt de usbfix


############################## | UsbFix V6.113 |

User : Pascale (Administrateurs) # 6BD9D40A28234F7
Update on 12/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:26:14 | 13/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.26 [ Enabled | (!) Outdated ]
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

C:\ -> Disque fixe local # 186,3 Go (150,32 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 3,73 Go (13,87 Mo free) [PASCALE] # FAT32

################## | Elements infectieux |

C:\WINDOWS\AhnRpta.exe  
C:\WINDOWS\winrun.dll.vbs  
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\officescan.vbs  
C:\DOCUME~1\Pascale\LOCALS~1\Temp\ytb.exe  
C:\DOCUME~1\Pascale\LOCALS~1\Temp\cvasds1.dll  
C:\DOCUME~1\Pascale\LOCALS~1\Temp\cvasds2.dll  
C:\DOCUME~1\Pascale\LOCALS~1\Temp\cvasds3.dll  
C:\DOCUME~1\Pascale\LOCALS~1\Temp\herss.exe  
C:\DOCUME~1\Pascale\LOCALS~1\Temp
odqq.exe  
C:\DOCUME~1\Pascale\LOCALS~1\Temp
odqq0.dll  
C:\DOCUME~1\Pascale\LOCALS~1\Temp
odqq1.dll  
C:\12gn6id2.exe   
C:\e9naq.exe  
C:\eexyv.exe  
C:\ey.exe  
C:\f2kmj.exe  
C:\f9o8o.exe  
C:\fk.exe  
C:\g12g.exe   
C:\ggpw.exe   
C:\h0.exe  
C:\hqy.exe   
C:\hjvjte.exe  
C:\i8ikdjwt.exe  
C:\i9bwjpqc.exe  
C:\img8hi.exe  
C:\imghyva6.exe   
C:\ji83j.exe  
C:\k0maw.exe  
C:\k1d.exe  
C:\kmj.exe  
C:\l61yyp.exe  
C:\lphfa.exe   
C:\mbdm.exe  
C:\mh.exe   
C:\mi9al8rs.exe  
C:\mranjm.exe   
C:
ds0q.exe  
C:
gp8l.exe   
C:
hx.exe  
C:
qdymj.exe   
C:
yt9mrd3.exe  
C:\olu392qj.exe  
C:\opdux.exe  
C:\p3vwxx.exe  
C:\pbudsara.exe  
C:\pbyqfn.exe  
C:\pcxis.exe  
C:\q3kku.exe  
C:\q93fi6kf.exe   
C:\qbr2q.exe  
C:\qhbfqx.exe  
C:\qkm.exe  
C:2g20.exe  
C:pw.exe  
C:\s1.exe  
C:\s3ek.exe  
C:\sdfqh.exe   
C:\se12ydam.exe  
C:\sp1jensi.exe  
C:\sywyrl0q.exe  
C:	2hjo0.exe  
C:	8g.exe  
C:	gt.exe  
C:	whvna.exe  
C:\uqgvf.exe  
C:\v1cbvsmq.exe  
C:\vb0hsoay.exe  
C:\vgyn6ewc.exe   
C:\vlvtdflx.exe  
C:\w2.com  
C:\wcgswa.exe  
C:\wfx062.exe  
C:\wglb9q.exe   
C:\winrun.vbs   
C:\wisf1.exe   
C:\wkimt.exe  
C:\ws.exe  
C:\wu1n.exe   
C:\xmor.exe  
C:\y6cqb2is.exe  
C:\ycvvj.exe  
C:\ysyjq1bs.exe  
C:\yudald.bat  
J:\m9ma.exe  
J:\mranjm.exe   
J:\w2.com  
J:\yudald.bat  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32"  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "officescan"  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winrun.dll"  
[HKCR\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]  
[HKCR\CLSID\MADOWN]  
[HKLM\Software\Classes\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]  
[HKLM\SOFTWARE\Classes\CLSID\MADOWN]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{4a58d74e-ff8e-11de-9e26-0013d3d605a9}
Shell\AutoRun\command =I:\olu392qj.exe 
Shell\open\Command =I:\olu392qj.exe 

HKCU\..\..\Explorer\MountPoints2\{4d5b2f4e-0e8b-11df-9e37-0013d3d605a9}
Shell\AutoRun\command =I:\c2e.exe 
Shell\open\Command =I:\c2e.exe 

HKCU\..\..\Explorer\MountPoints2\{6820a0ab-4ed4-11df-9e6a-0013d3d605a9}
Shell\AutoRun\command =I:	whvna.exe 
Shell\open\Command =I:	whvna.exe 

HKCU\..\..\Explorer\MountPoints2\{68fba771-02a0-11df-9e28-0013d3d605a9}
Shell\AutoRun\command =I:\mh.exe 
Shell\open\Command =I:\mh.exe 

HKCU\..\..\Explorer\MountPoints2\{716bd30b-c4af-11de-9e02-0013d3d605a9}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs

HKCU\..\..\Explorer\MountPoints2\{8e2dce97-ab6e-11de-9df7-0013d3d605a9}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs

HKCU\..\..\Explorer\MountPoints2\{a1b7a5e3-db81-11de-9e09-0013d3d605a9}
Shell\AutoRun\command =E:\q3kku.exe 
Shell\open\Command =E:\q3kku.exe 

HKCU\..\..\Explorer\MountPoints2\{a92cda45-cd0e-11de-9e05-0013d3d605a9}
Shell\AutoRun\command =I:\ggpw.exe 
Shell\open\Command =I:\ggpw.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.113 ! |

marc1301 · Answer

jolie collection !! ;-)



* Double clic sur "UsbFix.exe" présent sur ton bureau .

