Aide pour interpreter USBFIX et MBAM.

Question

Adwarewidgi at agent rogue

Bonjour, 

Mon disque externe est visiblement infecté, je vous mets les rapports malwarebytes et usbfix, si vous avez un moment pouvez vous m'eclairer sur la marche à suivre pour désinfecter ? (j'ai déjà fait tourner une fois mbam et supprimer les 6 infections qu'il avait trouvé, dans la foulée je l'ai refait tourner et  ila trouvé ces 4 là). 

Merci,
Cédric


Configuration: Windows XP / Firefox 4.0.1

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4773

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/09/2011 19:52:19
mbam-log-2011-09-11 (19-52-19).txt

Type d'examen: Examen complet (D:\|)
Elément(s) analysé(s): 365842
Temps écoulé: 2 heure(s), 36 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP285\A0033017.dll (Adware.WidgiToolbar) -> No action taken.
D:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP285\A0033018.exe (Adware.WidgiToolbar) -> No action taken.
D:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP285\A0033019.dll (Adware.WidgiToolbar) -> No action taken.
D:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP285\A0033020.exe (Rogue.Agent) -> No action taken.



Puis USBFIX : 

############################## | UsbFix 7.058 | [Recherche]

Utilisateur: ElaineLeon (Administrateur) # LITTLEGUY [ ]
Mis à jour le 24/08/2011 par El Desaparecido
Lancé à 19:53:10 | 11/09/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: contact@eldesaparecido.com

CPU: Intel(R) Core(TM) Duo CPU U2500 @ 1.20GHz
CPU 2: Intel(R) Core(TM) Duo CPU U2500 @ 1.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
RAM -> 1014 Mo 
C:\ (%systemdrive%) -> Disque fixe # 56 Go (29 Go libre(s) - 52%) [] # NTFS
D:\ -> Disque fixe # 466 Go (94 Go libre(s) - 20%) [BackUp] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\DOCUME~1\JVALLE~1\LOCALS~1\Temp\setup_wm.exe
Présent! C:\log.txt
Présent! C:\RECYCLER\S-1-5-21-3183262822-3904524726-907757881-1005
Présent! C:\RECYCLER\S-1-5-21-3183262822-3904524726-907757881-500
Présent! D:\RECYCLER\S-1-5-21-1229272821-1532298954-1177238915-1004
Présent! D:\RECYCLER\S-1-5-21-3183262822-3904524726-907757881-1005
Présent! D:\RECYCLER\S-1-5-21-682003330-1757981266-725345543-1004
Présent! D:\RECYCLER\S-1-5-21-823518204-562591055-682003330-1004

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{300abcde-0071-11df-9bf0-001c230db294}
Shell\AutoRun\Command = selomoje\sranje.exe
Shell\explore\Command = selomoje\\sranje.exe
Shell\open\Command = selomoje\\sranje.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{38c08ab7-1258-11df-9c05-001c230db294}
Shell\AutoRun\Command = E:\dupler\kromirani.exe
Shell\explore\Command = E:\dupler\\kromirani.exe
Shell\open\Command = E:\dupler\\kromirani.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{39fe30a5-92ca-11dc-9bc6-f8a9f2d84265}
Shell\AutoRun\Command = E:\wd_windows_tools\setup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{40aba5ee-b5d1-11df-9c81-000a789943d8}
Shell\AutoRun\Command = D:\DmailerSync_v9_0_15109.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a2fe24f3-3d8a-11df-9c4e-001c230db294}
Shell\AutoRun\Command = pupica\makaroni.exe
Shell\explore\Command = pupica\\makaroni.exe
Shell\open\Command = pupica\\makaroni.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

2011N2 · Answer

Salut,

Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>

-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.

-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.

-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.

-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.

-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur

-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.

-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).

Si tu es prêt, c'est partit ==>




Bien :) Ne refais pas MBAM pour l'instant, on le fera plus tard, car les infections n'ont pas été touchées.

Commence par faire USBfix en mode suppression, puis poste le rapport.

Merci,

Gabriel.

cl159 · Answer

Bonjour et merci Gabriel pour cette réponse rapide ! 

