Pc envahi de processus avec l'extension usr
Résolu
doghza
Messages postés
71
Date d'inscription
Statut
Membre
Dernière intervention
-
doghza Messages postés 71 Date d'inscription Statut Membre Dernière intervention -
doghza Messages postés 71 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
a chaque fois que je lance un programme un processus portant le meme nom du programme avec l'extension *usr* se cree s'accompagnant d'un fichier *.usr* a la racine du programme, apres je recois un message d'erreur : *il n'y a pas de disque dans le lecteur*, qui reapparait des que je le ferme, j'ai fait une analyse complete avec malwarebytes et superantispyware, et j' ai un resultat negatif, j'ai desactive la restauration systeme. alors si quelqu'un a une idee je suis preneur, et merci d'avance.
a chaque fois que je lance un programme un processus portant le meme nom du programme avec l'extension *usr* se cree s'accompagnant d'un fichier *.usr* a la racine du programme, apres je recois un message d'erreur : *il n'y a pas de disque dans le lecteur*, qui reapparait des que je le ferme, j'ai fait une analyse complete avec malwarebytes et superantispyware, et j' ai un resultat negatif, j'ai desactive la restauration systeme. alors si quelqu'un a une idee je suis preneur, et merci d'avance.
A voir également:
- Pc envahi de processus avec l'extension usr
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Changer extension fichier - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
111 réponses
salut g3n, j'ai recupere le double-clic mais il donne toujours sur la même fenêtre de conversion et le panneau de configuration toujours hs.
seaf est-il fonctionnel ? fais un recherche de ceci dedans , on s'occupe de recuperer les fichiers pour cedric deja :
shohdi_photo
shohdi_photo
salut a tous, c'est bizarre la recherche n'a rien donné:
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 04:24:30 le 13/07/2011
4.
5. Valeur(s) recherchée(s):
6. shohdi_photo
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 04:25:50 le 13/07/2011
24. 115627 Eléments analysés
25.
26. =========================
27. E.O.F
ps: j'ai même fait une recherche avec *shohdi* seulement, idem résultat négatif.
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 04:24:30 le 13/07/2011
4.
5. Valeur(s) recherchée(s):
6. shohdi_photo
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 04:25:50 le 13/07/2011
24. 115627 Eléments analysés
25.
26. =========================
27. E.O.F
ps: j'ai même fait une recherche avec *shohdi* seulement, idem résultat négatif.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voila le résultat de la recherche:
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 18:40:12 le 13/07/2011
4.
5. Valeur(s) recherchée(s):
6. .usr
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU]
21. "a"="Notepad.usr" (REG_BINARY)
22.
23. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.script\OpenWithList]
24. "a"="Notepad.usr" (REG_SZ)
25.
26. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList]
27. "c"="Notepad.usr" (REG_SZ)
28.
29. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.usr]
30. DA: 10/07/2011 19:20:40
31.
32. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
33. "C:\Program Files\Windows Live\Installer\wlarp.usr"="Windows Live Installer" (REG_SZ)
34.
35. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
36. "C:\Program Files\Malwarebytes' Anti-Malware\mbam.usr"="Malwarebytes' Anti-Malware" (REG_SZ)
37.
38. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
39. "C:\Documents and Settings\amina\Bureau\delfix.usr"="DelFix" (REG_SZ)
40.
41. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
42. "C:\Documents and Settings\amina\Bureau\ccsetup308.usr"="CCleaner Installer" (REG_SZ)
43.
44. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
45. "C:\Program Files\CCleaner\CCleaner.usr"="CCleaner" (REG_SZ)
46.
47. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
48. "C:\WINDOWS\Notepad.usr"="Bloc-notes" (REG_SZ)
49.
50. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Skype\Phone]
51. "SkypePath"="C:\Program Files\Skype\Phone\Skype.usr" (REG_SZ)
52.
53. =========================
54.
55. Fin à: 18:42:40 le 13/07/2011
56. 115588 Eléments analysés
57.
58. =========================
59. E.O.F
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 18:40:12 le 13/07/2011
4.
5. Valeur(s) recherchée(s):
6. .usr
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU]
21. "a"="Notepad.usr" (REG_BINARY)
22.
23. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.script\OpenWithList]
24. "a"="Notepad.usr" (REG_SZ)
25.
26. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList]
27. "c"="Notepad.usr" (REG_SZ)
28.
29. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.usr]
30. DA: 10/07/2011 19:20:40
31.
32. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
33. "C:\Program Files\Windows Live\Installer\wlarp.usr"="Windows Live Installer" (REG_SZ)
34.
35. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
36. "C:\Program Files\Malwarebytes' Anti-Malware\mbam.usr"="Malwarebytes' Anti-Malware" (REG_SZ)
37.
38. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
39. "C:\Documents and Settings\amina\Bureau\delfix.usr"="DelFix" (REG_SZ)
40.
41. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
42. "C:\Documents and Settings\amina\Bureau\ccsetup308.usr"="CCleaner Installer" (REG_SZ)
43.
44. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
45. "C:\Program Files\CCleaner\CCleaner.usr"="CCleaner" (REG_SZ)
46.
47. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
48. "C:\WINDOWS\Notepad.usr"="Bloc-notes" (REG_SZ)
49.
50. [HKU\S-1-5-21-1482476501-1085031214-725345543-1003\Software\Skype\Phone]
51. "SkypePath"="C:\Program Files\Skype\Phone\Skype.usr" (REG_SZ)
52.
53. =========================
54.
55. Fin à: 18:42:40 le 13/07/2011
56. 115588 Eléments analysés
57.
58. =========================
59. E.O.F
salut a tous, toujours aucune idée pour récupérer mes exécutables désinfectés? et merci jacques et g3n pour votre aide.
ne touche à rien et attends que El Desaparecido t'aie contacté pour recuperer l'infection qui lui permettra de mettre à jour son outil qui devrait permettre d'éradiquer cette merd$$
Hello doghza ,
Ca me parrai compromis pour retrouver un fichier mais peut etre la zone de quarantaine de Dr WebCureIt
Relance SEAF , et entre ceci dans la zone de recherche : drweb
Nous recherchons dossiers et fichiers
@+ tard .
Ca me parrai compromis pour retrouver un fichier mais peut etre la zone de quarantaine de Dr WebCureIt
Relance SEAF , et entre ceci dans la zone de recherche : drweb
Nous recherchons dossiers et fichiers
@+ tard .
salut el desap voici le résultat de la recherche:
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 09:02:00 le 14/07/2011
4.
5. Valeur(s) recherchée(s):
6. drweb
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13.
14. "C:\Documents and Settings\amina\Bureau\drweb-cureit.exe" [ ARCHIVE | 70490 Ko ]
15. TC: 09/07/2011,22:29:28 | TM: 09/07/2011,19:16:38 | DA: 14/07/2011,09:01:52
16.
17.
18. =========================
19.
20.
21. "C:\Documents and Settings\amina\Bureau\DrWeb.csv" [ ARCHIVE | 13 Ko ]
22. TC: 10/07/2011,06:07:25 | TM: 10/07/2011,06:07:25 | DA: 11/07/2011,19:40:58
23.
24.
25. =========================
26.
27.
28. "C:\Documents and Settings\amina\Bureau\DrWeb2.csv" [ ARCHIVE | 13 Ko ]
29. TC: 10/07/2011,06:10:03 | TM: 10/07/2011,06:10:03 | DA: 11/07/2011,19:40:58
30.
31.
32. =========================
33.
34.
35. =========================
36.
37. Fin à: 09:02:03 le 14/07/2011
38. 32625 Eléments analysés
39.
40. =========================
41. E.O.F
ps: le fichier de quarantaine contient des fichiers de type alcohol.exe, A???????.exe (?=differents chiffres).
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 09:02:00 le 14/07/2011
4.
5. Valeur(s) recherchée(s):
6. drweb
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13.
14. "C:\Documents and Settings\amina\Bureau\drweb-cureit.exe" [ ARCHIVE | 70490 Ko ]
15. TC: 09/07/2011,22:29:28 | TM: 09/07/2011,19:16:38 | DA: 14/07/2011,09:01:52
16.
17.
18. =========================
19.
20.
21. "C:\Documents and Settings\amina\Bureau\DrWeb.csv" [ ARCHIVE | 13 Ko ]
22. TC: 10/07/2011,06:07:25 | TM: 10/07/2011,06:07:25 | DA: 11/07/2011,19:40:58
23.
24.
25. =========================
26.
27.
28. "C:\Documents and Settings\amina\Bureau\DrWeb2.csv" [ ARCHIVE | 13 Ko ]
29. TC: 10/07/2011,06:10:03 | TM: 10/07/2011,06:10:03 | DA: 11/07/2011,19:40:58
30.
31.
32. =========================
33.
34.
35. =========================
36.
37. Fin à: 09:02:03 le 14/07/2011
38. 32625 Eléments analysés
39.
40. =========================
41. E.O.F
ps: le fichier de quarantaine contient des fichiers de type alcohol.exe, A???????.exe (?=differents chiffres).
c'est quoi virustotal? est-ce un logiciel ou un terme de recherche? je ne comprends pas ce que vous voulez dire.
bonjour, si je peux t'aider un tout petit peu pour virustotal c'est un site qui analyse le fichier que tu leur sélectionne sur ton pc afin de savoir si il est pas contaminé ou infectieux je te mets la procédure détaillé cela sear surement plus claire !!
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : Seaf.exe
double clique dessus pour le sélectionner
Clique sur envoyer le lien.( Send file )
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : Seaf.exe
double clique dessus pour le sélectionner
Clique sur envoyer le lien.( Send file )
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
merci jacques, et désolé de vous contredire mais j'ai trouvé plus facile de poster le lien du résultat, a vous de jouer maintenant les gars car cette étape m'échappe complétement. voici le lien:
http://www.virustotal.com/file-scan/report.html?id=3179b2b7df086550d41f3ad8b0860168627d277e28bdf99a1da6163b26e390e1-1310678391
http://www.virustotal.com/file-scan/report.html?id=3179b2b7df086550d41f3ad8b0860168627d277e28bdf99a1da6163b26e390e1-1310678391
affirmatif, est-il encore possible de tirer un sample du fichier de quarantaine pour teamxscript ou dois-je le supprimer? et pourrais-je espérer la récupération de mes logiciels? sur ce je vous dis a toute.
salut alors j'ai un peu relu il y a deux endroits où on peut retrouver le fichier
c:\windows\usr_shohdi_photo_usr.exe
dans la qurantaine de zhpfix
dans la quarantaine d'OTM
c:\windows\usr_shohdi_photo_usr.exe
dans la qurantaine de zhpfix
dans la quarantaine d'OTM
bonjour, pouvez vous l'extraire d'un fichier infecté? si c'est le cas je croit que j'ai gravé un DVD de sauvegarde avec surement quelques logiciels qui étaient infectés.
Bonjours vous 2 ,
doghza ,
je croit que j'ai gravé un DVD de sauvegarde avec surement quelques logiciels qui étaient infectés
Bah déja je tiens à te remercier de chercher une solution pour me fournir un fichier infecté pour test c'est super sympa de ta part , faudrai plus de gens comme toi qui comprenne que c'est important pour nous et pour eux ;)
Donc oui pour le cd :)
Regarde dans ce cd si tu as :
C:\WINDOWS\USR_Shohdi_Photo_USR.exe
Les fichiers .exe des dossiers :
C:\Program Files\Messenger Plus! Live
C:\Program Files\WinDirStat
Si t'as ça ; zippe les sans les éxécuter et envoi les dans le dossier "submit your sample" ici : http://www.teamxscript.org/Upload.php
Si le zip est trop gros , envoi les sur ci-joint .
#########
Sinon j'ai vu que Dr WebCureIt a désinfecter le disque fixe E:\ mais j'ai vu aussi qu'il y a une clé usb qui traine : I:\
C'est une clé de 2 giga qui appartient à ta soeur à priori :
I:\ -> Disque amovible # 2 Go (320 Mo libre(s) - 17%) [AMINA] # FAT32
Cette clé est surement infecté aussi par le meme "worm|virus" .
Il faudrait la scanner avec ton Anti -Virus , et si résultat positif , extraire ces fichiers de la zone de qurantaine de ton antivirus et me faire parvenir ces fichiers également :)
Si t'as besoin de conseil pour cette étapes ont est là ;)
Merci à toi en tout cas :)
doghza ,
je croit que j'ai gravé un DVD de sauvegarde avec surement quelques logiciels qui étaient infectés
Bah déja je tiens à te remercier de chercher une solution pour me fournir un fichier infecté pour test c'est super sympa de ta part , faudrai plus de gens comme toi qui comprenne que c'est important pour nous et pour eux ;)
Donc oui pour le cd :)
Regarde dans ce cd si tu as :
C:\WINDOWS\USR_Shohdi_Photo_USR.exe
Les fichiers .exe des dossiers :
C:\Program Files\Messenger Plus! Live
C:\Program Files\WinDirStat
Si t'as ça ; zippe les sans les éxécuter et envoi les dans le dossier "submit your sample" ici : http://www.teamxscript.org/Upload.php
Si le zip est trop gros , envoi les sur ci-joint .
#########
Sinon j'ai vu que Dr WebCureIt a désinfecter le disque fixe E:\ mais j'ai vu aussi qu'il y a une clé usb qui traine : I:\
C'est une clé de 2 giga qui appartient à ta soeur à priori :
I:\ -> Disque amovible # 2 Go (320 Mo libre(s) - 17%) [AMINA] # FAT32
Cette clé est surement infecté aussi par le meme "worm|virus" .
Il faudrait la scanner avec ton Anti -Virus , et si résultat positif , extraire ces fichiers de la zone de qurantaine de ton antivirus et me faire parvenir ces fichiers également :)
Si t'as besoin de conseil pour cette étapes ont est là ;)
Merci à toi en tout cas :)