petit probleme crss.exe???Résolu/Fermé

Question

Bonjour, 
hier je crois que j ai une boulette.Mais sait pas quoi...
bref aujourd'hui mon mozilla une fois sur 3 m envoir sur 1:le bon site, 2:unsite porno, 
3 un truc nommé goméo je crois+ de tps en tps vers une redirection bizarre...
j ai fait un scan disk avec AVIRA:rien, tlcharger mozilla, fait un update d'AVIRA(j aurai du le faire avant!) puis le PC a redemarré,désinstallé mozilla.Ensuite j'essaye de reinstaller mozilla: il me dit que FIREFOX n'est pas une application valide pour WIN32.
Je redemarre et j ai 2 messages d'erreur au sujet de CRSS.EXE, une histoire avec pass trouver dans la base de registre...Je précise l'adresse de CRSS.EXE est différente dans les 2 message d'erreur.

AU SECOURS, C4EST UN VIRUS?


Configuration: Windows XP / Internet Explorer 6.0

Kingzak34 · Accepted Answer

Tu dois avoir plusieurs infections.     

Pour faire une analyse de ton PC :     

Utilise ce logiciel de diagnostic :     

* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)     
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)     
* Il se lancera automatiquement à la fin de l'installation     
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)     
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette     
* Héberge le rapport ZHPDiag.txt sur https://www.cjoint.com/, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum     

Ensuite, tu ne peux qu'attendre que quelqu'un te prenne en main, je n'ai pas encore le niveau pour t'aider.     

....................Pourquoi faire simple quand on peut faire compliqué ?....................     
....................................Un merci n'est jamais de trop ;)....................................

Utilisateur anonyme · Answer

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, ...    

                                      ----->AD-REMOVER<-----  

&#9640 Télécharge ad-remover(de C_XX) sur ton Bureau   

&#9640 Déconnecte toi et ferme toutes les applications en cours    

&#9640 Double-clique sur l'icône AD-Remover   

&#9640 Au menu principal, clique sur "nettoyer"   

&#9640 Confirme le lancement de l'analyse et laisse l'outil travailler   

&#9640 Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

lapsusrevel · Answer

bonjour et desole,
apres l envoi de mon premier message, je nai pu vous repondre: probleme de java script...
donc hier je suis allée acheter un netbook...(femme acro a face de bouc)
donc je peu enfin reprendre la discution:
merci pour vos reponse rapide.J'ai suivi vos instruction mais je prefere recommencer: j'ai nettoyer mon pc avec MALWAREBYTE
13 virus dégagés mais:
tjrs impossible d'installé firefox et plus aucun acces internet(explorer/msn)
donc compliqué pour les rapport d'erreur.Mais j 'ai eu le tps d'installé ZHP et ad-R.
Merci d avance!

Utilisateur anonyme · Answer

bonjours, passe ad-remover pour commencer stp. 
merci

lapsusrevel · Answer

ok c'est fait je peu poster le rapport???

Utilisateur anonyme · Answer

il va falloir mieux lire mes consignes!

tu m'as donner un rapport de SCAN quand je demande un rapport de NETTOYAGE (CLEAN) et qui plus est, tu ne me donne pas le premier mais le 2: SCAN [2]

lapsusrevel · Answer

je vais devoir te laisser, je dois récuperer ma fille...désolé
laisse moi des instructions d'avance pour pas te faire perdre trop de temps,
je me reconnecte ce soir après 20h. ci-jamais...
petite ?:  pourquoi je peu pas réinstaller firefox( win32 non valide)
et pourquoi je peu plus allez voir mes message sur hotmail(la fenetre avec contact et message non lu ok mais le lien ne fonctionne pas?)
merci d'avance et merci pour t'as rapidité!!!!
=D

Utilisateur anonyme · Answer

pour le moment aucune idée de ce qui cause des soucie a hotmail et FF... on verra ca ensemble, t'inquiete pas. 

en attendant:

pour une analyse de ton système, fais ceci:

                              ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\ 

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\ 

&#9654  Télécharge zhpdiag (de Nicolas Coolman) 

&#9654 Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\ 

&#9654 Clique sur la petite loupe en haut à gauche pour débuter l'analyse : 

&#9654 attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour 

&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 

&#9654 Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum. 
   

@++

lapsusrevel · Answer

re-hello
voici le rapport
https://www.cjoint.com/?0cbuN5Nobaj
pour info le rapport a été fait après le néttoyage de MALWARE... cet après midi, entre tps AVIRA ma enlevé un malware mais je n'ai plus le nom...
Merci.

