VIrus : win32/small.gen!I
Résolu/Fermé
alienus
-
25 mai 2010 à 13:32
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 30 mai 2010 à 18:53
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 30 mai 2010 à 18:53
Bonjour, suis sous vista et j'ai ce virus moi aussi win32/small.gen!I et j'ai fais un rapport RIS, a qui puis jel'envoyer pour savoir ce qu'il convient de faire.
Merci
Merci
A voir également:
- VIrus : win32/small.gen!I
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Virus mcafee - Accueil - Piratage
- Tinyurl.com virus - Forum Virus
50 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
25 mai 2010 à 13:56
25 mai 2010 à 13:56
Bonjour,
On va faire autrement.
Télécharge ZHPDiag sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
On va faire autrement.
Télécharge ZHPDiag sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
25 mai 2010 à 15:46
25 mai 2010 à 15:46
OK.
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16967CB9-70AB-A1C2-1117-717130B71B96}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"otbvtzkhhdowfown"=-
:files
c:\windows\system32\yrrpiepsxwasf.dll
:commands
[purity]
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16967CB9-70AB-A1C2-1117-717130B71B96}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"otbvtzkhhdowfown"=-
:files
c:\windows\system32\yrrpiepsxwasf.dll
:commands
[purity]
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
alienus
Messages postés
24
Date d'inscription
lundi 27 avril 2009
Statut
Membre
Dernière intervention
20 avril 2020
25 mai 2010 à 18:36
25 mai 2010 à 18:36
Voici le rapport :
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16967CB9-70AB-A1C2-1117-717130B71B96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\otbvtzkhhdowfown deleted successfully.
========== FILES ==========
c:\windows\system32\yrrpiepsxwasf.dll moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 82 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: michael
->Temp folder emptied: 12279522 bytes
->Temporary Internet Files folder emptied: 2884516 bytes
->FireFox cache emptied: 40272165 bytes
->Flash cache emptied: 1886878 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 203880 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 663824 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 8639732 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 64,00 mb
OTM by OldTimer - Version 3.1.12.0 log created on 05252010_164049
Files moved on Reboot...
File move failed. C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSOTQ4VY\AK33H5ECAT87GTRCA3ST6NJCAWHIWY1CALQAVCHCALJEQ3ZCA1Z7ZRVCA3E3PD2CAYNTTASCABW3WRHCAABXRG7CAJLDE32CAC3HPE5CA4LXDRKCA5M2IYBCABAB7DECA1SED9RCAFIWFSUCAL9UCOFCAKKX4TL scheduled to be moved on reboot.
File move failed. C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSOTQ4VY\AVPB99ICASCJ2ZCCA2FU54MCAKZMB8ZCABPC5X8CAOO6HD8CAWS3UYRCAUHRMWPCADZ8RJJCAUJG9OQCAPRAAATCAHPM1TECADEB8L4CAE78H13CAKEQL0TCASMCXXWCA3VOM7BCAZK7VNYCAO4MISKCA4DGGY0 scheduled to be moved on reboot.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\4bec3e9d3a0d7[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\iframe3[7].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\iframe3[8].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\st[8] moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\01[10].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\12tpc[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\4bd8430ddb14a[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\4bd8430ddefb0[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A1W2TKAV\play[1].htm moved successfully.
Registry entries deleted on Reboot...
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16967CB9-70AB-A1C2-1117-717130B71B96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\otbvtzkhhdowfown deleted successfully.
========== FILES ==========
c:\windows\system32\yrrpiepsxwasf.dll moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 82 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: michael
->Temp folder emptied: 12279522 bytes
->Temporary Internet Files folder emptied: 2884516 bytes
->FireFox cache emptied: 40272165 bytes
->Flash cache emptied: 1886878 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 203880 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 663824 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 8639732 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 64,00 mb
OTM by OldTimer - Version 3.1.12.0 log created on 05252010_164049
Files moved on Reboot...
File move failed. C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSOTQ4VY\AK33H5ECAT87GTRCA3ST6NJCAWHIWY1CALQAVCHCALJEQ3ZCA1Z7ZRVCA3E3PD2CAYNTTASCABW3WRHCAABXRG7CAJLDE32CAC3HPE5CA4LXDRKCA5M2IYBCABAB7DECA1SED9RCAFIWFSUCAL9UCOFCAKKX4TL scheduled to be moved on reboot.
