Mon serveur est attaquer par Visualmedia.exe Fermé

Question

Bonjour, j'administre un café internet sous 2003 serveur, je suis exaspérer par ce virus "Visualmedia.exe". Il se lance automatiquement dans le processus et plante mon serveur, du coup plus aucune application ne s'exécute pourtant ça fait à peine 2 semaine que j'ai refait le serveur car je n'avait plus accès au lecteur cdrom et je pouvais plus arrêter le serveur par la procédure normale. aujourd'hui le même virus est là. J'utilise Mcafee+AntiSpyware 8.5 entreprise. j'ai besoin d'aide svp. Merci d'avance



Configuration: Windows 7 / Firefox 3.6.3

H3RV3 · Answer

Salut,

Hmmm, un Serveur 2003, on va commencer par faire une analyse :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Sous XP : Double clique sur ZHPDiag_silent.exe
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

K2Asensei · Answer

Salut, 
Le lien de mon rapport: http://www.cijoint.fr/cjlink.php?file=cj201006/cijdLWm7rV.txt
Merci pour l'aide

H3RV3 · Answer

Merci bien.

Tu es bien infecté effectivement, des clés USB sont branchées directement sur ce serveur ?

Il faudra vacciner toutes les disques amovibles susceptibles d'avoir été ou d'être branchés au serveur, sinon tu risques de te faire rapidement réinfecté.

Je vais te faire passer un outil, mais je ne suis pas certain qu'il soit compatible Serveur 2003. Si tu as le moindre problème, préviens moi.


Note : tu as de nombreuses infections qui se propagent par les disques amovibles.

&#9679; Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

&#9679; Double clique sur UsbFix.exe

&#9679; Clique sur le bouton "Recherche"

&#9679; Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

&#9679; Patiente pendant que l'outil travaille

&#9679; A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt

Note :
    UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.

K2Asensei · Answer

le second rapport:
############################## | UsbFix 7.011 | [Recherche]

Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 18:53:59 | 18/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
Internet Explorer 6.0.3790.1830

RAM -> 3575 Mo 
C:\ (%systemdrive%) -> Disque fixe # 37 Go (28 Go libre(s) - 74%) [] # NTFS
D:\ -> Disque amovible # 247 Mo (119 Mo libre(s) - 48%) [] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 495 Mo (279 Mo libre(s) - 56%) [] # FAT32
G:\ -> Disque amovible # 980 Mo (391 Mo libre(s) - 40%) [SONY] # FAT32

################## | Éléments infectieux |

Présent! C:\WINDOWS\system32\autorun.inf
Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq0.dll
Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq1.dll
Présent! C:\Documents and Settings\Administrateur\autorun.inf
Présent! C:\09lf.exe
Présent! C:\Autorun.inf
Présent! D:\Autorun.inf
Présent! F:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-2923400741-2269171363-55663035-500
Présent! D:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013
Présent! C:\2bbi1ax.exe
Présent! C:\2ul.exe
Présent! C:\krwyrv0d.exe
Présent! C:\xcr.exe
Présent! D:\2bbi1ax.exe
Présent! D:\2ul.exe
Présent! D:\krwyrv0d.exe
Présent! D:\xcr.exe
Présent! F:\2ul.exe
Présent! F:\Documents.lnk
Présent! F:\krwyrv0d.exe
Présent! F:\Music.lnk
Présent! F:\New Folder.lnk
Présent! F:\Passwords.lnk
Présent! F:\Pictures.lnk
Présent! F:\Video.lnk
Présent! F:\xcr.exe
Présent! C:\Documents and Settings\Administrateur\Local Settings\Temp\dsoqq.exe
Présent! D:\09lf.exe
Présent! F:\09lf.exe

################## | Mabezat |

Présent! C:\Program Files\C-Media\WIN_ME\Make Windows Original.exe
Présent! E:\Total.Video.Converter.3.10--uowforums.com\NokiaN73Tools.exe

################## | Registre |

Présent! HKLM\Software\Classes\CLSID\MADOWN
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dso32

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\D
Shell\AutoRun\Command = D:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{01097ef3-79e1-11df-814c-000f203790b2}
Shell\AutoRun\Command = D:\xcr.exe
Shell\open\Command = D:\xcr.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{05dbe146-72cd-11df-97ff-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UseR.eXe

HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f849-784f-11df-9cbf-000f203790b2}
Shell\AutoRun\Command = D:\2bbi1ax.exe
Shell\open\Command = D:\2bbi1ax.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85c-784f-11df-9cbf-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL HeIluk.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85f-784f-11df-9cbf-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL JANEd.exE

HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f86b-784f-11df-9cbf-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nHSIj.ExE

HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1204-74a2-11df-aa5b-000f203790b2}
Shell\AutoRun\Command = q0wfr.exe
Shell\open\Command = q0wfr.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1213-74a2-11df-aa5b-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nUiSIi.eXe

HKCU\.\.\.\.\Explorer\MountPoints2\{4633d757-7785-11df-87c4-000f203790b2}
Shell\AutoRun\Command = F:\2bbi1ax.exe
Shell\open\Command = F:\2bbi1ax.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{4633d76c-7785-11df-87c4-000f203790b2}
Shell\AutoRun\Command = F:\2ul.exe
Shell\open\Command = F:\2ul.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{66464dda-73b5-11df-b844-000f203790b2}
Shell\AutoRun\Command = awb3ryk.exe
Shell\open\Command = awb3ryk.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{66464ded-73b5-11df-b844-000f203790b2}
Shell\AutoRun\Command = D:\MUSHKARCI///nesme.exe
Shell\open\Command = D:\MUSHKARCI///nesme.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{67b54d46-7398-11df-a250-000f203790b2}
Shell\AutoRun\Command = D:\xcr.exe
Shell\open\Command = D:\xcr.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{70294ec7-7205-11df-8e57-000f203790b2}
Shell\AutoRun\Command = F:\cgaqyi.exe
Shell\open\Command = F:\cgaqyi.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{70294ecf-7205-11df-8e57-000f203790b2}
Shell\AutoRun\Command = D:\1gkbvsni.exe
Shell\open\Command = D:\1gkbvsni.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{70294ed3-7205-11df-8e57-000f203790b2}
Shell\AutoRun\Command = F:\1gkbvsni.exe
Shell\open\Command = F:\1gkbvsni.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c5ff-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\krwyrv0d.exe
Shell\open\Command = D:\krwyrv0d.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c606-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\LAUDA///znalac.exe
Shell\open\Command = D:\LAUDA///znalac.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c60f-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\krwyrv0d.exe
Shell\open\Command = D:\krwyrv0d.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c613-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\krwyrv0d.exe
Shell\open\Command = D:\krwyrv0d.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c61c-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = F:\MUSHKARCI///nesme.exe
Shell\open\Command = F:\MUSHKARCI///nesme.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c62c-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\krwyrv0d.exe
Shell\open\Command = D:\krwyrv0d.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{8b41689d-7460-11df-b416-000f203790b2}
Shell\AutoRun\Command = F:\MUSHKARCI///nesme.exe
Shell\open\Command = F:\MUSHKARCI///nesme.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a932585a-752d-11df-985a-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nHSIJ.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44d-7aac-11df-8737-000f203790b2}
Shell\AutoRun\Command = D:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44e-7aac-11df-8737-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL duoduu.eXe