Utilisateur anonyme · Answer

ton pc ne semble plus être infecter mais quand même: 

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:   

MBAM :    

&#9635 Télécharge MBAM    


&#9635 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.    


&#9635 Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\     


&#9635 A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»    


&#9635 Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"    


> L'analyse peut durer un plusieurs heures...    


&#9635 Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"    


&#9635 Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"    


&#9635 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »    


pour ta question, ya une très bonne formation sur internet qui existe, elle se fait en environ 8 mois... si tu es intéresser, on voit ca a la fin, je te donnerais le lien ;) 

&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664  

Qualification Helper sur HELPER FORMATION.

lapsusrevel · Answer

en fait j'ai déjà fait ce nettoyage,
mais je viens de relancer le scan complet.
voi le premier rapport:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5654

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

01/02/2011 16:15:00
mbam-log-2011-02-01 (16-15-00).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 221510
Temps écoulé: 1 heure(s), 3 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
c:\documents and settings\stef & yann\application data\dwm.exe (Trojan.Downloader) -> 1392 -> Unloaded process successfully.
c:\documents and settings\stef & yann\application data\microsoft\conhost.exe (Trojan.Downloader) -> 1468 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Downloader) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Downloader) -> Bad: (C:\DOCUME~1\STEF&Y~1\LOCALS~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\stef & yann\application data\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\stef & yann\application data\microsoft\conhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Documents and Settings\Stef & Yann\Local Settings\Temp\csrss.exe (Trojan.Downloader) -> Delete on reboot.
c:\documents and settings\stef & yann\local settings\Temp	asks\OB_FR.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\stef & yann\local settings\Temp\7.exe (Worm.AutoRun) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Ce script va cibler certains éléments à supprimer : 


* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur) 
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). 

* Copie les lignes suivantes : 
------------------------------------------------------------------------------------------------------- 

OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-163748893-3369531988-2320958936-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 12/02/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe




------------------------------------------------------------------------------------------------------ 


* Clique sur « Tous », puis sur « Nettoyer » 
* Copie/colle la totalité du rapport dans ta prochaine réponse. 

ensuite, je te donne la fin.

pour la formation, on voit ca a la fin pour ne pas mélanger renseignement avec désinfection ok? je te dirais tout et répondrais a tes questions sur la formation a la fin ok?
 --
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664 

Qualification Helper sur HELPER FORMATION.

lapsusrevel · Answer

j'ai un ptit probleme:
peu pas faire copier coller/coller (ctrl c/ctrl V) quand je selectionne je ne peu que "couper" et ça me mets la selection dans une fentre a droitre pour l impression...!!!!!!!

lapsusrevel · Answer

pardon, je commence, pas l habitude d'explorer...

lapsusrevel · Answer

voila:
Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-01-02-2011-21-47-29.txt
Run by Stef & Yann at 01/02/2011 21:47:29
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-163748893-3369531988-2320958936-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente


========== Récapitulatif ==========
1 : Clé(s) du Registre
5 : Valeur(s) du Registre


End of the scan

Utilisateur anonyme · Answer

ok, comment va le pc? toujours des soucies? 

si non, on passe a la fin

lapsusrevel · Answer

alors
-  pour firefox: ok( j'ai tlcharger depuis un autre site)pas 2 souci.
-  pour le gestionnaire de tache:je n ai plus accès a la partie haute
c.a.d.: plus possible de fermer avec la croix d'agrandir ou réduire
plus les accès application/ processus /perf...
impossible de le fermer depuis la barre de tache/clic droit=rien
mais peu le fermer depuis l icône a coté de l horloge.
-  pour mes mail:j ouvre la fenetre windows live messenger :ok
mais impossible d'accéder a la boite de réception: pas d'action.

Je continue de fouiner pour voir les différence...

lapsusrevel · Answer

bon on va y arriver:
ok pour MSN, maintenant que j ai remis firefox c'est ok...
j avais du paramétrer firefox comme navigateur par défaut pour msn car a chaque mise a jour je me retapais explorer et cie.
j ai plus que le gestionnaire de tache...
Je redemarre le PC et t'en reparle de suite.

lapsusrevel · Answer

même après démarrage le gestionnaire de tache est pareil...
c'est pas trop grave, mais je comprends pas pourquoi il est comme ça,
surtout que en cas de bug logiciel ça dépanne...
Une idée?

lapsusrevel · Answer

Je pense etre toujours en danger en termes de sécurité
(usurpation de mail...°
ON PEU EN PARLER???

