Virus Artemis Disque Dur
Fermé
Tom747
Messages postés
20
Date d'inscription
dimanche 14 novembre 2010
Statut
Membre
Dernière intervention
30 janvier 2021
-
Modifié par Tom747 le 14/11/2010 à 18:46
Tom747 Messages postés 20 Date d'inscription dimanche 14 novembre 2010 Statut Membre Dernière intervention 30 janvier 2021 - 17 nov. 2010 à 14:45
Tom747 Messages postés 20 Date d'inscription dimanche 14 novembre 2010 Statut Membre Dernière intervention 30 janvier 2021 - 17 nov. 2010 à 14:45
A voir également:
- Virus Artemis Disque Dur
- Cloner disque dur - Guide
- Defragmenter disque dur - Guide
- Chkdsk disque dur externe - Guide
- Remplacer disque dur par ssd - Guide
- Nettoyage disque dur - Guide
9 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 nov. 2010 à 18:52
14 nov. 2010 à 18:52
bonjour
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option Recherche
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
* Ensuite postez le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur le bureau .
* Choisir l'option Recherche
(d'autres options disponibles, voir le tutoriel).
* Laissez travailler l'outil.
* Ensuite postez le rapport UsbFix.txt qui apparaîtra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Tom747
Messages postés
20
Date d'inscription
dimanche 14 novembre 2010
Statut
Membre
Dernière intervention
30 janvier 2021
14 nov. 2010 à 19:12
14 nov. 2010 à 19:12
Merci pour votre rapidité d'action !
Voici ci-dessous le rapport donné par UsbFix :
***************************************************************
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Tom (Administrateur) # B [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 19:04:19 | 14/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Pare-feu Windows: Désactivé /!\
Antivirus: McAfee AntiVirus et AntiSpyware [Enabled | Updated]
Firewall: McAfee Firewall [Enabled]
RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 34 Go (2 Go libre(s) - 5%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 111 Go (26 Go libre(s) - 23%) [] # NTFS
H:\ -> Disque fixe # 78 Go (6 Go libre(s) - 7%) [S-Donnees01] # NTFS
J:\ -> Disque fixe # 78 Go (782 Mo libre(s) - 1%) [S-Donnees02] # NTFS
K:\ -> Disque fixe # 77 Go (8 Go libre(s) - 10%) [S-Donnees03] # NTFS
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058b-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = H:\bud3mkqr.exe
Shell\open\Command = H:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058c-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = J:\bud3mkqr.exe
Shell\open\Command = J:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058d-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = K:\bud3mkqr.exe
Shell\open\Command = K:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{5909d73a-e397-11dc-8076-0090d0a60f69}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs
HKCU\.\.\.\.\Explorer\MountPoints2\{9c33705a-f7a2-11de-85f5-001111bde149}
Shell\AutoRun\Command = H:\ipak\\volim.exe
Shell\explore\Command = H:\ipak\volim.exe
Shell\install\Command = H:\ipak\volim.exe
Shell\open\Command = H:\ipak\volim.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{c1deb885-f829-11dc-80bb-0090d0a60f69}
Shell\AutoRun\Command = H:\LaunchU3.exe -a
HKCU\.\.\.\.\Explorer\MountPoints2\{cb48f455-c9e9-11de-8592-001111bde149}
Shell\AutoRun\Command = I:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
Voici ci-dessous le rapport donné par UsbFix :
***************************************************************
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Tom (Administrateur) # B [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 19:04:19 | 14/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Pare-feu Windows: Désactivé /!\
Antivirus: McAfee AntiVirus et AntiSpyware [Enabled | Updated]
Firewall: McAfee Firewall [Enabled]
RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 34 Go (2 Go libre(s) - 5%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 111 Go (26 Go libre(s) - 23%) [] # NTFS
H:\ -> Disque fixe # 78 Go (6 Go libre(s) - 7%) [S-Donnees01] # NTFS
J:\ -> Disque fixe # 78 Go (782 Mo libre(s) - 1%) [S-Donnees02] # NTFS
K:\ -> Disque fixe # 77 Go (8 Go libre(s) - 10%) [S-Donnees03] # NTFS
################## | Éléments infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058b-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = H:\bud3mkqr.exe
Shell\open\Command = H:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058c-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = J:\bud3mkqr.exe
Shell\open\Command = J:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{53c0058d-7364-11dd-8209-0090d0a60f69}
Shell\AutoRun\Command = K:\bud3mkqr.exe
Shell\open\Command = K:\bud3mkqr.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{5909d73a-e397-11dc-8076-0090d0a60f69}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe winrun.vbs
HKCU\.\.\.\.\Explorer\MountPoints2\{9c33705a-f7a2-11de-85f5-001111bde149}
Shell\AutoRun\Command = H:\ipak\\volim.exe
Shell\explore\Command = H:\ipak\volim.exe
Shell\install\Command = H:\ipak\volim.exe
Shell\open\Command = H:\ipak\volim.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{c1deb885-f829-11dc-80bb-0090d0a60f69}
Shell\AutoRun\Command = H:\LaunchU3.exe -a
HKCU\.\.\.\.\Explorer\MountPoints2\{cb48f455-c9e9-11de-8592-001111bde149}
Shell\AutoRun\Command = I:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 nov. 2010 à 19:49
14 nov. 2010 à 19:49
ok
1)
relance USBfix
option SUPPRESSION
poste le rapport
..........