* Choisis l' option F pour français et et tape sur [entrée] .

* choisis l'option 2 ( Suppression ) et tape sur [entrée].

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )





-----------------ensuite 




Télécharge la dernière version de ZHPDiag : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint : http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

thomasgal · Answer

############################## | UsbFix V6.113 |

User : Pascale (Administrateurs) # 6BD9D40A28234F7
ok voici laborieusement le .txt
j'ai du le faire 2 fois l'ordi était bloqué (enfin je l'ai considéré comme tel apres 15 minutes a 50pourcent sur le meme fichier celui de antivir que je venais de supprimer sans redemarrer)

j'attaque la suite mais je poste directement le.txt afin de ne pas le perdre en route
merci

Update on 12/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:33:11 | 13/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

C:\ -> Disque fixe local # 186,3 Go (150,41 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 3,73 Go (14,31 Mo free) [PASCALE] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1078081533-1060284298-1801674531-1003 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[29/05/2009 19:51|--a------|26897264] C:\adobe-reader-acrobat_adobe_reader_acrobat_9.1_francais_13628.exe 
[28/05/2009 16:08|--a------|0] C:\AUTOEXEC.BAT 
[28/05/2009 19:43|---hs----|212] C:\boot.ini 
[07/09/2002 02:00|-rahs----|4952] C:\Bootfont.bin 
[28/05/2009 16:08|--a------|0] C:\CONFIG.SYS 
[17/03/2010 17:55|-r-hs----|116224] C:\g2.bat 
[28/05/2009 16:08|-rahs----|0] C:\IO.SYS 
[09/06/2009 19:38|--a------|607640] C:\jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe 
[08/01/2010 20:41|-r-hs----|114688] C:\ljy.exe 
[08/01/2010 18:24|-r-hs----|120320] C:\mltox.exe 
[28/05/2009 16:08|-rahs----|0] C:\MSDOS.SYS 
[13/04/2008 09:43|-rahs----|47564] C:\NTDETECT.COM 
[13/04/2008 11:31|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[13/05/2010 16:36|--a------|1834] C:\UsbFix.txt 
[13/05/2010 08:18|-r-hs----|112640] C:\xjb3.exe 
[22/11/2008 15:44|--ah-----|4096] J:\._.Trashes 
[15/02/2009 10:45|--ah-----|6148] J:\.DS_Store 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_6BD9D40A28234F7.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.113 ! |

thomasgal · Answer

oui j'ai uploadé le fichier, mais il dit "vous ne pouvez pas uploader des fichiers dont la taille est plus grande que 2000 ko" et il fait 7.8 Mo (le .zip)

voici le lien cijoint, pour ZHP

http://www.cijoint.fr/cjlink.php?file=cj201005/cijfwnpxN8.txt

je peux faire autrement pour  envoyer le rapport de usb fix au site?
le couper en morceau ?

marc1301 · Answer

ok bon   

peux tu me déposer le fichier    C:\UsbFix_Upload_Me_6BD9D40A28234F7.zip      par cijoint stp  

http://www.cijoint.fr/  

et me faire parvenir le lien d'accès

je le ferais parvenir au concepteur de l'outil pour analyse  


Rends toi sur ce site :  

https://www.virustotal.com/gui/  

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) : un seul dossier a fois : 


C:\g2.bat   

C:\ljy.exe   

C:\mltox.exe   

C:\xjb3.exe   


Clique sur Send File ( = " Envoyer le fichier " ).  

Un rapport va s'élaborer ligne à ligne.  

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.  

Sauvegarde le rapport avec le bloc-note.  

Copie le dans ta prochaine réponse ...  

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )  

petit tuto > https://www.commentcamarche.net/

thomasgal · Answer

ok 
voici deja  le fichier et le lien cijoint pour le rapport usbfix
http://www.cijoint.fr/cjlink.php?file=cj201005/cijF9mvJC0.zip

pour l'instant dans parcourir je ne trouve pas les fichiers a transmettre a virus total

thomasgal · Answer

bonjour

ca y est je voie les fichiers cachés

mais il n'y en avait qu'un des quatre
ljy.exe

et impossible de l'envoyer car vieux fichiers selon virus total

puis avast l'a mis en quarantaine et le fichier a disparu.

entre hier soir et ce matin, ma mere  (c'est son ordi) a utilsé et etteint l'ordi

je ne sais pas si ca peut avoir une incidence

quand je fait rechercher ljy.exe par exemple rien n'es trouvé non plus ?

que dois je faire

merci encore pour l'aide

thomasgal · Answer

voici le usbfix  option 1 
mais faut il telecharger une mise a jour avant ?


est ce que je fais la suite, usb fix otpion 2 et zh diag ou pas ?



############################## | UsbFix V6.113 |

User : Pascale (Administrateurs) # 6BD9D40A28234F7
Update on 13/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:39:32 | 14/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

C:\ -> Disque fixe local # 186,3 Go (149,85 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
J:\ -> Disque amovible # 3,73 Go (14,3 Mo free) [PASCALE] # FAT32

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | ! Fin du rapport # UsbFix V6.113 ! |

thomasgal · Answer

lien pour le fichier ZHP diag
http://www.cijoint.fr/cjlink.php?file=cj201005/cijdb1rFjT.txt

marc1301 · Answer

ok on va continuer avec Malwaresbytes anti-malwares



1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

http://www.malwarebytes.org/mbam-download.php

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse complète" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

thomasgal · Answer

par contre je n'avais pas reussi a eteindre entierement avast qui a fait plusieurs alertes 
et sa quarantaine est toujours pleine

je ne sais pas si ca a une importance ?

thomasgal · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4099

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14/05/2010 16:16:07
mbam-log-2010-05-14 (16-16-07).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 184527
Temps écoulé: 32 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

marc1301 · Answer

Quand tu as recommencé la manip avec usbfix, tu l'avais re-telechargé ?

