Pc envahi de processus avec l'extension usr
Résolu
doghza
Messages postés
71
Date d'inscription
Statut
Membre
Dernière intervention
-
doghza Messages postés 71 Date d'inscription Statut Membre Dernière intervention -
doghza Messages postés 71 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
a chaque fois que je lance un programme un processus portant le meme nom du programme avec l'extension *usr* se cree s'accompagnant d'un fichier *.usr* a la racine du programme, apres je recois un message d'erreur : *il n'y a pas de disque dans le lecteur*, qui reapparait des que je le ferme, j'ai fait une analyse complete avec malwarebytes et superantispyware, et j' ai un resultat negatif, j'ai desactive la restauration systeme. alors si quelqu'un a une idee je suis preneur, et merci d'avance.
a chaque fois que je lance un programme un processus portant le meme nom du programme avec l'extension *usr* se cree s'accompagnant d'un fichier *.usr* a la racine du programme, apres je recois un message d'erreur : *il n'y a pas de disque dans le lecteur*, qui reapparait des que je le ferme, j'ai fait une analyse complete avec malwarebytes et superantispyware, et j' ai un resultat negatif, j'ai desactive la restauration systeme. alors si quelqu'un a une idee je suis preneur, et merci d'avance.
A voir également:
- Pc envahi de processus avec l'extension usr
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Changer extension fichier - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
111 réponses
Ok c'est fait, et je peut aussi manuellement supprimer *usr_shohdi_photo_usr.exe * et *usr_shohdi_photo_usr.jpg*, ainsi que tout les autres fichiers *usr*. J'ai meme fait une recherche des fichiers *usr* sur le pc et supprimer tous les fichiers suspects, mais le probleme est que des que je lance un exécutable comme pre_scan ou pre_script, bref tout ce qui est*exe*, c'est comme si je n'avait rien fait. autre remarque c'est que le processus même après avoir fermer l'application continue de drainer la mémoire jusqu'à ralentir le pc.
salut g3n, ce programme a vraiment passe le pc au peigne fin, comme le résultat de l'analyse est au format *csv*, le site ci-joint n'accepte pas ce format donc voici les résultats au format *txt*(désole pour le bazar) :
Reah.exe C:\Avalon\Reah Win32.HLLP.Shohdi Désinfecté.
mbam-setup.exe C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware Win32.HLLP.Shohdi Désinfecté.
ccsetup308.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
delfix.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
Pre_scan.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
Pre_Script.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
MDBox TV Client 9 Beta.exe C:\Documents and Settings\amina\Bureau\startimes\MDBox TV Client 9 Beta Win32.HLLP.Shohdi Désinfecté.
Zeb-Restore.exe C:\Documents and Settings\amina\Bureau\ZR_1.0.0.37 Win32.HLLP.Shohdi Désinfecté.
CCleaner.exe C:\Program Files\CCleaner Win32.HLLP.Shohdi Désinfecté.
uninst.exe C:\Program Files\CCleaner Win32.HLLP.Shohdi Désinfecté.
unins000.exe C:\Program Files\Malwarebytes' Anti-Malware Win32.HLLP.Shohdi Désinfecté.
Log Viewer.exe C:\Program Files\Messenger Plus! Live Win32.HLLP.Shohdi Désinfecté.
MPTools.exe C:\Program Files\Messenger Plus! Live Win32.HLLP.Shohdi Désinfecté.
Uninstall.exe C:\Program Files\Messenger Plus! Live Win32.HLLP.Shohdi Désinfecté.
Uninstall.exe C:\Program Files\WinDirStat Win32.HLLP.Shohdi Désinfecté.
windirstat.exe C:\Program Files\WinDirStat Win32.HLLP.Shohdi Désinfecté.
A0000020.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP1 Win32.HLLP.Shohdi Désinfecté.
A0000021.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP1 Win32.HLLP.Shohdi Désinfecté.
A0000027.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP1 Win32.HLLP.Shohdi Désinfecté.
A0000168.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000187.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000191.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000195.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000202.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000260.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000265.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000272.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000280.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000303.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000303.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Trojan.Siggen2.27701 Irréparable.Quarantaine.
A0000304.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000310.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000311.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000312.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000314.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000324.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000326.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000327.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000330.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000510.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
Notepad.exe C:\WINDOWS Win32.HLLP.Shohdi Désinfecté.
