mega virus !! Fermé

Question

Bonjour, voila j'ai choper un virus un peu enmerdant j'ai fai un raport hijackthis et sa me dit que la clef registre userinit.exe est infecter par virus sdra64.exe quesque je doit faire >< 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:22:35, on 01/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Freecorder\FLVSrvc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Téléchargements\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFre1.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFre1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFre1.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\system32undll32.exe bih.dll,InitGauge
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ClickPotatoLiteSA] "C:\Program Files\ClickPotatoLite\bin\10.0.634.0\ClickPotatoLiteSA.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files\ClickPotatoLite\bin\10.0.634.0\ClickPotatoLiteSABHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista et seven) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 




Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

si problème avec ci joint , passer par là  https://www.cjoint.com/

ptipolux · Answer

jarive pas a balancer sur cijoint sa me reinitialise la conexion a chaque fois ...

moment de grace · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe 

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip), 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

moment de grace · Answer

ok

ca va le faire maintenant que le rootkit a sauté

fais un nouveau rapport ZHPdiag

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

si problème avec ci joint , passer par là  https://www.cjoint.com/

ptipolux · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijRjuchoX.txt

moment de grace · Answer

c'est un Windows maison !!

_________

System drive C: has 1 GB (1%) free of 33 GB

le disque est plein

_________

plusieurs infections

1)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 




UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

_______________

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long) 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

_______________

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ptipolux · Answer

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: pc bureau (Administrateur) # A6-F08297DEFCD9 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 14:35:08 | 01/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
CPU 2: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886625 [Enabled | Updated]
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 33 Go (645 Mo libre(s) - 2%) [] # NTFS
D:\ -> Disque fixe # 78 Go (2 Go libre(s) - 2%) [documents] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


Non supprimé ! C:\WINDOWS\system32\lowsec
Non supprimé ! C:\WINDOWS\system32\lowsec\local.ds
Non supprimé ! C:\WINDOWS\system32\lowsec\user.ds
Non supprimé ! C:\WINDOWS\system32\sdra64.exe
Supprimé! C:\Recycler\S-1-5-21-1214440339-2139871995-1177238915-1003
Supprimé! D:\Recycler\S-1-5-21-1214440339-2139871995-1177238915-1003
Supprimé! D:\Recycler\S-1-5-21-2025429265-1677128483-1417001333-1003
Supprimé! C:\autorun.inf
Supprimé! D:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\C
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0da2c77a-53ac-11df-a83e-0016fef3d325}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{139e4e44-4f76-11df-a839-0016fef3d325}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2de52cf0-5dd7-11df-a851-0016fef3d325}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6df50aca-5b68-11df-a847-0016fef3d325}