Ou tu as simplement exécuter a nouveau la version que tu avais déja ?

thomasgal · Answer

je l'avais retelechargé

thomasgal · Answer

le rapport est vide , il n'y a eu "aucun virus de détecté".

thomasgal · Answer

Bonjour 

j'ai refait un scan avast ne voit plus rien  
et il ne semble plus y avoir de problème sur l'ordinateur. 
c'est fini ? 

Plusieurs personnes ont été infecté en passant par cette ordi  
je ne suis pas sur d'avoir compris toutes les etapes  

ce que j'ai l'impression d'avoir compris 

le virus est dans un fichier autorun (fichier qui lance les applis automatiquement lorsque l'on branche un support usb) 
il installe un autorun sur chaque nouveau support usb mis dans l'ordi ou sur chaque nouvelle ordi 
sauf si un autorun existe deja ? (c'est la vaccination de usbfix?) 

par contre je ne voit pas ce que l'on fait avec usbfix et zhdiag et malware pour supprimer 
pourquoi faut il les trois (ils agissent sur des points differents ?) 

enfin je ne suis pas sur de ce qu'on cherche a lire dans les rapports. 

Tous ca pour dire que je ne suis pas sur de pouvoir aider les gens infectés en passant par cet ordi. 
Est ce que je peux leur dire de suivre la demarche de  ce post 

ou est que c'est un demarche sur mesure en fonction des rapports  
et dans ce cas faut il qu'ils ouvrent un nouveau post avec leur rapport ? 


En tout cas, si c'est fini merci beaucoup pour l'aide, sa rapidité et son éfficacité, ce virus semblait trainer depuis très longtemps sur l'ordi.

marc1301 · Answer

bonjour, de rien ;-) 

voici pour terminer correctement la désinfection 


I) toolscleaner vas supprimer les outils utilisés pour la désinfection 



Télécharge ToolsCleaner2 

--> http://pc-system.fr/ 

-Une fois téléchargé, installe-le et lance-le 
-Clique sur Recherche et laisse le scan se terminer 
-Clique sur SUPPRESSION 
-Clique sur Quitter pour que le rapport puisse se créer 
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt 
Note : si certains outils reste sur ton pc, il faut les supprimer manuellement 



-------------------------- 

II) nettoyage 

1) Télécharger et installer CCleaner. 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

Décoche pendant l'installation 
--- Les deux cases "Ajouter l'option ... " 
--- Contrôler les mises à jour 
--- Ajouter la Barre d'Outils Yahoo! CCleaner sur PC Astuces">CCleaner 

Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Ne touche pas aux autres réglages. 


2) Nettoyage avec ccleaner 

Dans le menu" Nettoyeur" 

Clique sur le bouton "Lancer le nettoyage". 
Fais cela 3 fois d'affilées 

ensuite dans le menu registre 

Clique sur chercher les erreurs, une fois l'analyse terminée, clique sur corriger les erreur, accepte d'effectuer la sauvegarde. 
Fais cela 3 fois d'affilées 

puis ferme CCleaner 


-------------------------------------- 

III) purge ta restauration système 


ensuite désactive puis réactive la restauration système afin de purger les nuisible qui peuvent s'y cacher voici un tutoriel afin d'exécuter la manip 

http://www.libellules.ch/desactiver_restauration.php   




-------------------------------------------------- 


Ton pc présentait plusieurs infection du même types qui se transmettent via support amovibles, par conséquent tout support amovibles ayant été connectés a ton pc se  retrouves infectés afin de propager l'infection et ainsi l'étendre a différents  pc où les fameuses clés ou dd , .... se retrouvent insérées. 

usbfix est un outil qui traite se type d'infections ( il crée un autorun non infectieux en en fin de travail afin de vacciner ton pc)

zhp est un outil de diagnostique qui effectue un rapport précis des programmes, drivers, ... installés sur ton pc  

Malwaresbytes est un anti-malwares (anti-malwares englobe virus, trojans, logiciels espions, rogues, ....) 

En règle générale un intrus en appel un autre et ainsi de suite, dans ton cas ton pc ne présentait qu'un type d'infection, mais chaque infections est différente, donc chaque désinfection l'est aussi. 

Par conséquent, il serait bien que les personnes ayant étés infectées se rendent sur un forum de désinfection afin de nettoyer leurs machines, du moins contrôler qu'il n'y a pas d'infections et dans le cas contraire entamer une désinfection.

Si ta version de avast n'est pas la version 5 il faut que tu change ton antivirus pour protéger ton pc.

Tu peux mettre le statu du poste en résolu si tu n'as plus de soucis ou question.

thomasgal · Answer

Bonjour 
n'étant plus chez ma mere je lui ai dit de faire elle meme ces démarches,
elle devrait le faire cette apres midi.

j'ai par contre une autre question

j'ai 2 diqsque dur externe USB (mais je suis sous mac) 

l'un avait 2 fichiers . exe bizarre vérouillés que j'ai enlevé ainsi que le fichier autorun.