HKCU\.\.\.\.\Explorer\MountPoints2\{e2fdc4ec-749c-11df-96e2-000f203790b2}
Shell\AutoRun\Command = D:\xcr.exe
Shell\open\Command = D:\xcr.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Utilisateur anonyme · Answer

Bonsoir

Pour avancer H3RV3

Relance UsbFix et passe à l'option "Suppression" et poste le rapport;merci.
@+

K2Asensei · Answer

############################## | UsbFix 7.011 | [Suppression]

Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 20:19:22 | 18/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
Internet Explorer 6.0.3790.1830

RAM -> 3575 Mo 
C:\ (%systemdrive%) -> Disque fixe # 37 Go (28 Go libre(s) - 74%) [] # NTFS
D:\ -> Disque amovible # 247 Mo (119 Mo libre(s) - 48%) [] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 495 Mo (279 Mo libre(s) - 57%) [] # FAT32
G:\ -> Disque amovible # 980 Mo (391 Mo libre(s) - 40%) [SONY] # FAT32

################## | Éléments infectieux |

Supprimé! C:\WINDOWS\system32\autorun.inf
Supprimé! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
Supprimé! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq0.dll
Supprimé! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq1.dll
Supprimé! C:\Documents and Settings\Administrateur\autorun.inf
Supprimé! C:\09lf.exe
Supprimé! C:\Autorun.inf
Supprimé! D:\Autorun.inf
Supprimé! F:\Autorun.inf
Supprimé! G:\Autorun.inf
Supprimé! C:\Recycler\S-1-5-21-2923400741-2269171363-55663035-500
Supprimé! D:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013
Supprimé! C:\2bbi1ax.exe
Supprimé! C:\2ul.exe
Supprimé! C:\krwyrv0d.exe
Supprimé! C:\xcr.exe
Supprimé! D:\2bbi1ax.exe
Supprimé! D:\2ul.exe
Supprimé! D:\krwyrv0d.exe
Supprimé! D:\xcr.exe
Supprimé! F:\2ul.exe
Supprimé! F:\Documents.lnk
Supprimé! F:\krwyrv0d.exe
Supprimé! F:\Music.lnk
Supprimé! F:\New Folder.lnk
Supprimé! F:\Passwords.lnk
Supprimé! F:\Pictures.lnk
Supprimé! F:\Video.lnk
Supprimé! F:\xcr.exe
Supprimé! D:\09lf.exe
Supprimé! F:\09lf.exe
Supprimé! G:\09lf.exe

################## | Mabezat |

Supprimé! C:\Program Files\C-Media\WIN_ME\Make Windows Original.exe
Non supprimé ! E:\Total.Video.Converter.3.10--uowforums.com\NokiaN73Tools.exe

################## | Registre |

Supprimé! HKLM\Software\Classes\CLSID\MADOWN
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dso32

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\D
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{01097ef3-79e1-11df-814c-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f849-784f-11df-9cbf-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85f-784f-11df-9cbf-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1204-74a2-11df-aa5b-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1213-74a2-11df-aa5b-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4633d76c-7785-11df-87c4-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66464ded-73b5-11df-b844-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{67b54d46-7398-11df-a250-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{70294ecf-7205-11df-8e57-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c5ff-7918-11df-83b2-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c60f-7918-11df-83b2-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c61c-7918-11df-83b2-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c62c-7918-11df-83b2-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8b41689d-7460-11df-b416-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a932585a-752d-11df-985a-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44d-7aac-11df-8737-000f203790b2}

