Mon serveur est attaquer par Visualmedia.exe

K2Asensei Messages postés 19 Statut Membre -  
H3RV3 Messages postés 3661 Statut Contributeur sécurité -
Bonjour, j'administre un café internet sous 2003 serveur, je suis exaspérer par ce virus "Visualmedia.exe". Il se lance automatiquement dans le processus et plante mon serveur, du coup plus aucune application ne s'exécute pourtant ça fait à peine 2 semaine que j'ai refait le serveur car je n'avait plus accès au lecteur cdrom et je pouvais plus arrêter le serveur par la procédure normale. aujourd'hui le même virus est là. J'utilise Mcafee+AntiSpyware 8.5 entreprise. j'ai besoin d'aide svp. Merci d'avance

30 réponses

  • 1
  • 2
  1. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    Hmmm, un Serveur 2003, on va commencer par faire une analyse :

    ● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

    ● Sous XP : Double clique sur ZHPDiag_silent.exe
    ● Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

    ● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

    ● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

    Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
    0
  2. K2Asensei Messages postés 19 Statut Membre
     
    Salut,
    Le lien de mon rapport: http://www.cijoint.fr/cjlink.php?file=cj201006/cijdLWm7rV.txt
    Merci pour l'aide
    0
  3. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Merci bien.

    Tu es bien infecté effectivement, des clés USB sont branchées directement sur ce serveur ?

    Il faudra vacciner toutes les disques amovibles susceptibles d'avoir été ou d'être branchés au serveur, sinon tu risques de te faire rapidement réinfecté.

    Je vais te faire passer un outil, mais je ne suis pas certain qu'il soit compatible Serveur 2003. Si tu as le moindre problème, préviens moi.

    Note : tu as de nombreuses infections qui se propagent par les disques amovibles.

    ● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

    ● Double clique sur UsbFix.exe

    ● Clique sur le bouton "Recherche"

    Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

    ● Patiente pendant que l'outil travaille

    ● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\UsbFix.txt

    Note :
    UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.
    0
  4. K2Asensei Messages postés 19 Statut Membre
     
    le second rapport:
    ############################## | UsbFix 7.011 | [Recherche]

    Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
    Mis à jour le 17/06/2010 par El Desaparecido / C_XX
    Lancé à 18:53:59 | 18/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
    Internet Explorer 6.0.3790.1830

    RAM -> 3575 Mo
    C:\ (%systemdrive%) -> Disque fixe # 37 Go (28 Go libre(s) - 74%) [] # NTFS
    D:\ -> Disque amovible # 247 Mo (119 Mo libre(s) - 48%) [] # FAT32
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 495 Mo (279 Mo libre(s) - 56%) [] # FAT32
    G:\ -> Disque amovible # 980 Mo (391 Mo libre(s) - 40%) [SONY] # FAT32

    ################## | Éléments infectieux |

    Présent! C:\WINDOWS\system32\autorun.inf
    Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
    Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq0.dll
    Présent! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq1.dll
    Présent! C:\Documents and Settings\Administrateur\autorun.inf
    Présent! C:\09lf.exe
    Présent! C:\Autorun.inf
    Présent! D:\Autorun.inf
    Présent! F:\Autorun.inf
    Présent! C:\Recycler\S-1-5-21-2923400741-2269171363-55663035-500
    Présent! D:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013
    Présent! C:\2bbi1ax.exe
    Présent! C:\2ul.exe
    Présent! C:\krwyrv0d.exe
    Présent! C:\xcr.exe
    Présent! D:\2bbi1ax.exe
    Présent! D:\2ul.exe
    Présent! D:\krwyrv0d.exe
    Présent! D:\xcr.exe
    Présent! F:\2ul.exe
    Présent! F:\Documents.lnk
    Présent! F:\krwyrv0d.exe
    Présent! F:\Music.lnk
    Présent! F:\New Folder.lnk
    Présent! F:\Passwords.lnk
    Présent! F:\Pictures.lnk
    Présent! F:\Video.lnk
    Présent! F:\xcr.exe
    Présent! C:\Documents and Settings\Administrateur\Local Settings\Temp\dsoqq.exe
    Présent! D:\09lf.exe
    Présent! F:\09lf.exe

    ################## | Mabezat |

    Présent! C:\Program Files\C-Media\WIN_ME\Make Windows Original.exe
    Présent! E:\Total.Video.Converter.3.10--uowforums.com\NokiaN73Tools.exe

