Une autre machine infectée.
zanu
Messages postés
1297
Statut
Membre
-
moment de grace Messages postés 30049 Statut Contributeur sécurité -
moment de grace Messages postés 30049 Statut Contributeur sécurité -
Bonjour,
Voici un autre log d'une des machines connecté sur mon petit réseau.
elle aussi devient super lente.
je crois qu'elles sont toutes attaquées.
j'aimerais bien les desinfecter toutes et puis donner des comptes limités aux utilisateurs
de ces machines qui passent la journée a brancher des clés usb infectées
et qui doublent cliquent sur la clé, ce qui aggrave l'infection.
merci pour tous
Logfile of random's system information tool 1.08 (written by random/random)
Run by SRP at 2010-11-24 13:00:22
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 28 GB (72%) free of 38 GB
Total RAM: 511 MB (13% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:38, on 24/11/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\XP-9D3031EB.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\AVG\AVG9\avgscanx.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\Documents and Settings\SRP\Bureau\RSIT.exe
C:\Program Files\trend micro\SRP.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe
O4 - HKLM\..\Run: [System12] C:\WINDOWS\system32\ne0kS.exe
O4 - HKLM\..\Run: [XP-9D3031EB] C:\WINDOWS\system32\XP-9D3031EB.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\SRP\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [dso32] C:\DOCUME~1\SRP\LOCALS~1\Temp\dsoqq.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-9D3031EB.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
Voici un autre log d'une des machines connecté sur mon petit réseau.
elle aussi devient super lente.
je crois qu'elles sont toutes attaquées.
j'aimerais bien les desinfecter toutes et puis donner des comptes limités aux utilisateurs
de ces machines qui passent la journée a brancher des clés usb infectées
et qui doublent cliquent sur la clé, ce qui aggrave l'infection.
merci pour tous
Logfile of random's system information tool 1.08 (written by random/random)
Run by SRP at 2010-11-24 13:00:22
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 28 GB (72%) free of 38 GB
Total RAM: 511 MB (13% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:38, on 24/11/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\XP-9D3031EB.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\AVG\AVG9\avgscanx.exe
C:\Program Files\AVG\AVG9\avgui.exe
C:\Documents and Settings\SRP\Bureau\RSIT.exe
C:\Program Files\trend micro\SRP.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe
O4 - HKLM\..\Run: [System12] C:\WINDOWS\system32\ne0kS.exe
O4 - HKLM\..\Run: [XP-9D3031EB] C:\WINDOWS\system32\XP-9D3031EB.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Firewall Administrating] C:\WINDOWS\infocard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\SRP\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [dso32] C:\DOCUME~1\SRP\LOCALS~1\Temp\dsoqq.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-9D3031EB.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{4478761F-B6CF-4199-A48A-517FE09B3E6F}: NameServer = 192.168.0.1
O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
A voir également:
- Une autre machine infectée.
- Machine virtuelle windows - Guide
- Time machine - Guide
- Comment savoir si une clé usb est infectée - Guide
- Machine virtuelle gratuite - Télécharger - Émulation & Virtualisation
- Hkey local machine - Forum Windows
6 réponses
bonjour
fais ceci stp
1)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
......................
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
fais ceci stp
1)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
......................
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
voici le usb fix,
je connecte ma clé après application suppression usbfix et j'ai toujours les raccourcis bizarres dans la clé, ça me rassure pas trop, mais bon c'est toi le boss.
