infecte par autorun.inf

Question

Bonjour, 

depuis quelques jours je suis infecté par un trojan coriace j'ai beau essayer les tutoriels mis en résolu mais rien n'y fait !!

j'aurais besoin d'aide

merci d'avance si un crack pouvais me sortir de ce bourbier

merci



Configuration: Windows XP / Firefox 4.0.1

gen-hackman · Accepted Answer

je sais pas a quoi tu joues je ne comprends absolument pas ce que tu fais

je te demande combofix et tu me renvoie pre_scan...

gen-hackman · Answer

salut qui te dit ca antivir ?

gen-hackman · Answer

on va quand meme faire une verif :

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

gen-hackman · Answer

ceci me pousse à chercher plus en profondeur

C:\1.bat 

====================================

&#9654 Télécharge DelFix sur ton bureau.

&#9654 Lance le, tape suppression puis valide 

Patiente pendant le scan jusqu'à l'ouverture du rapport.

&#9654 Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

============================

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

gen-hackman · Answer

tu peux recommencer t'as pas suivi la config

gen-hackman · Answer

Vire Spyware Terminator

===========================================


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-22132263-infecte-par-autorun-inf#31

gen-hackman · Answer

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

==========================================


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

gen-hackman · Answer

fais ceci avant : 

selectionne ce texte sans les lignes : 
___________________________________________________ 
file:: 
D:\Documents and Settings\All Users\Application Data\dyaniilw.kxq             

folder:: 
D:\Documents and Settings
ico\Application Data\11d40978cf0893f8e979466f87044aff-i686.cache-2       
D:\Documents and Settings
ico\Application Data\57BA.B01  
D:\Documents and Settings\All Users\Application Data\aGa06511nAhCe06511    
D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy                                     
___________________________________________________ 

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail    
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

gen-hackman · Answer

bon allez hop /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

nicodetoulouse · Answer

je n'avais pas encore ta réponse j'ai suivi dans l'ordre de ce qui apparaissait sur le forum !?

