Virus

veirha Messages postés 8 Statut Membre -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
après avoir branché mon disque dur multimedia sur mon pc, je me suis rendu compte qu'il était infecté de virus. J'ai fait un scan avec avast sur le pc et sur le disque dur, mais il n'arrive pas a nettoyer. Alors j'ai essayé avec malwarebytes il a désinfecté le pc et le disque dur, mais sur le disque dur toutes les icones sont devenues des raccourcis. J'aimerais savoir comment récuperer toutes mes données vu qu'elles apparaissement pendant le scan du disque dur?
merci d'avance

3 réponses

  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    bonjour

    * Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.

    http://www.teamxscript.org/usbfixTelechargement.html

    * Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    * Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
    * /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil.
    * Cliquer sur le bouton Recherche.
    * Laisser travailler l'outil.
    * Poste le rapport
    * Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. veirha Messages postés 8 Statut Membre
       
      Salut et merci,
      voici le rapport de usbfix :

      ############################## | UsbFix 7.035 | [Recherche]

      Utilisateur: Jean (Administrateur) # NIAMBI [ ]
      Mis à jour le 22/11/10 par El Desaparecido / C_XX
      Lancé à 12:26:29 | 25/11/2010
      Site Web: http://www.teamxscript.org
      Contact: eldesaparecido@teamxscript.org

      CPU: Intel(R) Celeron(R) M processor 900MHz
      Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 6.0.2900.5512

      Pare-feu Windows: Activé
      Antivirus: Norton Internet Security 16.0.0.125 [(!) Disabled | (!) Outdated]
      Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | (!) Outdated]
      Firewall: Norton Internet Security 16.0.0.125 [(!) Disabled]
      RAM -> 1015 Mo
      C:\ (%systemdrive%) -> Disque fixe # 83 Go (75 Go libre(s) - 90%) [] # NTFS
      D:\ -> Disque fixe # 61 Go (61 Go libre(s) - 100%) [] # NTFS
      E:\ -> Disque amovible # 2 Go (2 Go libre(s) - 97%) [NANO] # FAT
      F:\ -> Disque fixe # 466 Go (103 Go libre(s) - 22%) [VERA MEDIA] # NTFS

      ################## | Éléments infectieux |

      Service présent! AVPsys

      Présent! C:\Documents and Settings\Jean\alg.exe
      Présent! C:\Documents and Settings\Jean\qoanu.exe
      Présent! C:\Documents and Settings\Jean\qoanux.exe
      Présent! E:\x.exe
      Présent! E:\New Folder.lnk
      Présent! E:\Passwords.lnk
      Présent! E:\Documents.lnk
      Présent! E:\Pictures.lnk
      Présent! E:\Music.lnk
      Présent! E:\Video.lnk
      Présent! E:\qoanu.exe
      Présent! E:\qoanux.exe
      Présent! F:\$RECYCLE.BIN.lnk
      Présent! F:\ALBUM PHOTO.lnk
      Présent! F:\CLIP.lnk
      Présent! F:\Docs.lnk
      Présent! F:\DOCUMENTAIRE.lnk
      Présent! F:\Documents.lnk
      Présent! F:\DVD FRANCO.lnk
      Présent! F:\filesystem.lnk
      Présent! F:\LOGICIELS.lnk
      Présent! F:\Mes Animations.lnk
      Présent! F:\Mes Collections.lnk
      Présent! F:\Mes DIVX.lnk
      Présent! F:\MES DVDS.lnk
      Présent! F:\Mes Films II.lnk
      Présent! F:\Music.lnk
      Présent! F:\MUSIQUE.lnk
      Présent! F:\New Folder.lnk
      Présent! F:\NEW.lnk
      Présent! F:\Passwords.lnk
      Présent! F:\patrick.lnk
      Présent! F:\Pictures.lnk
      Présent! F:\qoanu.exe
      Présent! F:\qoanux.exe
      Présent! F:\RECYCLER.lnk
      Présent! F:\System Volume Information.lnk
      Présent! F:\TOUS LES FILM.lnk
      Présent! F:\Video.lnk
      Présent! F:\Videos GAG.lnk
      Présent! F:\x.exe
      Présent! C:\DOCUME~1\Jean\LOCALS~1\Temp\IXP000.TMP
      Présent! C:\Documents and Settings\Jean\autorun.inf
      Présent! C:\Documents and Settings\Jean\Documents.lnk
      Présent! C:\Documents and Settings\Jean\Music.lnk
      Présent! C:\Documents and Settings\Jean\New Folder.lnk
      Présent! C:\Documents and Settings\Jean\Passwords.lnk
      Présent! C:\Documents and Settings\Jean\Pictures.lnk
      Présent! C:\Documents and Settings\Jean\Video.lnk
      Présent! C:\autorun.inf
      Présent! D:\autorun.inf
      Présent! E:\x.exe
      Présent! E:\autorun.inf
      Présent! E:\zeA.lnk
      Présent! E:\zRb.lnk
      Présent! E:\zxs.lnk
      Présent! E:\zvZ.lnk
      Présent! E:\zOt.lnk
      Présent! E:\zTg.lnk
      Présent! E:\zOB.lnk
      Présent! E:\zAD.lnk
      Présent! E:\zHP.lnk
      Présent! E:\zzz.dll
      Présent! F:\x.exe
      Présent! F:\autorun.inf
      Présent! F:\zdg.lnk
      Présent! F:\zMf.lnk
      Présent! F:\zNW.lnk
      Présent! F:\zqF.lnk
      Présent! F:\zVm.lnk
      Présent! F:\zwR.lnk
      Présent! F:\zyE.lnk
      Présent! F:\zyu.lnk
      Présent! F:\zZk.lnk
      Présent! F:\zzz.dll
      Présent! F:\filesystem