Voici le rapport d'USBFix :

############################## | UsbFix 7.058 | [Suppression]

Utilisateur: ElaineLeon (Administrateur) # LITTLEGUY [ ]
Mis à jour le 24/08/2011 par El Desaparecido
Lancé à 23:18:04 | 11/09/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: contact@eldesaparecido.com

CPU: Intel(R) Core(TM) Duo CPU U2500 @ 1.20GHz
CPU 2: Intel(R) Core(TM) Duo CPU U2500 @ 1.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
RAM -> 1014 Mo 
C:\ (%systemdrive%) -> Disque fixe # 56 Go (26 Go libre(s) - 47%) [] # NTFS
D:\ -> Disque fixe # 466 Go (96 Go libre(s) - 21%) [BackUp] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-3183262822-3904524726-907757881-1005
Supprimé! D:\Recycler\S-1-5-21-3183262822-3904524726-907757881-1005

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{40aba5ee-b5d1-11df-9c81-000a789943d8}

################## | Listing |

[19/08/2004 - 14:18:18 | N | 0] 	C:\AUTOEXEC.BAT
[11/09/2011 - 23:07:52 | RASHD ] 	C:\Autorun.inf
[18/01/2010 - 10:49:20 | D ] 	C:\b47013d07696b09ab1269e6d29
[30/10/2007 - 10:25:01 | N | 212] 	C:\boot.ini
[05/08/2004 - 13:00:00 | N | 4952] 	C:\Bootfont.bin
[19/08/2004 - 14:18:18 | N | 0] 	C:\CONFIG.SYS
[09/11/2007 - 18:20:23 | D ] 	C:\dell
[19/09/2007 - 13:59:08 | N | 5327] 	C:\dell.sdr
[30/10/2007 - 10:25:22 | D ] 	C:\Documents and Settings
[10/04/2006 - 21:30:26 | D ] 	C:\drivers
[06/05/2010 - 15:49:14 | D ] 	C:\Favoris
[11/09/2011 - 23:16:17 | ASH | 1063378944] 	C:\hiberfil.sys
[17/03/2006 - 14:20:12 | D ] 	C:\i386
[30/10/2007 - 10:36:51 | N | 4128] 	C:\INFCACHE.1
[19/08/2004 - 14:18:18 | N | 0] 	C:\IO.SYS
[18/01/2010 - 11:00:06 | D ] 	C:\MDT
[19/08/2004 - 14:18:18 | N | 0] 	C:\MSDOS.SYS
[17/01/2010 - 12:38:15 | RHD ] 	C:\MSOCache
[05/08/2004 - 13:00:00 | N | 47564] 	C:\NTDETECT.COM
[29/03/2010 - 19:27:06 | N | 252240] 	C:
tldr
[11/09/2011 - 23:16:14 | ASH | 1598029824] 	C:\pagefile.sys
[11/09/2011 - 23:16:14 | D ] 	C:\Program Files
[11/09/2011 - 23:27:34 | SHD ] 	C:\RECYCLER
[18/10/2010 - 10:31:41 | SHD ] 	C:\System Volume Information
[11/09/2011 - 23:27:34 | D ] 	C:\UsbFix
[11/09/2011 - 23:27:35 | A | 967] 	C:\UsbFix.txt
[11/09/2011 - 22:43:15 | D ] 	C:\UsbFix_Upload_Me
[08/09/2011 - 11:38:47 | D ] 	C:\WINDOWS
[11/09/2011 - 22:34:25 | SHD ] 	D:\$RECYCLE.BIN
[11/09/2011 - 23:07:52 | RASHD ] 	D:\Autorun.inf
[30/12/2010 - 09:39:52 | D ] 	D:\BackUpDELL
[26/07/2011 - 00:24:09 | D ] 	D:\Disk C
[26/07/2011 - 00:02:39 | D ] 	D:\Disk D
[06/09/2011 - 22:17:43 | D ] 	D:\Disk E
[06/06/2011 - 12:49:10 | D ] 	D:\DVD de la bande
[29/07/2010 - 00:10:11 | D ] 	D:\oldDisk C
[11/09/2011 - 23:27:34 | SHD ] 	D:\RECYCLER
[02/05/2010 - 19:28:27 | D ] 	D:\sauvegarde photos
[06/06/2011 - 12:46:28 | SHD ] 	D:\System Volume Information
[05/06/2011 - 21:08:51 | RD ] 	E:\Mariage Cédric & Elaine Juin 2011

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

2011N2 · Answer

Bien :)

On va faire un diagnostic de ton PC pour plus de renseignements ==>

=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou : 

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ou :
 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag". 

/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur » 

=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».  
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.  
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
 
https://www.cjoint.com/  

ou


http://www.cijoint.fr/ 

ou : 

http://ww38.toofiles.com/fr/documents-upload.html 

ou :
 

http://pjjoint.malekal.com/ 

ou : 

https://www.casimages.com/ 



Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

Merci,

Gabriel.

cl159 · Answer

Salut Gabriel, merci pour ta réponse encore une fois. 