vraiment j'ai pas bu juré ^^

nicodetoulouse · Answer

ComboFix 11-05-18.04 - nico 19/05/2011  20:50:13.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.3326.2473 [GMT 2:00]
Lancé depuis: d:\documents and settings
ico\Bureau
ico.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-19 au 2011-05-19  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-19 09:38 . 2011-05-19 09:38	--------	d-----w-	D:\Kill'em
2011-05-19 06:20 . 2011-05-19 06:20	--------	d-----w-	d:\program files\Ad-Remover
2011-05-18 13:59 . 2011-05-18 14:20	--------	d-----w-	D:\UsbFix
2011-05-07 07:46 . 2011-05-07 07:46	89048	----a-w-	d:\program files\Mozilla Firefox\libEGL.dll
2011-05-07 07:46 . 2011-05-07 07:46	781272	----a-w-	d:\program files\Mozilla Firefox\mozsqlite3.dll
2011-05-07 07:46 . 2011-05-07 07:46	465880	----a-w-	d:\program files\Mozilla Firefox\libGLESv2.dll
2011-05-07 07:46 . 2011-05-07 07:46	1874904	----a-w-	d:\program files\Mozilla Firefox\mozjs.dll
2011-05-07 07:46 . 2011-05-07 07:46	15832	----a-w-	d:\program files\Mozilla Firefox\mozalloc.dll
2011-05-07 07:46 . 2011-05-07 07:46	1974616	----a-w-	d:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-05-07 07:46 . 2011-05-07 07:46	1892184	----a-w-	d:\program files\Mozilla Firefox\d3dx9_42.dll
2011-05-07 07:46 . 2011-05-07 07:46	142296	----a-w-	d:\program files\Mozilla Firefox\components\browsercomps.dll
2011-05-03 07:53 . 2011-05-03 07:53	413696	----a-w-	d:\windows\system32\wrap_oal.dll
2011-05-03 07:53 . 2011-05-03 07:53	110592	----a-w-	d:\windows\system32\OpenAL32.dll
2011-04-29 12:59 . 2011-04-29 12:59	--------	d-----w-	d:\documents and settings
ico\Local Settings\Application Data\AliensVsPredator
2011-04-29 12:14 . 2011-05-15 12:40	--------	d-----w-	d:\program files\Aliens Vs Predator
2011-04-29 10:59 . 2008-07-11 00:28	50200	----a-w-	d:\windows\system32\perf-SQLAgent$SQLEXPRESS-sqlagtctr10.0.1600.22.dll
2011-04-29 10:59 . 2008-07-11 00:28	79896	----a-w-	d:\windows\system32\perf-MSSQL$SQLEXPRESS-sqlctr10.0.1600.22.dll
2011-04-29 10:58 . 2011-04-29 10:58	--------	d-----w-	d:\windows\system32\RsFx
2011-04-29 10:29 . 2011-04-29 10:58	--------	d-----w-	d:\program files\Microsoft SQL Server
2011-04-29 10:29 . 2011-04-29 10:29	113280	----a-w-	d:\documents and settings\All Users\Application Data\Microsoft\VCExpress\9.0\1036\ResourceCache.dll
2011-04-29 10:28 . 2011-04-29 10:28	416	----a-w-	d:\documents and settings\All Users\Application Data\Microsoft\MSDN\9.0\1036\ResourceCache.dll
2011-04-29 10:26 . 2011-04-29 10:28	--------	d-----w-	d:\program files\Microsoft Visual Studio 9.0
2011-04-29 10:26 . 2011-04-29 10:27	--------	d-----w-	d:\program files\Fichiers communs\Merge Modules
2011-04-29 10:25 . 2011-04-29 10:25	--------	d-----w-	d:\program files\Microsoft SDKs
2011-04-28 10:15 . 2010-06-02 02:55	74072	----a-w-	d:\windows\system32\XAPOFX1_5.dll
2011-04-28 10:15 . 2010-06-02 02:55	527192	----a-w-	d:\windows\system32\XAudio2_7.dll
2011-04-28 10:15 . 2010-06-02 02:55	239960	----a-w-	d:\windows\system32\xactengine3_7.dll
2011-04-28 10:15 . 2010-05-26 09:41	2106216	----a-w-	d:\windows\system32\D3DCompiler_43.dll
2011-04-28 10:15 . 2010-05-26 09:41	1868128	----a-w-	d:\windows\system32\d3dcsx_43.dll
2011-04-28 10:15 . 2010-05-26 09:41	470880	----a-w-	d:\windows\system32\d3dx10_43.dll
2011-04-28 10:15 . 2010-05-26 09:41	248672	----a-w-	d:\windows\system32\d3dx11_43.dll
2011-04-28 10:15 . 2010-05-26 09:41	1998168	----a-w-	d:\windows\system32\D3DX9_43.dll
2011-04-28 10:15 . 2010-02-04 08:01	74072	----a-w-	d:\windows\system32\XAPOFX1_4.dll
2011-04-28 10:15 . 2010-02-04 08:01	528216	----a-w-	d:\windows\system32\XAudio2_6.dll
2011-04-28 10:15 . 2010-02-04 08:01	238936	----a-w-	d:\windows\system32\xactengine3_6.dll
2011-04-28 10:15 . 2010-02-04 08:01	22360	----a-w-	d:\windows\system32\X3DAudio1_7.dll
2011-04-27 21:24 . 2011-04-27 21:24	--------	d-----w-	d:\windows\95FC26FB19FD4A96BBB1B1062E8648F5.TMP
2011-04-21 11:04 . 2011-04-21 11:04	--------	d-----w-	d:\program files\Codemasters
2011-04-20 13:55 . 2011-04-20 13:55	218688	----a-w-	d:\windows\system32\drivers\dtsoftbus01.sys
2011-04-20 13:54 . 2011-04-20 13:55	--------	d-----w-	d:\documents and settings
ico\Application Data\DAEMON Tools Lite