############################## | UsbFix 7.027 | [Suppression]
Utilisateur: SRP (Administrateur) # MOISE [ ]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 13:36:15 | 24/11/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Pentium(R) 4 CPU 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 37 Go (27 Go libre(s) - 72%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 39 Go (39 Go libre(s) - 100%) [Nouveau nom] # NTFS
F:\ -> Disque amovible # 2 Go (134 Mo libre(s) - 7%) [ID PROGRAM] # FAT
################## | Éléments infectieux |
Supprimé! C:\Documents and Settings\SRP\Menu Démarrer\Programmes\Démarrage\¡¡¡¡¡¡.lnk
Supprimé! C:\WINDOWS\system32\com.run
Supprimé! C:\WINDOWS\system32\dp1.fne
Supprimé! C:\WINDOWS\system32\eAPI.fne
Supprimé! C:\WINDOWS\system32\internet.fne
Supprimé! C:\WINDOWS\system32\krnln.fnr
Supprimé! C:\WINDOWS\system32\ne0kS.exe
Supprimé! C:\WINDOWS\system32\og.dll
Supprimé! C:\WINDOWS\system32\og.edt
Supprimé! C:\WINDOWS\system32\shell.fne
Supprimé! C:\WINDOWS\system32\spec.fne
Supprimé! C:\WINDOWS\system32\ul.dll
Supprimé! C:\WINDOWS\system32\XP-9D3031EB.EXE
Supprimé! C:\DOCUME~1\SRP\LOCALS~1\Temp\E_4
Supprimé! C:\Documents and Settings\SRP\winbrd.jpg
Supprimé! C:\WINDOWS\mds.sys
Supprimé! C:\WINDOWS\mdt.sys
Supprimé! C:\WINDOWS\winbrd.jpg
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|cdoosoft
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dso32
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Firewall Administrating
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Firewall Administrating
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|System12
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0ca02d89-537a-11df-a31c-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1d0c018f-ab8d-11df-a3c9-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2fad5920-c6ee-11df-a4cb-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{51f16d64-47ae-11df-a2ef-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{549b392c-a9cf-11df-a3c6-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5ed029dc-85c5-11df-a388-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7b95695f-84ef-11df-a386-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{849231b5-eca0-11df-a50a-90c2f7cc5174}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8cd94525-880c-11df-a38c-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a025f18a-d603-11df-a4ea-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a2c7a880-9988-11df-a3b0-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b563bf0e-237e-11df-a2a3-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d7d38bf6-82b4-11df-a382-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{edb61c0e-9fb4-11df-a3b7-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f97b53f8-9e0a-11df-a3b5-000802171bcc}
################## | Listing |
[16/04/2010 - 15:25:40 | HD ] C:\$AVG
[24/02/2010 - 01:00:53 | A | 0] C:\AUTOEXEC.BAT
[27/04/2010 - 18:08:16 | RASHD ] C:\autorun.inf
[24/02/2010 - 00:53:31 | SH | 212] C:\boot.ini
[02/10/2001 - 19:17:20 | RASH | 4952] C:\Bootfont.bin
[24/02/2010 - 01:00:53 | A | 0] C:\CONFIG.SYS
[24/02/2010 - 01:07:44 | D ] C:\Documents and Settings
[24/11/2010 - 11:54:06 | ASH | 536334336] C:\hiberfil.sys
[15/09/2010 - 11:36:09 | D ] C:\idman
[24/02/2010 - 01:00:53 | RASH | 0] C:\IO.SYS
[24/02/2010 - 01:00:53 | RASH | 0] C:\MSDOS.SYS
[24/02/2010 - 01:32:26 | RHD ] C:\MSOCache
[03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
[03/08/2004 - 22:59:44 | RASH | 251712] C:\ntldr
[24/11/2010 - 11:54:05 | ASH | 805306368] C:\pagefile.sys
[23/11/2010 - 11:24:12 | D ] C:\Partages SRP
[21/05/2010 - 15:03:49 | RD ] C:\Program Files
[27/04/2010 - 18:08:12 | SHD ] C:\RECYCLER
[16/04/2010 - 13:55:09 | D ] C:\rsit
[24/02/2010 - 01:06:40 | SHD ] C:\System Volume Information
[24/11/2010 - 13:37:37 | D ] C:\UsbFix
[24/11/2010 - 13:37:53 | A | 1932] C:\UsbFix.txt
[27/04/2010 - 18:08:19 | A | 1270] C:\UsbFix_Upload_Me_OR.zip
[24/11/2010 - 13:37:33 | D ] C:\WINDOWS
[16/04/2010 - 15:25:41 | HD ] E:\$AVG
[27/04/2010 - 18:08:16 | RASHD ] E:\autorun.inf
[17/08/2010 - 16:18:23 | A | 45568] E:\Liste des personnes présentent sur le terrain.doc
[27/04/2010 - 18:08:15 | SHD ] E:\RECYCLER
[24/02/2010 - 01:54:47 | SHD ] E:\System Volume Information
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MOISE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.
################## | E.O.F |
je connecte ma clé après application suppression usbfix et j'ai toujours les raccourcis bizarres dans la clé, ça me rassure pas trop, mais bon c'est toi le boss.
