securityusb.exe impossible a supprimer

Question

Bonjour, 

Malware-bytes me trouve sa :

Fichier(s) infecté(s):
c:\securityusb.exe (Worm.AutoRun) -> Quarantined and deleted successfully.

et me dit qu'il l'a bien enlevé mais lorsque je refait un test le lendemain, il le retrouve. Par contre je ne le trouve pas dans l'explorateur...
Quelqu'un a une idée ?

Configuration: Windows 7 / Safari 534.10

Utilisateur anonyme · Answer

Bonsoir

 # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
Ici http://www.teamxscript.org/usbfixTelechargement.html

Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
 

#  Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau. 

# Choisi  Suppression 

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) 

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


@+

BadGamer · Answer

Vous allez surement trouve bete cette mefiance mais j ai peur que e logiciel soit un virus. Loesque je l ai lance, apres avoir fait supprimer, tous mes icones ont disparu, mes gadget aussi. Et apres un Ctrl alt suprr et gestionaire des taches, ce logiciel n a : aucune reponse et il reste bloqué a 14% ... et threat fire m informe qu il s aggit du une application a risque tres elevee, donc comme je n ai ausune certitudes sur son origine, j aimerai autant trouve un autre moyen ^^

Utilisateur anonyme · Answer

Re 

As tu vu mon profil? http://www.commentcamarche.net/communaute/

Voici le site officiel de cet outil et d'autres que tu pourras croiser sur ce forum Virus/Sécurité. 

http://www.teamxscript.org/usbfix.html 

@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

BadGamer · Answer

Ok je suis un peu plus confiant =D mais alors c est normale que toit ce ferme et que je ne peux meme pas tuer le procesus ?
Combien de temps dure a peu pres une desinfection ? 
Merci pour tout en tout cas

Utilisateur anonyme · Answer

Re

As tu fais UsbFIx?
Si c'est le cas,poste moi le rapport ;merci.

Ou alors quel le problème?

@+

BadGamer · Answer

Comme je l ai expliqué, il bloque a 14% puis tous se ferme pour ne laisser que mon fond d ecran et Usbfix avec (aucune reponse) 
Et sinon le probleme,  j ai mis mon sujet en lien mais c est que itunes ne marche plus, et quelqun a emis l hypothese d un virus et c est pour cela que j ai fait de nombreuses analyses...

Utilisateur anonyme · Answer

Re

Merci Excessimo ;)

@ BadGamer

Procédons autrement :

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

BadGamer · Answer

Voila le rapport =)

Utilisateur anonyme · Answer

Bonsoir

Commence par ceci:

 Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
--------------------------------------------------------------------------------------------------

G2 - GCE: Preference [User Data\Default] [defdhglnppeioeflggkmglipcecffkhk] AutocompletePro plugin for chrome v.1.0 (Activé)    
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll    
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM] -- AutocompletePro3_is1    
O42 - Logiciel: OfferBox - (.Secure Digital Services.) [HKLM] -- {766A55D2-E428-4B7C-B5B3-92592F6B107C}    
[HKCU\Software\AutocompleteProBHO]    
[HKCU\Software\AutocompletePro]    
[HKCU\Software\OfferBox]    
[HKLM\Software\OfferBox]    
O43 - CFD: 03/09/2010 - 18:57:26 ----D- C:\Program Files (x86)\AutocompletePro    
O44 - LFC:[MD5.7F53B91F1E1765F9C5C50F40B2CBF792] - 13/01/2011 - 18:27:13 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\SurCode.INI   [21]    
[MD5.16E53BFC96CE14021C0E07EB1C198478] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Thomas\AppData\Roaming\inst.exe   [99384]  

---------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent. 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ]

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


@+

BadGamer · Answer

Ok merci j' essaierai quand j'aurai fini l'installation de mon jeux, merci beaucoup.Pouvez vous m'expliquer de quoi mon pc est atteint et ce que fait le logiciel svp ? ( pour ma culture personnelle ^^ =