Sur l'autre j'ai un doute 
il y a un autorun.inf dont le script est de lancer dmgr.exe (dans recycler32)
Est-ce forcement un virus ou le script normal de mon DD externe

il y a aussi un winrun.vbs le dossier recycled et recycled32 meme question.

Je me demande si ce sont vraiment des virus ou si ils sont normaux car je ne voit pas sur ce DD d'autre .exe
sauf 4 qui semblent normaux (vu leurs noms )



donc a aucun moment ca ne lance autre chose autre que ce dmgr


De plus est ce que suprimer et vider la corbeille depuis mon mac suffira a ne pas infecter les ordinateurs PC ou je connecterai mes DDexternes.
ou est ce que je ne nettoie rien en vrai 

Dans l'autre 
j'ai enlevé un autorun.inf qui ouvrai des elements appelé severina et un aleluya.exe
que j'ai aussi mis a la corbeille mais est ce vraiment suffisant ?
Je n'arriva d'ailluersq pas a enlever le dossier severina (vide , j'ai enlevé son contenu)

sinon est ce que je peux desinfecter depuis mon mac ?

j'au aussi crée un autorun.inf vide dan le DD ca a une chance d'empecher d'autre contamination ou pas ?

 

Merci

marc1301 · Answer

bonjour ton DD est bien infecté, il faut le rebrancher sur un pc équipé Windows afin de le désinfecter a l'aide d'usbfix 

voici ou tu pourras a l'avenir analyser les fichiers qui te sembles douteux, il utilise plusieurs bases virales différentes afin de pouvoir répondre a tes questions.

Poste dés que tu le peux le rapport d'usbix option 1 (recherche) afin de nettoyer ton disque dure.

thomasgal · Answer

Bon en fait j'ai tout enlevé (les autorun)

j'ai aussi enlevé les system volumes informations (pour pas de restauration)

il y a certains dossier vide que je n'arrive pas a supprimer 

mais je vais brancher les dd sur un pc portable probablement infecter aussi 

telecharger usbfix, faire unscan et poster le rapport, sauf contre odre ?

desolé de revenir avec de nouveau probleme alors que la fin semblait proche.

merci

thomasgal · Answer

je viens de voir votre reponse mon dernier post ne sert donc a rien

marc1301 · Answer

pas de soucis, je suis dispo ;-)   

________________________________________________________________ 

Division du poste en deux nous attaquons "Pc numeros 2"  


Oui, on va recommencer pour le portable infecté avec tout tes DD externes et tes cles usb (enfin, on va contrôler ;-)   


https://forums.commentcamarche.net/forum/affich-17715887-aide-virus-anna-i-liebe-chxnxyx-winrun-autoru#1

thomasgal · Answer

voici le rapport de usbfix option 1 pour les nouveau DD il y en a 3 plus l'ordi

############################## | UsbFix V6.114 |

User : Cécile () # CILOU
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:04:03 | 19/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T7200  @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16916
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 090318-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 108,06 Go (43,45 Go free) [SYSTEM] # NTFS
D:\ -> Disque fixe local # 289,8 Go (131,76 Go free) [CILOU] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [U3 System] # CDFS
H:\ -> Disque fixe local # 298,02 Go (571,41 Mo free) [CILOUPETIT] # FAT32
I:\ -> Disque amovible # 3,71 Go (1,75 Go free) [CILOUTO2] # FAT32

################## | Elements infectieux |

C:\Users\CCILE~1\AppData\Local\Temp\ytb.exe  
C:\Driver\Desktop.ini  
C:\driver  
D:\RECYCLER32  
D:\SEVERINA  
G:\autorun.inf  
H:\RECYCLER32  
H:\SEVERINA  
I:\RECYCLER32\desktop.ini  
I:\RECYCLER32\dmgr.exe  
I:\RECYCLER32  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\D
shell\AutoRun\command =D:\q3kku.exe 
shell\open\Command =D:\q3kku.exe 

HKCU\..\..\Explorer\MountPoints2\F
shell\AutoRun\command =F:\wd_windows_tools\setup.exe 

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\wd_windows_tools\setup.exe 

HKCU\..\..\Explorer\MountPoints2\{1e87aa33-c424-11dc-af48-001636e61453}
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{2b94dbba-e6d4-11de-880e-001636e61453}
shell\AutoRun\command =D:\ 
shell\open\command =RECYCLER32\dmgr.exe 

HKCU\..\..\Explorer\MountPoints2\{4b02c729-9ce5-11dc-b162-001636e61453}
shell\AutoRun\command =F:\AutoTransfer.exe 

HKCU\..\..\Explorer\MountPoints2\{55aeaee8-fffe-11db-958f-001636e61453}
shell\AutoRun\command =G:\LaunchU3.exe 

HKCU\..\..\Explorer\MountPoints2\{8a29cb2f-3496-11dc-a943-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{917185c2-fccd-11de-9d26-001636e61453}
shell\AutoRun\command =G:\cs6phv6d.exe 
shell\open\Command =G:\cs6phv6d.exe 

HKCU\..\..\Explorer\MountPoints2\{a6764e22-f419-11db-89f9-001636e61453}
shell\AutoRun\command =D:\RECYCLER32\dmgr.exe 
shell\open\command =D:\RECYCLER32\dmgr.exe 

HKCU\..\..\Explorer\MountPoints2\{ac1ba01a-d7e2-11dc-9701-001636e61453}
shell\AutoRun\command =G:\LaunchU3.exe 