################## | Listing |

[17/06/2010 - 21:00:14 | RSH | 115712] 	C:\1gkbvsni.exe
[06/06/2010 - 16:51:27 | A | 0] 	C:\AUTOEXEC.BAT
[06/06/2010 - 16:44:40 | ASH | 210] 	C:\boot.ini
[29/04/2003 - 10:35:17 | RASH | 4952] 	C:\bootfont.bin
[17/06/2010 - 08:22:11 | SHD ] 	C:\Config.Msi
[06/06/2010 - 16:51:27 | A | 0] 	C:\CONFIG.SYS
[06/06/2010 - 16:56:35 | D ] 	C:\Documents and Settings
[18/06/2010 - 20:15:01 | D ] 	C:\downloads
[11/06/2010 - 22:44:54 | D ] 	C:\fc57996bb7b81071a5fb11c991
[06/06/2010 - 16:51:27 | RASH | 0] 	C:\IO.SYS
[06/06/2010 - 16:51:27 | RASH | 0] 	C:\MSDOS.SYS
[07/06/2010 - 00:39:00 | RHD ] 	C:\MSOCache
[24/03/2005 - 19:07:44 | RASH | 47772] 	C:\NTDETECT.COM
[24/03/2005 - 19:08:06 | RASH | 297744] 	C:\ntldr
[18/06/2010 - 17:38:02 | ASH | 2145386496] 	C:\pagefile.sys
[18/06/2010 - 18:06:44 | RD ] 	C:\Program Files
[18/06/2010 - 18:56:21 | D ] 	C:\QUARANTINE
[18/06/2010 - 20:57:26 | SHD ] 	C:\RECYCLER
[18/06/2010 - 20:50:12 | A | 675] 	C:\STAT.DAT
[06/06/2010 - 21:10:15 | D ] 	C:\swsetup
[06/06/2010 - 16:56:05 | SHD ] 	C:\System Volume Information
[18/06/2010 - 20:57:59 | D ] 	C:\UsbFix
[18/06/2010 - 20:58:06 | A | 2209] 	C:\UsbFix.txt
[18/06/2010 - 18:51:25 | D ] 	C:\WINDOWS
[06/06/2010 - 16:52:01 | D ] 	C:\wmpub
[10/06/2010 - 20:01:46 | A | 157171] 	D:\45.jpg
[10/06/2010 - 22:16:44 | A | 89536] 	D:\fichier.jpg
[23/06/2006 - 10:15:36 | A | 1389856] 	D:\R114079.EXE
[17/11/2006 - 12:10:16 | A | 3627472] 	D:\R129472.EXE
[08/11/2006 - 17:22:34 | A | 5265232] 	D:\R132254.EXE
[11/06/2010 - 16:01:20 | A | 125064] 	D:\pasp.jpg
[22/05/2008 - 18:52:38 | A | 54750848] 	D:\R151517.EXE
[12/11/2007 - 18:34:18 | A | 6481976] 	D:\R165177.EXE
[10/06/2010 - 20:02:30 | A | 9412] 	D:\bordereau.jpg
[15/04/2005 - 19:40:14 | A | 23831624] 	D:\R92436.EXE
[23/01/2007 - 20:52:28 | A | 4675584] 	D:\R99254.EXE
[17/05/2005 - 14:52:22 | A | 27891408] 	D:\R99394.EXE
[03/06/2010 - 21:59:32 | A | 13419] 	D:\Ministère de l.docx
[10/06/2010 - 20:49:02 | A | 22528] 	D:\ANNEE SCOLAIRE 2009.doc
[10/06/2010 - 22:25:06 | A | 80228] 	D:\fichier 2.jpg
[12/06/2010 - 12:58:00 | A | 84657] 	D:\Scan10510.jpg
[12/06/2010 - 12:58:00 | A | 76018] 	D:\Scan10511.jpg
[12/06/2010 - 12:58:00 | A | 87888] 	D:\Scan10513.jpg
[12/06/2010 - 12:58:00 | A | 193312] 	D:\Scan10514.jpg
[12/06/2010 - 14:26:38 | A | 74779] 	D:\i.jpg
[12/06/2010 - 14:27:02 | A | 122762] 	D:\i2.jpg
[12/06/2010 - 14:27:26 | A | 90131] 	D:\i3.jpg
[12/06/2010 - 21:45:04 | A | 87202] 	D:\doc cliente.jpg
[12/06/2010 - 21:45:26 | A | 93121] 	D:\doc cliente2.jpg
[14/06/2010 - 09:05:48 | A | 24064] 	D:\cv.doc
[13/06/2010 - 14:10:08 | A | 1553435] 	D:\logo ACTIS.jpg
[15/06/2010 - 08:25:16 | A | 1536] 	D:\BOOTEX.LOG
[10/06/2010 - 15:37:54 | A | 12561] 	D:\Ministère de ln.docx
[14/06/2010 - 10:04:20 | A | 25088] 	D:\CURRICULUM VITAE.doc
[01/03/1999 - 10:27:02 | RSHD ] 	D:\RECYCLER
[14/06/2010 - 14:36:28 | A | 22016] 	D:\Entete.doc
[14/06/2010 - 15:12:14 | A | 30720] 	D:\Nouveau Document Microsoft Office Word (2).doc
[14/06/2010 - 17:49:10 | A | 609104] 	D:\passeport.jpg
[15/06/2010 - 11:44:48 | A | 70496] 	D:\phota.jpg
[16/06/2010 - 13:07:48 | A | 101770] 	D:\ii.jpg
[16/06/2010 - 13:08:28 | A | 89718] 	D:\ii3.jpg
[16/06/2010 - 20:52:24 | A | 87772] 	D:\banque.jpg
[17/06/2010 - 12:46:04 | A | 79002] 	D:\bc.jpg
[17/06/2010 - 10:38:22 | A | 21504] 	D:\TU AS VOULU LES ENFANTS UNIS.doc
[17/06/2010 - 12:46:44 | A | 97488] 	D:\bc2.jpg
[17/06/2010 - 12:47:22 | A | 97530] 	D:\bc3.jpg
[17/06/2010 - 12:47:54 | A | 108747] 	D:\bc4.jpg
[17/06/2010 - 12:48:18 | A | 105389] 	D:\bc5.jpg
[17/06/2010 - 12:48:38 | A | 114724] 	D:\bc6.jpg
[17/06/2010 - 12:49:02 | A | 132257] 	D:\bc7.jpg
[17/06/2010 - 16:02:00 | A | 88888] 	D:\x.jpg
[03/06/2010 - 08:49:30 | A | 24064] 	D:\VisualMedia.exe
[18/06/2010 - 17:47:44 | A | 112533] 	D:\Didier.jpg
[05/11/2008 - 13:04:46 | R | 26596640] 	E:\AdbeRdr90_fr_FR.exe
[06/06/2010 - 13:27:02 | RD ] 	E:\CCP Client
[06/06/2010 - 13:27:01 | RD ] 	E:\CCleaner
[06/06/2010 - 13:18:59 | R | 8412160] 	E:\Firefox Setup 3.6.3.exe
[15/01/2009 - 08:34:48 | R | 25760213] 	E:\SUPERsetup.exe
[06/06/2010 - 13:19:41 | R | 1704744] 	E:\SkypeSetup.exe
[06/06/2010 - 13:28:04 | RD ] 	E:\Total.Video.Converter.3.10--uowforums.com
[06/06/2010 - 13:16:11 | R | 3327000] 	E:\WindowsXP-KB942288-v3-x86.exe
[11/09/2008 - 22:13:59 | R | 67110184] 	E:\iTunes8Setup.exe
[06/06/2010 - 13:20:52 | R | 1924976] 	E:\install_flash_player.exe
[06/06/2010 - 13:27:37 | R | 11899984] 	E:\mssefullinstall-x86fre-fr-fr-xp.exe
[06/06/2010 - 13:18:09 | R | 2592840] 	E:\orbit-downloader_orbit_downloader_3.0.0.5_francais_39037.exe
[06/06/2010 - 13:20:34 | R | 507564] 	E:\supercopier_supercopier_2.2_beta_francais_11010.exe
[06/06/2010 - 13:23:08 | R | 18499623] 	E:\vlc-1.0.5-win32.exe
[13/11/2009 - 20:25:00 | R | 1164624] 	E:\wlsetup-custom.exe
[06/10/2009 - 12:46:10 | R | 1164616] 	E:\wlsetup-web.exe
[06/11/2008 - 07:27:45 | R | 14896880] 	E:\ymsgr900_2034_fr.exe
[09/06/2010 - 16:16:44 | A | 111370] 	F:\p l'église.pptx
[09/06/2010 - 16:16:40 | A | 98599] 	F:\eglise.pptx
[06/06/2010 - 21:56:32 | D ] 	F:\McAfee VirusScan Enterprise 8.5i & AntiSpyware Enterprise Module 8.5
[16/06/2010 - 08:26:54 | A | 1618] 	F:\BOOTEX.LOG
[17/06/2010 - 21:00:14 | RSH | 115712] 	F:\1gkbvsni.exe
[15/06/2010 - 22:43:08 | D ] 	F:\Jotex
[17/06/2010 - 21:07:48 | D ] 	F:\Nouveau dossier
[18/06/2010 - 10:49:02 | A | 15225] 	F:\paloalto.txt
[18/06/2010 - 10:54:26 | A | 48640] 	F:\PRESENTATION GENERALE DE.doc
[13/03/2009 - 03:41:46 | A | 24064] 	F:\VisualMedia.exe
[08/06/2010 - 13:20:04 | D ] 	F:\NeoRAGEx5.0
[20/07/2009 - 18:47:28 | D ] 	F:\ZUMA DE LUXE
[09/06/2010 - 21:23:12 | D ] 	F:\WDM_A406
[07/12/2010 - 03:00:42 | A | 7234728] 	G:\Koba-ImAHustler-PROMO.mp3
[31/05/2009 - 19:30:24 | A | 4807261] 	G:\Say (Prod. By Timbaland).mp3
[07/12/2010 - 01:31:56 | A | 5351826] 	G:\Sean Paul - Even.mp3
[18/05/2010 - 16:47:00 | A | 5676702] 	G:\fray-never say never.mp3
[30/05/2010 - 12:36:10 | A | 13285] 	G:\Enchainement Libre  Baccalauréat 2010.docx
[17/11/2009 - 13:32:52 | A | 3458644] 	G:\justin bieber - one time.mp3
[16/06/2010 - 13:59:02 | A | 3973953] 	G:\lil wayne - on fire.mp3
[18/12/2009 - 12:52:46 | A | 4285785] 	G:\timbaland - lose control (ft. jojo).mp3
[16/06/2010 - 20:20:32 | A | 9014591] 	G:\tomorrow in the bottle.mp3
[02/06/2010 - 15:19:04 | A | 38455244] 	G:\JennY_S.O.S_( prod by le dragon du son )_Fac RecorD.wav
[16/06/2010 - 20:12:04 | A | 4185859] 	G:\timbaland - undertow (ft. the fray & esthero).mp3
[16/06/2010 - 20:24:16 | A | 3569787] 	G:\usher - hey daddy (daddy________________.mp3
[23/11/2009 - 12:53:26 | A | 2953643] 	G:\Lady Gaga - Just Dance.mp3
[23/11/2009 - 12:53:26 | A | 3353613] 	G:\Lady GaGa - Paparazzi(1).mp3
[01/07/2009 - 12:19:02 | A | 7595147] 	G:\Chris Cornell feat Timbaland . Scream.mp3
[04/06/2010 - 12:38:52 | D ] 	G:\mp3
[05/06/2010 - 17:27:30 | A | 7281233] 	G:\bad boy [HQ].mp3
[05/06/2010 - 17:30:58 | A | 1254261] 	G:\Nephtali - Groupie Love Remix.mp3
[09/03/2010 - 01:27:24 | A | 3010676] 	G:\Timbaland - Carmen remix Instrumental.mp3
[09/03/2010 - 01:27:50 | A | 3783089] 	G:\Timbaland feat One Republic - Apologize Instrumental.mp3
[21/02/2010 - 14:28:46 | A | 5335391] 	G:\08 rude boy.mp3
[04/11/2008 - 16:41:48 | A | 39401629] 	G:\Britney Spears - Womanizer.mkv
[16/06/2010 - 13:22:36 | A | 1232392] 	G:\Chris_Brown_ft_Lil_Wayne_and_Swizz_Beatz_1.mp3
[16/06/2010 - 20:42:10 | A | 6654356] 	G:\Gallis.mp3
[23/03/2010 - 15:00:04 | A | 3731506] 	G:\I Told Yall.mp3
[16/06/2010 - 19:27:14 | A | 3658643] 	G:\I'm yours..mp3
[07/12/2010 - 03:08:06 | A | 4462670] 	G:\james fauntleroy - l.mp3
[07/12/2010 - 00:32:36 | A | 5459304] 	G:\Jason Derulo - W (1).mp3
[07/02/2010 - 20:01:20 | A | 1318674] 	G:\Jay Sean - Walking Alone (Snippet) ( 2o1o ).mp3
[07/12/2010 - 03:00:18 | A | 3196622] 	G:\Keri Hilson feat (1).mp3
[08/06/2010 - 22:57:26 | D ] 	G:\clients out
[10/06/2010 - 21:56:52 | A | 117869681] 	G:\Shippuden - regarder l'épisode Naruto shippuden 164 vostfr - Episode Naruto shippuden 164.flv
[15/06/2010 - 09:05:36 | A | 400384] 	G:\En japonais on retrouve 5 sons de base.doc
[09/03/2010 - 11:56:46 | A | 19098] 	G:\Script EngonG.docx
[15/06/2010 - 19:04:24 | D ] 	G:\cours-de-japonais-n-3.php_fichiers
[15/06/2010 - 19:04:42 | A | 35069] 	G:\cours-de-japonais-n-3.php.htm
[15/06/2010 - 19:28:16 | D ] 	G:\cours-de-japonais-n-4.php_fichiers
[15/06/2010 - 19:28:44 | A | 35071] 	G:\cours-de-japonais-n-4.php.htm
[16/06/2010 - 18:04:08 | A | 7022660] 	G:\JennYSOSprodbyledragondusonFacRecorDJennY.flv
[16/06/2010 - 20:33:18 | A | 2945676] 	G:\blazz_plus le temps d'aimer.wma
[16/06/2010 - 23:56:48 | D ] 	G:\[MFT] Naruto Chapitre 499
[13/03/2009 - 03:41:46 | A | 24064] 	G:\VisualMedia.exe

