Sujet Précédent Sujet Suivant

Jwgkvsq.vmx insupprimable !!!!

Fermé
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014 - 14 févr. 2012 à 10:36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 21 févr. 2012 à 15:03
Bonjour,

Un peu désespérée...

J'ai trouvé deux virus sur mon poste (plutôt, sur un lecteur réseau du poste)... Il s'agit des deux fichiers
S:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
et S:\autorun.Vinf
Bizarre d'ailleurs, celui-ci avant d'appelait autorun.inf, et maintenant autorun.vinf (ça doit être à force d'avoir fait des manips avec des antivirus...).

Mon objectif dans un premier temps est de supprimer ces deux fichiers du réseau. Quand j'essaie de les supprimer, j'ai le beau message "accès refusé".

Du coup, j'ai réinstallé un poste tout propre afin de pouvoir faire toutes les manips que je veux. Dessus, j'ai juste installé Nod32 en version d'essai.
Là, j'essaie de me créer un cd rescue, mais vu que cela doit être la millième manip que je tente, je doute du résultat.

Quelqu'un saurait-il m'aider ?

Merci par avance !!!!!!!!!!!!!!!!!!

44 réponses

Précédent
Réponse 21 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
16 févr. 2012 à 14:55
Et hop :

14:02:14:098 0960 =======================================================
14:02:14:098 0960 SystemInfo:

14:02:14:098 0960 OS Version: 5.1.2600 ServicePack: 3.0
14:02:14:098 0960 Product type: Workstation
14:02:14:098 0960 ComputerName: AA-2
14:02:14:098 0960 UserName: AA
14:02:14:098 0960 Windows directory: C:\WINDOWS
14:02:14:098 0960 Processor architecture: Intel x86
14:02:14:098 0960 Number of processors: 1
14:02:14:098 0960 Page size: 0x1000
14:02:14:098 0960 Boot type: Normal boot
14:02:14:098 0960 =======================================================
14:02:14:098 0960 scanning jobs ...
14:02:14:129 0960
14:02:14:129 0960 scanning processes ...
14:02:15:848 0960
14:02:15:848 0960 scanning threads ...
14:02:21:332 0960
14:02:21:332 0960 scanning modules in svchost.exe...
14:02:21:551 0960 scanning modules in services.exe...
14:02:21:567 0960 scanning modules in explorer.exe...
14:02:21:582 0960
14:02:21:582 0960 restoring show hidden and system files
14:02:21:582 0960
14:02:21:582 0960 disabling autorun on all drive types
14:02:21:582 0960
14:02:21:582 0960 restoring SafeBoot registry node
14:02:21:582 0960 Restoring safe/network boot registry branches for windows XP
14:02:21:614 0960
14:02:21:629 0960 scanning C:\WINDOWS\system32 ...
14:04:17:170 0960 scanning C:\Program Files\Internet Explorer\ ...
14:04:18:263 0960 scanning C:\Program Files\Movie Maker\ ...
14:04:19:076 0960 scanning C:\Program Files\Windows Media Player\ ...
14:04:19:545 0960 scanning C:\Program Files\Windows NT\ ...
14:04:20:669 0960 scanning C:\Documents and Settings\AA\Application Data ...
14:04:21:951 0960 scanning C:\DOCUME~1\AA\LOCALS~1\Temp\ ...
14:04:23:591 0960 scanning Flash drives ...
14:04:23:591 0960 scanning C:\ ...
14:11:47:577 0960 scanning Z:\ ...
14:11:48:139 0960
completed
14:11:48:139 0960 Infected jobs: 0
14:11:48:139 0960 Infected files: 0
14:11:48:139 0960 Infected threads: 0
14:11:48:139 0960 Spliced functions: 0
14:11:48:139 0960 Cured files: 0
14:11:48:139 0960 Fixed registry keys: 0
14:11:48:139 0960
----------------------

Merci !!!
0
Réponse 22 / 44
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 févr. 2012 à 15:33
bon

passe ce logiciel

et colles le rapport
http://download.eset.com/special/EConfickerRemover.exe

puis remets un rapport usbfix

a plus
0
Réponse 23 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
16 févr. 2012 à 15:50
Un petit mot tout d'abord pour te remercier de ta persévérance, c'est trop sympa !
Bon, j'ai téléchargé EConfickerRemover, je l'ai lancé, il m'a indiqué n'avoir rien trouvé en mémoire en me demandant si je voulais qu'il analyse quand même, j'ai dit oui ("y"), et là la fenêtre s'est fermée - et j'ai l'impression qu'il n'a rien fait... et pas de rapport. J'ai essayé le y en majuscule, minuscule, le "n", un "o"... mais rien n'y fait.