A0047093.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0047093.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0048075.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0048075.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0048124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0048124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0049124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0049124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0049145.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLP.Shohdi Désinfecté.
A0049145.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0049161.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLP.Shohdi Désinfecté.
A0049161.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
SoftonicDownloader_pour_samsung-pc-studio.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
SP27213.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
suitesetup.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
vlc_setup_1.1.9.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
CablexDSL.exe E:\Cable & ADSL Optimizer Win32.HLLP.Shohdi Désinfecté.
DisableIPC.exe E:\Cable & ADSL Optimizer Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Cable & ADSL Optimizer Win32.HLLP.Shohdi Désinfecté.
SEAF.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
tdsskiller.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
UsbFix.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
ZHPDiag2.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
install.exe E:\Conspiracies.II.Lethal.Networks-KaOs Win32.HLLP.Shohdi Désinfecté.
7-zip_7-zip_9.20_francais_11161.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
AdobeAIRInstaller.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
ccsetup307.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
Combined-Community-Codec-Pack-2010-10-10.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
cr-hexact.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
DOSBox0.74-win32-installer.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
dotNetFx40_Full_setup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
DTLite4356-0091.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
F.C.S V1.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
flash_movie_player.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
googletalk-setup-fr.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
jxpiinstall.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
K-Lite_Codec_Pack_710_Full.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
KeyFinderInstaller.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
microsoft-net-framework_microsoft_.net_framework_v2.0_sp2_francais_12834.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
MsgPlusLive-490.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
PerfectUninstaller_Setup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
QuickTimeInstaller.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
scummvm-1.2.0-win32.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
supercopier_supercopier_2.2_beta_francais_11010.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
SWFOpenerSetup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
swf_flv_player.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
unhide.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
VDMSound 2.1.0.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
windirstat1_1_2_setup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
DXSETUP.exe E:\Downloads\Directx Win32.HLLP.Shohdi Désinfecté.
dllerrorsfix-patch.exe E:\Downloads\dllerrorsfix Win32.HLLP.Shohdi Désinfecté.
DllErrorsFix.exe E:\Downloads\dllerrorsfix Win32.HLLP.Shohdi Désinfecté.
DllErrorsFix_setup.exe E:\Downloads\dllerrorsfix Win32.HLLP.Shohdi Désinfecté.
idman518.exe E:\Downloads\Internet.Download.Manager.v5.18.5.WinALL.Incl.Keygen.and.Patch-BRD\Setup Win32.HLLP.Shohdi Désinfecté.
TreeSizeFree.exe E:\Downloads\treesizefree Win32.HLLP.Shohdi Désinfecté.
daemon4303-lite.exe E:\Downloads\virtual 98 Win32.HLLP.Shohdi Désinfecté.
virtual-clonedrive_virtual_clonedrive_5.4.5.0_francais_anglais_79406.exe E:\Downloads\virtual 98 Win32.HLLP.Shohdi Désinfecté.
nesterJ.exe E:\MARIO\nj051a_en Win32.HLLP.Shohdi Désinfecté.
Emulator.exe E:\Michael Jackson's Moonwalker Win32.HLLP.Shohdi Désinfecté.
ACID.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
Alcohol.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
Alcohol.exe E:\Program Files\Alcohol Soft\Alcohol 120 Modification de Win32.Sector.21 Quarantaine.
AxCmd.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
uninst.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
AxSrvUACHlper.exe E:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper Win32.HLLP.Shohdi Désinfecté.
UACHlper.exe E:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper Win32.HLLP.Shohdi Désinfecté.
daemon.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
DTLite.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
DTLiteHlp.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
uninst.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
dllerrorsfix-patch.exe E:\Program Files\DllErrorsFix Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\DllErrorsFix Win32.HLLP.Shohdi Désinfecté.
shadow.exe E:\Program Files\Konami\Shadow Of Destiny Win32.HLLP.Shohdi Désinfecté.
shadow.exe E:\Program Files\Konami\Shadow Of Destiny Modification de Win32.Sector.5 Quarantaine.
UNWISE.EXE E:\Program Files\Konami\Shadow Of Destiny Win32.HLLP.Shohdi Désinfecté.