      ################## | Registre |

      Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|qoanu

      ################## | Mountpoints2 |

      HKCU\.\.\.\.\Explorer\MountPoints2\{159a3742-7d56-11de-8cca-0022437f7e8b}
      Shell\AutoRun\Command = E:\sm.exe
      Shell\open\Command = E:\sm.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{65d73bde-7468-11de-8cc4-806d6172696f}
      Shell\AutoRun\Command = sm.exe
      Shell\open\Command = sm.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{65d73bdf-7468-11de-8cc4-806d6172696f}
      Shell\AutoRun\Command = sm.exe
      Shell\open\Command = sm.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{b0b1eda8-f670-11df-8ce0-00248c883334}
      Shell\AutoRun\Command = E:\sm.exe
      Shell\open\Command = E:\sm.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{b0b1eda9-f670-11df-8ce0-00248c883334}
      Shell\AutoRun\Command = sm.exe
      Shell\open\Command = sm.exe


      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par Panda USB Vaccine
      D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
      E:\Autorun.inf -> Dossier créé par Panda USB Vaccine
      F:\Autorun.inf -> Dossier créé par Panda USB Vaccine

      ################## | E.O.F |
      0
  2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Suppression

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

    (1) Double clic sur le raccourci UsbFix présent sur ton bureau

    (2) Choisi l option 2 ( Suppression )

    Ton bureau disparaitra et le pc redémarrera .

    Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
    1. veirha Messages postés 8 Statut Membre
       
      J'ai eu un rapport sauf que le pc n'a pas redémarré. Le voici :

      ############################## | UsbFix 7.035 | [Suppression]

      Utilisateur: Jean (Administrateur) # NIAMBI [ ]
      Mis à jour le 22/11/10 par El Desaparecido / C_XX
      Lancé à 13:00:50 | 25/11/2010
      Site Web: http://www.teamxscript.org
      Contact: eldesaparecido@teamxscript.org

      CPU: Intel(R) Celeron(R) M processor 900MHz
      Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 6.0.2900.5512

      Pare-feu Windows: Activé
      Antivirus: Norton Internet Security 16.0.0.125 [(!) Disabled | (!) Outdated]
      Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | (!) Outdated]
      Firewall: Norton Internet Security 16.0.0.125 [(!) Disabled]
      RAM -> 1015 Mo
      C:\ (%systemdrive%) -> Disque fixe # 83 Go (75 Go libre(s) - 90%) [] # NTFS
      D:\ -> Disque fixe # 61 Go (61 Go libre(s) - 100%) [] # NTFS
      F:\ -> Disque fixe # 466 Go (103 Go libre(s) - 22%) [VERA MEDIA] # NTFS