Y a-t-il un paramètre à indiquer, ou un truc particulier à faire ?

Merci encore !
0
Réponse 24 / 44
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 16/02/2012 à 16:20
non

démarre en mode sans echec sans prise en charge du reseau


puis repasse ce logiciel: https://gen-hackman.kanak.fr/

puis vas dans le menu DEMARRER puis Executer et tape mrt et suis la procédure de recherche d'infection

puis refais usfix avec l'option de suppression



puis remets en mode normal un rapport usbfix

a plus
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
16 févr. 2012 à 16:21
OK, je ferai ça lundi à la première heure.

Merci pour tout, infiniment !

Bonne fin de semaine à toi.
0
Réponse 26 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
20 févr. 2012 à 11:26
Bonjour !

En ce beau lundi frais et ensoleillé, l'analyse est lancée...

Une petite question : comme le virus est sur le lecteur réseau, ne vaut-il pas mieux lancer l'analyse en mode sans échec avec prise en charge réseau ?

Merci !
0
Réponse 27 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
20 févr. 2012 à 11:44
Voilà les résultats (lancement en mode sans échec sans prise en charge réseau).

kidokiller

09:57:58:875 1156 =======================================================
09:57:58:875 1156 SystemInfo:

09:57:58:875 1156 OS Version: 5.1.2600 ServicePack: 3.0
09:57:58:875 1156 Product type: Workstation
09:57:58:875 1156 ComputerName: AA-2
09:57:58:875 1156 UserName: Administrateur
09:57:58:875 1156 Windows directory: C:\WINDOWS
09:57:58:875 1156 Processor architecture: Intel x86
09:57:58:875 1156 Number of processors: 1
09:57:58:875 1156 Page size: 0x1000
09:57:58:875 1156 Boot type: Safe boot
09:57:58:875 1156 =======================================================
09:57:58:875 1156 scanning jobs ...
09:57:58:968 1156
09:57:58:968 1156 scanning processes ...
09:57:59:671 1156
09:57:59:671 1156 scanning threads ...
09:58:01:828 1156
09:58:01:828 1156 scanning modules in svchost.exe...
09:58:02:562 1156 scanning modules in services.exe...
09:58:02:562 1156 scanning modules in explorer.exe...
09:58:02:578 1156
09:58:02:578 1156 restoring show hidden and system files
09:58:02:593 1156
09:58:02:593 1156 disabling autorun on all drive types
09:58:02:593 1156
09:58:02:593 1156 restoring SafeBoot registry node
09:58:02:593 1156 Restoring safe/network boot registry branches for windows XP
09:58:02:609 1156
09:58:02:625 1156 scanning C:\WINDOWS\system32 ...
10:04:22:046 1156 scanning C:\Program Files\Internet Explorer\ ...
10:04:24:375 1156 scanning C:\Program Files\Movie Maker\ ...
10:04:28:140 1156 scanning C:\Program Files\Windows Media Player\ ...
10:04:29:578 1156 scanning C:\Program Files\Windows NT\ ...
10:04:31:843 1156 scanning C:\Documents and Settings\Administrateur.AA-2\Application Data ...
10:04:32:031 1156 scanning C:\DOCUME~1\ADMINI~1.MA~\LOCALS~1\Temp\ ...
10:04:32:109 1156 scanning Flash drives ...
10:04:32:187 1156 scanning C:\ ...
10:25:50:359 1156
completed
10:25:50:515 1156 Infected jobs: 0
10:25:50:593 1156 Infected files: 0
10:25:50:671 1156 Infected threads: 0
10:25:50:750 1156 Spliced functions: 0
10:25:50:828 1156 Cured files: 0
10:25:50:906 1156 Fixed registry keys: 0
10:25:50:984 1156

--------------------------------

mrt n'a rien trouvé


---------------------------------
Usbfix
############################## | UsbFix V 7.078 | [Suppression]