QI.exe E:\Program Files\Micro Application\Tests de QI et Mémoire Win32.HLLP.Shohdi Désinfecté.
dosbox.exe E:\Program Files\Oldgames\Cobra Mission Win32.HLLP.Shohdi Désinfecté.
setup.exe E:\Program Files\Oldgames\program oldies Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\ScummVM Win32.HLLP.Shohdi Désinfecté.
softinfo.exe E:\Program Files\Software Informer Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\Software Informer Win32.HLLP.Shohdi Désinfecté.
undelete_plus.exe E:\Program Files\TouchStoneSoftware\UndeletePlus Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\TouchStoneSoftware\UndeletePlus Win32.HLLP.Shohdi Désinfecté.
uTorrent.exe E:\Program Files\uTorrent Win32.HLLP.Shohdi Désinfecté.
society.exe E:\Program Files\WRF Studios\Last Half of Darkness-Society of the Serpent Moon Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\WRF Studios\Last Half of Darkness-Society of the Serpent Moon Win32.HLLP.Shohdi Désinfecté.
SUPERAntiSpyware Professional.exe E:\SUPERAntiSpyware_Professional_v4.51.1000.Portable Win32.HLLP.Shohdi Désinfecté.
A0001657.exe E:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Modification de Win32.Sector.21 Quarantaine.
A0001668.exe E:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Modification de Win32.Sector.5 Quarantaine.
A0004983.exe E:\System Volume Information\_restore{D4E8B5B3-E45E-4BBB-B943-DD426BFCDFF9}\RP17 Win32.HLLP.Shohdi Désinfecté.
A0005051.exe E:\System Volume Information\_restore{D4E8B5B3-E45E-4BBB-B943-DD426BFCDFF9}\RP17 Win32.HLLP.Shohdi Désinfecté.
tomb4.exe E:\torrents\TOMB RAIDER 4Gold-Fading Light Win32.HLLP.Shohdi Désinfecté.
Xpadder.exe E:\torrents\TOMB RAIDER 4Gold-Fading Light\XPADDER Win32.HLLP.Shohdi Désinfecté.
NB: il n'a pas détecté l'origine de l'infection ou je me trompe?
Reah.exe C:\Avalon\Reah Win32.HLLP.Shohdi Désinfecté.
mbam-setup.exe C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware Win32.HLLP.Shohdi Désinfecté.
ccsetup308.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
delfix.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
Pre_scan.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
Pre_Script.exe C:\Documents and Settings\amina\Bureau Win32.HLLP.Shohdi Désinfecté.
MDBox TV Client 9 Beta.exe C:\Documents and Settings\amina\Bureau\startimes\MDBox TV Client 9 Beta Win32.HLLP.Shohdi Désinfecté.
Zeb-Restore.exe C:\Documents and Settings\amina\Bureau\ZR_1.0.0.37 Win32.HLLP.Shohdi Désinfecté.
CCleaner.exe C:\Program Files\CCleaner Win32.HLLP.Shohdi Désinfecté.
uninst.exe C:\Program Files\CCleaner Win32.HLLP.Shohdi Désinfecté.
unins000.exe C:\Program Files\Malwarebytes' Anti-Malware Win32.HLLP.Shohdi Désinfecté.
Log Viewer.exe C:\Program Files\Messenger Plus! Live Win32.HLLP.Shohdi Désinfecté.
MPTools.exe C:\Program Files\Messenger Plus! Live Win32.HLLP.Shohdi Désinfecté.
Uninstall.exe C:\Program Files\Messenger Plus! Live Win32.HLLP.Shohdi Désinfecté.
Uninstall.exe C:\Program Files\WinDirStat Win32.HLLP.Shohdi Désinfecté.
windirstat.exe C:\Program Files\WinDirStat Win32.HLLP.Shohdi Désinfecté.
A0000020.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP1 Win32.HLLP.Shohdi Désinfecté.
A0000021.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP1 Win32.HLLP.Shohdi Désinfecté.
A0000027.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP1 Win32.HLLP.Shohdi Désinfecté.
A0000168.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000187.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000191.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000195.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000202.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000260.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000265.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000272.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP3 Win32.HLLP.Shohdi Désinfecté.
A0000280.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000303.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000303.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Trojan.Siggen2.27701 Irréparable.Quarantaine.
A0000304.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000310.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000311.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000312.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000314.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000324.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000326.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000327.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000330.exe C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
A0000510.rbf C:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Win32.HLLP.Shohdi Désinfecté.