Utilisateur anonyme · Answer

je t'écoute mais, j'ai besoin d'infos sur ce qui te fais penser être toujours en "danger"

lapsusrevel · Answer

bon, dans l'ensemble tout est régler:
même le gestionnaire de tache(doubleclic dans la zone basse)
le PC marche même mieux j ai l'impression (UC utilisé)
par contre:
_ AVIRA a détecté 4 attaques de MALWARE depuis ce matin alors que d'habitude(avant la première attaque) c'était très tranquille (1 a 2 attaque/an)
_lorsque ma femme ce connecte a facebook depuis firefox: on a un message
qui nous empêche de nous connectez genre quelqu'un a essayé d'usurper mon identité alors que par explorer, ça passe.

bref j'ai l impression qu'une porte a été ouverte...

Utilisateur anonyme · Answer

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:   

MBAM :    

&#9635 Télécharge MBAM    


&#9635 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.    


&#9635 Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\     


&#9635 A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»    


&#9635 Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"    


> L'analyse peut durer un plusieurs heures...    


&#9635 Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"    


&#9635 Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"    


&#9635 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »    

&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664  

Qualification Helper sur HELPER FORMATION.

Utilisateur anonyme · Answer

je cite: AVIRA a détecté 4 attaques de MALWARE depuis ce matin
donc pas depuis hier... 

donc, si tu t'es réinfecter, c'est a refaire...
après le MBAM, tu me refais un zhpdaig aussi: 

&#9654 Clique sur la petite loupe en haut à gauche pour débuter l'analyse : 

&#9654 attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour 

&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 

&#9654 Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum. 
   

@++

lapsusrevel · Answer

ok je re-attaque et t 'envoie ça!
comment j ai pu me reinfecter?

lapsusrevel · Answer

voila
https://www.cjoint.com/?0ccntsIoQd 
j ai fait le MBAM en mode rapide...pas de detection
les MBAM d'hier était en mode long...

pour info en fesant la commande copier du site CJoINT
message impossible d'acceder au presse papier par contre copier coller manuel:ok

lapsusrevel · Answer

bon d le doute je relance l examen complet de MBAM
j avais mal lu a tout a l heure

lapsusrevel · Answer

voila le rapport,nettoyage MBAM en mode complet:
1 trojan supprimé
	https://www.cjoint.com/?0ccoRYjvWNC

Utilisateur anonyme · Answer

le zhpdiag semble clean.  
je peux avoir le rapport de MBAM? 


EDIT: quelques 051:

* UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles 
* Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc .  

                                ----->USBFIX<----- 

> Télécharge http://www.teamxscript.org/too/UsbFix.exe (créé par El Desaparecido & C_XX)  

> /!\Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

> Branche (si possible) toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 

> Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement 

> Clique sur Recherche  

> Laisse travailler l'outil /!\ le scan peut rester un long moment sur 48%, il n'est pas bloquer, ne quitte pas, il faudrait tout recommencer.../!\ 

> A la fin, le bloc note s'ouvre avec le rapport, sélectionne le (Ctrl+A) copie le (Ctrl+C) et colle le dans ta prochaine réponse (Ctrl+V)  
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664  

Qualification Helper sur HELPER FORMATION.

lapsusrevel · Answer

voila le MBAM:
	https://www.cjoint.com/?0ccpccspSDt

lapsusrevel · Answer

oups pardon
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5654

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02/02/2011 14:32:42
mbam-log-2011-02-02 (14-32-42).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 216797
Temps écoulé: 1 heure(s), 3 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{2b12facb-0235-45b2-b29e-125f40896912}\RP959\A0094596.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

ok, allez, au boulot... lol

lapsusrevel · Answer

ok ça scan...
? dans appl.data j ai un fichier:macromedia/sharedfile plein de m...de certaimment du a GOMEO je peu tous supprimer   c'est des .COM

lapsusrevel · Answer

voila le rapport usb fix
############################## | UsbFix 7.038 | [Recherche]

Utilisateur: Stef & Yann (Administrateur) # CPQ80901248272 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 15:11:44 | 02/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) XP 1800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
RAM -> 1023 Mo 
C:\ (%systemdrive%) -> Disque fixe # 37 Go (7 Go libre(s) - 20%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 4 Go (2 Go libre(s) - 60%) [] # FAT32

################## | Éléments infectieux |


Présent! C:\WINDOWS\system32\autorun.inf
Présent! E:\autorun.inf
Présent! E:\autorun.exe