BadGamer · Answer

Alors voila c'est fini voici le rapport :

Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : 
Run by Thomas at 27/01/2011 20:01:32
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Thomas\AppData\Roaming\inst.exe [99384]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{766A55D2-E428-4B7C-B5B3-92592F6B107C}]  => Clé supprimée avec succès
O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll  => Clé absente
HKCU\Software\AutocompleteProBHO  => Clé supprimée avec succès
HKCU\Software\AutocompletePro  => Clé absente
HKCU\Software\OfferBox  => Clé supprimée avec succès
HKLM\Software\OfferBox  => Clé supprimée avec succès

========== Préférences navigateur ==========
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk  => Supprimé et mis en quarantaine

========== Dossier(s) ==========
C:\Users\Thomas\AppData\Local\Google\Chrome\User Data\Default\Extensions\defdhglnppeioeflggkmglipcecffkhk  => Supprimé et mis en quarantaine
C:\Program Files (x86)\AutocompletePro  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files (x86)\autocompletepro\autocompletepro.dll  => Supprimé et mis en quarantaine
c:\windows\surcode.ini  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM] -- AutocompletePro3_is1  => Logiciel supprimé avec succès
O42 - Logiciel: OfferBox - (.Secure Digital Services.) [HKLM] -- {766A55D2-E428-4B7C-B5B3-92592F6B107C}  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Processus mémoire
6 : Clé(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
2 : Logiciel(s)
1 : Préférences navigateur


End of the scan

Utilisateur anonyme · Answer

Re

Poursuit avec ceci:

1)Télécharge Defogger de Jpshortstuff
Ici : http://www.jpshortstuff.247fixes.com/Defogger.exe 
Enregistre le sur ton Bureau,
Double-clique sur Defogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
La fenêtre de Defogger apparaît,
Clique sur Disable pour désactiver les drivers d'émulateurs CD,
       Clique sur Yes pour continuer,
 Un message "Finished" apparaîtra,
 Clique sur OK,
       DeFogger va demander de redémarrer le pc,
       Ne réactive pas les drivers avant que je te le demande.


2)Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

BadGamer · Answer

Alors voila le rapport de ComboFix
J'ai l'impression que les performances de mon pc ont été vraiment améliorés mais ce n'est peut être qu'une impression ^^

Utilisateur anonyme · Answer

Re

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " parcourir ", cherche un fichier à la fois :

c:\windows\system32\drivers\dtsoftbus01.sys
c:\program files (x86)\Internet Explorer\Plugins
pqtplugin7.dll
c:\windows\SysWow64\Engine3D021206.dll
c:\windows\KDDLL.dll

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

 Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci 

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant


@+

BadGamer · Answer

Alors voila :

-Pour dtsoftbus01.sys 0/43  mais il n'etait pas a l'emplacement indiqué

-Pour npqtplugin7.dll 0/43

-Pour \Engine3D021206.dll 0/42

-Pour KDDLL.dll 0/43

Voila apparemment aucun probleme :-)

Utilisateur anonyme · Answer

Re

Merci pour ces analyses ;-)

* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://www.teamxscript.org/adremoverTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=


@+

BadGamer · Answer

Voila le rapport 


C:\Users\Thomas\AppData\Roaming\Mozilla\FireFox\Profiles\y3oxlipf.default\Prefs.js --
browser.search.selectedEngine, DAEMON Search
browser.startup.homepage, www.google.com
browser.startup.homepage_override.buildID, 20101012063331
browser.startup.homepage_override.mstone, rv:1.9.2.9

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 28/01/2011 (3588 Octet(s)) 

Fin à: 20:42:04, 28/01/2011 
 
============== E.O.F ==============

BadGamer · Answer

Oups désolé alors re-voila le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:39:55 le 28/01/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Thomas@THOMAS-PC (Acer Aspire X3812) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Thomas\AppData\Local\Conduit
Dossier supprimé: C:\Users\Thomas\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files (x86)\Conduit
Dossier supprimé: C:\Users\Thomas\AppData\LocalLow\Toolbar4