Notepad.exe C:\WINDOWS Win32.HLLP.Shohdi Désinfecté.
A0047093.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0047093.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0048075.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0048075.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0048124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0048124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0049124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLP.Shohdi Désinfecté.
A0049124.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP230 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0049145.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLP.Shohdi Désinfecté.
A0049145.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
A0049161.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLP.Shohdi Désinfecté.
A0049161.exe D:\System Volume Information\_restore{85F749D5-E5A9-433B-BBF3-801EE73E18F3}\RP231 Win32.HLLW.Autoruner.36431 Irréparable.Quarantaine.
SoftonicDownloader_pour_samsung-pc-studio.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
SP27213.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
suitesetup.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
vlc_setup_1.1.9.exe E:\Amina Win32.HLLP.Shohdi Désinfecté.
CablexDSL.exe E:\Cable & ADSL Optimizer Win32.HLLP.Shohdi Désinfecté.
DisableIPC.exe E:\Cable & ADSL Optimizer Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Cable & ADSL Optimizer Win32.HLLP.Shohdi Désinfecté.
SEAF.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
tdsskiller.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
UsbFix.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
ZHPDiag2.exe E:\casebook3snakeinthegrass\utilitaires scan Win32.HLLP.Shohdi Désinfecté.
install.exe E:\Conspiracies.II.Lethal.Networks-KaOs Win32.HLLP.Shohdi Désinfecté.
7-zip_7-zip_9.20_francais_11161.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
AdobeAIRInstaller.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
ccsetup307.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
Combined-Community-Codec-Pack-2010-10-10.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
cr-hexact.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
DOSBox0.74-win32-installer.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
dotNetFx40_Full_setup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
DTLite4356-0091.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
F.C.S V1.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
flash_movie_player.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
googletalk-setup-fr.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
jxpiinstall.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
K-Lite_Codec_Pack_710_Full.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
KeyFinderInstaller.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
microsoft-net-framework_microsoft_.net_framework_v2.0_sp2_francais_12834.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
MsgPlusLive-490.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
PerfectUninstaller_Setup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
QuickTimeInstaller.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
scummvm-1.2.0-win32.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
supercopier_supercopier_2.2_beta_francais_11010.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
SWFOpenerSetup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
swf_flv_player.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
unhide.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
VDMSound 2.1.0.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
windirstat1_1_2_setup.exe E:\Downloads Win32.HLLP.Shohdi Désinfecté.
DXSETUP.exe E:\Downloads\Directx Win32.HLLP.Shohdi Désinfecté.
dllerrorsfix-patch.exe E:\Downloads\dllerrorsfix Win32.HLLP.Shohdi Désinfecté.
DllErrorsFix.exe E:\Downloads\dllerrorsfix Win32.HLLP.Shohdi Désinfecté.
DllErrorsFix_setup.exe E:\Downloads\dllerrorsfix Win32.HLLP.Shohdi Désinfecté.
idman518.exe E:\Downloads\Internet.Download.Manager.v5.18.5.WinALL.Incl.Keygen.and.Patch-BRD\Setup Win32.HLLP.Shohdi Désinfecté.
TreeSizeFree.exe E:\Downloads\treesizefree Win32.HLLP.Shohdi Désinfecté.
daemon4303-lite.exe E:\Downloads\virtual 98 Win32.HLLP.Shohdi Désinfecté.
virtual-clonedrive_virtual_clonedrive_5.4.5.0_francais_anglais_79406.exe E:\Downloads\virtual 98 Win32.HLLP.Shohdi Désinfecté.
nesterJ.exe E:\MARIO\nj051a_en Win32.HLLP.Shohdi Désinfecté.
Emulator.exe E:\Michael Jackson's Moonwalker Win32.HLLP.Shohdi Désinfecté.
ACID.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
Alcohol.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
Alcohol.exe E:\Program Files\Alcohol Soft\Alcohol 120 Modification de Win32.Sector.21 Quarantaine.
AxCmd.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
uninst.exe E:\Program Files\Alcohol Soft\Alcohol 120 Win32.HLLP.Shohdi Désinfecté.
AxSrvUACHlper.exe E:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper Win32.HLLP.Shohdi Désinfecté.
