Virus Artemis Disque Dur
Tom747
Messages postés
30
Statut
Membre
-
Tom747 Messages postés 30 Statut Membre -
Tom747 Messages postés 30 Statut Membre -
Bonjour,
J'ai un problème avec mon disque dur externe qui est composé de trois partitions.
Je suis aujourd'hui allé récupérer des informations chez un ami (source du problème je pense) et en rebranchant mon DDE, deux problèmes sont apparus :
- Lorsque je clique sur le DDE depuis le poste de travail, ce dernier ouvre le dossier dans une nouvelle fenêtre, ce qui n'était pas le cas auparavant.
- Un message de mon antivirus McAfee me signale un cheval de troie qu'il supprime, à savoir "Artemis!016F4E33E4DE" et "Mis en quarantaine à partir de : C:\WINDOWS\SYSTEM32\mgking0.dll".
J'ai donc procédé à une analyse de chacun de mes disques et mon antivirus a trouvé des fichiers infectés qu'il a supprimé.
Mais le problème persiste et à chaque fois que j'ouvre une des partitions de mon DDE, il m'ouvre une nouvelle fenêtre et mon antivirus me renseigne sur le fait qu'il a supprimé le cheval de troie.
Quelles sont donc les manipulations pour résoudre ces problèmes ?
Merci d'avance !
J'ai un problème avec mon disque dur externe qui est composé de trois partitions.
Je suis aujourd'hui allé récupérer des informations chez un ami (source du problème je pense) et en rebranchant mon DDE, deux problèmes sont apparus :
- Lorsque je clique sur le DDE depuis le poste de travail, ce dernier ouvre le dossier dans une nouvelle fenêtre, ce qui n'était pas le cas auparavant.
- Un message de mon antivirus McAfee me signale un cheval de troie qu'il supprime, à savoir "Artemis!016F4E33E4DE" et "Mis en quarantaine à partir de : C:\WINDOWS\SYSTEM32\mgking0.dll".
J'ai donc procédé à une analyse de chacun de mes disques et mon antivirus a trouvé des fichiers infectés qu'il a supprimé.
Mais le problème persiste et à chaque fois que j'ouvre une des partitions de mon DDE, il m'ouvre une nouvelle fenêtre et mon antivirus me renseigne sur le fait qu'il a supprimé le cheval de troie.
Quelles sont donc les manipulations pour résoudre ces problèmes ?
Merci d'avance !
A voir également:
- Virus Artemis Disque Dur
- Cloner disque dur - Guide
- Defragmenter disque dur - Guide
- Test disque dur - Télécharger - Informations & Diagnostic
- Chkdsk disque dur externe - Guide
- Nettoyage disque dur - Guide
9 réponses
bonjour
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option Recherche
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
* Ensuite postez le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option Recherche
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
* Ensuite postez le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Merci pour votre rapidité d'action !
Voici ci-dessous le rapport donné par UsbFix :
***************************************************************
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Tom (Administrateur) # B [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 19:04:19 | 14/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Pare-feu Windows: Désactivé /!\
Antivirus: McAfee AntiVirus et AntiSpyware [Enabled | Updated]
Firewall: McAfee Firewall [Enabled]
RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 34 Go (2 Go libre(s) - 5%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 111 Go (26 Go libre(s) - 23%) [] # NTFS
H:\ -> Disque fixe # 78 Go (6 Go libre(s) - 7%) [S-Donnees01] # NTFS
J:\ -> Disque fixe # 78 Go (782 Mo libre(s) - 1%) [S-Donnees02] # NTFS
K:\ -> Disque fixe # 77 Go (8 Go libre(s) - 10%) [S-Donnees03] # NTFS
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058b-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = H:\bud3mkqr.exe
Shell\open\Command = H:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058c-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = J:\bud3mkqr.exe
Shell\open\Command = J:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058d-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = K:\bud3mkqr.exe
Shell\open\Command = K:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{5909d73a-e397-11dc-8076-0090d0a60f69}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs
HKCU\.\.\.\.\Explorer\MountPoints2\{9c33705a-f7a2-11de-85f5-001111bde149}
Shell\AutoRun\Command = H:\ipak\\volim.exe
Shell\explore\Command = H:\ipak\volim.exe
Shell\install\Command = H:\ipak\volim.exe
Shell\open\Command = H:\ipak\volim.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{c1deb885-f829-11dc-80bb-0090d0a60f69}
Shell\AutoRun\Command = H:\LaunchU3.exe -a
HKCU\.\.\.\.\Explorer\MountPoints2\{cb48f455-c9e9-11de-8592-001111bde149}
Shell\AutoRun\Command = I:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
Voici ci-dessous le rapport donné par UsbFix :
***************************************************************
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Tom (Administrateur) # B [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 19:04:19 | 14/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Pare-feu Windows: Désactivé /!\
Antivirus: McAfee AntiVirus et AntiSpyware [Enabled | Updated]
Firewall: McAfee Firewall [Enabled]
RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 34 Go (2 Go libre(s) - 5%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 111 Go (26 Go libre(s) - 23%) [] # NTFS
H:\ -> Disque fixe # 78 Go (6 Go libre(s) - 7%) [S-Donnees01] # NTFS
J:\ -> Disque fixe # 78 Go (782 Mo libre(s) - 1%) [S-Donnees02] # NTFS
K:\ -> Disque fixe # 77 Go (8 Go libre(s) - 10%) [S-Donnees03] # NTFS
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058b-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = H:\bud3mkqr.exe
Shell\open\Command = H:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058c-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = J:\bud3mkqr.exe
Shell\open\Command = J:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058d-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = K:\bud3mkqr.exe
Shell\open\Command = K:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{5909d73a-e397-11dc-8076-0090d0a60f69}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs
HKCU\.\.\.\.\Explorer\MountPoints2\{9c33705a-f7a2-11de-85f5-001111bde149}
Shell\AutoRun\Command = H:\ipak\\volim.exe
Shell\explore\Command = H:\ipak\volim.exe
Shell\install\Command = H:\ipak\volim.exe
Shell\open\Command = H:\ipak\volim.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{c1deb885-f829-11dc-80bb-0090d0a60f69}
Shell\AutoRun\Command = H:\LaunchU3.exe -a
HKCU\.\.\.\.\Explorer\MountPoints2\{cb48f455-c9e9-11de-8592-001111bde149}
Shell\AutoRun\Command = I:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
ok
1)
relance USBfix
option SUPPRESSION
poste le rapport
..........
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
1)
relance USBfix
option SUPPRESSION
poste le rapport
..........
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Quand je clique sur le logiciel UsbFix, j'ai maintenant un autre message de suppression de la part de mon antivirus :
- Cheval de troie Artemis!720EF74D8ABA
- Mis en quarantaine à partir de : C:\UsbFix\Tools\DevP.exe
Quant à l'analyse avec l'option suppression, elle n'arrive pas a se terminer, le logiciel plante avant la fin de l'analyse et fait arrêter explorer.exe.
De plus, je perds petit à petit de l'espace disque sur C:
Le rapport de ZHP : http://www.cijoint.fr/cjlink.php?file=cj201011/cijYOJVH3a.txt
- Cheval de troie Artemis!720EF74D8ABA
- Mis en quarantaine à partir de : C:\UsbFix\Tools\DevP.exe
Quant à l'analyse avec l'option suppression, elle n'arrive pas a se terminer, le logiciel plante avant la fin de l'analyse et fait arrêter explorer.exe.
De plus, je perds petit à petit de l'espace disque sur C:
Le rapport de ZHP : http://www.cijoint.fr/cjlink.php?file=cj201011/cijYOJVH3a.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je suis passé sur un autre PC (de secours), car je n'ai plus accès à Internet sur le poste infecté et il rame énormément.
J'ai lancé une analyse complète avec McAfee pour essayer de trouver les fichiers infectés.
Je suis également allé voir dans le répertoire system32 pour essayer de trouver la DLL, mais elle doit être en cachée et il m'en impossible de changer cette option. En effet, je modifie l'option, mais elle reste inchangée.