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{6647aa4a-8fb2-11dd-b920-0040ca30a6c7}
Shell\AutoRun\Command = F:\WD_Windows_Tools\Setup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{88916c8a-76d9-11de-babe-0040ca30a6c7}
Shell\Auto\Command = ilocisjxb.exe
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ilocisjxb.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{9e2e157a-3305-11dd-b888-0040ca30a6c7}
Shell\AutoRun\Command = F:\Autorun.exe /run
Shell\Shell00\Command = F:\Autorun.exe /run
Shell\Shell01\Command = F:\Autorun.exe /action
Shell\Shell02\Command = F:\Autorun.exe /uninstall


################## | Vaccin |

E:\Autorun.inf -> Dossier créé par Panda USB Vaccine

################## | E.O.F |

Utilisateur anonyme · Answer

relance usbfix en mode suppression.

lapsusrevel · Answer

bon je vais devoir partir, je par en formation 2 jours...
je reprend contact vendredi soir...
désolé pour la coupure.
en tout cas:
1000 merci pour ton boulot.

lapsusrevel · Answer

ok c'est sympa...
et pour le dernier rapport???

lapsusrevel · Answer

bon finalement je par dans 30min.
suppression faite
si jamais voila le rapport:
############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Stef & Yann (Administrateur) # CPQ80901248272 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 15:59:45 | 02/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) XP 1800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [Enabled | Updated]
RAM -> 1023 Mo 
C:\ (%systemdrive%) -> Disque fixe # 37 Go (13 Go libre(s) - 34%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\system32\autorun.inf
Supprimé! C:\Recycler\S-1-5-21-163748893-3369531988-2320958936-1005
Non supprimé ! E:\autorun.inf
Non supprimé ! E:\autorun.exe

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6647aa4a-8fb2-11dd-b920-0040ca30a6c7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{88916c8a-76d9-11de-babe-0040ca30a6c7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{9e2e157a-3305-11dd-b888-0040ca30a6c7}

