Disque dur externe infecté ?

Résolu/Fermé
kaydorsay - 17 juil. 2010 à 12:31
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 - 17 juil. 2010 à 16:47
Bonjour,
J'ai un doute sur l'infection éventuelle d'un DD. Etant "habitué" à vos méthodes, j'ai fait un scan avec USBFix (pour gagner du temps) :

Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
CPU 2: Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 298 Go (191 Go libre(s) - 64%) [467977] # NTFS
D:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> Disque fixe # 931 Go (118 Go libre(s) - 13%) [STOREX_FOUQ] # NTFS

################## | Éléments infectieux |

Présent! K:\Autorun.inf
Présent! K:\ji83j.exe
Présent! K:\n0qls.exe

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |




Merci de votre aide !
Cordialement,
A voir également:

15 réponses

Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 17/07/2010 à 12:34
Salut,

Relance USBFix.exe.

* Clique sur Suppression.
* Une fenêtre te demandera de bancher tous les périphériques externes(clés USB, lecteurs MP3, disques durs externes, etc ...). Branche le matériel puis clique sur OK pour poursuivre.
* Le bureau va disparaitre et ne sera plus accessible tout le temps du scan, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
* A la fin, un rapport va être généré (C:\USBFix.txt).
* Envoie l'intégralité de son contenu dans ta prochaine réponse.
O.o°*|| $?@??W || °o.O
0
Ci-dessous le rapport :

############################## | UsbFix 7.016 | [Suppression]

Utilisateur: STEPHANE (Administrateur) # NOM-8E9A5CB2FD4 [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 12:42:14 | 17/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
CPU 2: Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 298 Go (193 Go libre(s) - 65%) [467977] # NTFS
D:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> Disque fixe # 931 Go (122 Go libre(s) - 13%) [STOREX_FOUQ] # NTFS

################## | Éléments infectieux |

Supprimé! K:\Autorun.inf
Supprimé! K:\ji83j.exe
Supprimé! K:\n0qls.exe

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[20/11/2006 - 14:05:05 | A | 1056] C:\868000467977.dat
[16/01/2007 - 23:57:07 | AD ] C:\AOL
[20/11/2006 - 21:29:59 | A | 0] C:\AUTOEXEC.BAT
[03/07/2010 - 00:15:34 | RASHD ] C:\Autorun.inf
[18/10/2007 - 00:21:17 | D ] C:\BMW M3 Challenge
[16/01/2007 - 22:25:15 | RASH | 209] C:\boot.ini
[10/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[29/04/2007 - 23:16:02 | D ] C:\c4c17199be1c1847333e600a77
[20/11/2006 - 21:29:59 | A | 0] C:\CONFIG.SYS
[22/03/2010 - 17:52:01 | D ] C:\DAEMON Tools Lite
[13/01/2010 - 09:54:32 | D ] C:\dd02ca90dedeeeb220d44cb49a55
[01/02/2007 - 20:57:56 | D ] C:\Documents and Settings
[16/01/2007 - 23:56:47 | A | 27] C:\expand.txt
[12/06/2010 - 00:02:01 | D ] C:\f5d64fae13aae72bea2e1c21d8f3
[16/01/2007 - 23:57:09 | AD ] C:\FirstSteps
[13/07/2010 - 19:26:44 | ASH | 2145898496] C:\hiberfil.sys
[20/11/2006 - 21:29:59 | RASH | 0] C:\IO.SYS
[04/04/2007 - 18:49:40 | AH | 318] C:\IPH.PH
[20/11/2006 - 13:58:27 | AD ] C:\ISP
[11/10/2004 - 07:18:29 | A | 19] C:\LANG.TXT
[09/04/2003 - 10:44:27 | A | 10] C:\Language.txt
[10/07/2007 - 11:39:24 | D ] C:\LBTKA
[20/11/2006 - 21:29:59 | RASH | 0] C:\MSDOS.SYS
[16/01/2007 - 23:57:09 | AD ] C:\Musicbrigade
[16/01/2007 - 23:57:09 | AD ] C:\Nero
[16/01/2007 - 23:57:09 | AD ] C:\Nis2006
[10/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[29/10/2008 - 01:36:13 | A | 252240] C:\ntldr
[04/08/2004 - 14:00:00 | A | 2] C:\oem.tag
[13/07/2010 - 19:26:40 | ASH | 1610612736] C:\pagefile.sys
[20/11/2006 - 14:05:07 | H | 18388] C:\Prodlog.txt
[06/07/2010 - 11:08:34 | RD ] C:\Program Files
[16/01/2007 - 23:57:07 | RSHD ] C:\recover
[17/07/2010 - 12:43:28 | SHD ] C:\RECYCLER
[20/11/2006 - 13:55:18 | D ] C:\SBSI
[16/01/2007 - 22:25:18 | SHD ] C:\System Volume Information
[04/07/2010 - 22:01:17 | A | 2629] C:\TCleaner.txt
[14/01/2010 - 19:31:01 | D ] C:\UbiSoft
[17/07/2010 - 12:45:28 | D ] C:\UsbFix
[17/07/2010 - 12:45:28 | A | 963] C:\UsbFix.txt
[03/07/2010 - 00:15:34 | A | 3267] C:\UsbFix_Upload_Me_NOM-8E9A5CB2FD4.zip
[14/07/2010 - 00:32:24 | D ] C:\WINDOWS
[27/03/2010 - 01:35:35 | D ] K:\FILMS
[17/07/2010 - 12:43:28 | SHD ] K:\RECYCLER
[28/03/2010 - 18:35:26 | SHD ] K:\System Volume Information
[28/03/2010 - 22:20:04 | D ] K:\Videos FOUQUE