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé supprimée: HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKLM\Software\Classes\BHO.IFlashGetNetscapeEx
Clé supprimée: HKLM\Software\Classes\BHO.IFlashGetNetscapeEx.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2269050
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKLM\Software\Classes\Installer\Products\2D55A667824EC7B45B3B2995F2B601C7
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Thomas\AppData\Roaming\Mozilla\FireFox\Profiles\y3oxlipf.default\Prefs.js --
browser.search.selectedEngine, DAEMON Search
browser.startup.homepage, www.google.com
browser.startup.homepage_override.buildID, 20101012063331
browser.startup.homepage_override.mstone, rv:1.9.2.9

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 28/01/2011 (3588 Octet(s)) 

Fin à: 20:42:04, 28/01/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re

reprend ceci

@+

BadGamer · Answer

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Thomas (Administrateur) # THOMAS-PC [Acer Aspire X3812]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 21:07:22 | 28/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\
RAM -> 8191 Mo 
C:\ (%systemdrive%) -> Disque fixe # 459 Go (109 Go libre(s) - 24%) [Acer] # NTFS
D:\ -> Disque fixe # 459 Go (391 Go libre(s) - 85%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
L:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-4205398609-3236345759-1630496529-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1048624581-1996065763-3026227298-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-4205398609-3236345759-1630496529-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-4205398609-3236345759-1630496529-1008
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524952369-3545787172-141571195-500
Supprimé! C:	mp