Je ne suis pas chez moi avant tard ce soir ... mais je m'en occupe dès que possible demain et te tiens au courant. 

A bientôt,
Cédric

2011N2 · Answer

Re,

Pas de soucis ;)

@+

Gabriel.

cl159 · Answer

et voilà ! 
http://www.cijoint.fr/cjlink.php?file=cj201109/cij8Pdb95t.txt

Merci Gabriel

cl159 · Answer

Oups, à priori le premier essai n'a pas marché, voilà:

http://www.cijoint.fr/cj201109/cij8Pdb95t.txt

2011N2 · Answer

Re,

>Copie les lignes "helpers" (Avec Ctrl + C) présentes dans le fichier texte : http://dl.dropbox.com/u/32869654/Pour%20cl159.txt

>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.  
>Faire Ok. 
>Clique sur "Tous".  
>Clique sur "Nettoyer". 
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clic sur Nouvelle Tache puis tape explorer.exe. Le bureau devrait normalent réapparaître.


Si tu as des questions, n'hésite pas à me les poser !


Gabriel.

cl159 · Answer

Bonsoir Gabriel, 

et voilà :

http://www.cijoint.fr/cjlink.php?file=cj201109/cijUTCrohU.txt

Merci d'avance,
Cédric

2011N2 · Answer

Re,

Je sais pas chez toi, mais chez moi, le lien donne une erreur...
Essaye ici : https://www.cjoint.com/

@+

Gabriel.

cl159 · Answer

salut Gabriel, désolé de pas avoir répondu plus tot mais ton dernier message n'est pas arrivé par mail, donc je le découvre seulement ! 

voilà : 

https://www.cjoint.com/?AIrwHvv2CDT

merci d'avance,
cédric

2011N2 · Answer

Pas de soucis :)

Etant donné la (petite, je te rassure) attente, on va revérifier ton PC :)

Pour ce, refais moi un ZHPdiag ;)

Merci,

Gabriel.

cl159 · Answer

et hop!

;-)

http://cjoint.com/11sp/AIskxOnTuwc.htm

merci

2011N2 · Answer

Parfait, à part une petite chose :) Et puis, pourras-tu, en le mettant à jour avant, et en branchant tes supports externes pour les analyser, refaire une analyse MBAM ?

Mais fais ça avant, attends mon feu vert :)

>Copie les lignes "helpers" (Avec Ctrl + C) présentes dans le fichier texte : http://dl.dropbox.com/u/32869654/Pour%20cl159%202.txt

>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.  
>Faire Ok. 
>Clique sur "Tous".  
>Clique sur "Nettoyer". 
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clic sur Nouvelle Tache puis tape explorer.exe. Le bureau devrait normalent réapparaître.


Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

cl159 · Answer

bon en fait, ce matin j'avais fait tourner MBAM sur le DD externe et il n'a rien trouvé ... je le mets à jour et j'attends ton feu vert pour le faire tourner sur tout l'appareil. 

voilà le rapport ZHPFix : 

Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre : 
Run by ElaineLeon at 18/09/2011 16:09:15
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 6
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
SUPPRIME File: c:\log.txt
SUPPRIME Temporaires Windows: : 30
SUPPRIME Flash Cookies: 0

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Dossier(s)
3 : Fichier(s)
1 : Restauration Système


End of the scan in 00mn 22s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/09/2011 21:56:48 [1588]
C:\ZHP\ZHPFix[R2].txt - 18/09/2011 16:09:15 [822]

2011N2 · Answer

Re,

Ok, tu peux le mettre à jour et lancer l'analyse ;)

En attente du rapport :)

Merci,

Gabriel.

cl159 · Answer

et voilà :

https://www.cjoint.com/?AItiyvuqUAv

c'est grave Dr ?

merci Cedric

2011N2 · Answer

Non, mais pourquoi n'as-tu pas supprimé la séléction ?

@+

Gabriel.

cl159 · Answer

parceque j'ai cliqué trop vite ... arf 

je vais le refaire tourner et éliminer ...

cl159 · Answer

et voilà le bon :

https://www.cjoint.com/?AIuiL3A7T61

merci !

2011N2 · Answer

Parfait^^

Peux-tu me faire un ZHPdiag final pour vérifier si c'est clean ?

Merci,

Gabriel.

cl159 · Answer

et voilà : 

https://www.cjoint.com/?AIuuVflpCoa

clean ?!

Merci encore pour ton aide et patience !

2011N2 · Answer

Oui :)

Comment va le PC ?

Plus de soucis ?

@+

Gabriel.

Aide pour interpreter USBFIX et MBAM. - Page 1

Discussions similaires

Newsletters