UACHlper.exe E:\Program Files\Alcohol Soft\Alcohol 120\Plugins\Helper Win32.HLLP.Shohdi Désinfecté.
daemon.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
DTLite.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
DTLiteHlp.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
uninst.exe E:\Program Files\DAEMON Tools Lite Win32.HLLP.Shohdi Désinfecté.
dllerrorsfix-patch.exe E:\Program Files\DllErrorsFix Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\DllErrorsFix Win32.HLLP.Shohdi Désinfecté.
shadow.exe E:\Program Files\Konami\Shadow Of Destiny Win32.HLLP.Shohdi Désinfecté.
shadow.exe E:\Program Files\Konami\Shadow Of Destiny Modification de Win32.Sector.5 Quarantaine.
UNWISE.EXE E:\Program Files\Konami\Shadow Of Destiny Win32.HLLP.Shohdi Désinfecté.
QI.exe E:\Program Files\Micro Application\Tests de QI et Mémoire Win32.HLLP.Shohdi Désinfecté.
dosbox.exe E:\Program Files\Oldgames\Cobra Mission Win32.HLLP.Shohdi Désinfecté.
setup.exe E:\Program Files\Oldgames\program oldies Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\ScummVM Win32.HLLP.Shohdi Désinfecté.
softinfo.exe E:\Program Files\Software Informer Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\Software Informer Win32.HLLP.Shohdi Désinfecté.
undelete_plus.exe E:\Program Files\TouchStoneSoftware\UndeletePlus Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\TouchStoneSoftware\UndeletePlus Win32.HLLP.Shohdi Désinfecté.
uTorrent.exe E:\Program Files\uTorrent Win32.HLLP.Shohdi Désinfecté.
society.exe E:\Program Files\WRF Studios\Last Half of Darkness-Society of the Serpent Moon Win32.HLLP.Shohdi Désinfecté.
unins000.exe E:\Program Files\WRF Studios\Last Half of Darkness-Society of the Serpent Moon Win32.HLLP.Shohdi Désinfecté.
SUPERAntiSpyware Professional.exe E:\SUPERAntiSpyware_Professional_v4.51.1000.Portable Win32.HLLP.Shohdi Désinfecté.
A0001657.exe E:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Modification de Win32.Sector.21 Quarantaine.
A0001668.exe E:\System Volume Information\_restore{1B74CB38-0A9F-4DD4-9C14-89171D78E327}\RP4 Modification de Win32.Sector.5 Quarantaine.
A0004983.exe E:\System Volume Information\_restore{D4E8B5B3-E45E-4BBB-B943-DD426BFCDFF9}\RP17 Win32.HLLP.Shohdi Désinfecté.
A0005051.exe E:\System Volume Information\_restore{D4E8B5B3-E45E-4BBB-B943-DD426BFCDFF9}\RP17 Win32.HLLP.Shohdi Désinfecté.
tomb4.exe E:\torrents\TOMB RAIDER 4Gold-Fading Light Win32.HLLP.Shohdi Désinfecté.
Xpadder.exe E:\torrents\TOMB RAIDER 4Gold-Fading Light\XPADDER Win32.HLLP.Shohdi Désinfecté.
NB: il n'a pas détecté l'origine de l'infection ou je me trompe?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut g3n, on dirait bien qu'on s'en est débarrasse, mais je ne peut rien confirmer pour le moment puisque tout les exécutables désinfectes se sont transformes en raccourci pour *dbpower amp music converter* donc inutilisables pour le moment et en plus le panneau de configuration est toujours absent.
Par contre j'ai réinstallé tomb4 et il marche pour le moment nickel.
pourrais-je récupérer mes fichiers ou dois-je les réinstaller? Et merci pour tout.
Par contre j'ai réinstallé tomb4 et il marche pour le moment nickel.
pourrais-je récupérer mes fichiers ou dois-je les réinstaller? Et merci pour tout.
bonjour, attent le retour de gen , car la j'aimerais bien voir comment le maître va faire , j'ai une petite idée mais je la garde car je voudrais pas te faire faire une manipe qui pourrait géner ou compremettre celle que gen te donnera , donc désolé mais ne fais rien de spécial sur ton pc pour pas en modifier les fondamentales !!
okay, merci jacques, c'est quand même curieux que plusieurs antivirus ne reconnaissent pas ce shohdi, c'est de la programmation de haut niveau, camoufler un virus dans un exécutable de façon sélective je dis chapeau au programmateur.
Hello vous 3 ,
Je suis intéresé par un sample svp ^^
C'est un genre de sality et c'est intéressant :)
Si USR_Shohdi_Photo_USR.exe peut etre recherché par SEAF et trouvé meme en .vir je veux bien sinon un autre file Win32.HLLP.Shohd + les quarantaines ou cas ou :)
Merci à vous
Je suis intéresé par un sample svp ^^
C'est un genre de sality et c'est intéressant :)
Si USR_Shohdi_Photo_USR.exe peut etre recherché par SEAF et trouvé meme en .vir je veux bien sinon un autre file Win32.HLLP.Shohd + les quarantaines ou cas ou :)
Merci à vous
salut a tous, j'ai repassé combofix comme demandé et voici le rapport, mais mes exécutables sont toujours inopérants:
ComboFix 11-07-01.01 - amina 11/07/2011 18:21:35.1.1 - x86
Running from: c:\documents and settings\amina\Bureau\ComboFix2.exe
* Created a new restore point
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Infected copy of c:\windows\Notepad.exe was found and disinfected
Restored copy from - c:\windows\system32\notepad.exe
.
.
((((((((((((((((((((((((( Files Created from 2011-06-11 to 2011-07-11 )))))))))))))))))))))))))))))))
.
.
2011-07-09 21:35 . 2011-07-09 21:35 -------- d-----w- c:\documents and settings\amina\DoctorWeb
2011-07-08 10:19 . 2011-07-08 10:23 -------- d-----w- C:\Kill'em
2011-07-03 18:07 . 2011-07-04 08:26 -------- d-----w- c:\windows\SxsCaPendDel
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Winmine.exe
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Sol.exe
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Scandskw.exe
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Pbrush.exe
2011-07-02 15:01 . 2011-07-02 15:01 -------- d-----w- c:\windows\system32\xircom
2011-07-02 15:01 . 2011-07-02 15:01 -------- d-----w- c:\windows\system32\wbem\snmp
2011-07-02 15:00 . 2011-07-02 15:00 -------- d-----w- c:\program files\microsoft frontpage
2011-06-30 03:11 . 2011-07-03 18:29 -------- d-----w- c:\program files\SEAF
2011-06-26 03:40 . 2011-07-03 18:29 -------- d-----w- c:\program files\ZHPDiag
2011-06-25 21:40 . 2011-07-03 18:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2011-06-23 18:05 . 2011-06-23 18:05 -------- d-----w- c:\documents and settings\Administrateur
2011-06-23 17:55 . 2011-06-23 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2011-06-17 11:43 . 2011-06-17 11:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
2011-06-17 11:33 . 2011-06-17 11:35 -------- d-----w- c:\program files\Messenger Plus! Live
2011-06-11 18:20 . 2011-06-11 18:20 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-28 03:58 . 2004-08-19 15:59 53376 ----a-w- c:\windows\system32\drivers\volsnap.sys
2011-05-26 04:02 . 2011-05-26 04:02 76696 ----a-w- c:\windows\system32\drivers\pxrts.sys
2011-05-18 09:39 . 2011-05-18 09:39 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-17 11:37 . 2011-05-17 11:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-05-17 11:37 . 2011-05-17 11:37 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-05-16 20:59 . 2011-05-16 20:59 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2011-04-14 16:47 . 2011-05-18 10:51 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2007-07-23 . 90671A9A8F189262BE5224C497C2E0C7 . 360704 . . [5.1.2600.3002] . . c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-06-05 273228]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-06-05 357724]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-01-07 46592]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2007-07-23 124928]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, c:\docume~1\amina\APPLIC~1\jypjjabg.dll
.
[HKLM\~\startupfolder\C:^Documents and Settings^amina^Menu Démarrer^Programmes^Démarrage^desktop.ini]
path=c:\documents and settings\amina\Menu Démarrer\Programmes\Démarrage\desktop.ini
backup=c:\windows\pss\desktop.iniStartup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-05-16 691696]
S1 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2011-05-26 76696]
.
.
Contents of the 'Scheduled Tasks' folder
.