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[28/01/2011 - 21:14:23 | SHD ] 	C:\$RECYCLE.BIN
[28/01/2011 - 18:22:58 | D ] 	C:\32788R22FWJFW
[23/09/2010 - 19:22:40 | N | 3745627] 	C:\4Story Multihack v3.3.1.0.exe
[11/10/2010 - 18:45:20 | N | 11688316] 	C:\4Story Multihack v4.0.0.0.exe
[05/01/2011 - 21:17:50 | N | 7613413] 	C:\4Story Multihack v4.1.0.0 by Superx321.exe
[13/10/2010 - 14:16:39 | N | 34] 	C:\4Story MultiHack.ini
[28/01/2011 - 20:42:05 | N | 3718] 	C:\Ad-Report-CLEAN[1].txt
[01/12/2010 - 16:41:53 | D ] 	C:\AeriaGames
[18/12/2010 - 10:25:22 | D ] 	C:\arrieres Plans
[02/05/2010 - 08:57:59 | D ] 	C:\audiograbber
[09/10/2010 - 11:35:00 | D ] 	C:\AV_LOGS
[19/02/2010 - 17:04:35 | D ] 	C:\book
[14/08/2009 - 20:22:55 | N | 8192] 	C:\BOOTSECT.BAK
[28/01/2011 - 19:13:24 | N | 36288] 	C:\ComboFix.txt
[28/01/2011 - 20:43:01 | D ] 	C:\Config.Msi
[11/01/2011 - 19:15:25 | D ] 	C:\DISQUE DUR THOMAS SAUVEGARDE
[19/02/2010 - 17:01:40 | SHD ] 	C:\Documents and Settings
[12/10/2010 - 18:44:00 | D ] 	C:\Documents+and+Settings
[02/04/2010 - 18:09:10 | D ] 	C:\DVDVideoSoft
[01/12/2010 - 12:07:58 | N | 10788] 	C:\error.log
[15/09/2010 - 17:31:38 | D ] 	C:\GAMIGO
[28/01/2011 - 20:43:02 | ASH | 6441799680] 	C:\hiberfil.sys
[14/08/2009 - 19:27:41 | D ] 	C:\Intel
[05/09/2010 - 15:17:44 | N | 382] 	C:\Jumi.Log
[05/09/2010 - 15:21:59 | N | 415] 	C:\Jumi.Log.Run
[18/07/2010 - 17:57:26 | D ] 	C:\Lyrics
[06/01/2011 - 18:30:05 | D ] 	C:\MoTemp
[14/08/2009 - 19:48:35 | RD ] 	C:\MSOCache
[13/03/2010 - 15:28:09 | D ] 	C:\MyWinLockerData
[22/04/2010 - 20:26:55 | D ] 	C:\Nouveaudossier
[31/08/2010 - 08:39:21 | D ] 	C:\NVIDIA
[20/02/2010 - 03:04:51 | D ] 	C:\OEM
[09/06/2010 - 13:23:37 | N | 254673] 	C:\OptCheck.log
[22/01/2011 - 17:59:31 | D ] 	C:\PacSteamT
[28/01/2011 - 20:43:02 | ASH | 8589070336] 	C:\pagefile.sys
[22/04/2010 - 16:23:29 | D ] 	C:\patch
[14/07/2009 - 04:20:08 | D ] 	C:\PerfLogs
[22/01/2011 - 16:55:32 | D ] 	C:\Presets
[28/01/2011 - 20:24:21 | D ] 	C:\Program Files
[28/01/2011 - 20:41:51 | D ] 	C:\Program Files (x86)
[17/01/2011 - 20:09:47 | D ] 	C:\ProgramData
[11/12/2010 - 13:56:15 | D ] 	C:\Python26
[28/01/2011 - 19:13:50 | D ] 	C:\Qoobox
[28/09/2010 - 19:15:39 | D ] 	C:\Qt
[19/02/2010 - 17:01:40 | D ] 	C:\Recovery
[28/01/2011 - 20:22:03 | SHD ] 	C:\System Volume Information
[28/01/2011 - 21:14:23 | D ] 	C:\UsbFix
[28/01/2011 - 21:07:33 | A | 3965] 	C:\UsbFix.txt
[09/09/2010 - 17:35:04 | D ] 	C:\Users
[09/10/2010 - 12:09:18 | D ] 	C:\vcs5BGEffects
[20/01/2011 - 21:32:26 | D ] 	C:\VueScan
[28/06/2010 - 09:35:30 | D ] 	C:\wiijmanager
[28/01/2011 - 20:43:06 | D ] 	C:\Windows
[13/10/2010 - 12:29:17 | N | 1548288] 	C:\WindowsForm7.exe
[27/01/2011 - 20:01:32 | N | 4222] 	C:\ZHPExportRegistry-27-01-2011-20-01-32.txt
[28/01/2011 - 21:14:23 | D ] 	D:\$RECYCLE.BIN
[14/11/2010 - 14:26:13 | N | 771] 	D:\armureverre.esp.lnk
[18/12/2010 - 20:06:56 | D ] 	D:\Bethesda Softworks
[17/11/2010 - 14:44:28 | D ] 	D:\DOCUMENTS
[08/12/2010 - 20:04:23 | N | 489] 	D:\Films DD Thomas (L) - Raccourci.lnk
[11/01/2011 - 19:01:36 | D ] 	D:\LEGO
[26/01/2010 - 16:22:27 | N | 528] 	D:\MediaID.bin
[26/10/2010 - 15:35:40 | D ] 	D:\MyWorks
[18/12/2010 - 14:42:25 | D ] 	D:\PFiles
[09/05/2010 - 18:50:52 | SHD ] 	D:\System Volume Information
[01/11/2010 - 12:15:20 | D ] 	D:\THOMAS-PC
[22/06/2010 - 14:28:16 | D ] 	D:\WindowsImageBackup

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
L:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_THOMAS-PC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Utilisateur anonyme · Answer

Re

Envoie ce fichier comme demandé ,ensuite supprime le.

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_THOMAS-PC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution. 

Tu disposes de Malwaresbytes;met le à jour et lance un scan rapide .
Poste moi ce rapport à l'issue;merci.

@+

BadGamer · Answer

Voila le rapport...il me trouve encore le même virus qu'au début --' et je n'ai pas encore fait supprimer:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5631

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/01/2011 21:34:47
mbam-log-2011-01-28 (21-34-43).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 183591
Temps écoulé: 4 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\securityusb.exe (Worm.AutoRun) -> No action taken.