############################## | UsbFix 7.027 | [Suppression]
Utilisateur: SRP (Administrateur) # MOISE [ ]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 13:36:15 | 24/11/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Pentium(R) 4 CPU 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 37 Go (27 Go libre(s) - 72%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 39 Go (39 Go libre(s) - 100%) [Nouveau nom] # NTFS
F:\ -> Disque amovible # 2 Go (134 Mo libre(s) - 7%) [ID PROGRAM] # FAT
################## | Éléments infectieux |
Supprimé! C:\Documents and Settings\SRP\Menu Démarrer\Programmes\Démarrage\¡¡¡¡¡¡.lnk
Supprimé! C:\WINDOWS\system32\com.run
Supprimé! C:\WINDOWS\system32\dp1.fne
Supprimé! C:\WINDOWS\system32\eAPI.fne
Supprimé! C:\WINDOWS\system32\internet.fne
Supprimé! C:\WINDOWS\system32\krnln.fnr
Supprimé! C:\WINDOWS\system32\ne0kS.exe
Supprimé! C:\WINDOWS\system32\og.dll
Supprimé! C:\WINDOWS\system32\og.edt
Supprimé! C:\WINDOWS\system32\shell.fne
Supprimé! C:\WINDOWS\system32\spec.fne
Supprimé! C:\WINDOWS\system32\ul.dll
Supprimé! C:\WINDOWS\system32\XP-9D3031EB.EXE
Supprimé! C:\DOCUME~1\SRP\LOCALS~1\Temp\E_4
Supprimé! C:\Documents and Settings\SRP\winbrd.jpg
Supprimé! C:\WINDOWS\mds.sys
Supprimé! C:\WINDOWS\mdt.sys
Supprimé! C:\WINDOWS\winbrd.jpg
################## | Registre |
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|cdoosoft
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|dso32
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Firewall Administrating
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Firewall Administrating
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|System12
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0ca02d89-537a-11df-a31c-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1d0c018f-ab8d-11df-a3c9-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2fad5920-c6ee-11df-a4cb-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{51f16d64-47ae-11df-a2ef-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{549b392c-a9cf-11df-a3c6-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5ed029dc-85c5-11df-a388-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7b95695f-84ef-11df-a386-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{849231b5-eca0-11df-a50a-90c2f7cc5174}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8cd94525-880c-11df-a38c-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a025f18a-d603-11df-a4ea-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a2c7a880-9988-11df-a3b0-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b563bf0e-237e-11df-a2a3-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d7d38bf6-82b4-11df-a382-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{edb61c0e-9fb4-11df-a3b7-000802171bcc}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f97b53f8-9e0a-11df-a3b5-000802171bcc}
################## | Listing |
[16/04/2010 - 15:25:40 | HD ] C:\$AVG
[24/02/2010 - 01:00:53 | A | 0] C:\AUTOEXEC.BAT
[27/04/2010 - 18:08:16 | RASHD ] C:\autorun.inf
[24/02/2010 - 00:53:31 | SH | 212] C:\boot.ini
[02/10/2001 - 19:17:20 | RASH | 4952] C:\Bootfont.bin
[24/02/2010 - 01:00:53 | A | 0] C:\CONFIG.SYS
[24/02/2010 - 01:07:44 | D ] C:\Documents and Settings
[24/11/2010 - 11:54:06 | ASH | 536334336] C:\hiberfil.sys
[15/09/2010 - 11:36:09 | D ] C:\idman
[24/02/2010 - 01:00:53 | RASH | 0] C:\IO.SYS
[24/02/2010 - 01:00:53 | RASH | 0] C:\MSDOS.SYS
[24/02/2010 - 01:32:26 | RHD ] C:\MSOCache
[03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
[03/08/2004 - 22:59:44 | RASH | 251712] C:\ntldr
[24/11/2010 - 11:54:05 | ASH | 805306368] C:\pagefile.sys
[23/11/2010 - 11:24:12 | D ] C:\Partages SRP
[21/05/2010 - 15:03:49 | RD ] C:\Program Files
[27/04/2010 - 18:08:12 | SHD ] C:\RECYCLER
[16/04/2010 - 13:55:09 | D ] C:\rsit
[24/02/2010 - 01:06:40 | SHD ] C:\System Volume Information
[24/11/2010 - 13:37:37 | D ] C:\UsbFix
[24/11/2010 - 13:37:53 | A | 1932] C:\UsbFix.txt
[27/04/2010 - 18:08:19 | A | 1270] C:\UsbFix_Upload_Me_OR.zip
[24/11/2010 - 13:37:33 | D ] C:\WINDOWS
[16/04/2010 - 15:25:41 | HD ] E:\$AVG
[27/04/2010 - 18:08:16 | RASHD ] E:\autorun.inf
[17/08/2010 - 16:18:23 | A | 45568] E:\Liste des personnes présentent sur le terrain.doc
[27/04/2010 - 18:08:15 | SHD ] E:\RECYCLER
[24/02/2010 - 01:54:47 | SHD ] E:\System Volume Information
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MOISE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.
################## | E.O.F |
refais usbfix option suppression avec tes usb branchées en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ça refuse de redemarrer en mode sans echec, dès que je sélectionne ça redemarre.
pareil en mode sans echec avec prise en charge réseau.
pour redemarrer en mode normal, faut compter environ 25 min je signale, donc c'est vraiment chaud quoi!
pareil en mode sans echec avec prise en charge réseau.
pour redemarrer en mode normal, faut compter environ 25 min je signale, donc c'est vraiment chaud quoi!
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