2011-04-20 13:54 . 2011-04-20 13:54	--------	d-----w-	d:\documents and settings\All Users\Application Data\DAEMON Tools Lite
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-19 16:58 . 2008-11-10 08:45	16608	----a-w-	d:\windows\gdrv.sys
2011-04-01 18:57 . 2010-07-19 18:47	137656	----a-w-	d:\windows\system32\drivers\avipbb.sys
2008-11-10 19:20 . 2008-11-10 19:20	278528	----a-w-	d:\program files\Fichiers communs\FDEUnInstaller.exe
2011-05-07 07:46 . 2011-05-07 07:46	142296	----a-w-	d:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sha-r-	d:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sha-r-	d:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sha-r-	d:\windows\system32
bDX.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2010-07-19 16:32	165184	----a-w-	d:\program files\SFR\Kit\SFRNavErrorHelper.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-06-10 11:29	97064	----a-w-	d:\program files\Nero\Nero8\InCD\NBHShx.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Connexion SFR 9props.exe"="d:\program files\SFR\Kit\9props.exe" [2010-07-19 976192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="d:\windows\system32	scupgrd.exe" [2004-08-05 44544]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sprestrt
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST]
m'|\ü [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10	35696	----a-w-	d:\program files\Adobe\Reader 9.0\Readereader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43	69632	----a-r-	d:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2008-10-23 18:34	1336560	----a-w-	d:\program files\CCleaner\CCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneVI]
2007-07-26 13:05	20480	----a-w-	d:\program files\GIGABYTE\ET6\ETcall.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08	417792	----a-w-	d:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recordpad]
2010-03-27 09:36	913412	----a-w-	d:\program files\NCH Swift Sound\Recordpadecordpad.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-05-07 07:39	16862208	----a-r-	d:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-09 20:22	149280	----a-w-	d:\program files\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
2008-07-17 02:10	208896	----a-r-	d:\windows\system32\WinSys2.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\Program Files\Ubisoft\Far Cry 2\bin\FarCry2.exe"=
"d:\Program Files\Ubisoft\Far Cry 2\bin\FC2Launcher.exe"=
"d:\Program Files\Ubisoft\Far Cry 2\bin\FC2Editor.exe"=
"d:\WINDOWS\system32\PnkBstrA.exe"=
"d:\WINDOWS\system32\PnkBstrB.exe"=
"d:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"=
"d:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"=
"d:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=
"d:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"d:\Program Files\Electronic Arts\EADM\Core.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"d:\Program Files\GIGABYTE\EnergySaver\run.exe"=
"d:\Program Files\Mozilla Firefox\firefox.exe"=
"d:\WINDOWS\system32\sessmgr.exe"=
"d:\Program Files\Steam\SteamApps\common\batman arkham asylum - demo\Binaries\ShippingPC-BmGame.exe"=
"d:\Program Files\Steam\SteamApps\common\left 4 dead 2 demo\left4dead2.exe"=
"d:\Program Files\eMule\emule.exe"=
"d:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe"=
"d:\Program Files\CAPCOM\RESIDENT EVIL 5\RE5DX9.EXE"=
"d:\Program Files\Steam\SteamApps\common\call of duty modern warfare 2\iw4sp.exe"=
"d:\Program Files\Steam\SteamApps\common\call of duty modern warfare 2\iw4mp.exe"=
"d:\Program Files\Steam\SteamApps\common\nation red demo\NationRed.exe"=
"d:\Program Files\Google\Google Earth\client\googleearth.exe"=
"%windir%\system32\sessmgr.exe"=
"d:\Program Files\Codemasters\Damnation\Binaries\DamnGame.exe"=
"d:\Program Files\Steam\SteamApps\mamadi31\counter-strike source\hl2.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:WARCRAFTTCP
"6112:UDP"= 6112:UDP:WARCRAFTUDP
.
R0 xmasscsi;xmasscsi;d:\windows\system32\drivers\xmasscsi.sys [06/12/2008 16:46 5248]
R1 is-P3PFUdrv;is-P3PFUdrv;d:\windows\system32\drivers\90001970.sys [14/10/2009 12:49 148496]
R1 prodrv04;Star Force copy protection driver v4;d:\windows\system32\drivers\prodrv04.sys [03/01/2010 19:10 114496]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;d:\program files\Avira\AntiVir Desktop\sched.exe [19/07/2010 20:47 136360]