Avez-vous un élément supplémentaire qui me permettrais de résoudre ce problème ?
D'avance merci !
J'ai lancé une analyse complète avec McAfee pour essayer de trouver les fichiers infectés.
Je suis également allé voir dans le répertoire system32 pour essayer de trouver la DLL, mais elle doit être en cachée et il m'en impossible de changer cette option. En effet, je modifie l'option, mais elle reste inchangée.
Avez-vous un élément supplémentaire qui me permettrais de résoudre ce problème ?
D'avance merci !
ok
1)
retélécharge usbfix et refais l'option SUPPRESSION, en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
poste le rapport
...............
2)
vérifie ceci
Sous Internet Explorer :
Lancez Internet explorer
Allez dans le menu Outils d'Internet Explorer
Cliquez sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Cochez : ne pas activer de Serveur proxy...
Sous Firefox :
Lancez Firefox
Allez dans Outils
Puis Options
Activez l'onglet Réseau
Cliquez sur Paramètres
Et choisissez l'option: Pas de proxy
Cliquez sur Ok
...................
3)
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKCU\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
O4 - HKUS\S-1-5-21-2625061075-2026201472-31372887-1006\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
MBRfix
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
1)
retélécharge usbfix et refais l'option SUPPRESSION, en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
poste le rapport
...............
2)
vérifie ceci
Sous Internet Explorer :
Lancez Internet explorer
Allez dans le menu Outils d'Internet Explorer
Cliquez sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Cochez : ne pas activer de Serveur proxy...
Sous Firefox :
Lancez Firefox
Allez dans Outils
Puis Options
Activez l'onglet Réseau
Cliquez sur Paramètres
Et choisissez l'option: Pas de proxy
Cliquez sur Ok
...................
3)
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKCU\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
O4 - HKUS\S-1-5-21-2625061075-2026201472-31372887-1006\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
MBRfix
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
Du coup, il a tout réinstallé pour repartir sur une base a plat.
J'ai d'autres questions, je me permet de les poser sur ce topic.
Depuis la réinstallation, je n'arrive plus à avoir la barre d'adresse de windows, c'est-à-dire celle qui permet de se repérer. J'ai essayer les options dans l'onglet affichage, mais en vain. Avez-vous une solution à ce problème ?
Juste pour info : Peut il rester des traces du virus, par exemple dans les bases registres, même si un formatage a été exécuté ?!
En effet, je souhaite remettre certains softs qui sont sur mon autre ordinateur, mais je voudrais être sur de ne pas l'infecter en transférant des données.
Autre point, lors du démarrage du PC (en blanc sur fond noir), j'ai maintenant le choix entre deux windows édition familiale avec un compte à rebours, mais la seconde option ne fonctionne pas. Est-ce normal, suite au formatage ?
Enfin, lorsque le PC arrive sur windows, j'ai un son "toc" fort qui vient des enceintes. Cela peut il avoir un rapport avec les pilotes de la carte son ?
Je profite de vos connaissances :)
Merci d'avance !
J'ai d'autres questions, je me permet de les poser sur ce topic.
Depuis la réinstallation, je n'arrive plus à avoir la barre d'adresse de windows, c'est-à-dire celle qui permet de se repérer. J'ai essayer les options dans l'onglet affichage, mais en vain. Avez-vous une solution à ce problème ?
Juste pour info : Peut il rester des traces du virus, par exemple dans les bases registres, même si un formatage a été exécuté ?!
En effet, je souhaite remettre certains softs qui sont sur mon autre ordinateur, mais je voudrais être sur de ne pas l'infecter en transférant des données.
Autre point, lors du démarrage du PC (en blanc sur fond noir), j'ai maintenant le choix entre deux windows édition familiale avec un compte à rebours, mais la seconde option ne fonctionne pas. Est-ce normal, suite au formatage ?
Enfin, lorsque le PC arrive sur windows, j'ai un son "toc" fort qui vient des enceintes. Cela peut il avoir un rapport avec les pilotes de la carte son ?
Je profite de vos connaissances :)
Merci d'avance !