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SERVEUR.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

H3RV3 · Answer

Ok, ya encore du boulot !

Refais déjà un rapport ZHPDiag comme ceci :

&#9679; Double clique ZHPDiag présent sur ton bureau

&#9679; Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

&#9679; Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

&#9679; Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

K2Asensei · Answer

C'est fait voila le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijBLC4JO4.txt

H3RV3 · Answer

Parfait, on va maintenant supprimer certains fichiers (dont VisualMedia) qui sont encore présents :

&#9679;  Télécharge OTM (de Old_Timer) sur ton Bureau

&#9679; Sous XP : Double clique sur OTM.exe
&#9679; Sous Vista : Fais un clic droit sur OTM.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Copie la liste ci-dessous et colle-la dans le cadre jaune (celui de gauche) de OTM sous Paste Instructions for Items to be Moved





:Services

:files
C:\WINDOWS\system32\1109\VisualMedia.exe
C:\1gkbvsni.exe
C:\WINDOWS\System32\VisualMedia.exe
D:\1gkbvsni.exe
D:\VisualMedia.exe
F:\1gkbvsni.exe
F:\VisualMedia.exe
G:\1gkbvsni.exe
G:\VisualMedia.exe

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"edit"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"reg"=-

:commands
[emptytemp]




&#9679; Clique sur le bouton MoveIt! pour lancer la suppression.

