Ordi bouré de virus "thayet myot hacking day"
louchelouche
-
benurrr Messages postés 9766 Statut Contributeur sécurité -
benurrr Messages postés 9766 Statut Contributeur sécurité -
bonsoir tout le monde
ce matin j'ai découvert que mon ordi est infecté par le virus "thayet myot hacking day)
bof j'ai fait un scan avec mon antivir et avec MBM => pas de symptôme d'infection mais j'arrive plus a éliminer le virus totalement
svp aidez moi a desinfecter mon ordi
ce matin j'ai découvert que mon ordi est infecté par le virus "thayet myot hacking day)
bof j'ai fait un scan avec mon antivir et avec MBM => pas de symptôme d'infection mais j'arrive plus a éliminer le virus totalement
svp aidez moi a desinfecter mon ordi
A voir également:
- Ordi bouré de virus "thayet myot hacking day"
- Ordi qui rame - Guide
- Comment reinitialiser un ordi - Guide
- Virus mcafee - Accueil - Piratage
- Ordi scrabble - Télécharger - Jeux vidéo
- Plus de son sur mon ordi - Guide
8 réponses
oui je sait
* Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.
http://www.teamxscript.org/usbfixTelechargement.html
* Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
* Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
* /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil.
* Cliquer sur le bouton Recherche.
* Laisser travailler l'outil.
* Poste le rapport
* Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que tu es libre...Merci a australe13
* Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.
http://www.teamxscript.org/usbfixTelechargement.html
* Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
* Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
* /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil.
* Cliquer sur le bouton Recherche.
* Laisser travailler l'outil.
* Poste le rapport
* Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que tu es libre...Merci a australe13
Bonjour
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Scanner".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
http://www.teamxscript.org/adremoverTelechargement.html
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Scanner".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Nettoyage:
/!\ Ferme toutes tes applications ouvertes. /!\
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
/!\ Ferme toutes tes applications ouvertes. /!\
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Suppression
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir
(1) Double clic sur le raccourci UsbFix présent sur ton bureau
(2) Choisi l option 2 ( Suppression )
Ton bureau disparaitra et le pc redémarrera .
Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.
Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir
(1) Double clic sur le raccourci UsbFix présent sur ton bureau
(2) Choisi l option 2 ( Suppression )
Ton bureau disparaitra et le pc redémarrera .
Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.
Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Administrateur (Administrateur) # BOULDOUM-385CDE [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 13:41:12 | 20/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Celeron(R) CPU 2.53GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 247 Mo
C:\ (%systemdrive%) -> Disque fixe # 20 Go (10 Go libre(s) - 54%) [] # FAT32
D:\ -> Disque fixe # 20 Go (19 Go libre(s) - 95%) [] # NTFS
E:\ -> Disque fixe # 20 Go (19 Go libre(s) - 100%) [] # NTFS
F:\ -> Disque fixe # 18 Go (18 Go libre(s) - 100%) [] # FAT32
G:\ -> CD-ROM
H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
################## | Éléments infectieux |
Supprimé! C:\Program Files\explorer.exe
Supprimé! D:\Recycler\S-1-5-21-1960408961-1123561945-839522115-1003
Supprimé! D:\Recycler\S-1-5-21-583907252-1035525444-1417001333-500