R2 GEST Service;GEST Service for program management.;d:\program files\GIGABYTE\EnergySaver\GSvr.exe [10/11/2008 10:45 80392]
R2 NeroRegInCDSrv;Nero Registry InCD Service;d:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [10/06/2008 13:29 53032]
R3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;d:\windows\system32\drivers\dtsoftbus01.sys [20/04/2011 15:55 218688]
R3 nvoclock;NVIDIA Enthusiasts Platform KDM;d:\windows\system32\drivers
voclock.sys [09/03/2009 12:25 38304]
S0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [24/11/2008 10:59 717296]
S1 anf0100.sys;anf0100.sys;\??\d:\windows\system32\drivers\anf0100.sys --> d:\windows\system32\drivers\anf0100.sys [?]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;d:\windows\system32\Drivers\avgldx86.sys --> d:\windows\system32\Drivers\avgldx86.sys [?]
S1 AvgTdiX;AVG Free Network Redirector;d:\windows\system32\Drivers\avgtdix.sys --> d:\windows\system32\Drivers\avgtdix.sys [?]
S2 gupdate1ca046a6f826e06;Service Google Update (gupdate1ca046a6f826e06);d:\program files\Google\Update\GoogleUpdate.exe [14/07/2009 12:04 133104]
S3 gupdatem;Service Google Update (gupdatem);d:\program files\Google\Update\GoogleUpdate.exe [14/07/2009 12:04 133104]
S3 ProtoWall;ProtoWall Network Service;d:\windows\system32\DRIVERS\ProtoWall.sys --> d:\windows\system32\DRIVERS\ProtoWall.sys [?]
S3 ute0ndaw;AVZ Kernel Driver;d:\windows\system32\drivers\ute0ndaw.sys [14/10/2009 16:42 7168]
S4 MSSQLServerADHelper100;Service SQL Active Directory Helper;d:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11/07/2008 02:28 47128]
S4 RsFx0102;RsFx0102 Driver;d:\windows\system32\drivers\RsFx0102.sys [10/07/2008 02:49 242712]
S4 SQLAgent$SQLEXPRESS;Agent SQL Server (SQLEXPRESS);d:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11/07/2008 02:28 369688]
S4 xmasbus;xmasbus;d:\windows\system32\drivers\xmasbus.sys [06/12/2008 16:46 140800]
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-19 d:\windows\Tasks\GoogleUpdateTaskMachineCore1cb6d4799c7eab4.job
- d:\program files\Google\Update\GoogleUpdate.exe [2009-07-14 10:04]
.
2011-05-19 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2009-07-14 10:04]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = 0 (0x0)
IE: E&xporter vers Microsoft Excel - d:\progra~1\Microsoft Office\Office12\EXCEL.EXE/3000
FF - ProfilePath - d:\documents and settings
ico\Application Data\Mozilla\Firefox\Profiles\9y6o6g76.default\
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=08f8b730000000000000001fd026b688&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18026&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-19 20:54
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HDT722516DLA380 rev.V43OA96A -> Harddisk2\DR2 -> \Device\Ide\IdeDeviceP3T1L0-19 
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!! 
sectors 321670845 (+255): user != kernel
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1801674531-329068152-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:57,a1,36,87,7a,18,af,b3,5b,7e,6e,8d,ce,b4,b5,9a,1f,38,0e,e2,17,40,4f,
   60,b1,9b,d2,05,56,a8,c5,c3,cc,0b,dd,f0,ab,87,cd,9e,2a,61,a4,5c,e3,7d,f7,f7,\
"??"=hex:4a,59,7a,da,60,12,a0,b9,16,36,9b,cb,13,e3,e9,29
.
[HKEY_USERS\S-1-5-21-1801674531-329068152-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:a3,85,b0,2b,04,66,fb,4c,47,27,4e,b8,a3,a4,20,7a,5f,c7,b5,4b,d7,
   82,ca,3f,6a,d5,1e,63,36,8c,4c,29,c3,79,9d,22,ec,58,4f,88,c6,95,76,00,77,ae,\
"rkeysecu"=hex:0e,70,b8,86,5b,91,7e,00,cd,de,f2,cf,1c,fb,bc,4d
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="d:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(30416)
d:\program files\Nero\Nero8\InCD\NBHShx.dll
d:\program files\Nero\Nero8\InCD\NBHStr.dll
d:\program files\Fichiers communs\Nero\Shared\NL3\AdvrCntr3.dll
d:\windows\system32\msi.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2011-05-19  20:56:40
ComboFix-quarantined-files.txt  2011-05-19 18:56
.
Avant-CF: 42 257 022 976 octets libres
Après-CF: 42 237 108 224 octets libres
.
Current=9 Default=9 Failed=0 LastKnownGood=11 Sets=1,2,3,4,5,6,7,8,9,10,11
- - End Of File - - D8D512B4C844C14936DC1578D9979F55