    ################## | Registre |

    Présent! HKLM\Software\Classes\CLSID\MADOWN
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dso32

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\D
    Shell\AutoRun\Command = D:\LaunchU3.exe -a

    HKCU\.\.\.\.\Explorer\MountPoints2\{01097ef3-79e1-11df-814c-000f203790b2}
    Shell\AutoRun\Command = D:\xcr.exe
    Shell\open\Command = D:\xcr.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{05dbe146-72cd-11df-97ff-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UseR.eXe

    HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f849-784f-11df-9cbf-000f203790b2}
    Shell\AutoRun\Command = D:\2bbi1ax.exe
    Shell\open\Command = D:\2bbi1ax.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85c-784f-11df-9cbf-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL HeIluk.EXE

    HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85f-784f-11df-9cbf-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL JANEd.exE

    HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f86b-784f-11df-9cbf-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nHSIj.ExE

    HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1204-74a2-11df-aa5b-000f203790b2}
    Shell\AutoRun\Command = q0wfr.exe
    Shell\open\Command = q0wfr.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1213-74a2-11df-aa5b-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nUiSIi.eXe

    HKCU\.\.\.\.\Explorer\MountPoints2\{4633d757-7785-11df-87c4-000f203790b2}
    Shell\AutoRun\Command = F:\2bbi1ax.exe
    Shell\open\Command = F:\2bbi1ax.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{4633d76c-7785-11df-87c4-000f203790b2}
    Shell\AutoRun\Command = F:\2ul.exe
    Shell\open\Command = F:\2ul.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{66464dda-73b5-11df-b844-000f203790b2}
    Shell\AutoRun\Command = awb3ryk.exe
    Shell\open\Command = awb3ryk.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{66464ded-73b5-11df-b844-000f203790b2}
    Shell\AutoRun\Command = D:\MUSHKARCI///nesme.exe
    Shell\open\Command = D:\MUSHKARCI///nesme.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{67b54d46-7398-11df-a250-000f203790b2}
    Shell\AutoRun\Command = D:\xcr.exe
    Shell\open\Command = D:\xcr.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{70294ec7-7205-11df-8e57-000f203790b2}
    Shell\AutoRun\Command = F:\cgaqyi.exe
    Shell\open\Command = F:\cgaqyi.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{70294ecf-7205-11df-8e57-000f203790b2}
    Shell\AutoRun\Command = D:\1gkbvsni.exe
    Shell\open\Command = D:\1gkbvsni.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{70294ed3-7205-11df-8e57-000f203790b2}
    Shell\AutoRun\Command = F:\1gkbvsni.exe
    Shell\open\Command = F:\1gkbvsni.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c5ff-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\krwyrv0d.exe
    Shell\open\Command = D:\krwyrv0d.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c606-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\LAUDA///znalac.exe
    Shell\open\Command = D:\LAUDA///znalac.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c60f-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\krwyrv0d.exe
    Shell\open\Command = D:\krwyrv0d.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c613-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\krwyrv0d.exe
    Shell\open\Command = D:\krwyrv0d.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c61c-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = F:\MUSHKARCI///nesme.exe
    Shell\open\Command = F:\MUSHKARCI///nesme.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c62c-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\krwyrv0d.exe
    Shell\open\Command = D:\krwyrv0d.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{8b41689d-7460-11df-b416-000f203790b2}
    Shell\AutoRun\Command = F:\MUSHKARCI///nesme.exe
    Shell\open\Command = F:\MUSHKARCI///nesme.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{a932585a-752d-11df-985a-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL nHSIJ.EXE

    HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44d-7aac-11df-8737-000f203790b2}
    Shell\AutoRun\Command = D:\LaunchU3.exe -a

    HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44e-7aac-11df-8737-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL duoduu.eXe

    HKCU\.\.\.\.\Explorer\MountPoints2\{e2fdc4ec-749c-11df-96e2-000f203790b2}
    Shell\AutoRun\Command = D:\xcr.exe
    Shell\open\Command = D:\xcr.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonsoir

    Pour avancer H3RV3

    Relance UsbFix et passe à l'option "Suppression" et poste le rapport;merci.
    @+
    0
  7. K2Asensei Messages postés 19 Statut Membre
     