Supprimé! E:\Recycler\S-1-5-21-1960408961-1123561945-839522115-1003
Supprimé! E:\Recycler\S-1-5-21-583907252-1035525444-1417001333-500
Supprimé! H:\explorer.exe
Supprimé! C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
Supprimé! C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
Supprimé! C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
Supprimé! C:\Program Files\TI83plus\Vti.exe
Supprimé! C:\Program Files\Photo Frame Genius\PhotoFrameGenius.exe
Supprimé! C:\Program Files\Greatis\Reanimator\reanimator.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060683.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060684.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060685.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060686.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060687.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060688.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060694.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060695.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060823.exe
Supprimé! D:\PhotoBrush\PhotoBrush.exe
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0210b138-e597-11df-8690-00e060a004c7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8b44a84a-d86f-11df-8642-00e060a004c7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ff2f1438-df37-11df-8651-00e060a004c7}
################## | Listing |
[20/11/2010 - 12:53:40 | ASH | 390070272] C:\PAGEFILE.SYS
[21/04/2010 - 19:01:28 | D ] C:\WINDOWS
[20/11/2010 - 11:20:24 | D ] C:\FOUND.000
[02/10/2001 - 18:17:20 | N | 4952] C:\Bootfont.bin
[13/04/2008 - 10:31:52 | N | 252240] C:\ntldr
[13/04/2008 - 08:43:04 | N | 47564] C:\NTDETECT.COM
[01/10/2010 - 00:40:06 | N | 212] C:\boot.ini
[21/04/2010 - 19:07:52 | D ] C:\Documents and Settings
[21/04/2010 - 16:18:16 | D ] C:\Program Files
[21/04/2010 - 16:19:36 | N | 0] C:\CONFIG.SYS
[21/04/2010 - 16:19:36 | N | 0] C:\AUTOEXEC.BAT
[21/04/2010 - 16:19:36 | N | 0] C:\IO.SYS
[21/04/2010 - 16:19:36 | N | 0] C:\MSDOS.SYS
[21/04/2010 - 16:26:12 | SHD ] C:\System Volume Information
[22/04/2010 - 11:43:40 | SHD ] C:\Recycled
[24/04/2010 - 09:54:06 | RHD ] C:\MSOCache
[16/05/2010 - 11:30:20 | D ] C:\INF_PER
[16/05/2010 - 11:33:00 | D ] C:\KIDS
[16/05/2010 - 11:34:18 | D ] C:\XING
[01/01/2006 - 00:59:24 | D ] C:\LAROUSSE
[01/01/2006 - 00:59:24 | D ] C:\MMAPP
[20/11/2010 - 12:37:18 | N | 6841] C:\Ad-Report-SCAN[1].txt
[20/11/2010 - 12:52:44 | N | 7019] C:\Ad-Report-CLEAN[1].txt
[20/11/2010 - 13:16:20 | D ] C:\UsbFix
[20/11/2010 - 13:39:06 | N | 2810] C:\UsbFix.txt
[25/02/2003 - 12:04:28 | N | 4632] D:\0x0409.ini
[13/03/2010 - 14:51:19 | RASHD ] D:\autorun.inf
[01/11/2010 - 04:17:03 | D ] D:\CollageTemplates
[12/06/2003 - 11:03:44 | N | 7730952] D:\Data1.cab
[01/01/2006 - 00:20:39 | D ] D:\Fonts
[01/01/2006 - 00:20:41 | D ] D:\Frames
[01/01/2006 - 00:20:39 | D ] D:\HTML
[11/03/2002 - 09:45:04 | N | 1708856] D:\instmsia.exe
[11/03/2002 - 10:06:30 | N | 1822520] D:\instmsiw.exe
[12/06/2003 - 11:03:44 | N | 858776] D:\Jasc Animation Shop 3.msi
[01/01/2006 - 00:20:41 | D ] D:\L&H Japanese Translator
[01/01/2006 - 00:20:44 | D ] D:\L&H Power Translator Pro
[01/01/2006 - 00:20:42 | D ] D:\Masks
[01/01/2006 - 00:20:43 | D ] D:\MemMonster
[20/11/2010 - 13:43:39 | D ] D:\PhotoBrush
[20/11/2010 - 13:43:43 | SHD ] D:\RECYCLER
[01/01/2006 - 00:20:43 | D ] D:\resources
[29/07/2006 - 13:35:23 | D ] D:\science exacte
[01/01/2006 - 00:20:43 | D ] D:\ScreenshotCaptor
[12/06/2003 - 11:03:34 | N | 225280] D:\setup.exe
[12/06/2003 - 11:03:44 | N | 1221] D:\Setup.ini
[01/01/2006 - 00:20:44 | D ] D:\Stamps
[20/11/2010 - 11:20:28 | SHD ] D:\System Volume Information
[20/11/2010 - 11:53:25 | D ] D:\telecharger
[01/01/2006 - 00:20:44 | D ] D:\Templates