################## | Listing |

[23/08/2009 - 21:22:59 | D ] 	C:\a319b1c0133cfef9de391349
[30/01/2011 - 22:50:39 | N | 7980] 	C:\Ad-Report-CLEAN[1].txt
[01/02/2011 - 17:13:25 | N | 2090] 	C:\Ad-Report-CLEAN[2].txt
[30/01/2011 - 22:48:42 | N | 7731] 	C:\Ad-Report-SCAN[1].txt
[01/02/2011 - 16:38:48 | N | 1998] 	C:\Ad-Report-SCAN[2].txt
[15/10/2010 - 19:25:36 | N | 216] 	C:\boot.ini
[28/08/2001 - 06:00:00 | N | 4952] 	C:\Bootfont.bin
[30/04/2008 - 19:12:34 | N | 333] 	C:\BOOTLOG.TXT
[30/04/2008 - 18:51:54 | D ] 	C:\Compaq
[30/01/2011 - 22:43:53 | D ] 	C:\Config.Msi
[30/04/2008 - 19:27:26 | D ] 	C:\cpqs
[30/04/2008 - 18:59:30 | D ] 	C:\Documents and Settings
[30/04/2008 - 18:56:30 | D ] 	C:\i386
[14/02/2009 - 23:01:30 | N | 0] 	C:\IO.SYS
[08/05/2009 - 18:07:52 | D ] 	C:\LG3G
[23/03/1999 - 15:35:28 | N | 16062] 	C:\LOGO.SYS
[14/02/2009 - 23:01:30 | N | 0] 	C:\MSDOS.SYS
[30/04/2008 - 20:03:09 | N | 47564] 	C:\NTDETECT.COM
[30/04/2008 - 20:03:09 | N | 251712] 	C:
tldr
[12/11/2009 - 20:56:52 | N | 262144] 	C:
tuser.dat
[12/11/2009 - 20:56:52 | N | 1024] 	C:
tuser.dat.LOG
[02/02/2011 - 14:33:56 | ASH | 805306368] 	C:\pagefile.sys
[01/02/2011 - 15:01:27 | D ] 	C:\Program Files
[02/02/2011 - 16:03:51 | SHD ] 	C:\RECYCLER
[30/04/2008 - 21:12:46 | N | 268] 	C:\sqmdata00.sqm
[16/05/2008 - 22:14:58 | N | 268] 	C:\sqmdata01.sqm
[14/07/2008 - 16:33:20 | N | 268] 	C:\sqmdata02.sqm
[27/08/2008 - 07:52:04 | N | 268] 	C:\sqmdata03.sqm
[27/08/2008 - 07:52:04 | N | 148] 	C:\sqmdata04.sqm
[27/08/2008 - 07:52:04 | N | 136] 	C:\sqmdata05.sqm
[27/08/2008 - 07:52:04 | N | 136] 	C:\sqmdata06.sqm
[30/04/2008 - 21:12:46 | N | 244] 	C:\sqmnoopt00.sqm
[16/05/2008 - 22:14:58 | N | 244] 	C:\sqmnoopt01.sqm
[14/07/2008 - 16:33:20 | N | 244] 	C:\sqmnoopt02.sqm
[27/08/2008 - 07:52:04 | N | 244] 	C:\sqmnoopt03.sqm
[27/08/2008 - 07:52:04 | N | 172] 	C:\sqmnoopt04.sqm
[27/08/2008 - 07:52:04 | N | 172] 	C:\sqmnoopt05.sqm
[01/02/2011 - 15:56:32 | SHD ] 	C:\System Volume Information
[30/04/2008 - 19:45:33 | D ] 	C:\SYSTEM.SAV
[01/06/2009 - 06:49:18 | N | 0] 	C:\Tech_Vista.log
[18/01/2009 - 15:24:47 | D ] 	C:	emp
[02/02/2011 - 16:03:51 | D ] 	C:\UsbFix
[02/02/2011 - 16:03:59 | A | 996] 	C:\UsbFix.txt
[05/10/2009 - 09:59:48 | D ] 	C:\WESTWOOD
[02/02/2011 - 15:04:27 | D ] 	C:\WINDOWS
[05/05/2007 - 08:57:18 | N | 274425064] 	C:\WindowsXP-KB835935-SP2-FRA.exe
[01/02/2011 - 21:47:29 | N | 4918] 	C:\ZHPExportRegistry-01-02-2011-21-47-29.txt
[19/05/2009 - 20:56:39 | D ] 	C:\~MSSETUP.T
[16/01/2003 - 04:34:11 | R | 153716] 	E:\00000000.016
[16/01/2003 - 04:34:11 | R | 308276] 	E:\00000000.256
[27/02/2003 - 09:49:18 | R | 2048] 	E:\00000001.TMP
[27/02/2003 - 09:49:18 | R | 317440] 	E:\00000002.TMP
[27/02/2003 - 09:51:40 | RD ] 	E:\Autorun
[13/01/2003 - 21:01:56 | R | 1101824] 	E:\Autorun.exe
[17/01/2003 - 21:15:49 | R | 32457736] 	E:\Command & Conquer Generals.msi
[17/01/2003 - 21:14:46 | R | 171738185] 	E:\Data1.cab
[13/01/2003 - 08:28:04 | R | 6125] 	E:\Direct X EULA.txt
[27/02/2003 - 09:51:44 | RD ] 	E:\DirectX81
[16/01/2003 - 04:34:11 | R | 23552] 	E:\DrvMgt.dll
[27/02/2003 - 09:52:07 | RD ] 	E:\Euro Docs
[13/01/2003 - 03:33:28 | R | 787464] 	E:\Gensec.big
[13/01/2003 - 08:28:04 | R | 1440056] 	E:\InstallSplash.BMP
[17/01/2003 - 21:04:46 | R | 334638181] 	E:\Language.cab
[16/01/2003 - 04:34:11 | R | 12464] 	E:\SECDRV.SYS
[17/01/2003 - 21:04:49 | R | 2795360] 	E:\WBuilder.cab
[13/01/2003 - 08:28:00 | R | 2054] 	E:\autorun.csf
[13/01/2003 - 08:28:00 | R | 27] 	E:\autorun.inf
[13/01/2003 - 02:21:21 | R | 163088] 	E:\dbghelp.dll
[17/01/2003 - 21:29:39 | R | 4390041] 	E:\setup.exe
[27/02/2003 - 09:51:45 | RD ] 	E:\support

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par Panda USB Vaccine

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CPQ80901248272.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

lapsusrevel · Answer

effectivement pour FB ont est beaucoup a avoir le souci, ça doit pas etre mon PC
a voir le httpS...

Utilisateur anonyme · Answer

a part ceci, encore des soucies? (pour FB, c'est eux: on m'a confirmer, d'autres ont le soucient)

lapsusrevel · Answer

hello,
bon ben tous marche nickel!!!

merci merci MERCI beaucoup!!!
pour la formation on ce retrouve ou?

Petit probleme crss.exe???

41 réponses

Discussions similaires

Newsletters