File move failed. C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSOTQ4VY\AVPB99ICASCJ2ZCCA2FU54MCAKZMB8ZCABPC5X8CAOO6HD8CAWS3UYRCAUHRMWPCADZ8RJJCAUJG9OQCAPRAAATCAHPM1TECADEB8L4CAE78H13CAKEQL0TCASMCXXWCA3VOM7BCAZK7VNYCAO4MISKCA4DGGY0 scheduled to be moved on reboot.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\4bec3e9d3a0d7[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\iframe3[7].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\iframe3[8].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\st[8] moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\01[10].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\12tpc[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\4bd8430ddb14a[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\4bd8430ddefb0[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A1W2TKAV\play[1].htm moved successfully.
Registry entries deleted on Reboot...
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
25 mai 2010 à 18:57
25 mai 2010 à 18:57
OK. J'espère que tu as bien redémarré ton PC après OTM.
Refais un rapport ZHPDiag
Smart
Refais un rapport ZHPDiag
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
alienus
Messages postés
24
Date d'inscription
lundi 27 avril 2009
Statut
Membre
Dernière intervention
20 avril 2020
25 mai 2010 à 19:15
25 mai 2010 à 19:15
oui j'avais bien redémarrer le pc et voici le lien pour le rapport ZHDiag :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijjyTkkzD.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijjyTkkzD.txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
25 mai 2010 à 19:18
25 mai 2010 à 19:18
On a presque terminé, un dernier scan d'un antivirus et ensuite aon passe à la désinstallation des outils que je t'ai faits installer et aux mises à jour.
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
ok, pc redémarrer voila le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4142
Windows 6.0.6000
Internet Explorer 7.0.6000.16764
25/05/2010 21:00:56
mbam-log-2010-05-25 (21-00-56).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 239045
Temps écoulé: 1 heure(s), 14 minute(s), 37 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viqvrteqxh (Adware.Adrotator) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Downloader) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\michael\AppData\Roaming\install\server.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Windows\System32\viqvrteqxh.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4142
Windows 6.0.6000
Internet Explorer 7.0.6000.16764
25/05/2010 21:00:56
mbam-log-2010-05-25 (21-00-56).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 239045
Temps écoulé: 1 heure(s), 14 minute(s), 37 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viqvrteqxh (Adware.Adrotator) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Downloader) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\michael\AppData\Roaming\install\server.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Windows\System32\viqvrteqxh.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
25 mai 2010 à 23:23
25 mai 2010 à 23:23
Relance MBAM et vide la quarantaine. Redémarre ton PC.
Et refais un rapport ZHPDiag
Smart
Et refais un rapport ZHPDiag
Smart
quarantaine vidé, pc redemarré voici le lien pour le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijWBrkcBW.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijWBrkcBW.txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
26 mai 2010 à 11:04
26 mai 2010 à 11:04
On va également sacanner et vacciné tes clés ou disques USB
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
Télécharge UsbFix et enregistre le sur ton bureau Tutoriel Recherche
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir
- Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
Si tu es sous Vista ou Windows 7:
- Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista
- Dans le menu principal choisis l'option "F" pour français et tape sur [entrée] .
- Dans le second menu choisis l'option "1" (Recherche) et tape sur [entrée]
- Laisse travailler l outil.
- Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Ce rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller)
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Smart
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
Télécharge UsbFix et enregistre le sur ton bureau Tutoriel Recherche
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir
- Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
Si tu es sous Vista ou Windows 7:
- Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista
- Dans le menu principal choisis l'option "F" pour français et tape sur [entrée] .
- Dans le second menu choisis l'option "1" (Recherche) et tape sur [entrée]
- Laisse travailler l outil.
- Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Ce rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller)
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Smart
Bonjour, voici le rapport :
############################## | UsbFix V6.114 |
User : michael (Administrateurs) # PC-DE-MICHAEL
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:30:11 | 26/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16764
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]
C:\ -> Disque fixe local # 175,86 Go (84,06 Go free) # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 978,73 Mo (945,92 Mo free) # FAT
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{8cfe5f05-04c0-11df-8320-001a80b36889}
shell\Auto\command =G:\launcher.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\launcher.exe
HKCU\..\..\Explorer\MountPoints2\{ec028d72-0373-11df-b66a-001a80b36889}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
shell\Open\command =G:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.114 ! |
############################## | UsbFix V6.114 |
User : michael (Administrateurs) # PC-DE-MICHAEL
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:30:11 | 26/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16764
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]
C:\ -> Disque fixe local # 175,86 Go (84,06 Go free) # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 978,73 Mo (945,92 Mo free) # FAT
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{8cfe5f05-04c0-11df-8320-001a80b36889}
shell\Auto\command =G:\launcher.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\launcher.exe
HKCU\..\..\Explorer\MountPoints2\{ec028d72-0373-11df-b66a-001a80b36889}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
shell\Open\command =G:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.114 ! |
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
26 mai 2010 à 11:48
26 mai 2010 à 11:48
On va faire le nettoyage et la vaccination:
tutoriel nettoyage
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci UsbFix présent sur ton bureau
- Choisis l'option 2 ( Suppression )
-Ton bureau disparaîtra et le pc redémarrera .
- Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
- Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
- Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt )
- (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
UsbFix te proposera d'envoyer un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
- Il faut sélectionner "UsbFix" dans le menu déroulant
- Merci d'avance pour ta contribution !!
Smart
tutoriel nettoyage
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci UsbFix présent sur ton bureau
- Choisis l'option 2 ( Suppression )
-Ton bureau disparaîtra et le pc redémarrera .
- Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
- Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
- Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt )
- (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
UsbFix te proposera d'envoyer un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
- Il faut sélectionner "UsbFix" dans le menu déroulant
- Merci d'avance pour ta contribution !!
Smart
J'ai voulu brancher mon lecteur mp3 pr faire un scanne avec UsbFix mais qd je double clic dessus il me dit " la creation de certains fichiers à échoués"
Il m'ouvre une fenetre avec des lignes marquant extraction...fermer et ou annuler.
Je ferme la fenetre et ca s'arrete la.
Qu'est ce que jdois faire?
Il m'ouvre une fenetre avec des lignes marquant extraction...fermer et ou annuler.
Je ferme la fenetre et ca s'arrete la.
Qu'est ce que jdois faire?
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
26 mai 2010 à 12:26
26 mai 2010 à 12:26
Quand tu as fait le premier scan avec USBFix, tu avais mis ton lecteur MP3 ou un autre disque externe ?
Et ce problème tu l'as eu avec l'option 1 ou l'otion 2 ?
Smart
Et ce problème tu l'as eu avec l'option 1 ou l'otion 2 ?
Smart
non lors du 1er scan jai mis uniquement une clé usb comme vous m'avez dis, avec juste l'option 1, et j'ai voulu le refaire après avec mon mp3. (jaurais du mettre les 2en mm tps je suppose) Mais bon jpensais pas que mon mp3 serait infecté donc je l'ai pas mis la 1ere fois et puis me suis dis vaut mieux le faire on sait jamais.
Voici ce que ca me marque quand j'ouvre USBFix :
Extraction de Fich\Kill.cmd
Extraction de Fich\K_Proc
Extraction de Fich\MD5.cmd
Extraction de Fich\Recycle
Extraction de Fich\Root.cmd
Extraction de Fich\Sniff.cmd
Extraction de Fich\Usb