&#9679; Clique sur le bouton YES pour redémarrer le PC

&#9679; Un rapport s'ouvre au redémarrage du PC, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\_OTM\MovedFiles

K2Asensei · Answer

Salut, Rapport:
All processes killed
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\1109\VisualMedia.exe moved successfully.
C:\1gkbvsni.exe moved successfully.
C:\WINDOWS\System32\VisualMedia.exe moved successfully.
D:\1gkbvsni.exe moved successfully.
File/Folder D:\VisualMedia.exe not found.
File/Folder F:\1gkbvsni.exe not found.
F:\VisualMedia.exe moved successfully.
File/Folder G:\1gkbvsni.exe not found.
G:\VisualMedia.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\edit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reg deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 3873735 bytes
->Temporary Internet Files folder emptied: 59593 bytes
->FireFox cache emptied: 42990872 bytes
->Flash cache emptied: 28404 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2512673 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 61624320 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 106,00 mb
 
 
OTM by OldTimer - Version 3.1.12.2 log created on 06202010_132005

H3RV3 · Answer

Ok, voilà la suite des opérations :

D'abord, pourrais-tu me transmettre les fichiers présents dans le dossier C:\_OTM. Voilà comment procéder :

&#9679; Clique sur le menu démarrer puis sur Poste de travail

&#9679; Double clique sur le lecteur local C:\

&#9679; Fais un clic droit sur le dossier _OTM, choisis "Envoyer vers" puis "Dossier compressé"

&#9679; Transmet moi par mail le fichier (précédemment crée) _OTM.zip qui se trouve dans C:\

Mon mail est visible dans mon profil


Ensuite, on va scanner ton PC pour vérifier la présence d'éventuels autres malwares :

&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM

K2Asensei · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4219

Windows 5.2.3790 Service Pack 1
Internet Explorer 6.0.3790.1830

20/06/2010 22:28:40
mbam-log-2010-06-20 (22-28-40).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 151019
Temps écoulé: 59 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\C\2bbi1ax.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\krwyrv0d.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\xcr.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\D\2bbi1ax.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\D\krwyrv0d.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\D\xcr.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\F\krwyrv0d.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\F\xcr.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.

K2Asensei · Answer

j'arrive pas à attacher le fichier je reçoit un message qui me dit impossible d'attacher ce fichier car il contient un virus. comment puis-faire?

H3RV3 · Answer

Essaie en désactivant ton antivirus avant de créer le message. 
Autrement, rends-toi sur cette page : https://www.ionos.fr/?affiliate_id=77097 et transmet le fichier .zip par ce biais.

Tous les fichiers infectés trouvés par Malwarebytes étaient dans la quarantaine de UsbFix. 

Peux-tu refaire un rapport ZHPDiag pour vérifier tout çà.

H3RV3 · Answer

Salut,

La désinfection n'étant pas fini, je te relance.
Où est es-tu ?

K2Asensei · Answer

Salut,

Merci de mettre un message dans ton sujet sur le forum afin que l'on puisse continuer la désinfection.

je t'ai envoyer le rapport inbox

H3RV3 · Answer

Salut,

Héberge plutôt le rapport sur http://www.cijoint.fr/

K2Asensei · Answer

c'est fait voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijDliBXkG.txt

H3RV3 · Answer

Ya encore des trucs bizarres..

As-tu réinséré des clés USB depuis sur le PC ?

Fais ceci (attention, supprime d'abord la version de USBFix présente sur ton bureau et télécharge la nouvelle version) :

&#9679; Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

&#9679; Double clique sur UsbFix.exe

&#9679; Clique sur le bouton "Recherche"

&#9679; Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

&#9679; Patiente pendant que l'outil travaille

&#9679; A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt

Note :
    UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.

K2Asensei · Answer

############################## | UsbFix 7.014 | [Recherche]

Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 20:01:16 | 30/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
Internet Explorer 6.0.3790.1830

RAM -> 3575 Mo 
C:\ (%systemdrive%) -> Disque fixe # 37 Go (26 Go libre(s) - 71%) [] # NTFS
D:\ -> Disque amovible # 2 Go (253 Mo libre(s) - 13%) [K2A] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 495 Mo (68 Mo libre(s) - 14%) [] # FAT32
G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32
H:\ -> Disque amovible # 247 Mo (207 Mo libre(s) - 84%) [] # FAT32

################## | Éléments infectieux |

Présent! C:\WINDOWS\system32\1109
Présent! C:\WINDOWS\system32\autorun.inf
Présent! C:\Documents and Settings\Administrateur\autorun.inf
Présent! D:\Autorun.inf
Présent! H:\imghyva6.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85c-784f-11df-9cbf-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL HeIluk.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{66464dda-73b5-11df-b844-000f203790b2}
Shell\AutoRun\Command = awb3ryk.exe
Shell\open\Command = awb3ryk.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c606-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\LAUDA///znalac.exe
Shell\open\Command = D:\LAUDA///znalac.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c613-7918-11df-83b2-000f203790b2}
Shell\AutoRun\Command = D:\krwyrv0d.exe
Shell\open\Command = D:\krwyrv0d.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44e-7aac-11df-8737-000f203790b2}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL duoduu.eXe


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

H3RV3 · Answer

Ok, on passe à la suppression :

&#9679; Relance UsbFix.exe

&#9679; Clique sur le bouton "Suppression"

&#9679; Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

&#9679; Patiente pendant que l'outil travaille

&#9679; A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt


Puis refais à nouveau un rapport ZHPDiag.

Si tu connectes régulièrement des nouveaux disques amovibles, tes chances de te faire réinfecter rapidement sont grandes.

K2Asensei · Answer

Le rapport UsbFix:
je suis obligé d'accepter les disques amovible car des clients ont souvent besoin de faire des impressions ou d'autre travaux depuis leur clé usb, par contre dans UsbFix j'ai vu un onglet Vacciner!est-il possible de l'utiliser pour prévenir des éventuelles infections?


############################## | UsbFix 7.014 | [Suppression]

Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 09:22:14 | 01/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
Internet Explorer 6.0.3790.1830

RAM -> 3575 Mo 
C:\ (%systemdrive%) -> Disque fixe # 37 Go (26 Go libre(s) - 71%) [] # NTFS
D:\ -> Disque amovible # 2 Go (253 Mo libre(s) - 13%) [K2A] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 495 Mo (68 Mo libre(s) - 14%) [] # FAT32
G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32
H:\ -> Disque amovible # 247 Mo (207 Mo libre(s) - 84%) [] # FAT32

################## | Éléments infectieux |

Supprimé! C:\WINDOWS\system32\1109
Supprimé! C:\WINDOWS\system32\autorun.inf
Supprimé! C:\Documents and Settings\Administrateur\autorun.inf
Supprimé! D:\Autorun.inf
Supprimé! D:\VisualMedia.exe
Supprimé! H:\imghyva6.exe
Supprimé! C:\WINDOWS\system32\Setup\VisualMedia.exe
Supprimé! C:\_OTM\MovedFiles\06202010_132005\C_WINDOWS\system32\1109\VisualMedia.exe
Supprimé! C:\_OTM\MovedFiles\06202010_132005\C_WINDOWS\system32\VisualMedia.exe
Supprimé! C:\_OTM\MovedFiles\06202010_132005\F_\VisualMedia.exe
Supprimé! C:\_OTM\MovedFiles\06202010_132005\G_\VisualMedia.exe