gen-hackman · Answer

n'empeche que je devrais pas t'aider avec ton windows version pirate ! __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Rootkit:: d:\windows\system32\drivers\90001970.sys d:\windows\system32\drivers\ute0ndaw.sys Folder:: d:\windows\95FC26FB19FD4A96BBB1B1062E8648F5.TMP Registry:: [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] "BootExecute"=REG_MULTI_SZ:autocheck autochk* Driver:: is-P3PFUdrv ute0ndaw DDS:: uInternet Settings,ProxyOverride = 0 (0x0) Firefox:: FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon) FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=08f8b730000000000000001fd026b688&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18026&q= RegLock:: [HKEY_USERS\S-1-5-21-1801674531-329068152-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY] [HKEY_USERS\S-1-5-21-1801674531-329068152-839522115-1003\Software\SecuROM\License information] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] MBR:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal : Virus Total clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) : d:\windows\system32\WinSys2.exe * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse. ========================================= __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

gen-hackman · Answer

clic sur reanalyze

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: d:\windows\system32\WinSys2.exe Registry:: [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute=REG_MULTI_SZ:autocheck autochk* [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2] Firefox:: FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=08f8b730000000000000001fd026b688&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18026&q= MBR:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

gen-hackman · Answer

bonjour

demarrer/executer puis tape regedit

devloppe avec les petits "+" et "-" jusqu'à cette clé :

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager

clic gauche sur "session manager"

colonne de droite :

double clique sur : BootExecute


change la valeur :

autocheck autochk *\0sprestrt 

par 

autocheck autochk*

valide , ferme regedit ,  redemarre l'ordi

gen-hackman · Answer

ok ton pc demarre-t-il comme il le faut ? fais moi un topo des soucis restants

nicodetoulouse · Answer

Bonjour,

hier soir il démarrait correctement, il me reste à virer le win pouri

tu ne m'a pas dit si le virus était dégagé et si il fallait que je désinfecte les disques durs externes qui ont tous un dossier autorun.inf donc vérolés si j'ai bien compris

merci pour ton aide

si je peu t'être utile, que tu a besoin de dormir sur toulouse par ex sans aucune arrière pensée pour te remercier

Nicodetoulouse

gen-hackman · Answer

regarde plus haut :)      :

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

nicodetoulouse · Answer

gen,

Windows ne se ferme plus en cliquant il faut le faire manuellement

j'ai vacciné mais avant j'ai fait suppression c'est pas grave j'espère 
je suis allé trop vite

merci

gen-hackman · Answer

destresse

pour éviter les alertes @ autorun.inf , il suffit de désactiver le bloquage par Antivir:
Configuration > cocher mode expert > Guard > recherche > actions si resultat positif et décocher la case bloquer la fonction d'autodémarrage.

gen-hackman · Answer

salut tu surfes pas un peu n'importe où toi ?

à lire ton rapport combofix

n'utilise pas d'outils sans que je ne te le demandes sinon tu vas te debrouiller seul je ne veux pas etre responsable du plantage de ta machine à cause des outils

gen-hackman · Answer

hello

j'ai du virer un virus sur un debrideur video bb 

dis m'en plus sur le virus  (pas sur le debrideur)

gen-hackman · Answer

formate et refais ton pc au propre

Infecte par autorun.inf

25 réponses

Votre réponse

Discussions similaires

Newsletters