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
1)
relance USBfix
option SUPPRESSION
poste le rapport
..........
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Tom747
Messages postés
20
Date d'inscription
dimanche 14 novembre 2010
Statut
Membre
Dernière intervention
30 janvier 2021
14 nov. 2010 à 20:19
14 nov. 2010 à 20:19
Quand je clique sur le logiciel UsbFix, j'ai maintenant un autre message de suppression de la part de mon antivirus :
- Cheval de troie Artemis!720EF74D8ABA
- Mis en quarantaine à partir de : C:\UsbFix\Tools\DevP.exe
Quant à l'analyse avec l'option suppression, elle n'arrive pas a se terminer, le logiciel plante avant la fin de l'analyse et fait arrêter explorer.exe.
De plus, je perds petit à petit de l'espace disque sur C:
Le rapport de ZHP : http://www.cijoint.fr/cjlink.php?file=cj201011/cijYOJVH3a.txt
- Cheval de troie Artemis!720EF74D8ABA
- Mis en quarantaine à partir de : C:\UsbFix\Tools\DevP.exe
Quant à l'analyse avec l'option suppression, elle n'arrive pas a se terminer, le logiciel plante avant la fin de l'analyse et fait arrêter explorer.exe.
De plus, je perds petit à petit de l'espace disque sur C:
Le rapport de ZHP : http://www.cijoint.fr/cjlink.php?file=cj201011/cijYOJVH3a.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Tom747
Messages postés
20
Date d'inscription
dimanche 14 novembre 2010
Statut
Membre
Dernière intervention
30 janvier 2021
Modifié par Tom747 le 14/11/2010 à 21:20
Modifié par Tom747 le 14/11/2010 à 21:20
Je suis passé sur un autre PC (de secours), car je n'ai plus accès à Internet sur le poste infecté et il rame énormément.
J'ai lancé une analyse complète avec McAfee pour essayer de trouver les fichiers infectés.
Je suis également allé voir dans le répertoire system32 pour essayer de trouver la DLL, mais elle doit être en cachée et il m'en impossible de changer cette option. En effet, je modifie l'option, mais elle reste inchangée.
Avez-vous un élément supplémentaire qui me permettrais de résoudre ce problème ?
D'avance merci !
J'ai lancé une analyse complète avec McAfee pour essayer de trouver les fichiers infectés.
Je suis également allé voir dans le répertoire system32 pour essayer de trouver la DLL, mais elle doit être en cachée et il m'en impossible de changer cette option. En effet, je modifie l'option, mais elle reste inchangée.
Avez-vous un élément supplémentaire qui me permettrais de résoudre ce problème ?
D'avance merci !
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
14 nov. 2010 à 21:48
14 nov. 2010 à 21:48
ok
1)
retélécharge usbfix et refais l'option SUPPRESSION, en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
poste le rapport
...............
2)
vérifie ceci
Sous Internet Explorer :
Lancez Internet explorer
Allez dans le menu Outils d'Internet Explorer
Cliquez sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Cochez : ne pas activer de Serveur proxy...