Utilisateur: Administrateur (Administrateur) # AA-2
Mis à jour le 06/01/2012 par El Desaparecido
Lancé à 11:23:54 | 20/02/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Dell Computer Corporation (Dimension 4550 ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Pentium(R) 4 CPU 2.40GHz (2399)
RAM -> [ Total : 511 | Free : 375 ]
BIOS: Default System BIOS
BOOT: Fail-safe boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 37 Go (33 Go libre(s) - 88%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (156)
C:\WINDOWS\system32\winlogon.exe (232)
C:\WINDOWS\system32\services.exe (276)
C:\WINDOWS\system32\lsass.exe (288)
C:\WINDOWS\system32\svchost.exe (448)
C:\WINDOWS\system32\svchost.exe (544)
C:\WINDOWS\Explorer.EXE (896)
C:\UsbFix\Go.exe (1796)

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\Explorer.EXE (896)

################## | Éléments infectieux |


(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[13/02/2012 - 12:30:49 | N | 0] C:\AUTOEXEC.BAT
[14/02/2012 - 16:21:40 | RAD ] C:\Autorun.inf
[13/02/2012 - 12:23:56 | N | 212] C:\Boot.bak
[13/02/2012 - 16:07:08 | N | 328] C:\boot.ini
[14/04/2008 - 00:00:00 | N | 4952] C:\Bootfont.bin
[13/02/2012 - 16:07:08 | D ] C:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] C:\cmldr
[16/02/2012 - 11:46:47 | N | 6413] C:\ComboFix.txt
[13/02/2012 - 12:30:49 | N | 0] C:\CONFIG.SYS
[13/02/2012 - 13:37:10 | D ] C:\DELL
[20/02/2012 - 09:56:49 | D ] C:\Documents and Settings
[13/02/2012 - 12:30:49 | N | 0] C:\IO.SYS
[13/02/2012 - 12:30:49 | N | 0] C:\MSDOS.SYS
[14/04/2008 - 00:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 00:00:00 | N | 252240] C:\ntldr
[20/02/2012 - 09:54:49 | ASH | 805306368] C:\pagefile.sys
[16/02/2012 - 09:38:06 | D ] C:\Program Files
[16/02/2012 - 11:46:53 | D ] C:\Qoobox
[20/02/2012 - 11:24:15 | SHD ] C:\RECYCLER
[16/02/2012 - 10:06:43 | N | 668] C:\SeafLog.txt
[16/02/2012 - 10:05:10 | N | 1340] C:\SeafLog2.txt
[13/02/2012 - 12:35:12 | SHD ] C:\System Volume Information
[13/02/2012 - 16:02:50 | N | 37862] C:\TDSSKiller.2.7.12.0_13.02.2012_16.02.16_log.txt
[20/02/2012 - 11:24:15 | D ] C:\UsbFix
[20/02/2012 - 11:27:56 | A | 1659] C:\UsbFix.txt
[14/02/2012 - 16:21:41 | N | 334165] C:\UsbFix_Upload_Me_AA-2.zip
[20/02/2012 - 09:43:55 | D ] C:\WINDOWS
[19/01/2012 - 10:42:41 | R | 1257293] D:\UsbFix.exe

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
---------------------------------------------------

Voilà voilà, merci !
0
Réponse 28 / 44
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 févr. 2012 à 12:42
refais usbfix avec l'option de recherche en mode normal


sinon ton pc est en reseau? tu peux passer usbfix sur les autres pc pour voir?
0
Réponse 29 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
20 févr. 2012 à 15:35
Alors oui, le PC est en réseau, mais c'est le seul à avoir accès à ce répertoire.

Je repasse usb_fix et je colle le rapport.

Merci !
0
Réponse 30 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
Modifié par t_o_citron le 20/02/2012 à 16:27
Voilà le rapport d'usbfix :

Merci !!