HKCU\..\..\Explorer\MountPoints2\{dff2f6ff-79ae-11dc-bb3e-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{ee15251f-99c1-11dc-80a8-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe maskrider.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{f0ebea2d-e2e4-11dc-9449-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.114 ! |

marc1301 · Answer

bonsoir, le rapport est bien chargé en infections, je pense que la source viens bien de ce pc et tu as du infecter l'autre par le biais de tes supports externe.

donc on va supprimer et ensuite on contrôlera qu'il n'y ai pas d'autres infections a l'aide de zhpdiag.

donc tu connais la manip ;-)  (lol) 


https://forums.commentcamarche.net/forum/affich-17715887-aide-virus-anna-i-liebe-chxnxyx-winrun-autoru#4

thomasgal · Answer

ok voici usbfix manip 2
j'ai uploadé le fichier

voici le rapport 

je pense faire zhpdiag demain matin 

merci a demain

############################## | UsbFix V6.114 |

User : Cécile () # CILOU
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:42:48 | 19/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T7200  @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090318-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 108,06 Go (43,65 Go free) [SYSTEM] # NTFS
D:\ -> Disque fixe local # 289,8 Go (131,76 Go free) [CILOU] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [U3 System] # CDFS
H:\ -> Disque fixe local # 298,02 Go (571,41 Mo free) [CILOUPETIT] # FAT32
I:\ -> Disque amovible # 3,71 Go (1,75 Go free) [CILOUTO2] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pyl2CD9.tmp.exe 
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pylA6BA.tmp.exe 
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pylB598.tmp.exe 
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pylEE25.tmp.exe 
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\ytb.exe 
Supprimé ! C:\Driver\Desktop.ini 
Supprimé ! C:\driver 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1382937768-4149364846-1490369287-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3039551642-2154476523-1944139931-500 
Supprimé ! D:\RECYCLER32 
Supprimé ! D:\SEVERINA 
Supprimé ! H:\RECYCLER32 
Supprimé ! H:\SEVERINA 
Supprimé ! I:\RECYCLER32\desktop.ini 
Supprimé ! I:\RECYCLER32\dmgr.exe 
Supprimé ! I:\RECYCLER32 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{1e87aa33-c424-11dc-af48-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{2b94dbba-e6d4-11de-880e-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{4b02c729-9ce5-11dc-b162-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{55aeaee8-fffe-11db-958f-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8a29cb2f-3496-11dc-a943-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{917185c2-fccd-11de-9d26-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{a6764e22-f419-11db-89f9-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ac1ba01a-d7e2-11dc-9701-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{dff2f6ff-79ae-11dc-bb3e-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ee15251f-99c1-11dc-80a8-001636e61453}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f0ebea2d-e2e4-11dc-9449-001636e61453}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[06/12/2006 10:23|--a------|15] C:\appinst.cmd 
[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr 
[21/02/2007 10:30|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[21/02/2007 11:36|-rahs----|0] C:\IO.SYS 
[21/02/2007 11:36|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[21/02/2007 10:32|--a------|1178] C:\Prodlog.txt 
[12/05/2007 12:06|--a------|90] C:\Setup.log 
[09/11/2006 16:05|--a------|42] C:\sort-d.txt 
[19/05/2010 23:18|--a------|3804] C:\UsbFix.txt 
[14/11/2006 09:42|--a------|15] C:\vtype.cmd 
[28/11/2009 11:05|--ah-----|4096] D:\._.Trashes 
[28/11/2009 18:41|--ah-----|4096] D:\._Monaghan_Science2006_more.pdf 
[10/04/2009 18:04|--ah-----|0] D:\.com.apple.timemachine.supported 
[27/11/2009 22:44|--ah-----|6148] D:\.DS_Store 
[16/10/2009 20:18|--ah-----|393216] D:\.hotfiles.btree 
[29/11/2009 14:47|--ah-----|4096] D:\._.hotfiles.btree 
[08/01/2008 12:34|--a------|664877056] D:\Gad Elmaleh - La vie normale.avi 
[11/02/2010 16:19|--a------|5700] D:\R'ponseChristophe-11-Fev-2010.rtf 
[02/01/2007 12:18|--a------|632639488] D:\Laurel and Hardy Bonnie Scotland 1935.avi 
[01/02/2009 17:32|--a------|733689856] D:\Mesrine L'Ennemi Public Numero 1 (Partie 2).avi 
[06/02/2009 17:44|--a------|733714432] D:\Mesrine L'Instinct De Mort (Partie 1).avi 
[23/03/2010 16:12|--ah-----|4096] D:\._.TemporaryItems 
[04/12/2009 19:52|--a------|3418] H:\3_Decembre.rtf 
[04/12/2009 19:55|--ah-----|4096] H:\._3_Decembre.rtf 
[07/12/2009 07:14|--a------|6409] H:\Astrolabe.rtf 
[07/12/2009 07:17|--ah-----|4096] H:\._Astrolabe.rtf 
[27/12/2009 20:40|--ah-----|4096] H:\._.Trashes 
[16/02/2010 20:07|--a------|490] H:\BackPackHobart.txt 
[18/01/2010 11:29|--ah-----|4096] H:\._.TemporaryItems 
[03/12/2009 22:27|--a------|1590] H:\SkyFile.lnk 
[27/12/2009 09:56|--a------|9421312] H:\Bkant10(glace bleue).XLS 
[29/08/2007 17:07|--ah-----|82] I:\._nouv.tex 
[23/03/2008 20:45|--ah-----|4096] I:\._le-monde-selon-monsanto-arte_1500.wmv 
[13/02/2006 21:09|-ra------|921600] I:\LaunchU3.exe 
[02/04/2008 21:36|--ah-----|82] I:\._anatole.rtf 
[02/04/2008 21:51|--ah-----|1420] I:\._anatole-t.rtf 
[19/05/2010 22:32|--a------|3260] I:\BOOTEX.LOG 
[11/02/2009 22:45|--ah-----|4096] I:\._.Trashes 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_Cilou.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.114 ! |