2011-06-27 c:\windows\Tasks\DllErrorsFix Schedule.job
- c:\program files\DllErrorsFix\DllErrorsFix.exe [2011-05-16 08:00]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\amina\Application Data\Mozilla\Firefox\Profiles\lyhvwfab.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-11 18:23
Windows 5.1.2600 Service Pack 2 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(212)
c:\windows\system32\wpdshserviceobj.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Completion time: 2011-07-11 18:26:23 - machine was rebooted
ComboFix-quarantined-files.txt 2011-07-11 17:26
.
Pre-Run: 1 113 632 768 octets libres
Post-Run: 1 103 884 288 octets libres
.
- - End Of File - - A5B5CEA193DF29AB6882176B6AD30E63
ComboFix 11-07-01.01 - amina 11/07/2011 18:21:35.1.1 - x86
Running from: c:\documents and settings\amina\Bureau\ComboFix2.exe
* Created a new restore point
.
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Infected copy of c:\windows\Notepad.exe was found and disinfected
Restored copy from - c:\windows\system32\notepad.exe
.
.
((((((((((((((((((((((((( Files Created from 2011-06-11 to 2011-07-11 )))))))))))))))))))))))))))))))
.
.
2011-07-09 21:35 . 2011-07-09 21:35 -------- d-----w- c:\documents and settings\amina\DoctorWeb
2011-07-08 10:19 . 2011-07-08 10:23 -------- d-----w- C:\Kill'em
2011-07-03 18:07 . 2011-07-04 08:26 -------- d-----w- c:\windows\SxsCaPendDel
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Winmine.exe
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Sol.exe
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Scandskw.exe
2011-07-03 18:05 . 2011-07-03 18:05 0 ----a-w- c:\windows\Pbrush.exe
2011-07-02 15:01 . 2011-07-02 15:01 -------- d-----w- c:\windows\system32\xircom
2011-07-02 15:01 . 2011-07-02 15:01 -------- d-----w- c:\windows\system32\wbem\snmp
2011-07-02 15:00 . 2011-07-02 15:00 -------- d-----w- c:\program files\microsoft frontpage
2011-06-30 03:11 . 2011-07-03 18:29 -------- d-----w- c:\program files\SEAF
2011-06-26 03:40 . 2011-07-03 18:29 -------- d-----w- c:\program files\ZHPDiag
2011-06-25 21:40 . 2011-07-03 18:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2011-06-23 18:05 . 2011-06-23 18:05 -------- d-----w- c:\documents and settings\Administrateur
2011-06-23 17:55 . 2011-06-23 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2011-06-17 11:43 . 2011-06-17 11:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
2011-06-17 11:33 . 2011-06-17 11:35 -------- d-----w- c:\program files\Messenger Plus! Live
2011-06-11 18:20 . 2011-06-11 18:20 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-28 03:58 . 2004-08-19 15:59 53376 ----a-w- c:\windows\system32\drivers\volsnap.sys
2011-05-26 04:02 . 2011-05-26 04:02 76696 ----a-w- c:\windows\system32\drivers\pxrts.sys
2011-05-18 09:39 . 2011-05-18 09:39 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-17 11:37 . 2011-05-17 11:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-05-17 11:37 . 2011-05-17 11:37 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-05-16 20:59 . 2011-05-16 20:59 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2011-04-14 16:47 . 2011-05-18 10:51 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2007-07-23 . 90671A9A8F189262BE5224C497C2E0C7 . 360704 . . [5.1.2600.3002] . . c:\windows\system32\drivers\tcpip.sys
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-06-05 273228]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-06-05 357724]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-01-07 46592]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2007-07-23 124928]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, c:\docume~1\amina\APPLIC~1\jypjjabg.dll
.
[HKLM\~\startupfolder\C:^Documents and Settings^amina^Menu Démarrer^Programmes^Démarrage^desktop.ini]
path=c:\documents and settings\amina\Menu Démarrer\Programmes\Démarrage\desktop.ini
backup=c:\windows\pss\desktop.iniStartup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
.
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-05-16 691696]
S1 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2011-05-26 76696]
.
.
Contents of the 'Scheduled Tasks' folder
.
2011-06-27 c:\windows\Tasks\DllErrorsFix Schedule.job
- c:\program files\DllErrorsFix\DllErrorsFix.exe [2011-05-16 08:00]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\amina\Application Data\Mozilla\Firefox\Profiles\lyhvwfab.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-11 18:23
Windows 5.1.2600 Service Pack 2 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(212)
c:\windows\system32\wpdshserviceobj.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Completion time: 2011-07-11 18:26:23 - machine was rebooted
ComboFix-quarantined-files.txt 2011-07-11 17:26
.