################## | Listing |

[29/04/2010 - 15:32:29 | D ] 	C:\$AVG
[23/06/2010 - 14:04:20 | N | 494] 	C:\appbckp1.reg
[23/06/2010 - 14:04:21 | N | 673166] 	C:\appbckp2.reg
[23/04/2010 - 20:30:18 | N | 0] 	C:\AUTOEXEC.BAT
[17/12/2010 - 10:16:51 | N | 212] 	C:\boot.ini
[14/04/2008 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[25/07/2010 - 17:49:26 | D ] 	C:\CFLog
[29/12/2010 - 19:31:16 | D ] 	C:\Config.Msi
[23/04/2010 - 20:30:18 | N | 0] 	C:\CONFIG.SYS
[23/10/2010 - 18:39:11 | D ] 	C:\Dance - Techno
[03/01/2011 - 23:05:57 | N | 277] 	C:\debugInstaller.txt
[23/10/2010 - 18:37:30 | D ] 	C:\Dessin animé
[01/02/2011 - 00:00:24 | D ] 	C:\Documents and Settings
[22/12/2010 - 20:20:10 | D ] 	C:\Electro - Expérimental
[23/10/2010 - 18:38:41 | D ] 	C:\Film - Série - Pub
[01/02/2011 - 13:44:31 | ASH | 2145570816] 	C:\hiberfil.sys
[23/04/2010 - 20:30:18 | N | 0] 	C:\IO.SYS
[23/01/2011 - 19:36:10 | N | 734816876] 	C:\IOMEGA-K i c k - A s s.avi
[23/01/2011 - 17:43:16 | N | 367003648] 	C:\Lie2Me.311.VOSTFR.HDTV.avi
[23/04/2010 - 20:30:18 | N | 0] 	C:\MSDOS.SYS
[14/04/2008 - 13:00:00 | N | 47564] 	C:\NTDETECT.COM
[14/04/2008 - 13:00:00 | N | 252240] 	C:
tldr
[01/02/2011 - 13:44:25 | ASH | 2145386496] 	C:\pagefile.sys
[06/01/2011 - 11:39:38 | D ] 	C:\Program Files
[01/02/2011 - 14:38:46 | SHD ] 	C:\RECYCLER
[23/04/2010 - 21:42:52 | SHD ] 	C:\System Volume Information
[01/02/2011 - 12:22:20 | D ] 	C:	dsskiller
[01/02/2011 - 12:23:50 | N | 43738] 	C:\TDSSKiller.2.4.16.0_01.02.2011_12.22.24_log.txt
[06/01/2011 - 11:38:45 | D ] 	C:\Temp
[17/01/2011 - 11:48:14 | N | 367001600] 	C:\The.Vampire.Diaries.S02E02.VOSTFR.HDTV.XviD.avi
[18/01/2011 - 13:06:52 | N | 366324024] 	C:\The.Vampire.Diaries.S02E08.FASTSUB.VOSTFR.HDTV.XviD-ATeam.avi
[18/01/2011 - 14:59:46 | N | 368054272] 	C:\The.Vampire.Diaries.S02E09.VOSTFR.HDTV.XviD.avi
[18/01/2011 - 17:50:48 | N | 367022080] 	C:\The.Vampire.Diaries.S02E11.FASTSUB.VOSTFR.HDTV.XviD-ATeam.avi
[18/01/2011 - 14:49:49 | N | 369549312] 	C:\TVD..2x10.Www.ToinetyTeam.Com.avi
[23/04/2010 - 20:44:04 | D ] 	C:\Update
[01/02/2011 - 14:38:46 | D ] 	C:\UsbFix
[01/02/2011 - 14:38:47 | A | 1296] 	C:\UsbFix.txt
[17/01/2011 - 00:13:08 | N | 367003648] 	C:\V.(2009).201.VOSTFR.HDTV.avi
[17/01/2011 - 08:54:47 | N | 366987264] 	C:\V.2009.S02E02.FASTSUB.VOSTFR.HDTV.XviD-RAW.avi
[17/01/2011 - 10:47:08 | N | 367009792] 	C:\Vampire Diaries S02E01 vostfr.avi
[18/01/2011 - 12:56:38 | N | 370672916] 	C:\Vampire Diaries S02E06 vostfr.avi
[25/11/2010 - 18:34:40 | N | 779] 	C:\VirtualDJ Local Database v6.xml
[21/11/2010 - 21:32:22 | N | 4302549] 	C:\We no speak americano and i like that.mp3
[01/02/2011 - 00:04:12 | D ] 	C:\WINDOWS
[24/05/2010 - 19:03:05 | D ] 	D:\21ff619049a618753af5
[29/03/2010 - 16:23:45 | N | 15872] 	D:\2903Informatique.xls
[09/04/2010 - 11:34:37 | D ] 	D:\Armed and Dangerous
[20/12/2009 - 19:45:43 | D ] 	D:\Bluetooth
[04/06/2010 - 20:37:32 | N | 5223267] 	D:\bob sinclar feat queen ifrica, vybrate & makedah - new new new.mp3
[03/11/2010 - 00:54:22 | D ] 	D:\Boulot
[29/04/2010 - 16:00:41 | N | 15872] 	D:\Classeur1.xls
[15/01/2010 - 10:52:37 | N | 3065] 	D:\clip_image002.gif
[24/04/2010 - 09:42:47 | D ] 	D:\Copie de Bluetooth
[04/05/2010 - 08:51:55 | D ] 	D:\Cour Informatique
[25/07/2010 - 17:49:53 | D ] 	D:\Cross Fire
[25/07/2010 - 17:42:39 | D ] 	D:\CrossFire
[09/01/2010 - 15:19:28 | D ] 	D:\Daemon tools
[24/04/2010 - 09:42:44 | ASH | 81] 	D:\desktop.ini
[03/01/2011 - 23:38:11 | D ] 	D:\Données du Retour du Roi tm
[17/03/2010 - 22:58:11 | N | 3019] 	D:\Dragon Age Origins 1.01.log
[17/03/2010 - 22:58:59 | N | 8531] 	D:\Dragon Age Origins 1.02.log
[01/07/2010 - 20:39:54 | D ] 	D:\f44e470407a79c1d72c1d22448
[05/04/2010 - 19:31:41 | D ] 	D:\Fallout 3 War Game
[08/01/2010 - 21:42:08 | N | 8144608] 	D:\Firefox Setup 3.5.7.exe