thomasgal · Answer

voici le .txt de zhp diag

http://www.cijoint.fr/cjlink.php?file=cj201005/cijerLx6AV.txt

thomasgal · Answer

par contre il y a quelque chose que je ne comprends pas 
je ne vois que 2 support externe alors que j'en ai 3 2 dd et une cle usb 

l'un est il manquant ? (le I est écrit not inserted alors qu'il devrait l'etre)

merci

marc1301 · Answer

ok, ton pc portable est très infecté, tu as plusieurs infections sévères, certains fichiers systeme ont étés patchés, on continus  





Télécharge de AD-Remover de Cyrildu17 / C_XX) sur ton Bureau. 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

/!\ Déconnecte-toi et ferme toutes applications en cours /!\ 

- Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files). 
- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Au menu principal, choisis l'option "A". 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : 

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

thomasgal · Answer

Il n'y avait pas d'option A mais choix entre scanner et autre donc j'ai fait scanner

voici le rapport

Les problemes sur cette ordi sont plus grave ?

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:12:38 le 20/05/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) Édition Familiale Premium  ( - X86)
Nom du PC: CILOU (FUJITSU SIEMENS Amilo Si 1520)
Utilisateur actuel: Cécile
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\Program Files\ShoppingReport
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EoRezo
C:\Users\Cécile\AppData\LocalLow\ShoppingReport
C:\Users\Cécile\AppData\Roaming\EoRezo
C:\Users\Cécile\AppData\Roaming\ItsLabel
.
HKCU\Software\AppDataLow\Software\ShoppingReport
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
HKCU\Software\ShoppingReport
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\shoppingreport.hbax
HKLM\Software\Classes\shoppingreport.hbax.1
HKLM\Software\Classes\shoppingreport.hbinfoband
HKLM\Software\Classes\shoppingreport.hbinfoband.1
HKLM\Software\Classes\shoppingreport.iebutton
HKLM\Software\Classes\shoppingreport.iebutton.1
HKLM\Software\Classes\shoppingreport.iebuttona
HKLM\Software\Classes\shoppingreport.iebuttona.1
HKLM\Software\Classes\shoppingreport.rprtctrl
HKLM\Software\Classes\shoppingreport.rprtctrl.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}
HKLM\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}
HKLM\Software\EoRezo
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\ShoppingReport
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.12 (fr) *
.
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.dir: C:\Users\CÃ©cile\Documents\ThÃ¨se LGGE\Carottes courtes
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.lastDir: C:\Users\CÃ©cile\Desktop\Vacations\Stat-Carto_L2\2009-2010\TD5\ElÃ¨ves
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaulturl: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.selectedEngine: DAEMON Search
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - keyword.URL: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
.
.
* Internet Explorer Version 7.0.6000.17037 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
Search Page: hxxp://home.microsoft.com/access/allinone.asp
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://lo.st
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 4556 Octet(s)
.
Fin à: 10:23:06, 20/05/2010
.
============== E.O.F - SCAN[1] ==============

marc1301 · Answer

oui pardon, je me suis trompé ;-)

voici pour lancer la suppression 



/!\ Déconnecte-toi et ferme toutes applications en cours /!\


Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option f pour la langue.

lit l'avertissement et accepte

Puis choisis Nettoyer , le programme va travailler.

Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.log)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)

thomasgal · Answer

voici le rapport du clean

merci du temps passé pour mon ordi



.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:49:36 le 20/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) Édition Familiale Premium  ( - X86)
Nom du PC: CILOU (FUJITSU SIEMENS Amilo Si 1520)
Utilisateur actuel: Cécile
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\Program Files\ShoppingReport
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EoRezo
C:\Users\Cécile\AppData\LocalLow\ShoppingReport
C:\Users\Cécile\AppData\Roaming\EoRezo
C:\Users\Cécile\AppData\Roaming\ItsLabel

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\Software\ShoppingReport
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
HKCU\Software\ShoppingReport
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\shoppingreport.hbax
HKLM\Software\Classes\shoppingreport.hbax.1
HKLM\Software\Classes\shoppingreport.hbinfoband
HKLM\Software\Classes\shoppingreport.hbinfoband.1
HKLM\Software\Classes\shoppingreport.iebutton
HKLM\Software\Classes\shoppingreport.iebutton.1
HKLM\Software\Classes\shoppingreport.iebuttona
HKLM\Software\Classes\shoppingreport.iebuttona.1
HKLM\Software\Classes\shoppingreport.rprtctrl
HKLM\Software\Classes\shoppingreport.rprtctrl.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}
HKLM\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}
HKLM\Software\EoRezo
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\ShoppingReport
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.12 (fr) *
.
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.dir: C:\Users\CÃ©cile\Documents\ThÃ¨se LGGE\Carottes courtes
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.lastDir: C:\Users\CÃ©cile\Desktop\Vacations\Stat-Carto_L2\2009-2010\TD5\ElÃ¨ves
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaulturl: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.selectedEngine: DAEMON Search
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - keyword.URL: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
.
.
* Internet Explorer Version 7.0.6000.17037 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 46 Fichier(s)
C:\Ad-Remover\Backup: 17 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 4782 Octet(s)
C:\Ad-Report-SCAN[1].txt - 4680 Octet(s)
.
Fin à: 10:58:01, 20/05/2010
.
============== E.O.F - CLEAN[1] ==============

marc1301 · Answer

tu me remerciera quand se seras fini ;-))

bon, on va attaquer la vilaine grosse bête 

I) désactiver l' UAC


* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


-----------------------------------------


II) Combofix



Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure 


tutoriel combofix ( a lire avant d'exécuter l'outil )

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com


Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :


? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


? Effectue un clique droit sur l'icône de Combofix.exe puis exécuter en tant qu'administrateur afin de lancer l'outil.