Utilisateur anonyme · Answer

Re

Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnectes toi et fermes toute tes applications en cours ! 

Double cliques sur "OTMoveIt" pour ouvrir le programme. 
Puis copies ce qui se trouve en  gras 
ci-dessous: 



:Files
c:\securityusb.exe
 
:Commands 
 [purity]
 [emptytemp] 
 


et colles le dans le cadre de gauche de OTMoveIt3 : 
Paste Instructions for Items to be Moved. 
(ne touche à rien d'autre !) 

-> cliques sur MoveIt! pour lancer la suppression. 
-> laisses travailler l'outil ... 

(Note : ton bureau va disparaître puis réapparaître, c'est normal.) 

-> Une fois finis, un petite fenêtre s'ouvre : cliques sur " Yes " . 

Ton PC va redémarrer de lui même ... 
-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"


@+

BadGamer · Answer

D'apres le rapport...il ne l'a pas trouvé --' :

All processes killed
========== FILES ==========
File/Folder c:\securityusb.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
->Temp folder emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Nicolas
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 75 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Thomas
->Temp folder emptied: 191452662 bytes
->Temporary Internet Files folder emptied: 602983 bytes
->Java cache emptied: 522551 bytes
->FireFox cache emptied: 17724470 bytes
->Google Chrome cache emptied: 384210339 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 59900 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1336138 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 133452 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85414 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 569,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 01282011_220314

Files moved on Reboot...
C:\Users\Thomas\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

BadGamer · Answer

Je fais quoi maintenant ? Je peux réactiver Daemon Tool ?

Utilisateur anonyme · Answer

Bonjour

Malwaresbytes ne détecte plus rien?

@+

BadGamer · Answer

Et bien si toujours le meme fichier...

Utilisateur anonyme · Answer

Re

SEAF.exe (équivalent OAD)
Fonctionne XP, Vista, 7

Télécharge SEAF.exe de C_XX a cette adresse :
https://www.androidworld.fr/

*Double clique sur SEAF.exe ("exécuter en tant qu'administrateur pour vista ou seven) .

*Une fenêtre  va s'ouvrir.

Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre".

*Tape :   securityusb.exe 

Il y a un point virgule entre chaque terme.
 et ensuite du clique sur le bouton "Lancer la recherche" .

*Patiente pendant la recherche.

*Une fenêtre avec un log .txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.


Tuto : 
http://www.teamxscript.org/SEAFRecherche.html

@+

BadGamer · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 13:23:08 le 30/01/2011
4. 
5. Valeur(s) recherchée(s):
6. securityusb.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. Aucun fichier trouvé
17. 
18. 
19. ====== Entrée(s) du registre ======
20. 
21. Aucun élément dans le registre trouvé
22. 
23. =========================
24. 
25. Fin à: 13:33:39 le 30/01/2011
26. 948932 Éléments analysés
27. 
28. =========================
29. E.O.F

Utilisateur anonyme · Answer

Re


Bizarre.... Pas de trace de ce fichier et seul MBAM le voit.

Procède à une analyse avec ton antivirus à jour et poste moi son rapport à l'issue;merci.

@+

afideg · Answer

Salut Guillaume  

Suggestion:    
1- Supprimer Malwarebytes' Anti-Malware existant  
2- Re-télécharger Malwarebytes' Anti-Malware depuis  https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 . Enfoncer le bouton radio [Download Now], puis sur le bouton [Enregistrer], choisir sur le bureau. Sur le bureau s'affiche alors l'icône "mbam-setup-1.46.exe".
3- Lancer l'analyse après une mise à jour.  
4- Poster le rapport.   

Al.  
Patience-Vigilance-Amour.

BadGamer · Answer

Alors j'ai supprimé tous les fichiers considérés comme des virus (patch no-Cd etc.) et il ne me trouve aucun virus...

Securityusb.exe impossible a supprimer

32 réponses

Votre réponse

Discussions similaires

Newsletters