    ############################## | UsbFix 7.011 | [Suppression]

    Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
    Mis à jour le 17/06/2010 par El Desaparecido / C_XX
    Lancé à 20:19:22 | 18/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
    Internet Explorer 6.0.3790.1830

    RAM -> 3575 Mo
    C:\ (%systemdrive%) -> Disque fixe # 37 Go (28 Go libre(s) - 74%) [] # NTFS
    D:\ -> Disque amovible # 247 Mo (119 Mo libre(s) - 48%) [] # FAT32
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 495 Mo (279 Mo libre(s) - 57%) [] # FAT32
    G:\ -> Disque amovible # 980 Mo (391 Mo libre(s) - 40%) [SONY] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\WINDOWS\system32\autorun.inf
    Supprimé! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
    Supprimé! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq0.dll
    Supprimé! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq1.dll
    Supprimé! C:\Documents and Settings\Administrateur\autorun.inf
    Supprimé! C:\09lf.exe
    Supprimé! C:\Autorun.inf
    Supprimé! D:\Autorun.inf
    Supprimé! F:\Autorun.inf
    Supprimé! G:\Autorun.inf
    Supprimé! C:\Recycler\S-1-5-21-2923400741-2269171363-55663035-500
    Supprimé! D:\Recycler\S-1-5-21-1482476501-1644491937-682003330-1013
    Supprimé! C:\2bbi1ax.exe
    Supprimé! C:\2ul.exe
    Supprimé! C:\krwyrv0d.exe
    Supprimé! C:\xcr.exe
    Supprimé! D:\2bbi1ax.exe
    Supprimé! D:\2ul.exe
    Supprimé! D:\krwyrv0d.exe
    Supprimé! D:\xcr.exe
    Supprimé! F:\2ul.exe
    Supprimé! F:\Documents.lnk
    Supprimé! F:\krwyrv0d.exe
    Supprimé! F:\Music.lnk
    Supprimé! F:\New Folder.lnk
    Supprimé! F:\Passwords.lnk
    Supprimé! F:\Pictures.lnk
    Supprimé! F:\Video.lnk
    Supprimé! F:\xcr.exe
    Supprimé! D:\09lf.exe
    Supprimé! F:\09lf.exe
    Supprimé! G:\09lf.exe

    ################## | Mabezat |

    Supprimé! C:\Program Files\C-Media\WIN_ME\Make Windows Original.exe
    Non supprimé ! E:\Total.Video.Converter.3.10--uowforums.com\NokiaN73Tools.exe

    ################## | Registre |

    Supprimé! HKLM\Software\Classes\CLSID\MADOWN
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dso32

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\D
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{01097ef3-79e1-11df-814c-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f849-784f-11df-9cbf-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85f-784f-11df-9cbf-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1204-74a2-11df-aa5b-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3ded1213-74a2-11df-aa5b-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4633d76c-7785-11df-87c4-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66464ded-73b5-11df-b844-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{67b54d46-7398-11df-a250-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{70294ecf-7205-11df-8e57-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c5ff-7918-11df-83b2-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c60f-7918-11df-83b2-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c61c-7918-11df-83b2-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c62c-7918-11df-83b2-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8b41689d-7460-11df-b416-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a932585a-752d-11df-985a-000f203790b2}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44d-7aac-11df-8737-000f203790b2}

