4 Worm.AutoRun après formatage c:\WINDOWS\Sys
Résolu
cumular
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
j'ai depuis quelques semaines 4 Worm.AutoRun detectés par malwarebytes
1 dans le processus mémoire
2 dans le Registre
et 1 fichier infecté, pas le moindre : c:\WINDOWS\System.exe
ne parvenant pas à éradiquer le mal (suppression, remplacement, reparation etc...) j'ai tenté un formatage via le gestionnaire de disque (pensant que celui ci equivalait du bas niveau).
A la reinstallation de windows aucun probleme, balayage malewarebytes sans detection mais dès le retour des applications et des logiciels retour des 4 mêmes wormautorun
Je suis partant pour toute nouvelle tentative d'éradication...
merci à vous
j'ai depuis quelques semaines 4 Worm.AutoRun detectés par malwarebytes
1 dans le processus mémoire
2 dans le Registre
et 1 fichier infecté, pas le moindre : c:\WINDOWS\System.exe
ne parvenant pas à éradiquer le mal (suppression, remplacement, reparation etc...) j'ai tenté un formatage via le gestionnaire de disque (pensant que celui ci equivalait du bas niveau).
A la reinstallation de windows aucun probleme, balayage malewarebytes sans detection mais dès le retour des applications et des logiciels retour des 4 mêmes wormautorun
Je suis partant pour toute nouvelle tentative d'éradication...
merci à vous
A voir également:
- 4 Worm.AutoRun après formatage c:\WINDOWS\Sys
- Formatage clé usb - Guide
- Formatage pc - Guide
- Code gta 4 ps4 - Guide
- Formatage exfat ou ntfs - Guide
- Control center 4 - Télécharger - Divers Utilitaires
47 réponses
Fais ça :
▶ Télécharge RstAssociations
▶ Lance le, attends qu'il ai chargé.
▶ Clique sur Tous, puis Restaurer.
▶ Poste le rapport qui apparaît
===========
Passe combofix stp
▶ Télécharge RstAssociations
▶ Lance le, attends qu'il ai chargé.
▶ Clique sur Tous, puis Restaurer.
▶ Poste le rapport qui apparaît
===========
Passe combofix stp
je ne parviens pas à trouver un lien pour telecharger rstassociations
celui au dessus ne fonctionne pas non plus
celui au dessus ne fonctionne pas non plus
les liens sont dead en effet fais ça :
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Télécharge Pre_scan (de gen-hackman)
♦ Enregistre le sur ton bureau
Renomme Pre_Scan.exe en Pre_Scan.pif
▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
♦ Colle le contenu du rapport "Pre_Scan.txt" qui apparaîtra; à terme, sur ton bureau.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Télécharge Pre_scan (de gen-hackman)
♦ Enregistre le sur ton bureau
Renomme Pre_Scan.exe en Pre_Scan.pif
▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
♦ Colle le contenu du rapport "Pre_Scan.txt" qui apparaîtra; à terme, sur ton bureau.
j'y pige rien mais c'est magique ce truc
mon clic c: refonctionne
merci !!!
Mis à jour le 25/04/2011 | 13.20 par g3n-h@ckm@n
Utilisateur : david (Administrateurs)
Ordinateur : SHADOKO
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.2180
Mozilla Firefox : 4.0 (fr)
Scan : 15:32:43 | 27/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKCU\..\..\Winlogon] | Shell -> Modification apportée : -> explorer.exe
¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ Associations
[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.reg] : regfile
[regfile | command] : regedit.exe "%1"
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*
¤
[Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
[IE | Command] | @ -> Modification apportée : "%programfiles%\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
¤
[Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s
¤
¤
¤¤¤¤¤¤¤¤¤¤ Services
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[agp440] | Start -> Modification apportée : 0 -> 2 : Service Actif
[Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Bits] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
¤¤¤¤¤¤¤¤¤¤ Internet Explorer
[HKCU | Main] | Start Page -> Modification apportée : https://www.google.fr/?gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
[HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKLM | Main] | Default_Page_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Search Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
¤¤¤¤¤¤¤¤¤¤ Processus
C:\WINDOWS\explorer.exe -> Processus stoppé
\WINDOWS\explorer.exe -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine
¤¤¤¤¤¤¤¤¤¤ IFEO
¤¤¤¤¤¤¤¤¤¤ Mountpoints2
Supprimé : [HKCU\..\..\Mountpoints2\{1dab5903-6861-11e0-8e39-806d6172696f}] -> command : C:\
¤¤¤¤¤¤¤¤¤¤ MBR
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line: -za C:\MBR\MBR.bin
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000001d
Analysis of file "C:\MBR\MBR.bin":
Windows XP MBR code detected
Done!
¤¤¤
explorer.exe -> Processus redémarré
Fin : 15:33:30
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
mon clic c: refonctionne
merci !!!
Mis à jour le 25/04/2011 | 13.20 par g3n-h@ckm@n
Utilisateur : david (Administrateurs)
Ordinateur : SHADOKO
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.2180
Mozilla Firefox : 4.0 (fr)
Scan : 15:32:43 | 27/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKCU\..\..\Winlogon] | Shell -> Modification apportée : -> explorer.exe
¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ Associations
[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.reg] : regfile
[regfile | command] : regedit.exe "%1"
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*
¤
[Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
[IE | Command] | @ -> Modification apportée : "%programfiles%\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
¤
[Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s
¤
¤
¤¤¤¤¤¤¤¤¤¤ Services
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[agp440] | Start -> Modification apportée : 0 -> 2 : Service Actif
[Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[Bits] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
¤¤¤¤¤¤¤¤¤¤ Internet Explorer
[HKCU | Main] | Start Page -> Modification apportée : https://www.google.fr/?gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
[HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKLM | Main] | Default_Page_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Search Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
¤¤¤¤¤¤¤¤¤¤ Processus
C:\WINDOWS\explorer.exe -> Processus stoppé
\WINDOWS\explorer.exe -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine
¤¤¤¤¤¤¤¤¤¤ IFEO
¤¤¤¤¤¤¤¤¤¤ Mountpoints2
Supprimé : [HKCU\..\..\Mountpoints2\{1dab5903-6861-11e0-8e39-806d6172696f}] -> command : C:\
¤¤¤¤¤¤¤¤¤¤ MBR
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line: -za C:\MBR\MBR.bin
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000001d
Analysis of file "C:\MBR\MBR.bin":
Windows XP MBR code detected
Done!
¤¤¤
explorer.exe -> Processus redémarré
Fin : 15:33:30
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
hello
eh bien, suivre cette procédure : https://forums.commentcamarche.net/forum/affich-21800930-4-worm-autorun-apres-formatage-c-windows-sys?page=2#56
eh bien, suivre cette procédure : https://forums.commentcamarche.net/forum/affich-21800930-4-worm-autorun-apres-formatage-c-windows-sys?page=2#56