? L'installation de la console de récupération va t'être proposé, accepte et installe la console de récupération de Windows

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scanne il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

thomasgal · Answer

combo fixe me dit que avast tourne sur mon ordi mais je ne le vois pas dans mes programmes ni dans les processus actifs
 je continue ou pas ?

thomasgal · Answer

et voici pour combo fix

ComboFix 10-05-19.02 - Cécile 20/05/2010  12:15:06.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6000.0.1252.33.1036.18.2038.1290 [GMT 2:00]
Lancé depuis: c:\users\Cécile\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090318-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1296 [VPS 090318-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Spyware Doctor *disabled* (Updated) {1C3EDD79-273E-46ac-99F8-EFA9E7CBC301}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\setup.exe
c:\program files\QUAD Utilities
c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
c:\program files\Setup.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-20 au 2010-05-20  ))))))))))))))))))))))))))))))))))))
.

2010-05-20 08:05 . 2010-05-20 08:57	--------	d-----w-	C:\Ad-Remover
2010-05-20 07:19 . 2010-05-20 07:24	--------	d-----w-	c:\program files\ZHPDiag
2010-05-20 01:12 . 2010-02-12 10:49	293376	----a-w-	c:\windows\system32\browserchoice.exe
2010-05-19 21:18 . 2010-05-19 21:18	370459	----a-w-	C:\UsbFix_Upload_Me_Cilou.zip
2010-05-19 20:03 . 2010-05-19 21:18	--------	d-----w-	C:\UsbFix
2010-05-19 14:35 . 2010-05-19 14:35	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-05-19 13:58 . 2010-02-23 13:14	211968	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2010-05-19 13:58 . 2010-02-23 13:14	58368	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2010-05-19 13:58 . 2010-02-23 13:14	102400	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-05-19 13:58 . 2010-02-18 14:34	3504008	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-05-19 13:58 . 2010-02-18 14:34	3470216	----a-w-	c:\windows\system32
toskrnl.exe
2010-05-19 13:58 . 2010-03-04 19:24	434176	----a-w-	c:\windows\system32\vbscript.dll
2010-05-19 13:50 . 2010-01-13 18:23	97792	----a-w-	c:\windows\system32\cabview.dll
2010-05-19 13:49 . 2009-12-23 12:45	171520	----a-w-	c:\windows\system32\wintrust.dll
2010-05-19 13:13 . 2008-07-27 18:00	96760	----a-w-	c:\windows\system32\dfshim.dll
2010-05-19 13:13 . 2008-07-27 18:00	282112	----a-w-	c:\windows\system32\mscoree.dll
2010-05-19 13:13 . 2008-07-27 18:00	41984	----a-w-	c:\windows\system32
etfxperf.dll
2010-05-19 13:12 . 2008-07-27 18:00	158720	----a-w-	c:\windows\system32\mscorier.dll
2010-05-19 13:12 . 2008-07-27 18:00	83968	----a-w-	c:\windows\system32\mscories.dll
2010-05-19 13:11 . 2010-02-20 23:54	24064	----a-w-	c:\windows\system32
shhttp.dll
2010-05-19 13:10 . 2010-02-20 23:51	31232	----a-w-	c:\windows\system32\httpapi.dll
2010-05-19 13:10 . 2010-02-20 21:30	396800	----a-w-	c:\windows\system32\drivers\http.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-20 10:17 . 2006-11-02 15:48	690832	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-20 10:17 . 2006-11-02 15:48	117572	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-20 01:32 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-05-20 01:16 . 2007-05-02 16:56	--------	d-----w-	c:\programdata\Microsoft Help
2010-05-20 01:08 . 2007-02-21 16:10	--------	d-----w-	c:\program files\Microsoft Works
2010-05-19 13:04 . 2007-05-04 15:48	--------	d-----w-	c:\programdata\Google Updater
2010-05-06 08:36 . 2009-10-04 08:38	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-03-09 16:54 . 2010-05-19 13:57	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-09 16:50 . 2010-05-19 13:57	56320	----a-w-	c:\windows\system32\iesetup.dll
2010-03-09 16:50 . 2010-05-19 13:57	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-09 16:50 . 2010-05-19 13:57	52736	----a-w-	c:\windows\AppPatch\iebrshim.dll
2010-03-09 16:48 . 2010-05-19 13:57	72704	----a-w-	c:\windows\system32\admparse.dll
2010-03-09 14:17 . 2010-05-19 13:57	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2010-03-09 12:43 . 2010-05-19 13:57	48128	----a-w-	c:\windows\system32\mshtmler.dll
2007-05-29 13:53 . 2007-05-29 13:53	217	----a-w-	c:\program files\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w-	c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w-	c:\program files\instmsia.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"Google Update"="c:\users\Cécile\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-06-09 133104]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]

c:\users\C'cile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2006-10-12 421888]
VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2009-5-28 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1382937768-4149364846-1490369287-1000]
"EnableNotificationsRef"=dword:00000002