    ################## | Listing |

    [17/06/2010 - 21:00:14 | RSH | 115712] C:\1gkbvsni.exe
    [06/06/2010 - 16:51:27 | A | 0] C:\AUTOEXEC.BAT
    [06/06/2010 - 16:44:40 | ASH | 210] C:\boot.ini
    [29/04/2003 - 10:35:17 | RASH | 4952] C:\bootfont.bin
    [17/06/2010 - 08:22:11 | SHD ] C:\Config.Msi
    [06/06/2010 - 16:51:27 | A | 0] C:\CONFIG.SYS
    [06/06/2010 - 16:56:35 | D ] C:\Documents and Settings
    [18/06/2010 - 20:15:01 | D ] C:\downloads
    [11/06/2010 - 22:44:54 | D ] C:\fc57996bb7b81071a5fb11c991
    [06/06/2010 - 16:51:27 | RASH | 0] C:\IO.SYS
    [06/06/2010 - 16:51:27 | RASH | 0] C:\MSDOS.SYS
    [07/06/2010 - 00:39:00 | RHD ] C:\MSOCache
    [24/03/2005 - 19:07:44 | RASH | 47772] C:\NTDETECT.COM
    [24/03/2005 - 19:08:06 | RASH | 297744] C:\ntldr
    [18/06/2010 - 17:38:02 | ASH | 2145386496] C:\pagefile.sys
    [18/06/2010 - 18:06:44 | RD ] C:\Program Files
    [18/06/2010 - 18:56:21 | D ] C:\QUARANTINE
    [18/06/2010 - 20:57:26 | SHD ] C:\RECYCLER
    [18/06/2010 - 20:50:12 | A | 675] C:\STAT.DAT
    [06/06/2010 - 21:10:15 | D ] C:\swsetup
    [06/06/2010 - 16:56:05 | SHD ] C:\System Volume Information
    [18/06/2010 - 20:57:59 | D ] C:\UsbFix
    [18/06/2010 - 20:58:06 | A | 2209] C:\UsbFix.txt
    [18/06/2010 - 18:51:25 | D ] C:\WINDOWS
    [06/06/2010 - 16:52:01 | D ] C:\wmpub
    [10/06/2010 - 20:01:46 | A | 157171] D:\45.jpg
    [10/06/2010 - 22:16:44 | A | 89536] D:\fichier.jpg
    [23/06/2006 - 10:15:36 | A | 1389856] D:\R114079.EXE
    [17/11/2006 - 12:10:16 | A | 3627472] D:\R129472.EXE
    [08/11/2006 - 17:22:34 | A | 5265232] D:\R132254.EXE
    [11/06/2010 - 16:01:20 | A | 125064] D:\pasp.jpg
    [22/05/2008 - 18:52:38 | A | 54750848] D:\R151517.EXE
    [12/11/2007 - 18:34:18 | A | 6481976] D:\R165177.EXE
    [10/06/2010 - 20:02:30 | A | 9412] D:\bordereau.jpg
    [15/04/2005 - 19:40:14 | A | 23831624] D:\R92436.EXE
    [23/01/2007 - 20:52:28 | A | 4675584] D:\R99254.EXE
    [17/05/2005 - 14:52:22 | A | 27891408] D:\R99394.EXE
    [03/06/2010 - 21:59:32 | A | 13419] D:\Ministère de l.docx
    [10/06/2010 - 20:49:02 | A | 22528] D:\ANNEE SCOLAIRE 2009.doc
    [10/06/2010 - 22:25:06 | A | 80228] D:\fichier 2.jpg
    [12/06/2010 - 12:58:00 | A | 84657] D:\Scan10510.jpg
    [12/06/2010 - 12:58:00 | A | 76018] D:\Scan10511.jpg
    [12/06/2010 - 12:58:00 | A | 87888] D:\Scan10513.jpg
    [12/06/2010 - 12:58:00 | A | 193312] D:\Scan10514.jpg
    [12/06/2010 - 14:26:38 | A | 74779] D:\i.jpg
    [12/06/2010 - 14:27:02 | A | 122762] D:\i2.jpg
    [12/06/2010 - 14:27:26 | A | 90131] D:\i3.jpg
    [12/06/2010 - 21:45:04 | A | 87202] D:\doc cliente.jpg
    [12/06/2010 - 21:45:26 | A | 93121] D:\doc cliente2.jpg
    [14/06/2010 - 09:05:48 | A | 24064] D:\cv.doc
    [13/06/2010 - 14:10:08 | A | 1553435] D:\logo ACTIS.jpg
    [15/06/2010 - 08:25:16 | A | 1536] D:\BOOTEX.LOG
    [10/06/2010 - 15:37:54 | A | 12561] D:\Ministère de ln.docx
    [14/06/2010 - 10:04:20 | A | 25088] D:\CURRICULUM VITAE.doc
    [01/03/1999 - 10:27:02 | RSHD ] D:\RECYCLER
