Probleme infection DR Antimalware

Tom -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

J'ai ete infecte par le rogue Dr Antimalware hier.
Windows defender s'est automatiquement lance et a elimine une part du probleme je pense mais pas la totalite.
J'ai scanne mon Pc ensuite avec McAfee qui n'a rien trouve, mais au redemarage, Dr antimalware s'est relance.

pouvez vous m'aider?

je vais essaye utiliser Rkill d'abord et poster le compte rendu.

merci d'avance de votre aide.

PS: mon clavier est americain, desole pour les accents

16 réponses

  1. Tom
     
    j'ai lance Rkill. L'analyse s'est termine en 4 sec.
    Voici le compte rendu.

    Ran as ******** on 07/27/2010 at 18:01:44.

    Processes terminated by Rkill or while it was running:

    C:\Windows\system32\DllHost.exe
    C:\Windows\system32\DllHost.exe
    C:\Users\********\Downloads\rkill(2).com

    Rkill completed on 07/27/2010 at 18:01:48.

    Est ce que je dois utiliser Malwarebytes' Anti-Malware (MBAM) maintenant?

    merci de votre aide
    0
  2. Tom
     
    j'ai effectue un run avec Malwarebytes' Anti-Malware (MBAM) . Voila le log!

    Tout a l'air de bien fonctionner maintenant. Faut-il que je fasse autre chose?

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4357

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 7.0.6002.18005

    7/27/2010 8:24:56 PM
    mbam-log-2010-07-27 (20-24-56).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 242344
    Temps écoulé: 57 minute(s), 19 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 15

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yjdydqgs (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\setupupdate70700.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\maugintl\AppData\Roaming\1A63864A300AB2B006D855A9D1391BB4\setupupdate70700.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    C:\Windows\System32\drivers\wiqaed.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3HTOBKM3\imhbjepxrz[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3HTOBKM3\cgaickiqk[1].htm (Adware.BHO) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NKWH6TE6\sjnvpnidk[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NKWH6TE6\aaidkfmhfa[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z58FXHND\setupupdate70700[1].exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z58FXHND\bsvqbwql[1].htm (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Temp\aonxmcserw.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Temp\jydtya.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Temp\tctef.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Temp\ufgxxw.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Temp\ujkmpt.exe (Adware.BHO) -> Quarantined and deleted successfully.
    C:\Windows\System32\drivers\agp440.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\Users\maugintl\AppData\Local\Temp\asncerxowm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Relance MBAM et vide la quarantaine. Ensuite tu fais ceci:

    - Télécharge The Avenger par Swandog46 sur ton Bureau:
    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    - Click sur Avenger.zip pour ouvrir le fichier
    - Extraire avenger.exe sur ton bureau
    - Lance The Avenger en cliquant sur son icône du bureau.
    - Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    --------------------------------------------------------------------------

    Drivers to disable:
    wiqaed
    agp440

    Drivers to delete:
    wiqaed
    agp440

    Files to delete:
    C:\Windows\System32\drivers\wiqaed.sys
    C:\Windows\System32\drivers\agp440.sys


    --------------------------------------------------------------------------

    - Colle ce texte (Ctrl+V) dans le cadre :Input script here
    - Appuie sur Execute
    - Le PC va redémarrer
    - Colle le rapport qui va apparaître dans ta réponse

    Smart
    0
  4. Tom
     
    J'ai fait ce que tu m'as dis.

    Une fenetre s'ouvre et me dit que le premiere etape a bien fonctionne et que le logiciel est pret a faire rebooter le PC.

    Mais une autre fenetre apparait (mon antivirus) :
    Alert virus
    name : cleanup.exe
    detect as : ZapChast.gen
    Detection Type: Trojan
    Statue : Deleted

    J'ai donc ferme ce message, l'ordi a rebooter normalement, tout parait clean.

    Je refais un scan MBAM pour etre sur?

    merci pour ton aide.

    Thomas
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    "J'ai fait ce que tu m'as dis. "
    Oui mais tu n'as pas posté le rapport après avoir fait le script pour The Avenger.

    Si tu ne l'as plus tu va faire un dignostic de ton PC:
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  7. Tom
     
    le probleme c'est que aucun rapport n'est apparu apres le redemarage du PC.

    Tans pis, je vais faire le diagnostique.
    0
  8. Tom
     
    Voila j'ai fait l'analyse qui a ete assez rapide.
    Comme je le disais juste avant, aucun rapport n'est apparu apres le redémarrage du PC avec Avenger. Je ne sais pas pourquoi.
    Quoiqu'il en soit, voila le lien du rapport de ZHPDiag.

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijxUITmFJ.txt

    Merci beaucoup pour ton aide.
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes en gras suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    MBRFix

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite tu fais ceci:

    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Cela te fait deux rapports à poster

    Smart
    0
  10. Tom
     
    Bonjour Doc,

    J'espere que mon PC commence a aller mieux.

    est ce que il faut que je fasse ca : "Use "Recovery Console" command "fixmbr" to clear infection !" comme l'indique le rapport ZHPfix?
    Je ferrais rien sans instruction, je me pose juste la question.

    voici les deux rapports:

    Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
    Fichier d'export Registre :
    Run by MAUGINTL at 7/28/2010 6:13:26 PM
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x857401F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x857401f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x857401F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x857401f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x857401F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x857401f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ========== Récapitulatif ==========
    1 :Master Boot Record

    End of the scan

    Et le second :

    ======= REPORT FROM AD-REMOVER 2.0.0.1,D | ONLY XP/VISTA/7 =======

    Updated by C_XX on 26/07/10 at 12:00
    Contact: AdRemover.contact[AT]gmail.com
    website: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 18:32:07 on 28/07/2010, Normal boot

    Microsoft® Windows Vista(TM) Business Service Pack 2 (X86)
    MAUGINTL@KL11025 ( )

    ============== ACTION(S) ==============

    0,Folder deleted: C:\Users\maugintl\AppData\LocalLow\Conduit
    0,Folder deleted: C:\Program Files\Conduit

    (!) -- Temporary files deleted.