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85c-784f-11df-9cbf-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66464dda-73b5-11df-b844-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c606-7918-11df-83b2-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c613-7918-11df-83b2-000f203790b2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44e-7aac-11df-8737-000f203790b2}

################## | Listing |

[06/06/2010 - 16:51:27 | A | 0] 	C:\AUTOEXEC.BAT
[18/06/2010 - 20:58:10 | RASHD ] 	C:\Autorun.inf
[06/06/2010 - 16:44:40 | ASH | 210] 	C:\boot.ini
[29/04/2003 - 10:35:17 | RASH | 4952] 	C:\bootfont.bin
[06/06/2010 - 16:51:27 | A | 0] 	C:\CONFIG.SYS
[06/06/2010 - 16:56:35 | D ] 	C:\Documents and Settings
[30/06/2010 - 19:55:40 | D ] 	C:\downloads
[11/06/2010 - 22:44:54 | D ] 	C:\fc57996bb7b81071a5fb11c991
[06/06/2010 - 16:51:27 | RASH | 0] 	C:\IO.SYS
[06/06/2010 - 16:51:27 | RASH | 0] 	C:\MSDOS.SYS
[07/06/2010 - 00:39:00 | RHD ] 	C:\MSOCache
[24/03/2005 - 19:07:44 | RASH | 47772] 	C:\NTDETECT.COM
[24/03/2005 - 19:08:06 | RASH | 297744] 	C:\ntldr
[01/07/2010 - 09:12:18 | ASH | 2145386496] 	C:\pagefile.sys
[29/06/2010 - 08:43:44 | RD ] 	C:\Program Files
[01/07/2010 - 09:30:34 | D ] 	C:\QUARANTINE
[01/07/2010 - 09:39:56 | SHD ] 	C:\RECYCLER
[30/06/2010 - 23:31:57 | D ] 	C:\spoolerlogs
[01/07/2010 - 09:35:58 | A | 675] 	C:\STAT.DAT
[06/06/2010 - 21:10:15 | D ] 	C:\swsetup
[06/06/2010 - 16:56:05 | SHD ] 	C:\System Volume Information
[01/07/2010 - 09:39:57 | D ] 	C:\UsbFix
[01/07/2010 - 09:39:58 | A | 1512] 	C:\UsbFix.txt
[18/06/2010 - 20:58:25 | A | 1821108] 	C:\UsbFix_Upload_Me_SERVEUR.zip
[01/07/2010 - 09:14:28 | D ] 	C:\WINDOWS
[06/06/2010 - 16:52:01 | D ] 	C:\wmpub
[20/06/2010 - 13:20:05 | D ] 	C:\_OTM
[20/06/2010 - 21:17:48 | A | 293292] 	C:\_OTM.rar
[18/02/2010 - 18:07:26 | A | 24714506] 	D:\241 gaboma.avi
[27/04/2010 - 14:29:44 | A | 2913539] 	D:\13 tuer les wacks.mp3
[21/05/2010 - 01:49:06 | A | 117463277] 	D:\96fe40fbe58b36fc0e007424f5925642-1274402534.flv
[26/04/2010 - 19:28:50 | A | 762550] 	D:\adherer_sacem.pdf
[26/04/2010 - 19:29:02 | A | 330124] 	D:\adherer_sacem_musique_electronique.pdf
[22/09/2009 - 12:13:28 | A | 3477838] 	D:\Mo' fire.mp3
[01/05/2010 - 22:53:22 | A | 12102] 	D:\Alain KOUAM.docx
[11/02/2010 - 17:12:00 | A | 30143928] 	D:\avira_antivir_personal_free.exe
[21/03/2010 - 19:41:24 | A | 69632] 	D:\Bible en 1an.xls
[19/04/2010 - 21:41:40 | A | 30720] 	D:\Camarade Lambert ASSEY.doc
[30/04/2009 - 22:24:32 | A | 622592] 	D:\COURS BIBLIQUES.doc
[29/05/2010 - 23:15:10 | D ] 	D:\Dg du son
[26/04/2010 - 22:54:02 | A | 366492] 	D:\Droit d'auteur.docx
[15/01/2010 - 16:16:28 | A | 43520] 	D:\Etude biblique.doc
[01/07/2008 - 07:32:02 | A | 119153] 	D:\FAC Record.jpg
[29/05/2010 - 23:15:12 | D ] 	D:\facebook
[28/04/2010 - 19:14:32 | A | 114096] 	D:\Fiche Pratique DroitsVoisins.pdf
[26/04/2010 - 23:00:22 | A | 1480128] 	D:\Fiche_pratique_n°27.pdf
[15/05/2010 - 13:29:54 | A | 6067] 	D:\FRAGLIST.HTM
[15/05/2010 - 13:30:20 | A | 602] 	D:\FRAGLIST.LUAR
[18/02/2010 - 18:12:36 | A | 33481256] 	D:\démo jazzé.avi
[18/02/2010 - 18:04:10 | A | 25115078] 	D:\i can transform ya.avi
[18/02/2010 - 18:56:30 | A | 739944] 	D:\I Told Yall 1.avi
[18/02/2010 - 18:57:54 | A | 15336130] 	D:\I Told Yall 2.avi
[18/02/2010 - 19:07:48 | A | 25990458] 	D:\I Told Yall 3.avi
[18/02/2010 - 19:09:18 | A | 24296592] 	D:\I Told Yall 4.avi
[18/02/2010 - 18:08:54 | A | 21731066] 	D:\jazzé danse gabonaise.avi
[18/02/2010 - 18:10:50 | A | 19516908] 	D:\Kifra-L Waz.avi
[18/02/2010 - 18:05:22 | A | 22079980] 	D:\tina di la verité.avi
[18/02/2010 - 18:47:42 | A | 33904742] 	D:\un geste pour haiti 1.avi
[18/02/2010 - 18:45:20 | A | 33844538] 	D:\un geste pour haiti 2.avi
[18/02/2010 - 18:50:50 | A | 41645950] 	D:\we are the world new vesion 4 haiti.avi
[18/02/2010 - 17:13:54 | A | 13999016] 	D:\Zeynab Feat Koba  Wake Up.avi
[30/06/2010 - 21:03:52 | A | 15576] 	D:\4demi carte.jpg
[14/04/2010 - 19:25:04 | A | 12000] 	D:\intro pouahom.com.docx
[29/05/2010 - 23:15:28 | D ] 	D:\k2a very important
[24/04/2010 - 04:05:58 | A | 15659079] 	D:\Koba   Regardes-moi.flv
[17/08/2009 - 15:30:34 | A | 217548] 	D:\Koba.JPG
[04/07/2009 - 17:29:32 | A | 425858] 	D:\koba01.jpg
[28/04/2010 - 19:14:52 | A | 179712] 	D:\Le droit voisin pour les nuls.doc
[21/04/2010 - 19:19:58 | A | 377883] 	D:\liste FO.jpg
[20/06/2007 - 19:35:40 | A | 422075] 	D:\logo couronne copie.jpg
[04/02/2007 - 10:21:06 | A | 118425] 	D:\logo seul.jpg
[21/04/2010 - 19:15:44 | A | 483951] 	D:\MO 001(2).jpg
[21/04/2010 - 19:12:12 | A | 483951] 	D:\MO 001.jpg
[21/04/2010 - 19:12:52 | A | 504792] 	D:\MO 002.jpg
[30/04/2010 - 01:11:54 | A | 122929878] 	D:\naruto 158.flv
[29/05/2010 - 23:15:36 | D ] 	D:\nero 8
[13/08/2009 - 00:31:10 | A | 4371608] 	D:\P7160083.JPG
[13/08/2009 - 00:31:24 | A | 3992806] 	D:\P7160084.JPG
[19/04/2010 - 17:44:42 | A | 250281] 	D:\photo.jpg
[13/08/2009 - 00:28:02 | A | 1198138] 	D:\Picture 010.JPG
[13/08/2009 - 00:29:30 | A | 1162462] 	D:\Picture 115.JPG