    [14/06/2010 - 14:36:28 | A | 22016] D:\Entete.doc
    [14/06/2010 - 15:12:14 | A | 30720] D:\Nouveau Document Microsoft Office Word (2).doc
    [14/06/2010 - 17:49:10 | A | 609104] D:\passeport.jpg
    [15/06/2010 - 11:44:48 | A | 70496] D:\phota.jpg
    [16/06/2010 - 13:07:48 | A | 101770] D:\ii.jpg
    [16/06/2010 - 13:08:28 | A | 89718] D:\ii3.jpg
    [16/06/2010 - 20:52:24 | A | 87772] D:\banque.jpg
    [17/06/2010 - 12:46:04 | A | 79002] D:\bc.jpg
    [17/06/2010 - 10:38:22 | A | 21504] D:\TU AS VOULU LES ENFANTS UNIS.doc
    [17/06/2010 - 12:46:44 | A | 97488] D:\bc2.jpg
    [17/06/2010 - 12:47:22 | A | 97530] D:\bc3.jpg
    [17/06/2010 - 12:47:54 | A | 108747] D:\bc4.jpg
    [17/06/2010 - 12:48:18 | A | 105389] D:\bc5.jpg
    [17/06/2010 - 12:48:38 | A | 114724] D:\bc6.jpg
    [17/06/2010 - 12:49:02 | A | 132257] D:\bc7.jpg
    [17/06/2010 - 16:02:00 | A | 88888] D:\x.jpg
    [03/06/2010 - 08:49:30 | A | 24064] D:\VisualMedia.exe
    [18/06/2010 - 17:47:44 | A | 112533] D:\Didier.jpg
    [05/11/2008 - 13:04:46 | R | 26596640] E:\AdbeRdr90_fr_FR.exe
    [06/06/2010 - 13:27:02 | RD ] E:\CCP Client
    [06/06/2010 - 13:27:01 | RD ] E:\CCleaner
    [06/06/2010 - 13:18:59 | R | 8412160] E:\Firefox Setup 3.6.3.exe
    [15/01/2009 - 08:34:48 | R | 25760213] E:\SUPERsetup.exe
    [06/06/2010 - 13:19:41 | R | 1704744] E:\SkypeSetup.exe
    [06/06/2010 - 13:28:04 | RD ] E:\Total.Video.Converter.3.10--uowforums.com
    [06/06/2010 - 13:16:11 | R | 3327000] E:\WindowsXP-KB942288-v3-x86.exe
    [11/09/2008 - 22:13:59 | R | 67110184] E:\iTunes8Setup.exe
    [06/06/2010 - 13:20:52 | R | 1924976] E:\install_flash_player.exe
    [06/06/2010 - 13:27:37 | R | 11899984] E:\mssefullinstall-x86fre-fr-fr-xp.exe
    [06/06/2010 - 13:18:09 | R | 2592840] E:\orbit-downloader_orbit_downloader_3.0.0.5_francais_39037.exe
    [06/06/2010 - 13:20:34 | R | 507564] E:\supercopier_supercopier_2.2_beta_francais_11010.exe
    [06/06/2010 - 13:23:08 | R | 18499623] E:\vlc-1.0.5-win32.exe
    [13/11/2009 - 20:25:00 | R | 1164624] E:\wlsetup-custom.exe
    [06/10/2009 - 12:46:10 | R | 1164616] E:\wlsetup-web.exe
    [06/11/2008 - 07:27:45 | R | 14896880] E:\ymsgr900_2034_fr.exe
    [09/06/2010 - 16:16:44 | A | 111370] F:\p l'église.pptx
    [09/06/2010 - 16:16:40 | A | 98599] F:\eglise.pptx
    [06/06/2010 - 21:56:32 | D ] F:\McAfee VirusScan Enterprise 8.5i & AntiSpyware Enterprise Module 8.5
    [16/06/2010 - 08:26:54 | A | 1618] F:\BOOTEX.LOG
    [17/06/2010 - 21:00:14 | RSH | 115712] F:\1gkbvsni.exe
    [15/06/2010 - 22:43:08 | D ] F:\Jotex
    [17/06/2010 - 21:07:48 | D ] F:\Nouveau dossier
    [18/06/2010 - 10:49:02 | A | 15225] F:\paloalto.txt
    [18/06/2010 - 10:54:26 | A | 48640] F:\PRESENTATION GENERALE DE.doc
    [13/03/2009 - 03:41:46 | A | 24064] F:\VisualMedia.exe
    [08/06/2010 - 13:20:04 | D ] F:\NeoRAGEx5.0
    [20/07/2009 - 18:47:28 | D ] F:\ZUMA DE LUXE
    [09/06/2010 - 21:23:12 | D ] F:\WDM_A406
    [07/12/2010 - 03:00:42 | A | 7234728] G:\Koba-ImAHustler-PROMO.mp3
    [31/05/2009 - 19:30:24 | A | 4807261] G:\Say (Prod. By Timbaland).mp3