    -- File opened: C:\Users\maugintl\AppData\Roaming\Mozilla\FireFox\Profiles\x5wt3s9o.default\Prefs.js --
    Line deleted: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Line deleted: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
    Line deleted: user_pref("CT2504091.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
    Line deleted: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&Sea...
    Line deleted: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
    -- File closed --

    0,Key deleted: HKLM\Software\Classes\Toolbar.CT2504091
    0,Key deleted: HKLM\Software\Conduit
    0,Key deleted: HKCU\Software\Conduit
    0,Key deleted: HKCU\Software\AppDataLow\Software\Conduit

    ============== ADDITIONNAL SCAN ==============

    ** Mozilla Firefox Version [3.5.11 (en-US)] **

    -- C:\Users\maugintl\AppData\Roaming\Mozilla\FireFox\Profiles\x5wt3s9o.default\Prefs.js --
    browser.download.dir, C:\\Users\\maugintl\\Downloads
    browser.download.lastDir, C:\\Users\\maugintl\\Desktop\\these
    browser.search.selectedEngine, Google (Language: FR)
    browser.startup.homepage, hxxp://www.google.fr/
    browser.startup.homepage_override.mstone, rv:1.9.1.11

    -- C:\Users\Kaust\AppData\Roaming\Mozilla\FireFox\Profiles\90e5n6hs.default\Prefs.js --
    browser.download.dir, C:\\Users\\Kaust\\Downloads
    browser.startup.homepage_override.mstone, rv:1.9.0.11

    ========================================

    ** Internet Explorer Version [7.0.6002.18005] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 3 File(s)
    C:\Program Files\Ad-Remover\Backup: 16 File(s)

    C:\Ad-Report-CLEAN[1].txt - 28/07/2010 (3484 Byte(s))

    End at: 18:34:46, 28/07/2010

    ============== E.O.F ==============

    Thomas
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Mais combien de fois as-tu lancé MBRFix ? Une fois suffisait
    Bon maintenant tu vas vas faire ceci, car des logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    Ensuite tu refais un scan ZHPdiag et tu postes le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  12. Tom
     
    voila c'est fait

    http://www.cijoint.fr/cjlink.php?file=cj201007/cij32QKVM6.txt

    Thomas
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore des traces. Fais ceci:
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes en gras suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    [HKCU\Software\AppDataLow\Toolbar]
    [HKCU\Software\SolutionAV]


    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite tu fais ceci:
    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

    Cela te fait deux rapports à poster

    Smart
    0
  14. Tom
     
    J'ai fait tout ca, voila les rapports:

    Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
    Fichier d'export Registre :
    Run by MAUGINTL at 7/28/2010 10:41:05 PM
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\AppDataLow\Toolbar => Clé supprimée avec succès
    HKCU\Software\SolutionAV => Clé supprimée avec succès

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre

    End of the scan

    et le 2eme:

    ############################## | UsbFix 7.017 | [Research]

    User: MAUGINTL (Administrator) # KL11025 [ ]
    Updated 22/07/10 by El Desaparecido / C_XX
    Started at 22:46:04 | 28/07/2010
    Website: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU T9900 @ 3.06GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T9900 @ 3.06GHz
    Microsoft® Windows Vista(TM) Business (6.0.6002 32-Bit) # Service Pack 2
    Internet Explorer 7.0.6002.18005

    Windows Firewall: Enabled
    Antivirus: McAfee VirusScan Enterprise 8.5.0.781 [Enabled | Updated]
    RAM -> 2790 Mb
    C:\ (%systemdrive%) -> Fixed drive # 366 Gb (209 Mb free - 57%) [BOOTCAMP] # NTFS
    D:\ -> Fixed drive # 100 Gb (13 Mb free - 13%) [Macintosh HD] # HFS
    E:\ -> CD-ROM
    G:\ -> Removable drive # 2 Gb (1 Mb free - 70%) [] # FAT

    ################## | Files # Infected Folders |

    ################## | Registry |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{497063a2-1b28-11df-9395-60fb427429aa}
    Shell\AutoRun\Command = G:\SETUP.EXE

    HKCU\.\.\.\.\Explorer\MountPoints2\{cd55c118-22b8-11df-8ca3-60fb427429aa}
    Shell\AutoRun\Command = svchost.exe

    ################## | Vaccin |

    (!) This computer is not vaccinated!

    ################## | E.O.F |

    Est ce que tout va bien?

    Thomas
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    0
  16. Tom
     
    voila le rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijdLopfhJ.txt

    Est ce que je dois vacciner maintenant?

    PS: je dois m'absenter pendant quelques jours -> pas de connexion internet
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Non tu n'as pas besoin de vacciner. C'est déjà fait comme indiqué dans ces lignes:

    ################## | Vaccin |

    C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
    H:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)


    Dès que tu rentres refait un un san ZHHDiag, normalemenbt c'est le dernier pour vérifier toute cela

    Smart
    0