Wrm BV Autorun-I et trj win32 VB-ELE

ok je' vois ou ils sont dans la restauration sytème c'est prévu de la pûrger mais qu'une fois le nettoyage fini , peux tu relancer zhpdiag et me poster par cijoint le nouveau rapport

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

Cliques sur la loupe pour lancer l'analyse.

Laisses l'outil travailler, il peut être assez long.

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

bon tu fais ce qui suit , tu fixes les lignesq donnés avec zhpfix , tu désinstalles les outil utilisés avec zhpfix, et tu passes ccleaner avec les réglages donnés !!

1) fixes les lignes avec zhpfix

. Copie les lignes suivantes en GRAS


[HKCU\Software\SpiderMessenger]
[HKLM\Software\Symantec]
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [DAEMON Tools Lite] . (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\daemon.exe
O4 - HKCU\..\Run: [Mediaware Task Manager 3.5] C:\Program Files\Mediaware Task Manager 3.5\TaskManager.exe (.not file.)
OPT:O4 - HKUS\S-1-5-21-319315751-1006947233-1156930801-1000\..\Run: [DAEMON Tools Lite] . (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\daemon.exe
O4 - HKUS\S-1-5-21-319315751-1006947233-1156930801-1000\..\Run: [Mediaware Task Manager 3.5] C:\Program Files\Mediaware Task Manager 3.5\TaskManager.exe (.not file.)
O42 - Logiciel: Norton Internet Security - (.Symantec Corporation.) [HKLM] -- {7B15D70E-9449-4CFB-B9BC-798465B2BD5C}
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Symantec Shared
O43 - CFD:Common File Directory ----D- C:\ProgramData\Symantec
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL
ServiceStop:Norton Internet Security



. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport




2) désinstalles les outils avec zhpfix

Cliquez-droit sur l'icône ZHPFix.exe sur votre Bureau, puis sélectionnez 'Exécuter en tant qu'administrateur'.

Cliquez sur le A rouge (Nettoyeur de Tools).

Cliquez sur Nettoyer.

Faîtes redémarrer l'ordinateur pour terminer le nettoyage.


3) fais un nettoyage avec ccleaner comme je vois qu'il est en automatique sur ton pc je te donnes que les réglages

.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php




4) il restera la restauration système à purger je te donne cela après

ok donc si plus de problème je mettrais ton sujet en résolu et toi tu purge la restauartion système

Après une désinfection il est utile de supprimer tous les points de restauration système de façon à ne pas remonter, par mégarde, un point de restauration infecté.

Pour cela, il faut désactiver la restauration système (ce qui aura pour conséquence de supprimer tous les points de restauration existants) puis la réactiver juste après pour que Windows continue à faire des points de sauvegarde réguliers.


Dans Panneau de configuration/sytème, cliquez sur le lien Protection du système (sur la gauche de la fenêtre).

Sous Points de restauration automatiques

décochez toutes les cases dans la liste des disques disponibles.

Ceci afin de désactiver la fonction de restauration du système.

Vista va vous demander confirmation pour cette opération.

Confirmez en cliquant sur le bouton Désactiver la restauration du système.

Tous les points de restauration système existants seront supprimés.

Cliquez sur OK pour fermer la fenêtre.


Cliquez de nouveau sur Protection du système,

recochez toutes les cases dans la liste des disques disponibles puis cliquez sur OK.

Ceci aura pour conséquence de remettre la restauration système en fonction.

Vous pourrez alors, créer un point de restauration tout neuf en cliquant sur le bouton Créer.

Le système se chargera ensuite de créer les autres à intervalles réguliers.


source: http://www.vista-xp.fr/forum/topic243.html

ok tu vas me rechercher le chemin exact de fun.xls.exe et je te ferais un script pour le supprimer en même temps que Dj17.exe

tu fais la recherche avec tes périphériques externe de connecté

Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Miroir : https://www.androidworld.fr/


Double-clique sur le fichier SEAF.exe

et dans la fenêtre y Tapez le script demandé .

fun.xls.exe

cocher la case chercher également dans le registre


cliqué sur Lancer la recherche, un barre de progression va s'afficher. Cette recherche prend quelques minutes.



Un rapport va s'ouvrir avec les résultats de la recherche.

il faut Poster ce rapport par copier-coller en réponse dans le sujet

IL sera enregistré ici : C:\SEAFlog.txt

bizare il ne trouve rien le consernant , quand avast te les signals tu les mets bien en quarantaine , si oui vides la et refais un scan , la je vais demander à quoi correspond exactemen ce chemin

\\?\Volume{bfbf2912-78e7-11de-8187-806e6f6e6963}\fun.xls.exe 

Impossible de mettre en quarantaine car accès impossible !

ok pour dj17 je savais ou le trouver il est dans ta corbeille de ton disque dur H on pourra le supprimer avec un scritp ou manuellement en allant vider le dossier recycled

pour l'autre j'ai pas encore trouvé à quoi correspond \\?\Volume{bfbf2912-78e7-11de-8187-806e6f6e6963} si on me donne une correspondance on pourra trouver le dossier

essais de voir si seaf le trouverais tu mets Volume{bfbf2912-78e7-11de-8187-806e6f6e6963}


et puis passes combofix c'est ce qu'il y a de plus puissant comme outil !!


Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
et note bien cette manipe https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore car des fois après combofix la connection internet est déactivée



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.


Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
et note bien cette manipe https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore car des fois après combofix la connection internet est déactivée

ok rien non plus essais voir si combofix le trouve !!

bon il a trouvé et supprimé un truc mais pas ce que l'on voulait !!

j'ai demander sur un forum avast si il y avais moyen d'avoir le chemin exate pour trouver fun.xls.exe consernant dj17.exe je te propose de le virer maintenant comme cela il n'y en aura un de moins !!
pour cela tu vas utiliser OTM !! une fois fait et le redémarre effectué , tu pourras refaire un scan avast pour voir si il est bien partie , pour l'autre j'attend des nouvelle du forum avast , après otm tu feras une recherches avec usbfix , merci




1) Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe pour le lancer.Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur



Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe
Dj17.exe

:files
h:\Recycled\Dj17.exe

:commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.




2) tu fais une recherche avec usbfix

tu déactiveras ton anti-virus pour pas qu'il géne


* Telecharges et installes: https://www.ionos.fr/?affiliate_id=77097 de C_XX & Chiquitine29


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

* Choisis l'option 1 ( Recherche )

* Laisse travailler l outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

ok il y des choses qu'il a trouvé , mais perso pour moi le problème est sur le disque dur H
la usbfix le trouve, mais pour moi le problème est que sur ton premier rapport de usbfix dans ta réponse 4 ou je te faire la suppression directement , il avait tous vacciné

################## | Vaccin | 

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX) 
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX) 
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX) 
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX) 

il aurait du les retrouver dans sa recherche mais la rien sauf sur le C

################## | Vaccin | 

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX) 

tu as une explication à cela , tu n'aurais pas supprimer le fichier Autorun.inf qui était à la racine de chaque disque ???


tu relances usbfix et tu fais la suppression , je postes ton rapport sur le forum de avast pour voir si ils ont une idée !!!

ok peux tu vériffier dans ton disque dure H si tu trouves dj17.exe, pour cela il te faut afficher les fichier cachés de vista et tu devriais trouver le dossier recycled la tu l'ouvres et tu supprimes dj17

ouvres le poste de travail " ordinateur " sous vista

sous vista il faut afficher la barre des menus pour cela

pressez la touche ALT du clavier. La barre des menus apparait.

Dans le menu Outils

choisissez Options des dossiers.

Choisissez l'onglet Affichage.

Cochez Afficher les fichiers et dossiers cachés.

Décochez Cachez les fichiers système.

Décochez Cacher les extensions dont le type est connu.

Validez les modifications en cliquant sur OK.

Remarque: La rubrique Options des dossiers est aussi accessible à partir du Panneau de configuration.


tuto source : https://www.micro-astuce.com/Forum/afficher-les-fichiers-caches-t1607.html

bon déjà un problème de moins , bizare car OTM ne la pas trouvé et il a disparru ??

moi j'essais de trouver à quoi correspond cela \\?\Volume{bfbf2912-78e7-11de-8187-806e6f6e6963} si on trouve on saura ou aller pour supprimer , sur le forum avast pas de vrais réponse quand tu as fini ton scan avast et que tu as cela d'afficher si tu mets le pointeur de ta souris dessus il ne t'affiche pas plus de renseignement du type le nom du disque dur ? et autre bref un chemin complet , la prochaine fois que tu fais un scan regarde et si il te donne plus de renseignement note et dis moi cela , merci , je continu de mon côté à chercher !!

Malheureusement aucune info de plus ne s'affiche avec le pointeur.
Je le trouve uniquement lors du scan de mon disque c (vers la fin du scan, juste avant que avast ne se scan lui-même) !
Je vais essayer de voir entre quelles fichiers exactement, si çà peut aider ?

ok sur le forum avast https://forum.avast.com/fr/index.php?topic=90.0 il me parle de te faire faire unscan planiffié , mais perso je ne connais pas la procédure ??
sinon il me dise te te faire supprimer C:\Windows\Tasks\Registry Reviver-Famille Rose-Startup.job


la on peut le faire avec OTM il est toujours sur ton pc tu l'ouvre et tu supprimes , et puis fais un nettoyage de registre avec ccleaner


Double-clique sur OTM.exe pour le lancer.Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur



Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:files
C:\Windows\Tasks\Registry Reviver-Famille Rose-Startup.job





Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Bonjour,
Je ferai çà jeudi soir, car aujourd'hui je n'aurait pas le bon ordi.
A demain soir.

ok !! et puis lance un scan planiffié de avast je te donnes ce que j'ai eu sur le forum avast : Ouvrir avast > à "lancer un scan" sélectionner "scan au démarrage" > planifier maintenant. tu redémarres le pc et normalement il devrait te faire un scan au démarrage , possible que la il supprime !!

ok heureux pour toi et ton pc , je vais de ce pas remercier sur le forum avast pour cette manipe du scan au démarrage !!

si tu pouvais poster le rapport de ce scan il doit être dans C:\ProgramData\Alwil Software\Avast5\report\aswBoot.txt

ok merci, maintenant tu sais comment faire pour que avast soit plus performant un petit scan de démarrage et c'est tout bon @+