    [07/12/2010 - 01:31:56 | A | 5351826] G:\Sean Paul - Even.mp3
    [18/05/2010 - 16:47:00 | A | 5676702] G:\fray-never say never.mp3
    [30/05/2010 - 12:36:10 | A | 13285] G:\Enchainement Libre Baccalauréat 2010.docx
    [17/11/2009 - 13:32:52 | A | 3458644] G:\justin bieber - one time.mp3
    [16/06/2010 - 13:59:02 | A | 3973953] G:\lil wayne - on fire.mp3
    [18/12/2009 - 12:52:46 | A | 4285785] G:\timbaland - lose control (ft. jojo).mp3
    [16/06/2010 - 20:20:32 | A | 9014591] G:\tomorrow in the bottle.mp3
    [02/06/2010 - 15:19:04 | A | 38455244] G:\JennY_S.O.S_( prod by le dragon du son )_Fac RecorD.wav
    [16/06/2010 - 20:12:04 | A | 4185859] G:\timbaland - undertow (ft. the fray & esthero).mp3
    [16/06/2010 - 20:24:16 | A | 3569787] G:\usher - hey daddy (daddy________________.mp3
    [23/11/2009 - 12:53:26 | A | 2953643] G:\Lady Gaga - Just Dance.mp3
    [23/11/2009 - 12:53:26 | A | 3353613] G:\Lady GaGa - Paparazzi(1).mp3
    [01/07/2009 - 12:19:02 | A | 7595147] G:\Chris Cornell feat Timbaland . Scream.mp3
    [04/06/2010 - 12:38:52 | D ] G:\mp3
    [05/06/2010 - 17:27:30 | A | 7281233] G:\bad boy [HQ].mp3
    [05/06/2010 - 17:30:58 | A | 1254261] G:\Nephtali - Groupie Love Remix.mp3
    [09/03/2010 - 01:27:24 | A | 3010676] G:\Timbaland - Carmen remix Instrumental.mp3
    [09/03/2010 - 01:27:50 | A | 3783089] G:\Timbaland feat One Republic - Apologize Instrumental.mp3
    [21/02/2010 - 14:28:46 | A | 5335391] G:\08 rude boy.mp3
    [04/11/2008 - 16:41:48 | A | 39401629] G:\Britney Spears - Womanizer.mkv
    [16/06/2010 - 13:22:36 | A | 1232392] G:\Chris_Brown_ft_Lil_Wayne_and_Swizz_Beatz_1.mp3
    [16/06/2010 - 20:42:10 | A | 6654356] G:\Gallis.mp3
    [23/03/2010 - 15:00:04 | A | 3731506] G:\I Told Yall.mp3
    [16/06/2010 - 19:27:14 | A | 3658643] G:\I'm yours..mp3
    [07/12/2010 - 03:08:06 | A | 4462670] G:\james fauntleroy - l.mp3
    [07/12/2010 - 00:32:36 | A | 5459304] G:\Jason Derulo - W (1).mp3
    [07/02/2010 - 20:01:20 | A | 1318674] G:\Jay Sean - Walking Alone (Snippet) ( 2o1o ).mp3
    [07/12/2010 - 03:00:18 | A | 3196622] G:\Keri Hilson feat (1).mp3
    [08/06/2010 - 22:57:26 | D ] G:\clients out
    [10/06/2010 - 21:56:52 | A | 117869681] G:\Shippuden - regarder l'épisode Naruto shippuden 164 vostfr - Episode Naruto shippuden 164.flv
    [15/06/2010 - 09:05:36 | A | 400384] G:\En japonais on retrouve 5 sons de base.doc
    [09/03/2010 - 11:56:46 | A | 19098] G:\Script EngonG.docx
    [15/06/2010 - 19:04:24 | D ] G:\cours-de-japonais-n-3.php_fichiers
    [15/06/2010 - 19:04:42 | A | 35069] G:\cours-de-japonais-n-3.php.htm
    [15/06/2010 - 19:28:16 | D ] G:\cours-de-japonais-n-4.php_fichiers
    [15/06/2010 - 19:28:44 | A | 35071] G:\cours-de-japonais-n-4.php.htm
    [16/06/2010 - 18:04:08 | A | 7022660] G:\JennYSOSprodbyledragondusonFacRecorDJennY.flv
    [16/06/2010 - 20:33:18 | A | 2945676] G:\blazz_plus le temps d'aimer.wma
    [16/06/2010 - 23:56:48 | D ] G:\[MFT] Naruto Chapitre 499
    [13/03/2009 - 03:41:46 | A | 24064] G:\VisualMedia.exe