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-11-18 717296]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers
pf.sys [2007-06-29 42512]
S1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [2009-11-08 7040]
S2 ABBYY.Licensing.FineReader.Professional.9.0;Service de licence ABBYY FineReader 9.0;c:\program files\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-09-24 566560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2008-11-26 51792]
S2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2010-05-20 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-04 16:10]

2010-05-20 c:\windows\Tasks\User_Feed_Synchronization-{D057D4F9-1F19-4139-BD0E-189AE283F1A3}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local;<local>
uInternet Settings,ProxyServer = www-cache.ujf-grenoble.fr:3128
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Ajouter Ameliste - https://www.ameliste.fr
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Cécile\AppData\Roaming\Mozilla\Firefox\Profiles\o87ui4fo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592
pCIDetect13.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-20 12:26
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-05-20  12:30:18
ComboFix-quarantined-files.txt  2010-05-20 10:30

Avant-CF: 48 841 981 952 octets libres
Après-CF: 48 783 917 056 octets libres

- - End Of File - - E078D984933C9A12742BA77810516E0C

marc1301 · Answer

bien, poste moi stp un nouveau rapport ZHPdiag tout frais

thomasgal · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cij5hgcVra.txt

le voila

marc1301 · Answer

bien, c'est en bonne voie, concernant les fichiers systèmes patchés, cela me semble être un faux positif, tans mieux ;-)

on va continuer avec malwaresbytes anti malwares


https://forums.commentcamarche.net/forum/affich-17715887-aide-virus-anna-i-liebe-chxnxyx-winrun-autoru#17

thomasgal · Answer

voici le rapport malware assez long a obtenir

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4120

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

20/05/2010 16:10:35
mbam-log-2010-05-20 (16-10-35).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 498279
Temps écoulé: 2 heure(s), 5 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoEngine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv\EoAdv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
D:\Archive ANTARCTIQUE\Utile\TrucsNavid\Mathematica 7\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Films\Movies\Films Montagne\leslie fuscko\System\Apps\33A503B8-7D4B-4106-84A5-07A5C7F0CA51\Exec\LangRes_ITA.dll (Trojan.Spambot) -> Quarantined and deleted successfully.
I:\System\Apps\33A503B8-7D4B-4106-84A5-07A5C7F0CA51\Exec\LangRes_ITA.dll (Trojan.Spambot) -> Quarantined and deleted successfully.

thomasgal · Answer

le ZHdiag

http://www.cijoint.fr/cjlink.php?file=cj201005/cij4hHYbjG.txt

thomasgal · Answer

pour se connecter a l'université il faut un proxy que j'ai configuré
donc j'ai 2 connections differentes pour la fac ou chez moi 

je n'ai rien fait d'autre

je ne sais pas si ca repond a la question

il y a un probleme ?

marc1301 · Answer

ok, il faudra peu être que tu reconfigure ton proxy pour l'université (a voire) 


voici la suite ;-) 



copie ce texte 


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local> 


effectue un clique droit sur l'icone de zhpfix se trouvant sur ton bureau, puis exécuter en tant qu'administrateur pour lancer zhpfix 

dans l'interface de zhpfix clique sur l'icone  H (coller les lignes helper) 
Valide par ok 
coche la case devant la ligne 
Clique sur nettoyer 

---------------------------------------- 

ensuite on va nettoyer les outils utilisés pour ta désinfection a l'aide de tools cleaner 


I) toolscleaner vas supprimer les outils utilisés pour la désinfection 



Télécharge ToolsCleaner2 

--> http://pc-system.fr/ 

-Une fois téléchargé, installe-le et lance-le 
-Clique sur Recherche et laisse le scan se terminer 
-Clique sur SUPPRESSION 
-Clique sur Quitter pour que le rapport puisse se créer 
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt 
Note : si certains outils reste sur ton pc, il faut les supprimer manuellement 



-------------------------- 

II) nettoyage 

1) Télécharger et installer CCleaner. 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

Décoche pendant l'installation 
--- Les deux cases "Ajouter l'option ... " 
--- Contrôler les mises à jour 
--- Ajouter la Barre d'Outils Yahoo! CCleaner sur PC Astuces">CCleaner 

Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Ne touche pas aux autres réglages. 


2) Nettoyage avec ccleaner 

Dans le menu" Nettoyeur" 

Clique sur le bouton "Lancer le nettoyage". 
Fais cela 3 fois d'affilées 

ensuite dans le menu registre 

Clique sur chercher les erreurs, une fois l'analyse terminée, clique sur corriger les erreur, accepte d'effectuer la sauvegarde. 
Fais cela 3 fois d'affilées 

puis ferme CCleaner  



-------------------------------- 

III) scanne en ligne a l'aide d'Internet explorer 

-scanne en ligne :  https://www.eset.com/ 

-tutoriel : https://www.donnemoilinfo.com/sujet/Malware/eset-analyse.php

thomasgal · Answer

le scan est tres long (seulement 20 % en 1 heure) et demain matin je doit debrancher les disques durs externes

y'a t il  d'autre manip, en supposant un scan négatif  qu'il faut que je fasse avant pour finir la desinfection ?

Aide virus anna i liebe chxnxyx winrun autoru

44 réponses

Discussions similaires