############################## | UsbFix V 7.078 | [Recherche]

Utilisateur: AA (Administrateur) # AA-2
Mis à jour le 06/01/2012 par El Desaparecido
Lancé à 16:36:02 | 20/02/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Dell Computer Corporation (Dimension 4550 ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Pentium(R) 4 CPU 2.40GHz (2399)
RAM -> [ Total : 511 | Free : 281 ]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 37 Go (32 Go libre(s) - 87%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (576)
C:\WINDOWS\system32\winlogon.exe (684)
C:\WINDOWS\system32\services.exe (728)
C:\WINDOWS\system32\lsass.exe (740)
C:\WINDOWS\system32\svchost.exe (912)
C:\WINDOWS\System32\svchost.exe (1072)
C:\WINDOWS\system32\spoolsv.exe (1412)
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (1584)
C:\WINDOWS\system32\wuauclt.exe (180)
C:\WINDOWS\Explorer.EXE (488)
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (564)
C:\WINDOWS\BCMSMMSG.exe (592)
C:\WINDOWS\system32\ctfmon.exe (608)
C:\UsbFix\Go.exe (2032)

################## | Éléments infectieux |

Présent! Z:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Présent! Z:\autorun.Vinf
Présent! Z:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
Z:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |
0
Réponse 31 / 44
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 20/02/2012 à 16:48
bien vu!
effectivement il faut passer la dernière version ...

http://eldesaparecido.com/usbfix.html




c'est quoi exactement ce disque Z ?
0
Réponse 32 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
20 févr. 2012 à 17:23
Voilà le rapport ci-dessous.

Z, c'est le lecteur réseau, celui auquel seul ce poste a accès.

Merci !!

############################## | UsbFix V 7.081 | [Suppression]

Utilisateur: AA (Administrateur) # AA-2
Mis à jour le 05/02/2012 par El Desaparecido
Lancé à 17:29:02 | 20/02/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Dell Computer Corporation (Dimension 4550 ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Pentium(R) 4 CPU 2.40GHz (2399)
RAM -> [ Total : 511 | Free : 297 ]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 37 Go (32 Go libre(s) - 87%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (576)
C:\WINDOWS\system32\winlogon.exe (676)
C:\WINDOWS\system32\services.exe (720)
C:\WINDOWS\system32\lsass.exe (732)
C:\WINDOWS\system32\svchost.exe (904)
C:\WINDOWS\System32\svchost.exe (1068)
C:\WINDOWS\system32\spoolsv.exe (1416)
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (1568)
C:\WINDOWS\system32\wuauclt.exe (1964)
C:\WINDOWS\Explorer.EXE (1704)
C:\WINDOWS\system32\userinit.exe (2024)
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (184)
C:\WINDOWS\BCMSMMSG.exe (172)
C:\WINDOWS\system32\ctfmon.exe (228)
C:\UsbFix\Go.exe (1700)

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\system32\spoolsv.exe (1416)
Stoppé! C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (1568)
Stoppé! C:\WINDOWS\system32\wuauclt.exe (1964)
Stoppé! C:\WINDOWS\Explorer.EXE (1704)
Stoppé! C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (184)
Stoppé! C:\WINDOWS\BCMSMMSG.exe (172)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (228)

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-2704222054-1683336150-1830167423-1263
Non supprimé ! Z:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Non supprimé ! Z:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
Non supprimé ! Z:\autorun.Vinf
Supprimé! Z:\autorun.VVinf