[01/01/2006 - 00:20:45 | D ] D:\Textures
[20/11/2010 - 04:44:04 | D ] D:\_OTL
[11/03/2010 - 12:06:27 | D ] D:\_OTM
[13/03/2010 - 14:51:19 | RASHD ] E:\autorun.inf
[15/10/2009 - 07:12:54 | D ] E:\msdownld.tmp
[20/11/2010 - 13:43:43 | SHD ] E:\RECYCLER
[13/03/2010 - 14:51:16 | SHD ] E:\System Volume Information
[10/10/2009 - 15:42:19 | D ] E:\WUTemp
[28/07/2006 - 14:58:52 | D ] F:\music
[13/03/2010 - 14:51:20 | RASHD ] F:\autorun.inf
[02/09/2007 - 12:35:34 | SHD ] F:\System Volume Information
[02/03/2006 - 18:09:00 | SHD ] F:\Recycled
[15/02/2010 - 17:48:24 | N | 15360] H:\????.xls
[24/02/2010 - 13:02:48 | N | 1949294] H:\???? ?????? ??????.docx
[13/03/2010 - 14:51:20 | RSHD ] H:\autorun.inf
[10/04/2010 - 18:56:38 | N | 40930] H:\health.jpg
[10/04/2010 - 18:58:14 | N | 13928] H:\earthmad-copy.jpg
[10/04/2010 - 18:58:40 | N | 11186] H:\env-1-7-06.jpg
[10/04/2010 - 19:07:50 | N | 3185] H:\images.jpeg
[10/04/2010 - 19:09:26 | N | 31128] H:\??????.jpg
[10/04/2010 - 19:10:48 | N | 36918] H:\????????.jpg
[11/05/2010 - 14:58:48 | N | 52224] H:\????? ????? ??????.doc
[01/01/2006 - 00:47:10 | N | 23414] H:\La pollution.docx
[01/01/2006 - 00:11:10 | N | 13784] H:\???????? ??? ??????? ??????????.docx
[19/08/2004 - 22:06:34 | N | 831016] H:\oncvth.exe
[01/01/2006 - 00:12:02 | N | 20487] H:\Les premiers grands voyages.docx
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_BOULDOUM-385CDE.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.
################## | E.O.F |
Utilisateur: Administrateur (Administrateur) # BOULDOUM-385CDE [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 13:41:12 | 20/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Celeron(R) CPU 2.53GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 247 Mo
C:\ (%systemdrive%) -> Disque fixe # 20 Go (10 Go libre(s) - 54%) [] # FAT32
D:\ -> Disque fixe # 20 Go (19 Go libre(s) - 95%) [] # NTFS
E:\ -> Disque fixe # 20 Go (19 Go libre(s) - 100%) [] # NTFS
F:\ -> Disque fixe # 18 Go (18 Go libre(s) - 100%) [] # FAT32
G:\ -> CD-ROM
H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
################## | Éléments infectieux |
Supprimé! C:\Program Files\explorer.exe
Supprimé! D:\Recycler\S-1-5-21-1960408961-1123561945-839522115-1003
Supprimé! D:\Recycler\S-1-5-21-583907252-1035525444-1417001333-500
Supprimé! E:\Recycler\S-1-5-21-1960408961-1123561945-839522115-1003
Supprimé! E:\Recycler\S-1-5-21-583907252-1035525444-1417001333-500
Supprimé! H:\explorer.exe
Supprimé! C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
Supprimé! C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
Supprimé! C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
Supprimé! C:\Program Files\TI83plus\Vti.exe
Supprimé! C:\Program Files\Photo Frame Genius\PhotoFrameGenius.exe
Supprimé! C:\Program Files\Greatis\Reanimator\reanimator.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060683.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060684.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060685.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060686.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060687.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060688.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060694.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060695.exe
Supprimé! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060823.exe
Supprimé! D:\PhotoBrush\PhotoBrush.exe
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0210b138-e597-11df-8690-00e060a004c7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8b44a84a-d86f-11df-8642-00e060a004c7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ff2f1438-df37-11df-8651-00e060a004c7}
################## | Listing |
[20/11/2010 - 12:53:40 | ASH | 390070272] C:\PAGEFILE.SYS