Sous Firefox :
Lancez Firefox
Allez dans Outils
Puis Options
Activez l'onglet Réseau
Cliquez sur Paramètres
Et choisissez l'option: Pas de proxy
Cliquez sur Ok
...................
3)
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKCU\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
O4 - HKUS\S-1-5-21-2625061075-2026201472-31372887-1006\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
MBRfix
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
1)
retélécharge usbfix et refais l'option SUPPRESSION, en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
poste le rapport
...............
2)
vérifie ceci
Sous Internet Explorer :
Lancez Internet explorer
Allez dans le menu Outils d'Internet Explorer
Cliquez sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Cochez : ne pas activer de Serveur proxy...
Sous Firefox :
Lancez Firefox
Allez dans Outils
Puis Options
Activez l'onglet Réseau
Cliquez sur Paramètres
Et choisissez l'option: Pas de proxy
Cliquez sur Ok
...................
3)
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKCU\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
O4 - HKUS\S-1-5-21-2625061075-2026201472-31372887-1006\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
MBRfix
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
Tom747
Messages postés
20
Date d'inscription
dimanche 14 novembre 2010
Statut
Membre
Dernière intervention
30 janvier 2021
15 nov. 2010 à 13:45
15 nov. 2010 à 13:45
Il n'avait plus aucune réactivité.
Je l'ai donc amené chez un dépanneur ; j'attends le verdict.
Je l'ai donc amené chez un dépanneur ; j'attends le verdict.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
15 nov. 2010 à 13:49
15 nov. 2010 à 13:49
ok
mp recu
et merci de m'avoir prévenu
@+
ps: donne nous sa réponse stp
mp recu
et merci de m'avoir prévenu
@+
ps: donne nous sa réponse stp
Tom747
Messages postés
20
Date d'inscription
dimanche 14 novembre 2010
Statut
Membre
Dernière intervention
30 janvier 2021
Modifié par Tom747 le 17/11/2010 à 15:47
Modifié par Tom747 le 17/11/2010 à 15:47
Du coup, il a tout réinstallé pour repartir sur une base a plat.
J'ai d'autres questions, je me permet de les poser sur ce topic.
Depuis la réinstallation, je n'arrive plus à avoir la barre d'adresse de windows, c'est-à-dire celle qui permet de se repérer. J'ai essayer les options dans l'onglet affichage, mais en vain. Avez-vous une solution à ce problème ?
Juste pour info : Peut il rester des traces du virus, par exemple dans les bases registres, même si un formatage a été exécuté ?!
En effet, je souhaite remettre certains softs qui sont sur mon autre ordinateur, mais je voudrais être sur de ne pas l'infecter en transférant des données.
Autre point, lors du démarrage du PC (en blanc sur fond noir), j'ai maintenant le choix entre deux windows édition familiale avec un compte à rebours, mais la seconde option ne fonctionne pas. Est-ce normal, suite au formatage ?
Enfin, lorsque le PC arrive sur windows, j'ai un son "toc" fort qui vient des enceintes. Cela peut il avoir un rapport avec les pilotes de la carte son ?
Je profite de vos connaissances :)
Merci d'avance !
J'ai d'autres questions, je me permet de les poser sur ce topic.
Depuis la réinstallation, je n'arrive plus à avoir la barre d'adresse de windows, c'est-à-dire celle qui permet de se repérer. J'ai essayer les options dans l'onglet affichage, mais en vain. Avez-vous une solution à ce problème ?
Juste pour info : Peut il rester des traces du virus, par exemple dans les bases registres, même si un formatage a été exécuté ?!
En effet, je souhaite remettre certains softs qui sont sur mon autre ordinateur, mais je voudrais être sur de ne pas l'infecter en transférant des données.
Autre point, lors du démarrage du PC (en blanc sur fond noir), j'ai maintenant le choix entre deux windows édition familiale avec un compte à rebours, mais la seconde option ne fonctionne pas. Est-ce normal, suite au formatage ?
Enfin, lorsque le PC arrive sur windows, j'ai un son "toc" fort qui vient des enceintes. Cela peut il avoir un rapport avec les pilotes de la carte son ?
Je profite de vos connaissances :)
Merci d'avance !