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[13/02/2012 - 12:30:49 | N | 0] C:\AUTOEXEC.BAT
[20/02/2012 - 17:22:59 | RASHD ] C:\Autorun.inf
[13/02/2012 - 12:23:56 | N | 212] C:\Boot.bak
[13/02/2012 - 16:07:08 | N | 328] C:\boot.ini
[14/04/2008 - 00:00:00 | N | 4952] C:\Bootfont.bin
[13/02/2012 - 16:07:08 | D ] C:\cmdcons
[03/08/2004 - 23:00:08 | N | 263488] C:\cmldr
[16/02/2012 - 11:46:47 | N | 6413] C:\ComboFix.txt
[13/02/2012 - 12:30:49 | N | 0] C:\CONFIG.SYS
[13/02/2012 - 13:37:10 | D ] C:\DELL
[20/02/2012 - 09:56:49 | D ] C:\Documents and Settings
[20/02/2012 - 17:27:56 | ASH | 535896064] C:\hiberfil.sys
[13/02/2012 - 12:30:49 | N | 0] C:\IO.SYS
[13/02/2012 - 12:30:49 | N | 0] C:\MSDOS.SYS
[14/04/2008 - 00:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 00:00:00 | N | 252240] C:\ntldr
[20/02/2012 - 17:27:56 | ASH | 805306368] C:\pagefile.sys
[20/02/2012 - 16:48:03 | D ] C:\Program Files
[16/02/2012 - 11:46:53 | D ] C:\Qoobox
[20/02/2012 - 17:30:00 | SHD ] C:\RECYCLER
[16/02/2012 - 10:06:43 | N | 668] C:\SeafLog.txt
[16/02/2012 - 10:05:10 | N | 1340] C:\SeafLog2.txt
[13/02/2012 - 12:35:12 | SHD ] C:\System Volume Information
[13/02/2012 - 16:02:50 | N | 37862] C:\TDSSKiller.2.7.12.0_13.02.2012_16.02.16_log.txt
[20/02/2012 - 15:12:31 | N | 348] C:\TDSSKiller.2.7.12.0_20.02.2012_15.12.26_log.txt
[20/02/2012 - 15:13:18 | N | 38238] C:\TDSSKiller.2.7.13.0_20.02.2012_15.12.47_log.txt
[20/02/2012 - 17:30:00 | D ] C:\UsbFix
[20/02/2012 - 17:33:44 | A | 3401] C:\UsbFix.txt
[20/02/2012 - 17:23:08 | N | 12648584] C:\UsbFix_Upload_Me_AA-2.zip
[20/02/2012 - 17:26:19 | D ] C:\WINDOWS
[20/02/2012 - 17:22:58 | RASHD ] Z:\Autorun.inf
[20/02/2012 - 17:30:06 | N | 0] Z:\autorun.V01Vinf
[20/02/2012 - 17:30:06 | N | 0] Z:\autorun.V02Vinf
[16/04/2007 - 12:44:24 | RSH | 95034] Z:\autorun.Vinf
[20/02/2012 - 17:30:06 | N | 0] Z:\autorun.VVinf
[05/10/2011 - 09:02:05 | HD ] Z:\RECYCLER

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
Z:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_AA-2.zip
http://eldesaparecido.com/upload.html
Merci de votre contribution.

################## | E.O.F |
0
Réponse 33 / 44
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 20/02/2012 à 17:32
à la plzce de nod32 installe antivir et (version d'évaluation) , colle un rapport d'analyse avec (analyser tous les disque le c, Z ...)
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
20 févr. 2012 à 20:14
et colle un rapport avec prescan
https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan
0
Réponse 34 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
21 févr. 2012 à 09:51
Bonjour bonjour...

Alors :
- désinstallation de Nod
- install d'Antivir, scan et rapport :

------------------------------


Avira Professional Security
Date de création du fichier de rapport : mardi 21 février 2012 09:32

La recherche porte sur 3482863 souches de virus.

Le programme fonctionne en version intégrale.
Les services en ligne sont disponibles.

Détenteur de la licence : TNA
Numéro de série : 2219313438-ADJIM-0001000
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : AA
Nom de l'ordinateur : AA-2