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SERVEUR.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |
    0
  8. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Ok, ya encore du boulot !

    Refais déjà un rapport ZHPDiag comme ceci :

    ● Double clique ZHPDiag présent sur ton bureau

    ● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

    ● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

    ● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
    0
  9. K2Asensei Messages postés 19 Statut Membre
     
    C'est fait voila le rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijBLC4JO4.txt
    0
  10. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Parfait, on va maintenant supprimer certains fichiers (dont VisualMedia) qui sont encore présents :

    ● Télécharge OTM (de Old_Timer) sur ton Bureau

    ● Sous XP : Double clique sur OTM.exe
    ● Sous Vista : Fais un clic droit sur OTM.exe et sélectionne "Exécuter en tant qu'administrateur"

    ● Copie la liste ci-dessous et colle-la dans le cadre jaune (celui de gauche) de OTM sous Paste Instructions for Items to be Moved

    :Services
    
    :files
    C:\WINDOWS\system32\1109\VisualMedia.exe
    C:\1gkbvsni.exe
    C:\WINDOWS\System32\VisualMedia.exe
    D:\1gkbvsni.exe
    D:\VisualMedia.exe
    F:\1gkbvsni.exe
    F:\VisualMedia.exe
    G:\1gkbvsni.exe
    G:\VisualMedia.exe
    
    :reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "edit"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "reg"=-
    
    :commands
    [emptytemp]
    


    ● Clique sur le bouton MoveIt! pour lancer la suppression.

    ● Clique sur le bouton YES pour redémarrer le PC

    ● Un rapport s'ouvre au redémarrage du PC, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\_OTM\MovedFiles
    0
  11. K2Asensei Messages postés 19 Statut Membre
     
    Salut, Rapport:
    All processes killed
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    C:\WINDOWS\system32\1109\VisualMedia.exe moved successfully.
    C:\1gkbvsni.exe moved successfully.
    C:\WINDOWS\System32\VisualMedia.exe moved successfully.
    D:\1gkbvsni.exe moved successfully.
    File/Folder D:\VisualMedia.exe not found.
    File/Folder F:\1gkbvsni.exe not found.
    F:\VisualMedia.exe moved successfully.
    File/Folder G:\1gkbvsni.exe not found.
    G:\VisualMedia.exe moved successfully.
    ========== REGISTRY ==========
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\edit deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\reg deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 3873735 bytes
    ->Temporary Internet Files folder emptied: 59593 bytes
    ->FireFox cache emptied: 42990872 bytes
    ->Flash cache emptied: 28404 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 402 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 402 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2512673 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 61624320 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 106,00 mb

    OTM by OldTimer - Version 3.1.12.2 log created on 06202010_132005
    0
  12. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Ok, voilà la suite des opérations :

    D'abord, pourrais-tu me transmettre les fichiers présents dans le dossier C:\_OTM. Voilà comment procéder :

    ● Clique sur le menu démarrer puis sur Poste de travail

    ● Double clique sur le lecteur local C:\

    ● Fais un clic droit sur le dossier _OTM, choisis "Envoyer vers" puis "Dossier compressé"

    ● Transmet moi par mail le fichier (précédemment crée) _OTM.zip qui se trouve dans C:\

    Mon mail est visible dans mon profil

    Ensuite, on va scanner ton PC pour vérifier la présence d'éventuels autres malwares :

    ● Télécharge Malwarebytes' Anti-Malware (MBAM)

    ● Double clique sur mbam-setup.exe pour lancer l'installation

    ● Laisse les options par défaut lors de l'installation

    ● Lance MBAM et laisse les Mises à jour se télécharger

    ● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
    Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

    ● A la fin du scan, clique sur Afficher les résultats

    ● Coche tous les éléments détectés puis clique sur Supprimer la sélection

    ● S'il t'est demandé de redémarrer, clique sur Yes

    ● Un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
    0
  13. K2Asensei Messages postés 19 Statut Membre
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4219

    Windows 5.2.3790 Service Pack 1
    Internet Explorer 6.0.3790.1830

    20/06/2010 22:28:40
    mbam-log-2010-06-20 (22-28-40).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 151019
    Temps écoulé: 59 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\UsbFix\Quarantine\C\2bbi1ax.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\C\krwyrv0d.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\C\xcr.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\D\2bbi1ax.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\D\krwyrv0d.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\D\xcr.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\F\krwyrv0d.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\UsbFix\Quarantine\F\xcr.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    0
  14. K2Asensei Messages postés 19 Statut Membre
     
    j'arrive pas à attacher le fichier je reçoit un message qui me dit impossible d'attacher ce fichier car il contient un virus. comment puis-faire?
    0
  15. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Essaie en désactivant ton antivirus avant de créer le message.
    Autrement, rends-toi sur cette page : https://www.ionos.fr/?affiliate_id=77097 et transmet le fichier .zip par ce biais.

    Tous les fichiers infectés trouvés par Malwarebytes étaient dans la quarantaine de UsbFix.

    Peux-tu refaire un rapport ZHPDiag pour vérifier tout çà.
    0
  16. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    La désinfection n'étant pas fini, je te relance.
    Où est es-tu ?
    0
  17. K2Asensei Messages postés 19 Statut Membre
     
    Salut,

    Merci de mettre un message dans ton sujet sur le forum afin que l'on puisse continuer la désinfection.

    je t'ai envoyer le rapport inbox
    0
  18. K2Asensei Messages postés 19 Statut Membre
     
    c'est fait voici le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201006/cijDliBXkG.txt
    0
  19. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Ya encore des trucs bizarres..

    As-tu réinséré des clés USB depuis sur le PC ?

    Fais ceci (attention, supprime d'abord la version de USBFix présente sur ton bureau et télécharge la nouvelle version) :

    ● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

    ● Double clique sur UsbFix.exe

    ● Clique sur le bouton "Recherche"

    Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

    ● Patiente pendant que l'outil travaille

    ● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\UsbFix.txt

    Note :
    UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.
    0
  20. K2Asensei Messages postés 19 Statut Membre
     
    ############################## | UsbFix 7.014 | [Recherche]

    Utilisateur: Administrateur (Administrateur) # SERVEUR [ ]
    Mis à jour le 24/06/10 par El Desaparecido / C_XX
    Lancé à 20:01:16 | 30/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft(R) Windows(R) Server 2003, Enterprise Edition (5.2.3790 32-Bit) # Service Pack 1
    Internet Explorer 6.0.3790.1830

    RAM -> 3575 Mo
    C:\ (%systemdrive%) -> Disque fixe # 37 Go (26 Go libre(s) - 71%) [] # NTFS
    D:\ -> Disque amovible # 2 Go (253 Mo libre(s) - 13%) [K2A] # FAT32
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 495 Mo (68 Mo libre(s) - 14%) [] # FAT32
    G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32
    H:\ -> Disque amovible # 247 Mo (207 Mo libre(s) - 84%) [] # FAT32

    ################## | Éléments infectieux |

    Présent! C:\WINDOWS\system32\1109
    Présent! C:\WINDOWS\system32\autorun.inf
    Présent! C:\Documents and Settings\Administrateur\autorun.inf
    Présent! D:\Autorun.inf
    Présent! H:\imghyva6.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{0f29f85c-784f-11df-9cbf-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL HeIluk.EXE

    HKCU\.\.\.\.\Explorer\MountPoints2\{66464dda-73b5-11df-b844-000f203790b2}
    Shell\AutoRun\Command = awb3ryk.exe
    Shell\open\Command = awb3ryk.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c606-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\LAUDA///znalac.exe
    Shell\open\Command = D:\LAUDA///znalac.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{72c9c613-7918-11df-83b2-000f203790b2}
    Shell\AutoRun\Command = D:\krwyrv0d.exe
    Shell\open\Command = D:\krwyrv0d.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{c5d6e44e-7aac-11df-8737-000f203790b2}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL duoduu.eXe

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
  • 1
  • 2