Extraction de Fich\Usb2
Extraction de Fich\Vaccin
Extraction de Reg\Bho
Extraction de Reg\Clsid
Extraction de Reg\Hkcu_Po
Extraction de Reg\Hkcu_Run
Extraction de Reg\Hklm_Ifeo
Extraction de Reg\Hklm_Logon
Extraction de Reg\Hklm_Po
Extraction de Reg\Hklm_Run
Extraction de Reg\Hklm_Serv
Extraction de Reg\Rkt
Extraction de Reg\ShellExecuteHooks
Extraction de Reg\Software
Extraction de Reg\Startup
Extraction de Reg\UsbFix.reg
Extraction de Reg\UsbReg.vbs
Extraction de Tools\DevP.exe
Extraction de Tools\EchoX.exe
Extraction de Tools\EgwReg.com
Impossible de créer Tools\EgwReg.com
Extraction de Tools\Erunt\ERDNT.E_E
Extraction de Tools\Erunt\ERDNTDOS.LOC
Extraction de Tools\Erunt\ERDNTWIN.LOC
Extraction de Tools\Erunt\ERUNT.com
Extraction de Tools\Erunt\ERUNT.LOC
Extraction de Tools\fsum.exe
Extraction de Tools\gsar.exe
Extraction de Tools\Kill.exe
Extraction de Tools\KProcess.exe
Extraction de Tools\Langue.cmd
Extraction de Tools\sed.exe
Extraction de Tools\setpath.exe
Extraction de Tools\Strtaz.ref
Extraction de Tools\swreg.exe
Extraction de Tools\swxcacls.com
Extraction de Tools\UsbFix.vbs
Extraction de Tools\zip.exe
Extraction de Go.exe
Extraction de UsbFix.cmd
Extraction de Tools\Erunt
Extraction de Fich
Extraction de Reg
Extraction de Tools
Voici ce que ca me marque quand j'ouvre USBFix :
Extraction de Fich\Kill.cmd
Extraction de Fich\K_Proc
Extraction de Fich\MD5.cmd
Extraction de Fich\Recycle
Extraction de Fich\Root.cmd
Extraction de Fich\Sniff.cmd
Extraction de Fich\Usb
Extraction de Fich\Usb2
Extraction de Fich\Vaccin
Extraction de Reg\Bho
Extraction de Reg\Clsid
Extraction de Reg\Hkcu_Po
Extraction de Reg\Hkcu_Run
Extraction de Reg\Hklm_Ifeo
Extraction de Reg\Hklm_Logon
Extraction de Reg\Hklm_Po
Extraction de Reg\Hklm_Run
Extraction de Reg\Hklm_Serv
Extraction de Reg\Rkt
Extraction de Reg\ShellExecuteHooks
Extraction de Reg\Software
Extraction de Reg\Startup
Extraction de Reg\UsbFix.reg
Extraction de Reg\UsbReg.vbs
Extraction de Tools\DevP.exe
Extraction de Tools\EchoX.exe
Extraction de Tools\EgwReg.com
Impossible de créer Tools\EgwReg.com
Extraction de Tools\Erunt\ERDNT.E_E
Extraction de Tools\Erunt\ERDNTDOS.LOC
Extraction de Tools\Erunt\ERDNTWIN.LOC
Extraction de Tools\Erunt\ERUNT.com
Extraction de Tools\Erunt\ERUNT.LOC
Extraction de Tools\fsum.exe
Extraction de Tools\gsar.exe
Extraction de Tools\Kill.exe
Extraction de Tools\KProcess.exe
Extraction de Tools\Langue.cmd
Extraction de Tools\sed.exe
Extraction de Tools\setpath.exe
Extraction de Tools\Strtaz.ref
Extraction de Tools\swreg.exe
Extraction de Tools\swxcacls.com
Extraction de Tools\UsbFix.vbs
Extraction de Tools\zip.exe
Extraction de Go.exe
Extraction de UsbFix.cmd
Extraction de Tools\Erunt
Extraction de Fich
Extraction de Reg
Extraction de Tools
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
Modifié par Smart91 le 26/05/2010 à 13:08
Modifié par Smart91 le 26/05/2010 à 13:08
On a l'impression que tu as une extraction d'un dossier .zip.
On va laissé de côté ton lecteur MP3, pour le moment.
Remets ta clé USB et fais USBFix avec l'option 2
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
On va laissé de côté ton lecteur MP3, pour le moment.
Remets ta clé USB et fais USBFix avec l'option 2
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
jai remis la clé, ouvert usbfix, je fais executer et pareil il me dit "la creation de certains fichiers à echoués" et il m'ouvre la mm fenetre que tt à l'heure.
avec toujours une barre verte presque au bout et au dessus marqué "progression de l'installation" c presque fini mais ca na pas lair avancer.
avec toujours une barre verte presque au bout et au dessus marqué "progression de l'installation" c presque fini mais ca na pas lair avancer.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
Modifié par Smart91 le 26/05/2010 à 13:59
Modifié par Smart91 le 26/05/2010 à 13:59
Tu as bien fais ceci
"Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista "
Sinon je me renseigne auprès du concepteur de l'outil et reviens vers toi
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
"Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista "
Sinon je me renseigne auprès du concepteur de l'outil et reviens vers toi
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Oui j'ai bien fais ça ! Clic droit etc
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
26 mai 2010 à 14:03
26 mai 2010 à 14:03
J'attends une réponse
Smart
Smart
25 mai 2010 à 14:19
http://www.cijoint.fr/cjlink.php?file=cj201005/cijkxjMas6.txt