[21/04/2010 - 19:01:28 | D ] C:\WINDOWS
[20/11/2010 - 11:20:24 | D ] C:\FOUND.000
[02/10/2001 - 18:17:20 | N | 4952] C:\Bootfont.bin
[13/04/2008 - 10:31:52 | N | 252240] C:\ntldr
[13/04/2008 - 08:43:04 | N | 47564] C:\NTDETECT.COM
[01/10/2010 - 00:40:06 | N | 212] C:\boot.ini
[21/04/2010 - 19:07:52 | D ] C:\Documents and Settings
[21/04/2010 - 16:18:16 | D ] C:\Program Files
[21/04/2010 - 16:19:36 | N | 0] C:\CONFIG.SYS
[21/04/2010 - 16:19:36 | N | 0] C:\AUTOEXEC.BAT
[21/04/2010 - 16:19:36 | N | 0] C:\IO.SYS
[21/04/2010 - 16:19:36 | N | 0] C:\MSDOS.SYS
[21/04/2010 - 16:26:12 | SHD ] C:\System Volume Information
[22/04/2010 - 11:43:40 | SHD ] C:\Recycled
[24/04/2010 - 09:54:06 | RHD ] C:\MSOCache
[16/05/2010 - 11:30:20 | D ] C:\INF_PER
[16/05/2010 - 11:33:00 | D ] C:\KIDS
[16/05/2010 - 11:34:18 | D ] C:\XING
[01/01/2006 - 00:59:24 | D ] C:\LAROUSSE
[01/01/2006 - 00:59:24 | D ] C:\MMAPP
[20/11/2010 - 12:37:18 | N | 6841] C:\Ad-Report-SCAN[1].txt
[20/11/2010 - 12:52:44 | N | 7019] C:\Ad-Report-CLEAN[1].txt
[20/11/2010 - 13:16:20 | D ] C:\UsbFix
[20/11/2010 - 13:39:06 | N | 2810] C:\UsbFix.txt
[25/02/2003 - 12:04:28 | N | 4632] D:\0x0409.ini
[13/03/2010 - 14:51:19 | RASHD ] D:\autorun.inf
[01/11/2010 - 04:17:03 | D ] D:\CollageTemplates
[12/06/2003 - 11:03:44 | N | 7730952] D:\Data1.cab
[01/01/2006 - 00:20:39 | D ] D:\Fonts
[01/01/2006 - 00:20:41 | D ] D:\Frames
[01/01/2006 - 00:20:39 | D ] D:\HTML
[11/03/2002 - 09:45:04 | N | 1708856] D:\instmsia.exe
[11/03/2002 - 10:06:30 | N | 1822520] D:\instmsiw.exe
[12/06/2003 - 11:03:44 | N | 858776] D:\Jasc Animation Shop 3.msi
[01/01/2006 - 00:20:41 | D ] D:\L&H Japanese Translator
[01/01/2006 - 00:20:44 | D ] D:\L&H Power Translator Pro
[01/01/2006 - 00:20:42 | D ] D:\Masks
[01/01/2006 - 00:20:43 | D ] D:\MemMonster
[20/11/2010 - 13:43:39 | D ] D:\PhotoBrush
[20/11/2010 - 13:43:43 | SHD ] D:\RECYCLER
[01/01/2006 - 00:20:43 | D ] D:\resources
[29/07/2006 - 13:35:23 | D ] D:\science exacte
[01/01/2006 - 00:20:43 | D ] D:\ScreenshotCaptor
[12/06/2003 - 11:03:34 | N | 225280] D:\setup.exe
[12/06/2003 - 11:03:44 | N | 1221] D:\Setup.ini
[01/01/2006 - 00:20:44 | D ] D:\Stamps
[20/11/2010 - 11:20:28 | SHD ] D:\System Volume Information
[20/11/2010 - 11:53:25 | D ] D:\telecharger
[01/01/2006 - 00:20:44 | D ] D:\Templates
[01/01/2006 - 00:20:45 | D ] D:\Textures
[20/11/2010 - 04:44:04 | D ] D:\_OTL
[11/03/2010 - 12:06:27 | D ] D:\_OTM
[13/03/2010 - 14:51:19 | RASHD ] E:\autorun.inf
[15/10/2009 - 07:12:54 | D ] E:\msdownld.tmp
[20/11/2010 - 13:43:43 | SHD ] E:\RECYCLER
[13/03/2010 - 14:51:16 | SHD ] E:\System Volume Information
[10/10/2009 - 15:42:19 | D ] E:\WUTemp
[28/07/2006 - 14:58:52 | D ] F:\music
[13/03/2010 - 14:51:20 | RASHD ] F:\autorun.inf
[02/09/2007 - 12:35:34 | SHD ] F:\System Volume Information
[02/03/2006 - 18:09:00 | SHD ] F:\Recycled
[15/02/2010 - 17:48:24 | N | 15360] H:\????.xls
[24/02/2010 - 13:02:48 | N | 1949294] H:\???? ?????? ??????.docx
[13/03/2010 - 14:51:20 | RSHD ] H:\autorun.inf
[10/04/2010 - 18:56:38 | N | 40930] H:\health.jpg
[10/04/2010 - 18:58:14 | N | 13928] H:\earthmad-copy.jpg
[10/04/2010 - 18:58:40 | N | 11186] H:\env-1-7-06.jpg
[10/04/2010 - 19:07:50 | N | 3185] H:\images.jpeg
[10/04/2010 - 19:09:26 | N | 31128] H:\??????.jpg
[10/04/2010 - 19:10:48 | N | 36918] H:\????????.jpg
[11/05/2010 - 14:58:48 | N | 52224] H:\????? ????? ??????.doc
[01/01/2006 - 00:47:10 | N | 23414] H:\La pollution.docx
[01/01/2006 - 00:11:10 | N | 13784] H:\???????? ??? ??????? ??????????.docx
[19/08/2004 - 22:06:34 | N | 831016] H:\oncvth.exe
[01/01/2006 - 00:12:02 | N | 20487] H:\Les premiers grands voyages.docx
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_BOULDOUM-385CDE.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.
################## | E.O.F |