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NOM-8E9A5CB2FD4.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 12:53
Ok :)

Pour voir si il y a d'autres infections fais ce qui suit.


>> Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

>> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

>> Clique sur l'icône représentant une loupe « Lancer le diagnostic »
>> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
>> Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
0
Le téléchargement ne démarre pas...
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 13:05
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
"Internet Explorer ne peut afficher cette page web" !!!
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 13:11
Ah.....
essayons avec RSIT par exemple:

# Télécharge random's system information tool (RSIT)
http://images.malwareremoval.com/random/RSIT.exe
#Enregistre le sur ton Bureau
# Double clique sur RSIT.exe pour l'exécuter.
# Clique sur "continue" à l'écran Disclaimer.
# Si l'outil HIjackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu n'auras qu'à accepter la licence.
# Une fois le scan terminé , 2 rapports vont apparaitre.
# Poste les dans ton prochain message
# Note : les rapports se trouvent aussi ici : ( log.txt & info.txt )
#Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

(c'est p-e ton antivirus qui bloque l'accès...)
0
Ci-dessous le lien pour le fichier info.txt :
http://www.cijoint.fr/cjlink.php?file=cj201007/cij4FbAiS6.txt

Ci-dessous le lien pour le fichier log.txt :
http://www.cijoint.fr/cjlink.php?file=cj201007/cij0wFSBcz.txt
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 14:08
/!\ Tu as 2 antivirus: AVAST ET AVG ==> Risque de conflit /!\

Vire en un.
Ensuite
:

Rends toi ici:
C:\Program Files\trend micro\STEPHANE.exe et double clique sur STEPHANE.exe.

Au menu principal choisis Do a system scan only et coche la case devant les lignes suivantes:


O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll    
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll 
{32099AAC-C132-4136-9E9A-4E364A424E17} - DAEMON Tools Toolbar - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll [2009-11-24 953800]


Clique sur Fix checked puis ferme Hijackthis.

>> Télécharge CCleaner:
http://download.piriform.com/ccsetup233.exe
>Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.

> Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows datant de plus de 24 heures".

>Pour les autres paramètres, laisse-le avec ses réglages par défaut.

> Puis dans le menu Nettoyeur
> Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
> Clique sur le bouton Lancer le nettoyage.
> Clique une seconde fois sur le bouton Lancer le nettoyage
> Fait de même pour le menu "Chercher des erreurs"
=>A faire régulièrement.




0
- Pour AVG : il me semble qu'il n'est plus actif (je crois que c'était une version "demo", tu peux me confirmer ça ? J'ai essayé de le désinstaller en allant dans "démarrer" puis "programmes", et en cliquant sur l'icone AVG anti-spyware mon PC me répond "echec de la connexion au service, reinstallez anti-spyware 7.5"...
- Lorsque tu me dis : Rends toi ici:
C:\Program Files\trend micro\STEPHANE.exe et double clique sur STEPHANE.exe.
: je fais comment ?
- Petit problème depuis le scan USBFix : des sites internet sur lesquels j'allais sans problème ne sont plus accessibles...
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 14:24
Pour AVG, même si il n'est plus en état de fonction il reste des traces.

Utilitaire de désinstallation AVG Remover pour 32 bits:
http://www.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

Utilitaire de désinstallation AVG Remover pour 64 bits:
http://www.avg.com/filedir/util/avg_arv_sup_____.dir/avgremoverx64.exe

Pour savoir si tu es en 32 ou 64 bits:
https://forums.commentcamarche.net/forum/affich-3999806-os-32-bits-ou-64-bits-comment-savoir


"je fais comment ? "
Tu clique sur Poste de travail >> sur ton disque dur C: >> Program Files >> trend micro >> STEPHANE.exe
0
Merci !
AVG désinstallé, CCleaner fait, dois-je faire autre chose ?
Sinon peut-on voir ce qui se passe avec internet depuis que j'ai lancé USBfix ?
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 17/07/2010 à 15:18
Oui alors tout d'abord:

Télécharge et installe ToolsCleaner2:
http://pc-system.fr/

# Double clique dessus pour le lancer.
# Clique sur " Recherche " patiente un moment le temps de la recherche...
# Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, clique sur "Suppression" afin de les supprimer.
# Ferme le programme en cliquant sur "Quitter ".
#Poste le rapport qui se trouve ici >> C:\TCleaner.txt

Et redis moi pour tes sites ensuite.
O.o°*|| $?@??W || °o.O
0
Ci-dessous le rapport Toolscleaner2 :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\STEPHANE\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\STEPHANE\Bureau\Rsit.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\STEPHANE\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\STEPHANE\Bureau\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !

Malheureusement ça ne change rien à mes problèmes de connexion.
Après le scan USBfix, j'ai remarqué que certains de mes paramètres internet avaient été modifiés, par exemple la page d'accueil qui était "Yahoo" avait été modifiée en "MSN". Peut-être y-a-t-il d'autres paramètres qui auraient été changés ?
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 15:58
ça ne vient pas d'USBFIX.

Lance Internet explorer >> Outils >> Options internet
dans le cadre en haut de la fenêtre qui s'affiche rentre ta page d'accueil:

http://fr.yahoo.com/

Sinon, sur quel site n'arrive tu plus à aller ?
0
J'ai déjà modifié ce paramètre, pas de pb avec la page d'accueil, mais USBfix ne modifie rien d'autre ?
Sinon je vais de temps en temps sur un forum de discussion "Hexali.fr", sur lequel je suis reconnu, mais impossible d'y accéder. Après vérification, c'est le seul site sur lequel j'ai un pb de connexion, le pb doit venir de chez eux...
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 17/07/2010 à 16:22
USBFIX n'a rien à voir avec cela et n'a rien modifié (si ce n'est te supprimer des saloperies).

C'est quand on a fixé les lignes que t'a page d'accueil a changé:
https://forums.commentcamarche.net/forum/affich-18517669-disque-dur-externe-infecte#9

Je t'ai fait supprimer les barres d'outils Yahho et Daemon tool qui sont appellées également Toolbar. Elles regroupent un ensemble de boutons sur une interface graphique comme un widget ou un contrôle. Les toolbars ne sont pas dangereuses mais peuvent devenir rapidement envahissantes avec notamment l'affichage de pop-up.

Sinon pour hexali.fr, je n'arrive pas non plus a y accéder depuis chez moi donc le problème vient certainement de leur côté ;)


Lance une analyse avec ton antivirus, si tout est clean alors c'est bon.
Si tu as des questions ou autres n'hésite pas.
O.o°*|| $?@??W || °o.O
0
OK, et merci de ton aide !
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 16:47
De rien ;)
Si tu as d'autres soucis fais moi signe :)
0