      ################## | Éléments infectieux |

      Service supprimé! AVPsys

      Supprimé! C:\Documents and Settings\Jean\alg.exe
      Supprimé! C:\Documents and Settings\Jean\qoanu.exe
      Supprimé! C:\Documents and Settings\Jean\qoanux.exe
      Supprimé! C:\DOCUME~1\Jean\LOCALS~1\Temp\IXP000.TMP
      Supprimé! C:\Documents and Settings\Jean\autorun.inf
      Supprimé! C:\Documents and Settings\Jean\Documents.lnk
      Supprimé! C:\Documents and Settings\Jean\Music.lnk
      Supprimé! C:\Documents and Settings\Jean\New Folder.lnk
      Supprimé! C:\Documents and Settings\Jean\Passwords.lnk
      Supprimé! C:\Documents and Settings\Jean\Pictures.lnk
      Supprimé! C:\Documents and Settings\Jean\Video.lnk
      Supprimé! C:\Recycler\S-1-5-21-152659475-4185180623-3385212941-1006
      Supprimé! D:\Recycler\S-1-5-21-152659475-4185180623-3385212941-1006
      Supprimé! C:\autorun.inf
      Supprimé! D:\autorun.inf

      ################## | Registre |

      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|qoanu

      ################## | Mountpoints2 |

      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{159a3742-7d56-11de-8cca-0022437f7e8b}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{65d73bde-7468-11de-8cc4-806d6172696f}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b0b1eda8-f670-11df-8ce0-00248c883334}

      ################## | Listing |

      [05/02/2009 - 11:56:33 | N | 157] C:\AsusUpdate.log
      [05/02/2009 - 11:16:14 | N | 0] C:\AUTOEXEC.BAT
      [24/07/2009 - 18:07:43 | N | 216] C:\boot.ini
      [14/04/2008 - 13:00:00 | N | 4952] C:\Bootfont.bin
      [05/02/2009 - 11:16:14 | N | 0] C:\CONFIG.SYS
      [24/07/2009 - 18:09:52 | SHD ] C:\Documents and Settings
      [19/11/2010 - 08:55:39 | D ] C:\downloads
      [05/02/2009 - 11:51:00 | D ] C:\Intel
      [05/02/2009 - 11:16:14 | N | 0] C:\IO.SYS
      [05/02/2009 - 11:16:14 | N | 0] C:\MSDOS.SYS
      [30/07/2009 - 23:15:14 | RHD ] C:\MSOCache
      [14/04/2008 - 13:00:00 | N | 47564] C:\NTDETECT.COM
      [14/04/2008 - 13:00:00 | N | 252240] C:\ntldr
      [25/11/2010 - 11:34:38 | ASH | 2145386496] C:\pagefile.sys
      [25/11/2010 - 09:20:27 | D ] C:\Program Files
      [25/11/2010 - 13:02:16 | SHD ] C:\RECYCLER
      [05/02/2009 - 11:50:59 | N | 522] C:\RHDSetup.log
      [24/07/2009 - 18:10:44 | SHD ] C:\System Volume Information
      [25/11/2010 - 13:02:16 | D ] C:\UsbFix
      [25/11/2010 - 13:02:33 | A | 1861] C:\UsbFix.txt
      [05/02/2009 - 13:01:12 | N | 492598] C:\vcredist_x86.log
      [25/11/2010 - 12:01:01 | D ] C:\WINDOWS
      [25/11/2010 - 13:02:16 | SHD ] D:\RECYCLER
      [24/07/2009 - 18:10:45 | SHD ] D:\System Volume Information

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NIAMBI.zip
      http://www.teamxscript.org/Sample/Upload.php
      Merci de votre contribution.

      ################## | E.O.F |
      0
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    pendant la suppression ton disque dur multimedia était brancher ?

    DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    Télécharge ici :

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Exécuter List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "OK" ou "Agree"

    à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ------------ NE LE POSTE PAS SUR LE FORUM---------------

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier C:\List'em.txt

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Fais de même avec more.txt qui se trouve sur ton bureau
    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
    1. veirha Messages postés 8 Statut Membre
       
      J'ai une connexion sécurisée qui ne me donne pas l'autorisation d'aller sur le site cijoint.fr. Y a t'il un autre moyen de vous envoyer les fichiers text?
      0
    2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      tu fait un copier coller içi

      si sa passe pas c'est qu'il est trop long envoie le en 2 ou 3 partie
      0