Virus Dropper HAO

Maxdustaps -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

J'ai un souci avec mon disc externe.
Je ne peux plus ouvrir mes dossiers dedans. Je les vois, je sais que mon DD est plein mais à chaque fois mon pc marque :
"Windows ne trouve pas 'L:\RECYCLER\f4448e25.exe'. Vérifier que vous avez entré le nom correct puis réessayer"
J'ai passé mon DD par Avast qui m'a détecté un drooper-HAO

Que faire?
Merci pour votre aide précieuse

3 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    bonjour

    branches tes supports externes puis colle un rapport avec usbfix en prenant l'option de recherche

    http://www.teamxscript.org/usbfixTelechargement.html

    a plus
    0
    1. Maxdustaps
       
      Bonsoir,

      Voila la rapport...
      Est ce grave doc?
      Puis je récupérer mes données?

      ############################## | UsbFix 7.048 | [Recherche]

      Utilisateur: Maxime (Administrateur) # PC-DE-MAX [Sony Corporation VGN-FW11ZU]
      Mis à jour le 11/06/2011 par TeamXscript
      Lancé à 23:00:06 | 24/06/2011
      Site Web: http://www.teamxscript.org
      Submit your sample: http://www.teamxscript.org/Upload.php
      Contact: TeamXscript.ElDesaparecidoatgmail.com

      CPU: Intel(R) Core(TM)2 Duo CPU T9400 @ 2.53GHz
      CPU 2: Intel(R) Core(TM)2 Duo CPU T9400 @ 2.53GHz
      Microsoft® Windows Vista(TM) Édition Intégrale (6.0.6002 32-Bit) # Service Pack 2
      Internet Explorer 9.0.8112.16421

      Pare-feu Windows: Activé
      RAM -> 3069 Mo
      C:\ (%systemdrive%) -> Disque fixe # 269 Go (13 Go libre(s) - 5%) [] # NTFS
      F:\ -> CD-ROM
      K:\ -> CD-ROM
      L:\ -> Disque fixe # 931 Go (189 Go libre(s) - 20%) [] # NTFS

      ################## | Éléments infectieux |

      Présent! L:\$RECYCLE.BIN.lnk
      Présent! L:\2011_01_22_Anniv Maman Armelle.lnk
      Présent! L:\2011_01_22_We gd mère Armelle.lnk
      Présent! L:\2011_01_30_soiréeDoudou.lnk
      Présent! L:\2011_02_26_Anniv Steph.lnk
      Présent! L:\2011_04_25_Pâques Linars.lnk
      Présent! L:\Dossier Greg.lnk
      Présent! L:\FILMS.lnk
      Présent! L:\Max.lnk
      Présent! L:\MaxEvent Comm.lnk
      Présent! L:\MUSIQUE.lnk
      Présent! L:\programmes d'install.lnk
      Présent! L:\RG2011.lnk
      Présent! L:\save bureau 14-01.lnk
      Présent! L:\System Volume Information.lnk
      Présent! K:\autorun.inf

      ################## | Registre |


      ################## | Mountpoints2 |

      HKCU\.\.\.\.\Explorer\MountPoints2\G
      Shell\AutoRun\Command = G:\laucher.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{08c9c7b3-fada-11df-aa1b-001e3dec1886}
      Shell\AutoRun\Command = H:\LaunchU3.exe -a

      HKCU\.\.\.\.\Explorer\MountPoints2\{0d3aa2ca-0fe2-11df-9ab6-001e3dec1886}
      Shell\AutoRun\Command = "K:\WD SmartWare.exe" autoplay=true

      HKCU\.\.\.\.\Explorer\MountPoints2\{0f5e90cf-f7ef-11df-be55-001e3dec1886}
      Shell\AutoRun\Command = G:\AutoRunCardDetector.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{1a431dc1-fc3d-11de-b257-001e3dec1886}
      Shell\AutoRun\Command = G:\WDSetup.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{1cff291d-9044-11df-9f6a-001e3dec1886}
      Shell\AutoRun\Command = G:\SETUP.EXE

      HKCU\.\.\.\.\Explorer\MountPoints2\{3ea35c32-c660-11dd-8861-001e3dec1886}
      Shell\AutoRun\Command = G:\laucher.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{47330b9d-f5d7-11dd-b0b1-001e3dec1886}
      Shell\AutoRun\Command = G:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
      Shell\open\Command = G:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{c39dfd00-af77-11df-b23d-001dba1addeb}
      Shell\AutoRun\Command = G:\eyruu.exe
      Shell\open\Command = G:\eyruu.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{d9171ab4-c94f-11dd-ac47-001e3dec1886}
      Shell\AutoRun\Command = H:\LaunchU3.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{d9171aca-c94f-11dd-ac47-001e3dec1886}
      Shell\AutoRun\Command = G:\laucher.exe

      HKCU\.\.\.\.\Explorer\MountPoints2\{f4c6fb1b-9ea9-11de-8091-001e3dec1886}
      Shell\AutoRun\Command = H:\LaunchU3.exe -a

      HKCU\.\.\.\.\Explorer\MountPoints2\{f8b7fb75-0c7f-11de-bc67-001e3dec1886}
      Shell\AutoRun\Command = H:\LaunchU3.exe


      ################## | Vaccin |

      K:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

      ################## | E.O.F |
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    passe ceci et supprime ce qui est trouvé
    http://download.avgfree.com/filedir/util/avg_rem_sup.dir/rmmabez/rmmabez.exe
    et colle le rapport obrtenu

    puis

    colle un rapport de suppression/nettoyage avec usbfix

    puis dis comment cela va

    a plus
    0
    1. maxdustaps
       
      Bonjour,

      Je viens de poster un message mais il a disparu...
      J'ai fait ce que tu m'as demandé. Il m'a affiché un rapport de 3550 lignes (aucun fichier infecté, plusieurs qui n'ont pas pu etre ovuerts et la majorité "ok")
      Veux tu que je le post?

      J'ai fait ensuite la suppression avec usbfix.
      Je te colle ce qui a été supprimé (tu veux tout le reste???)
      ################## | Éléments infectieux |

      Supprimé! C:\$RECYCLE.BIN\S-1-5-20
      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2273626676-536244363-4152278210-500
      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2666983875-1292342990-847235685-1000
      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3905216134-613342201-1242439560-500

      ################## | Registre |


      ################## | Mountpoints2 |

      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08c9c7b3-fada-11df-aa1b-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f5e90cf-f7ef-11df-be55-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1a431dc1-fc3d-11de-b257-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3ea35c32-c660-11dd-8861-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{47330b9d-f5d7-11dd-b0b1-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c39dfd00-af77-11df-b23d-001dba1addeb}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d9171ab4-c94f-11dd-ac47-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f4c6fb1b-9ea9-11de-8091-001e3dec1886}
      Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f8b7fb75-0c7f-11de-bc67

      En revanche, lorsque je vais sur internet, depuis ce test, j'ai des soucis.
      Je note un site sur google. il me propose différents sites, jusque là pas de soucis.
      Par contre, quand je clique sur le site demandé, il m'envoie sur des sites qui n'ont rien à voir (pub)
      Normal? que faire ?

      Merci pour ton aide
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    1/ tu arrive de nouveau à ouvrir les dossier?

    2/ colle un rapport avec tdsskiller

    Téléchargez TDSSKiller sur votre bureau

    https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Cochez les et cliquez sur "Delete/Repair Selected".

    Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

    Informations complémentaires sur cet outil :
    https://support.kaspersky.com/5350

    3/Télécharge OTL de OLDTimer ici :

    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant "scan all users"

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0