[30/03/2010 - 14:23:29 | N | 17408] 	D:\Formative.xls
[23/06/2010 - 13:56:54 | N | 104] 	D:\Formule ou si .txt
[18/01/2011 - 11:58:09 | D ] 	D:\Freecorder 4
[17/01/2011 - 09:20:40 | D ] 	D:\Hitman Blood Money
[17/01/2011 - 15:44:59 | D ] 	D:\Hitman-Blood Money
[11/01/2011 - 14:16:14 | D ] 	D:\Hitman-Contracts
[17/03/2010 - 22:54:02 | N | 21635] 	D:\Install Dragon Age Origins.log
[08/01/2010 - 21:21:55 | N | 1956528] 	D:\install_flash_player_ax.exe
[10/01/2011 - 20:53:38 | D ] 	D:\Jdownloader
[04/08/2010 - 12:46:10 | N | 9] 	D:\Key of peace .txt
[10/05/2010 - 20:02:41 | N | 25088] 	D:\Letre Pas Content.doc
[04/01/2011 - 00:29:32 | D ] 	D:\LSDA-Retour du Roi
[12/01/2011 - 13:21:39 | D ] 	D:\Ma musique
[17/08/2010 - 16:54:08 | D ] 	D:\Mechanceté gratuite
[24/01/2011 - 21:52:58 | D ] 	D:\Mes fichiers reçus
[01/08/2010 - 20:09:05 | D ] 	D:\Mes Historiques de Conversation
[18/01/2011 - 11:59:59 | D ] 	D:\Mes images
[15/06/2010 - 20:51:45 | D ] 	D:\Mes jeux
[12/01/2010 - 12:11:45 | D ] 	D:\Mes sources de données
[08/04/2010 - 19:58:42 | D ] 	D:\Mes vidéos
[24/04/2010 - 09:23:29 | RHD ] 	D:\MSOCache
[08/01/2010 - 20:10:45 | D ] 	D:\My Games
[31/05/2010 - 09:57:29 | D ] 	D:\Need For Speed Undercover
[19/01/2010 - 23:26:12 | D ] 	D:\NeroVision
[05/04/2010 - 20:08:36 | D ] 	D:\NFS Undercover
[18/01/2011 - 11:58:11 | D ] 	D:\No one lives
[09/01/2011 - 14:34:35 | N | 11] 	D:\Nouveau Document texte.txt
[14/01/2010 - 18:10:50 | D ] 	D:\Photo philtre
[29/07/2010 - 13:01:22 | N | 170] 	D:\phrases.txt
[12/01/2010 - 16:48:26 | D ] 	D:\Picasa
[12/01/2010 - 16:47:27 | N | 10053112] 	D:\picasa3-setup.exe
[12/01/2010 - 17:19:20 | N | 157698] 	D:\polo.odg
[24/06/2010 - 15:50:51 | N | 250] 	D:\ppp.txt
[11/01/2011 - 14:15:27 | D ] 	D:\Program Files
[24/04/2010 - 09:55:32 | D ] 	D:\Projet Pro
[17/01/2011 - 15:38:08 | N | 158] 	D:echerche boulot.txt
[11/05/2010 - 12:03:59 | D ] 	D:ecup manu
[01/02/2011 - 14:38:46 | SHD ] 	D:\RECYCLER
[05/07/2010 - 17:35:07 | D ] 	D:\RIGAUDIE
[23/04/2010 - 20:31:21 | N | 1224] 	D:\Silverlight0.log
[23/04/2010 - 20:31:21 | N | 176148] 	D:\SilverlightMSI.log
[27/07/2010 - 20:58:36 | SHD ] 	D:\System Volume Information
[20/07/2010 - 08:47:14 | N | 67] 	D:	af.txt
[16/02/2010 - 21:10:30 | N | 96114] 	D:\The world is mine.vdj
[11/05/2010 - 12:04:01 | ASH | 8192] 	D:\Thumbs.db
[01/02/2011 - 14:34:45 | D ] 	D:\Téléchargements
[10/01/2011 - 20:54:07 | D ] 	D:	éléchargements Jdownloader
[28/03/2010 - 17:51:36 | N | 9665] 	D:\Uninstall Dragon Age Origins.log
[04/06/2010 - 20:50:50 | D ] 	D:\VA-NRJ_Dance_2010-2CD-2010-H5N1
[19/01/2010 - 21:16:49 | D ] 	D:\Virtual DJ
[26/06/2010 - 10:50:43 | D ] 	D:\VirtualDJ
[01/07/2010 - 20:39:58 | D ] 	D:\Windows Genuine Advantage Validation 1.9.9.1
[17/12/2010 - 15:09:11 | D ] 	D:\World of Warcraft

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_A6-F08297DEFCD9.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

ptipolux · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijHKfbS30.txt

moment de grace · Answer

je suppose que MBAM a été fait peux tu poster le rapport puis Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

krdpdre
XDva352


File::

c:\windows\system32\embevqnl.dll     
c:\docume~1\PCBURE~1\LOCALS~1\Temp\krdpdre.sys
c:\windows\system32\XDva352.sys



DDS::
uInternet Settings,ProxyOverride = *.local     


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

moment de grace · Answer

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ptipolux · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cij1u4siZF.txt

moment de grace · Answer

ok

encore des soucis ?

_________

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


c:\windows\system32\sfcfiles.dll


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

Mega virus !!

13 réponses

Discussions similaires