[13/08/2009 - 00:29:42 | A | 1056938] 	D:\Picture 117.JPG
[29/05/2010 - 23:15:38 | D ] 	D:\pour myspace
[14/04/2010 - 18:40:24 | A | 26841] 	D:\Projet pouahom.com.docx
[26/04/2010 - 23:14:30 | A | 24942] 	D:\Société de gestion des droits d.docx
[29/05/2010 - 23:15:46 | D ] 	D:\sonny
[14/04/2010 - 22:01:42 | A | 30720] 	D:\VIE DE FAMILLE AU TRIBUNAL.doc
[17/08/2009 - 15:17:18 | A | 528685] 	D:\vlcsnap-16990.png
[17/08/2009 - 15:20:00 | A | 488600] 	D:\vlcsnap-18622.png
[17/08/2009 - 15:22:10 | A | 459231] 	D:\vlcsnap-19911.png
[22/05/2010 - 21:12:42 | A | 3508767] 	D:\warning.mp3
[18/05/2010 - 15:58:00 | A | 1462960] 	D:\welcome in the ghrtto bling.wav
[29/05/2010 - 23:15:48 | D ] 	D:\www.naruto-uzumaki.net
[22/09/2009 - 12:14:12 | A | 3505005] 	D:\mon Afrika.mp3
[22/09/2009 - 12:12:46 | A | 4105613] 	D:\Nzambe kana.mp3
[02/05/2010 - 23:55:42 | D ] 	D:\new
[22/09/2009 - 12:08:58 | A | 4022439] 	D:\ou veux-tu qu'on aille.mp3
[30/09/2009 - 17:23:26 | A | 8490546] 	D:\Ducati_Windows7.themepack
[30/05/2010 - 23:19:48 | A | 362085] 	D:\Logo June.psd
[22/09/2009 - 12:05:08 | A | 3620362] 	D:\pour mon père.mp3
[31/05/2010 - 23:41:46 | A | 1253877] 	D:\Nephtali - Groupie Love Remix.mp3
[10/09/2007 - 00:07:08 | A | 6463660] 	D:\rocket-dock_rocket_dock_1.3.5_francais_31700.exe
[28/09/2009 - 23:07:00 | A | 10795685] 	D:\Ferrari_Win7Theme.themepack
[15/10/2009 - 21:54:36 | A | 13088838] 	D:\Gears 2.themepack
[09/10/2009 - 17:23:16 | A | 11790272] 	D:\Happiness Factory_Windows7.themepack
[05/10/2009 - 21:17:14 | A | 4878799] 	D:\Porsche_Windows7.themepack
[04/05/2010 - 23:26:04 | A | 11948409] 	D:\ShrekForeverAfter.themepack
[03/06/2010 - 21:13:30 | A | 199158] 	D:\Auto_Translator.gadget
[03/06/2010 - 21:35:54 | A | 121079061] 	D:\nuto 163.flv
[26/09/2008 - 20:50:12 | A | 846446] 	D:\100plus_intel_network.zip
[22/09/2009 - 12:07:22 | A | 3022262] 	D:\Trop balaise.mp3
[06/06/2010 - 21:40:38 | A | 13523] 	D:\Où  donc la justice.docx
[06/06/2010 - 21:09:44 | H | 11227] 	D:\~WRL1860.tmp
[22/09/2009 - 12:11:12 | A | 3431444] 	D:\téléphone arabe.mp3
[22/09/2009 - 12:09:38 | A | 3243781] 	D:\We're in the club.mp3
[13/04/2010 - 22:43:44 | A | 31932477] 	D:\McAfee VirusScan Enterprise 8.5i & AntiSpyware Enterprise Module 8.5.zip
[22/09/2009 - 12:06:44 | A | 3827252] 	D:\Yen ko.mp3
[07/06/2010 - 00:52:44 | D ] 	D:\ccp
[07/06/2010 - 20:55:30 | A | 13122] 	D:\La joie du Seigneur est ma force.docx
[07/06/2010 - 21:30:44 | A | 31744] 	D:\S G C Entête.doc
[07/06/2010 - 21:49:00 | A | 43392] 	D:\Diane.jpg
[10/06/2010 - 17:07:22 | D ] 	D:\[MFT] Naruto Chapitre 498
[24/09/2009 - 12:24:56 | D ] 	D:\ComboAudio_a1u300a
[11/06/2010 - 09:53:40 | A | 445967] 	D:\Photo0601.jpg
[11/06/2010 - 09:33:40 | A | 310535] 	D:\Photo0596.jpg
[29/03/2010 - 19:56:30 | D ] 	D:\tosma
[12/06/2010 - 17:28:30 | D ] 	D:\games
[17/06/2010 - 10:00:28 | D ] 	D:\Julio et brassenss
[18/06/2010 - 20:58:54 | A | 13037] 	D:\UsbFix.txt
[20/02/2010 - 23:04:26 | A | 198144] 	D:\carte de visite k2a.pub
[31/01/2010 - 16:49:22 | A | 23312761] 	D:\karismatic_booklet.pdf
[24/06/2010 - 12:16:28 | A | 11905] 	D:\Press Book SAM.docx
[18/03/2009 - 23:20:50 | A | 11838] 	D:\presse book au dela qes.docx
[22/09/2009 - 12:05:54 | A | 3354958] 	D:\Bussiness.mp3
[22/09/2009 - 12:11:58 | A | 3763304] 	D:\ca ne change rien.mp3
[22/09/2009 - 12:15:00 | A | 4056711] 	D:\Déraciné.mp3
[22/09/2009 - 12:10:30 | A | 4243539] 	D:\I'm back.mp3
[22/09/2009 - 12:08:10 | A | 3659232] 	D:\I'm hot.mp3
[22/09/2009 - 12:15:46 | A | 3695177] 	D:\Isssolé.mp3
[08/04/2010 - 18:52:02 | D ] 	F:\nero 8
[20/06/2010 - 13:22:38 | A | 3240] 	F:\BOOTEX.LOG
[18/05/2010 - 14:14:30 | D ] 	F:\Win7
[15/06/2010 - 22:43:08 | HD ] 	F:\Jotex
[18/06/2010 - 20:58:12 | D ] 	F:\Autorun.inf
[17/06/2010 - 21:07:48 | HD ] 	F:\Nouveau dossier
[19/06/2010 - 17:03:36 | HD ] 	F:\+++
[09/06/2010 - 21:23:12 | D ] 	F:\WDM_A406
[30/06/2010 - 16:20:56 | A | 18070] 	H:\photo.jpg
[30/06/2010 - 18:00:18 | A | 154972] 	H:\pa.jpg
[30/06/2010 - 18:00:50 | A | 103312] 	H:\pa1.jpg
[18/05/2010 - 14:14:30 | D ] 	H:\Win7
[29/06/2010 - 22:22:30 | A | 89896] 	H:\A70.jpg
[29/06/2010 - 22:22:52 | A | 91095] 	H:\A71.jpg
[29/06/2010 - 22:23:10 | A | 83170] 	H:\A72.jpg
[29/06/2010 - 22:23:30 | A | 84153] 	H:\A73.jpg
[29/06/2010 - 22:23:52 | A | 82942] 	H:\A74.jpg
[29/06/2010 - 22:24:14 | A | 94227] 	H:\A75.jpg
[29/06/2010 - 22:24:36 | A | 104500] 	H:\A76.jpg
[29/06/2010 - 22:24:56 | A | 121442] 	H:\A77.jpg
[29/06/2010 - 22:26:28 | A | 96561] 	H:\A78.jpg
[29/06/2010 - 22:26:50 | A | 82616] 	H:\A79.jpg
[29/06/2010 - 22:27:08 | A | 113068] 	H:\A80.jpg
[29/06/2010 - 22:27:32 | A | 76224] 	H:\A81.jpg
[06/06/2010 - 21:56:32 | D ] 	H:\McAfee VirusScan Enterprise 8.5i & AntiSpyware Enterprise Module 8.5
[23/06/2010 - 14:01:50 | A | 156056] 	H:\A49.jpg
[23/06/2010 - 14:11:46 | A | 221225] 	H:\A68.jpg
[23/06/2010 - 14:12:08 | A | 175870] 	H:\A69.jpg
[01/03/1999 - 10:27:02 | RSHD ] 	H:\RECYCLER
[18/06/2010 - 20:58:12 | D ] 	H:\Autorun.inf