j'ai fait un scan avec hijackthis et voici le log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:28, on 20/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
D:\telecharger\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\BackUp\explorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7426F7C2-FE3A-4504-BF8C-AEAB5D2397EE}: NameServer = 41.221.20.4 66.28.0.45
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:28, on 20/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
D:\telecharger\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\BackUp\explorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7426F7C2-FE3A-4504-BF8C-AEAB5D2397EE}: NameServer = 41.221.20.4 66.28.0.45
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
Désactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est détecte a tort comme infection)
Télécharge et installe List&Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
double clique ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a désinstaller le prog a la fin de la désinfection.
? laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan
? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
Télécharge et installe List&Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
double clique ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a désinstaller le prog a la fin de la désinfection.
? laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan
? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
Utilisateur: Administrateur (Administrateur) # BOULDOUM-385CDE [ ]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 13:19:06 | 20/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Celeron(R) CPU 2.53GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 247 Mo
C:\ (%systemdrive%) -> Disque fixe # 20 Go (10 Go libre(s) - 54%) [] # FAT32
D:\ -> Disque fixe # 20 Go (19 Go libre(s) - 95%) [] # NTFS
E:\ -> Disque fixe # 20 Go (19 Go libre(s) - 100%) [] # NTFS
F:\ -> Disque fixe # 18 Go (18 Go libre(s) - 100%) [] # FAT32
G:\ -> CD-ROM
H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [] # FAT
################## | Éléments infectieux |
Présent! C:\Program Files\explorer.exe
Présent! H:\explorer.exe
Présent! C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
Présent! C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
Présent! C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
Présent! C:\Program Files\TI83plus\Vti.exe
Présent! C:\Program Files\Photo Frame Genius\PhotoFrameGenius.exe
Présent! C:\Program Files\Greatis\Reanimator\reanimator.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060683.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060684.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060685.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060686.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060687.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060688.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060694.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060695.exe
Présent! C:\System Volume Information\_restore{C866FDFC-A0D3-41DE-88F8-95A5C871695C}\RP108\A0060823.exe
Présent! D:\PhotoBrush\PhotoBrush.exe
################## | Registre |
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{0210b138-e597-11df-8690-00e060a004c7}
Shell\AutoRun\Command = H:\logoneui.exe
Shell\Open\Command = H:\logoneui.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{8b44a84a-d86f-11df-8642-00e060a004c7}
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL BuAFeey.EXE
HKCU\.\.\.\.\Explorer\MountPoints2\{ff2f1438-df37-11df-8651-00e060a004c7}
Shell\AutoRun\Command = RunVer.exe
Shell\explore\Command = RunVer.exe e
Shell\open\Command = RunVer.exe e
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |