Disque dur externe infecté

Mimi9 -  
 g3n-h@ckm@n -
Bonjour,

Je ne m'y connais pas du tout en informatique donc j'espère qu'il y aura une bonne âme pour m'aider.

Avant de formater mon PC pour installer windows 7 j'ai sauvegardé toutes mes données importantes sur un disque dur externe . Maintenant lorsque je branche ce disque dur et que je fais un scan avec mon anti virus (Avast), celui-ci détecte plus de 500 fichiers infectés et m'indique 2 types de menaces: Win32:YahLover-D [Wrm] et AutoIt:AutoRun-B2 [Wrm]. J'ai également installé USBFIX et effectué une recherche puis une suppression de ces virus mais rien n'y fait!

J'aimerais donc savoir s'il est possible de supprimer ces virus tout en gardant mes fichiers intacts.

Merci d'avance!

31 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    telecharge ici : Load_klwk

    Desactive tes protections

    lance-le , clique sur lancer le nettoyage

    l'outil téléchargera automatiquement sa derniere version

    puis il se lancera

    à la fin klwk.txt se mettra sur ton bureau

    colle son contenu dans ta réponse.
    0
    1. mimi9301 Messages postés 16 Statut Membre
       
      salut!
      Merci pour ta réponse!
      J'ai fait exactement ce que tu m'as dit mais le logiciel ne semble trouver aucun virus! Je me trompe peut-être mais j'ai l'impression qu'il n'a scanné que le disque dur de mon PC portable et non mon disque dur externe


      KLWK.COM utility scan started 23/6/2011 0:0.
      -----------------------------------------------

      Scanning registry:
      Scanning memory:

      modules :2638
      infected :0
      disinfected :0
      will be disinfected after reboot :0
      deleted :0
      will be deleted after reboot :0

      Nothing to clean.
      scan finished 23/6/2011 0:1.



      Mais lorsque je fais un scan avec USBFIX, j'ai ce rapport-ci:

      ############################## | UsbFix 7.048 | [Recherche]

      Utilisateur: Mimi (Administrateur) # MIMI-PC [Hewlett-Packard HP Pavilion dv6 Notebook PC]
      Mis à jour le 11/06/2011 par TeamXscript
      Lancé à 00:04:34 | 23/06/2011
      Site Web: http://www.teamxscript.org
      Submit your sample: http://www.teamxscript.org/Upload.php
      Contact: TeamXscript.ElDesaparecido@gmail.com

      CPU: Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz
      CPU 2: Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz
      Microsoft Windows 7 Professionnel (6.1.7600 32-Bit) #
      Internet Explorer 8.0.7600.16385

      Pare-feu Windows: Activé
      RAM -> 3069 Mo
      C:\ (%systemdrive%) -> Disque fixe # 288 Go (273 Go libre(s) - 95%) [] # NTFS
      E:\ -> CD-ROM
      G:\ -> Disque amovible # 28 Go (3 Go libre(s) - 11%) [A605] # FAT32

      ################## | Éléments infectieux |

      Présent! C:\Users\Mimi\AppData\Local\Temp\pv.exe

      ################## | Registre |


      ################## | Mountpoints2 |


      ################## | Vaccin |

      C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
      G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

      ################## | E.O.F |
      0
  2. g3n-h@ckm@n
     
    ok hello

    il fait que 30 Go ton DDE ?
    0
    1. mimi9301 Messages postés 16 Statut Membre
       
      Oui, en fait c'est un lecteur multimédia ARCHOS. Je m'en sert comme disque dur externe
      0
  3. g3n-h@ckm@n
     
    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

    selectionne tous les disques

    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

    ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    0
  4. mimi9301 Messages postés 16 Statut Membre
     
    Bonsoir,

    Désolée d'avoir mis autant de temps à répondre. Lors du scan complet je n'ai pas pu effectuer l'étape suivante:

    ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.

    Voici le lien que j'ai obtenu: http://www.cijoint.fr/cjlink.php?file=cj201106/cijY5RJHfM.zip
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ok avast fait toujours le malin ?
    0
  7. mimi9301 Messages postés 16 Statut Membre
     
    Cette fois quand je lance un scan avec avast il ne me détecte plus aucune virus sur mon archos. J'y comprends plus rien...
    0
  8. mimi9301 Messages postés 16 Statut Membre
     
    C'est sûr??? Cool! Merci beaucoup! :)
    0
  9. g3n-h@ckm@n
     
    ok fais la suppression avec usbfix , ca vaccinera au passage
    0
  10. mimi9301 Messages postés 16 Statut Membre
     
    USBFIX ne fonctionne plus! Lorsque je veux le lancer j'ai un message "AutoIt error"! Est-ce que je peux vacciner avec un autre programme??
    0
  11. g3n-h@ckm@n
     
    y'a que AutoIt error comme message ? aucune precision de plus ?
    0
  12. mimi9301 Messages postés 16 Statut Membre
     
    Y'a marqué AutoIt Error
    Line 2021 (file "C:\UsbFix\UsbFix.exe"):
    Error:Variable must be of type "Object".
    0
  13. g3n-h@ckm@n
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  14. mimi9301 Messages postés 16 Statut Membre
     
    Voici:

    http://www.cijoint.fr/cjlink.php?file=cj201106/cij0pbKZ6d.txt
    0
  15. g3n-h@ckm@n
     
    fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    processes::
    pctuto.exe
    autoupdater.exe

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pctuto"=-
    [-HKCU\Software\Agence-Exclusive]
    [-HKCU\Software\Agence-Exclusive]

    file::
    C:\Documents and Settings\All Users\Application Data\7568fb04v5u7f85b7se5bk6276rci875
    C:\Documents and Settings\régis\Local Settings\Application Data\7568fb04v5u7f85b7se5bk6276rci875
    C:\Documents and Settings\régis\Local Settings\Application Data\xbmwasc.dat

    folder::
    C:\Program Files\Agence-Exclusive
    C:\Users\Mimi\AppData\Roaming\Agence-Exclusive
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pctuto
    C:\Users\Mimi\AppData\Roaming\Agence-Exclusive
    C:\Users\Mimi\AppData\Local\Agence-Exclusive
    C:\Program Files\pctuto

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  16. mimi9301 Messages postés 16 Statut Membre
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : Mimi (Administrateurs)
    Ordinateur : MIMI-PC
    Système d'exploitation : Windows 7 Professional (32 bits)
    Internet Explorer : 8.0.7600.16385
    Mozilla Firefox : 4.0.1 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 21:03:19

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    switchs :

    processes::
    pctuto.exe
    autoupdater.exe

    file::
    C:\Documents and Settings\All Users\Application Data\7568fb04v5u7f85b7se5bk6276rci875
    C:\Documents and Settings\régis\Local Settings\Application Data\7568fb04v5u7f85b7se5bk6276rci875
    C:\Documents and Settings\régis\Local Settings\Application Data\xbmwasc.dat

    folder::
    C:\Program Files\Agence-Exclusive
    C:\Users\Mimi\AppData\Roaming\Agence-Exclusive
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pctuto
    C:\Users\Mimi\AppData\Roaming\Agence-Exclusive
    C:\Users\Mimi\AppData\Local\Agence-Exclusive
    C:\Program Files\pctuto

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pctuto"=-
    [-HKCU\Software\Agence-Exclusive]
    [-HKCU\Software\Agence-Exclusive]

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Processus: pctuto.exe Non stoppé
    Processus: autoupdater.exe Non stoppé

    ¤

    Modification du registre effectuéé

    ¤

    Absent : C:\Documents and Settings\All Users\Application Data\7568fb04v5u7f85b7se5bk6276rci875
    Absent : C:\Documents and Settings\régis\Local Settings\Application Data\7568fb04v5u7f85b7se5bk6276rci875
    Absent : C:\Documents and Settings\régis\Local Settings\Application Data\xbmwasc.dat

    ¤

    Supprimé : C:\Program Files\Agence-Exclusive
    Supprimé : C:\Users\Mimi\AppData\Roaming\Agence-Exclusive
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pctuto
    Absent : C:\Users\Mimi\AppData\Roaming\Agence-Exclusive
    Supprimé : C:\Users\Mimi\AppData\Local\Agence-Exclusive
    Supprimé : C:\Program Files\pctuto

    ¤

    explorer.exe -> Processus redémarré

    Fin : 21:03:19

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  17. g3n-h@ckm@n
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  18. mimi9301 Messages postés 16 Statut Membre
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:36:25 le 29/06/2011, Mode normal

    (X86)
    Mimi@MIMI-PC (Hewlett-Packard HP Pavilion dv6 Notebook PC)

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0.1 (fr)] ****

    FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)

    -- C:\Users\Mimi\AppData\Roaming\Mozilla\FireFox\Profiles\mex0gkan.default --
    Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

    ========================================

    **** Internet Explorer Version [8.0.7600.16385] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 29/06/2011 19:36:32 (2419 Octet(s))

    Fin à: 19:37:09, 29/06/2011

    ============== E.O.F ==============
    0
  19. mimi9301 Messages postés 16 Statut Membre
     
    Non j'ai toujours le même message d'erreur... Qu'est-ce qui a pu provoqué ça? un virus?
    0
  • 1
  • 2