Pre-Run: 1 113 632 768 octets libres
Post-Run: 1 103 884 288 octets libres
.
- - End Of File - - A5B5CEA193DF29AB6882176B6AD30E63
et oui ! c'est cette clé qui refout l infection !!
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, c:\docume~1\amina\APPLIC~1\jypjjabg.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, c:\docume~1\amina\APPLIC~1\jypjjabg.dll
non !! car des valeurs doivent y rester
ce fichier est-il encore present ?
c:\documents and settings\amina\Application Data\jypjjabg.dll
ce fichier est-il encore present ?
c:\documents and settings\amina\Application Data\jypjjabg.dll
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape msidgkms.dll
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape msidgkms.dll
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
salut g3n, voici le rapport:
1. a========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 20:47:20 le 11/07/2011
4.
5. Valeur(s) recherchée(s):
6. msidgkms.dll
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Control\SecurityProviders]
21. "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, C:\DOCUME~1\amina\APPLIC~1\jypjjabg.dll" (REG_SZ)
22.
23. [HKLM\System\ControlSet002\Control\SecurityProviders]
24. "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, C:\DOCUME~1\amina\APPLIC~1\jypjjabg.dll" (REG_SZ)
25.
26. [HKLM\System\CurrentControlSet\Control\SecurityProviders]
27. "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, C:\DOCUME~1\amina\APPLIC~1\jypjjabg.dll" (REG_SZ)
28.
29. =========================
30.
31. Fin à: 20:49:41 le 11/07/2011
32. 115621 Eléments analysés
33.
34. =========================
35. E.O.F
1. a========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 20:47:20 le 11/07/2011
4.
5. Valeur(s) recherchée(s):
6. msidgkms.dll
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Control\SecurityProviders]
21. "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, C:\DOCUME~1\amina\APPLIC~1\jypjjabg.dll" (REG_SZ)
22.
23. [HKLM\System\ControlSet002\Control\SecurityProviders]
24. "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, C:\DOCUME~1\amina\APPLIC~1\jypjjabg.dll" (REG_SZ)
25.
26. [HKLM\System\CurrentControlSet\Control\SecurityProviders]
27. "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msidgkms.dll, C:\DOCUME~1\amina\APPLIC~1\jypjjabg.dll" (REG_SZ)
28.
29. =========================
30.
31. Fin à: 20:49:41 le 11/07/2011
32. 115621 Eléments analysés
33.
34. =========================
35. E.O.F
ok on va le faire comme ca :
demarrer/executer puis tape : regedit
le registre va s'ouvrir
déroule avec les petits "+" cette arborescence :
HKLM\System\ControlSet002\Control\SecurityProviders
clic droit sur Securityproviders => exporter => le nom que tu veux => sur le bureau
ensuite :
ferme ton registre
clic droit sur la clé que tu as enregistré sur le bureau => envoyer vers => dossier compressés
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
demarrer/executer puis tape : regedit
le registre va s'ouvrir
déroule avec les petits "+" cette arborescence :
HKLM\System\ControlSet002\Control\SecurityProviders
clic droit sur Securityproviders => exporter => le nom que tu veux => sur le bureau
ensuite :
ferme ton registre
clic droit sur la clé que tu as enregistré sur le bureau => envoyer vers => dossier compressés
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
ok salut
tiens redézippe-là et fusionne-là avec ton registre ensuite redemarre ton pc
https://www.cjoint.com/?AGmpa6kKkFz
tiens redézippe-là et fusionne-là avec ton registre ensuite redemarre ton pc
https://www.cjoint.com/?AGmpa6kKkFz
merci g3n, c'est fait. il reste toujours le probleme du panneau de configuration inoperant et des executables desinfectes(double-clic:aucun resultat, clic droit ouvrir: une fenêtre me demandant quels fichiers je veux convertir).
sinon l'infection semble avoir disparu.
ps: comment extraire un echantillon du virus pour satisfaire a la demande de teamXscript?
sinon l'infection semble avoir disparu.
ps: comment extraire un echantillon du virus pour satisfaire a la demande de teamXscript?