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SERVEUR.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

K2Asensei · Answer

le lien du rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijpFBXzZ5.txt

H3RV3 · Answer

Pour éviter des futures infections, voilà ce qu'il faudrait faire :

Télécharge autorun.reg sur ton bureau puis double clique dessus et réponds "Oui" à la question.
Cela permet de désactiver l'exécution automatique lors de l'insertion d'une clé USB.

Ensuite, à chaque fois qu'une clé USB (ou tout autre média amovible) est inséré dans le PC, avant de vouloir y accéder, il faut lancer USBFix et choisir "Vacciner".


Je regarde encore le rapport ZHPDiag et je te tiens au courant.

H3RV3 · Answer

Bien, le rapport à l'air propre.

On va quand même encore faire une vérification :

Lance Malwarebytes, fais une mise à jour et lance un scan complet de ton PC.

K2Asensei · Answer

le rapport Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4263

Windows 5.2.3790 Service Pack 1
Internet Explorer 6.0.3790.1830

01/07/2010 13:49:49
mbam-log-2010-07-01 (13-49-49).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 153353
Temps écoulé: 49 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\_OTM\MovedFiles\06202010_132005\C_\1gkbvsni.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\_OTM\MovedFiles\06202010_132005\D_\1gkbvsni.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

H3RV3 · Answer

Bien, on va supprimer les outils utilisés :

&#9679; Double clique sur ZHPFix qui présent sur ton bureau

&#9679; Clique sur l'icône représentant un A rouge

&#9679; Clique sur le bouton Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

Utilisateur anonyme · Answer

Hello ,

################## | Upload | 

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SERVEUR.zip 
https://www.ionos.fr/?affiliate_id=77097 
Merci de votre contribution. 

Merci de faire cette opération afin d améliorer UsbFix , par avance merci .

El Desaparecido .

K2Asensei · Answer

ZHPFix v1.12.3108  by Nicolas Coolman - Rapport de suppression du 01/07/2010 16:03:25
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :


Clé du Registre :


Valeur du Registre :


Elément de données du Registre :


Préférences navigateur :


Dossier :
C:\UsbFix  => Supprimé et mis en quarantaine

Fichier :


Logiciel :
O63 - Logiciel: Usbfix By C_XX & El Desaparecido  => Logiciel supprimé avec succès

Script Registre :


Master Boot Record :


Autre :



Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 1
Fichier : 0
Logiciel : 1
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

H3RV3 · Answer

As-tu bien fait cela : https://forums.commentcamarche.net/forum/affich-18169559-mon-serveur-est-attaquer-par-visualmedia-exe?page=2#30 ?

Supprime le dossier _OTM présent dans C:\.

Suppression des points de restauration :
&#9679; Clique sur Démarrer
&#9679; Clique droit sur Poste de travail
&#9679; Clique sur Propriétés
&#9679; Clique sur l'onglet Restauration du système
&#9679; Clique sur Restauration système
&#9679; Coche la case Désactiver la Restauration du système sur tous les lecteurs
&#9679; Clique sur Appliquer
&#9679; Clique sur Oui au message "Voulez-vous vraiment désactiver la restauration système ?"
&#9679; Décoche la case Désactiver la Restauration du système sur tous les lecteurs
&#9679; Clique sur Appliquer
&#9679; Clique sur OK

Création d'un nouveau point de restauration :
&#9679; Clique sur Démarrer
&#9679; Clique sur Programmes
&#9679; Clique sur Accessoires
&#9679; Clique sur Outils système
&#9679; Clique sur Restauration système
&#9679; Active la restauration si un message le demande
&#9679; Sélectionne Créer un point de restauration
&#9679; Clique sur Suivant
&#9679; Entre une Description
&#9679; Clique sur Créer
&#9679; Clique sur Fermer

Mon serveur est attaquer par Visualmedia.exe

30 réponses

Discussions similaires