Informations de version :
BUILD.DAT : 12.0.0.162 46758 Bytes 15/02/2012 15:48:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 21/02/2012 08:20:37
AVSCAN.DLL : 12.1.0.18 64976 Bytes 21/02/2012 08:20:37
LUKE.DLL : 12.1.0.19 68304 Bytes 21/02/2012 08:21:01
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 21/02/2012 08:21:36
AVREG.DLL : 12.1.0.29 228048 Bytes 21/02/2012 08:21:36
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:18:44
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 08:19:10
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 08:19:38
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 08:19:47
VBASE004.VDF : 7.11.21.239 2048 Bytes 01/02/2012 08:19:47
VBASE005.VDF : 7.11.21.240 2048 Bytes 01/02/2012 08:19:47
VBASE006.VDF : 7.11.21.241 2048 Bytes 01/02/2012 08:19:47
VBASE007.VDF : 7.11.21.242 2048 Bytes 01/02/2012 08:19:47
VBASE008.VDF : 7.11.21.243 2048 Bytes 01/02/2012 08:19:47
VBASE009.VDF : 7.11.21.244 2048 Bytes 01/02/2012 08:19:48
VBASE010.VDF : 7.11.21.245 2048 Bytes 01/02/2012 08:19:48
VBASE011.VDF : 7.11.21.246 2048 Bytes 01/02/2012 08:19:48
VBASE012.VDF : 7.11.21.247 2048 Bytes 01/02/2012 08:19:48
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03/02/2012 08:19:51
VBASE014.VDF : 7.11.22.56 687616 Bytes 03/02/2012 08:19:53
VBASE015.VDF : 7.11.22.92 178176 Bytes 06/02/2012 08:19:53
VBASE016.VDF : 7.11.22.154 144896 Bytes 08/02/2012 08:19:54
VBASE017.VDF : 7.11.22.220 183296 Bytes 13/02/2012 08:19:54
VBASE018.VDF : 7.11.23.34 202752 Bytes 15/02/2012 08:19:54
VBASE019.VDF : 7.11.23.98 126464 Bytes 17/02/2012 08:19:55
VBASE020.VDF : 7.11.23.150 148480 Bytes 20/02/2012 08:19:55
VBASE021.VDF : 7.11.23.151 2048 Bytes 20/02/2012 08:19:55
VBASE022.VDF : 7.11.23.152 2048 Bytes 20/02/2012 08:19:55
VBASE023.VDF : 7.11.23.153 2048 Bytes 20/02/2012 08:19:55
VBASE024.VDF : 7.11.23.154 2048 Bytes 20/02/2012 08:19:55
VBASE025.VDF : 7.11.23.155 2048 Bytes 20/02/2012 08:19:56
VBASE026.VDF : 7.11.23.156 2048 Bytes 20/02/2012 08:19:56
VBASE027.VDF : 7.11.23.157 2048 Bytes 20/02/2012 08:19:56
VBASE028.VDF : 7.11.23.158 2048 Bytes 20/02/2012 08:19:56
VBASE029.VDF : 7.11.23.159 2048 Bytes 20/02/2012 08:19:56
VBASE030.VDF : 7.11.23.160 2048 Bytes 20/02/2012 08:19:56
VBASE031.VDF : 7.11.23.168 4608 Bytes 21/02/2012 08:19:56
Version du moteur : 8.2.10.4
AEVDF.DLL : 8.1.2.2 106868 Bytes 21/02/2012 08:20:06
AESCRIPT.DLL : 8.1.4.5 442745 Bytes 21/02/2012 08:20:06
AESCN.DLL : 8.1.8.2 131444 Bytes 21/02/2012 08:20:05
AESBX.DLL : 8.2.4.5 434549 Bytes 21/02/2012 08:20:06
AERDL.DLL : 8.1.9.15 639348 Bytes 21/02/2012 08:20:05
AEPACK.DLL : 8.2.16.3 799094 Bytes 21/02/2012 08:20:04
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 21/02/2012 08:20:03
AEHEUR.DLL : 8.1.3.31 4395383 Bytes 21/02/2012 08:20:03
AEHELP.DLL : 8.1.19.0 254327 Bytes 21/02/2012 08:19:58
AEGEN.DLL : 8.1.5.21 409971 Bytes 21/02/2012 08:19:58
AEEXP.DLL : 8.1.0.22 70005 Bytes 21/02/2012 08:20:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 21/02/2012 08:19:57
AECORE.DLL : 8.1.25.4 201079 Bytes 21/02/2012 08:19:57
AEBB.DLL : 8.1.1.0 53618 Bytes 21/02/2012 08:19:57
AVWINLL.DLL : 12.1.0.17 27856 Bytes 21/02/2012 08:17:42
AVPREF.DLL : 12.1.0.17 52432 Bytes 21/02/2012 08:20:36
AVREP.DLL : 12.1.0.17 179408 Bytes 21/02/2012 08:21:36
AVARKT.DLL : 12.1.0.23 209360 Bytes 21/02/2012 08:20:19
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 21/02/2012 08:20:23
SQLITE3.DLL : 3.7.0.0 398288 Bytes 21/02/2012 08:21:16
AVSMTP.DLL : 12.1.0.17 63440 Bytes 21/02/2012 08:20:39
NETNT.DLL : 12.1.0.17 17104 Bytes 21/02/2012 08:21:07
RCIMAGE.DLL : 12.1.0.13 4715216 Bytes 21/02/2012 08:17:44
RCTEXT.DLL : 12.1.0.16 99792 Bytes 21/02/2012 08:17:45

Configuration pour la recherche actuelle :
Nom de la tâche...............................: unknown
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\alldiscs.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: intégral
Catégories de dangers divergentes.............: -DIAL,-ADSPY,-ADWARE,-BDC,-HIDDENEXT,-PHISH,

Début de la recherche : mardi 21 février 2012 09:32

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AVWEBGRD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BCMSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '302' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
Recherche débutant dans 'Z:\'
Z:\autorun.V03Vinf
[RESULTAT] Contient le modèle de détection du ver WORM/Kido.IX
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

Début de la désinfection :
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
Z:\autorun.V03Vinf
[RESULTAT] Contient le modèle de détection du ver WORM/Kido.IX
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !


Fin de la recherche : mardi 21 février 2012 09:46
Temps nécessaire: 12:29 Minute(s)

La recherche a été effectuée intégralement

2190 Les dossiers ont été contrôlés
47329 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
47327 Fichiers non infectés
540 Les archives ont été contrôlées
2 Avertissements
0 Consignes

----------------------------------------------

J'ai fait également le pre_scan dont le rapport se trouve ici : https://www.cjoint.com/?0BvjX3bVzcS


Merciiiiiiii !!
0
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 21/02/2012 à 11:03
salut pour avancer :

antivir est tres mal configuré :

https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal

============

ensuite :

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

file::
Z:\autorun.V03Vinf

folder::
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665

Mbr::

clean::

Reboot::
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
21 févr. 2012 à 10:49
slt merci d'avancer :)
0
Réponse 35 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
21 févr. 2012 à 11:25
Me revoilà !
J'ai modifié la config d'Avira, refait un scan (il a détecté les fichiers sur z:\, dit les avoir mis en quarantaine mais ils sont toujours sur z:\), et fait la manip avec prescript. Voici le rapport :
Encore une fois, merci !!!


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.214 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mis à jour : 14/02/2012 | 00.20 Par g3n-h@ckm@n
Utilisateur : AA (Administrateurs)
Ordinateur : AA-2
Système d'exploitation : Microsoft Windows XP (32 bits) Service Pack 3
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 8.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 11:35:17

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Non Supprimé : Z:\autorun.V03Vinf

¤

non Supprimé : Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200001d

Analysis of file "C:\Kill'em\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 11:35:49

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Réponse 36 / 44
Utilisateur anonyme
21 févr. 2012 à 11:59
reeessaie le script en mode sans echec
0
Réponse 37 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
21 févr. 2012 à 14:18
Et voilà :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.214 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mis à jour : 14/02/2012 | 00.20 Par g3n-h@ckm@n
Utilisateur : AA (Administrateurs)
Ordinateur : AA-2
Système d'exploitation : Microsoft Windows XP (32 bits) Service Pack 3
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 8.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 14:28:44

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Non Supprimé : Z:\autorun.V03Vinf

¤

non Supprimé : Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200001d

Analysis of file "C:\Kill'em\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 14:29:14

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


Merci !!
0
Réponse 38 / 44
Utilisateur anonyme
21 févr. 2012 à 14:37
va falloir retenter en coupant le lecteur reseau d'internet
0
Réponse 39 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
21 févr. 2012 à 14:41
c'est-à-dire couper l'accès internet sur le poste tout en laissant l'accès à Z:\, c'est bien ça ?
0
Utilisateur anonyme
21 févr. 2012 à 14:43
couper Z:\ d'internet
0
Réponse 40 / 44
t_o_citron Messages postés 33 Date d'inscription mardi 14 février 2012 Statut Membre Dernière intervention 6 mai 2014
21 févr. 2012 à 14:52
alors, je peux pas vraiment couper Z:\ d'internet, mais j'ai enlevé l'accès à internet depuis le poste.

Pre_scan avec le script m'a donné ça :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.214 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mis à jour : 14/02/2012 | 00.20 Par g3n-h@ckm@n
Utilisateur : AA (Administrateurs)
Ordinateur : AA-2
Système d'exploitation : Microsoft Windows XP (32 bits) Service Pack 3
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 8.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 15:03:27

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Non Supprimé : Z:\autorun.V03Vinf

¤

non Supprimé : Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200001d

Analysis of file "C:\Kill'em\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 15:03:58

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


Merci !!
0

Discussions similaires

jwgkvsq.vmx impossible a enlever
Manue182 -
crapoulou -

32 réponses