Sujet Précédent Sujet Suivant

Virus Satan

Résolu/Fermé
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012 - 3 juil. 2012 à 12:03
 Utilisateur anonyme - 5 juil. 2012 à 11:56
Bonjour,
Un virus Satan a atteint mon système, par l'intermédiaire d'une carte mémoire, je crois. Il a contaminé une clé USB, probablement deux disques durs externes, et sans doute des cartes mémoires dans un camescope (non vérifiable).
Il apparait sous la forme de deux fichiers sur la clé : un fichier intitulé "Nouveau dossier", et un autre intitulé satan, de type VBScript Encoded, de taille 16,4 Ko. Pour le moment, le seul effet visible est la contamination des autres supports, le fait que je ne puisse pas supprimer ces fichiers, et l'impossibilité d'accéder au Gestionnaire des Tâches.
Merci de m'aider à 'en débarrasser.


A voir également:

58 réponses

Réponse 1 / 58
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 3/07/2012 à 12:10
salut

▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, carte SD , mp3 etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 2 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 13:33
Merci pour votre aide si rapide.
Voici copie du rapport obtenu avec usbfix :

Mis à jour le 28/06/2012 par El Desaparecido
Lancé à 12:50:44 | 03/07/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: FUJITSU SIEMENS (AMILO XI 1546) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 CPU T5600 @ 1.83GHz (1828)
RAM -> [Total : 1022 | Free : 345]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 112 Go (74 Go libre(s) - 66%) [System] # NTFS
D:\ -> Disque fixe # 112 Go (248 Mo libre(s) - 0%) [Documents] # NTFS
E:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque fixe # 298 Go (86 Go libre(s) - 29%) [My Passport] # NTFS
I:\ -> Disque fixe # 233 Go (11 Go libre(s) - 5%) [WD USB 2] # FAT32
J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 62%) [MICROSD] # FAT

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (860)
C:\WINDOWS\system32\winlogon.exe (960)
C:\WINDOWS\system32\services.exe (1012)
C:\WINDOWS\system32\lsass.exe (1024)
C:\WINDOWS\system32\Ati2evxx.exe (1200)
C:\WINDOWS\system32\svchost.exe (1224)
C:\WINDOWS\System32\svchost.exe (1352)
C:\WINDOWS\system32\spoolsv.exe (1824)
C:\WINDOWS\system32\Ati2evxx.exe (132)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (316)
C:\WINDOWS\Explorer.EXE (436)
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (500)
C:\Program Files\Bonjour\mDNSResponder.exe (552)
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe (620)
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (652)
C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe (704)
C:\WINDOWS\system32\svchost.exe (852)
C:\WINDOWS\system32\svchost.exe (972)
C:\Program Files\Java\jre6\bin\jqs.exe (1384)
C:\WINDOWS\System32\svchost.exe (1540)
C:\WINDOWS\System32\WScript.exe (1576)
C:\WINDOWS\System32\svchost.exe (2044)
C:\Program Files\VIA\RAID\raid_tool.exe (140)
C:\WINDOWS\RTHDCPL.EXE (188)
C:\WINDOWS\sm56hlpr.exe (2032)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2068)
C:\Program Files\CyberLink\PowerCinema\PCMService.exe (2136)
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (2304)
C:\Program Files\Alwil Software\Avast5\avastUI.exe (2316)
C:\WINDOWS\System32\PAStiSvc.exe (2388)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (2452)
C:\WINDOWS\system32\svchost.exe (2460)
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (2544)
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe (2608)
C:\Program Files\iTunes\iTunesHelper.exe (2644)
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (2812)
C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE (3108)
C:\WINDOWS\system32\ctfmon.exe (3444)
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (3556)
D:\Téléchargements\CoreTemp32\Core Temp.exe (3960)
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (4040)
C:\Program Files\Microsoft Office\Office\OSA.EXE (4060)
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (568)
C:\Program Files\PIXELA\VideoBrowser\CameraMonitor.exe (1036)
C:\Program Files\iPod\bin\iPodService.exe (3728)
C:\WINDOWS\system32\wbem\wmiapsrv.exe (832)
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (1728)
C:\Program Files\Mozilla Thunderbird\thunderbird.exe (2260)
C:\Program Files\Skype\Phone\Skype.exe (2696)
C:\Program Files\Mozilla Firefox\firefox.exe (2024)
C:\WINDOWS\system32\wscntfy.exe (2868)
C:\Program Files\Mozilla Firefox\plugin-container.exe (3592)
C:\UsbFix\Go.exe (2780)

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\system32\Ati2evxx.exe (1200)
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1824)
Stoppé! C:\WINDOWS\system32\Ati2evxx.exe (132)
Stoppé! C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (316)
Stoppé! C:\WINDOWS\Explorer.EXE (436)
Stoppé! C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (500)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (552)
Stoppé! C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe (620)
Stoppé! C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (652)
Stoppé! C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe (704)
Stoppé! C:\Program Files\Java\jre6\bin\jqs.exe (1384)
Stoppé! C:\WINDOWS\System32\WScript.exe (1576)
Stoppé! C:\Program Files\VIA\RAID\raid_tool.exe (140)
Stoppé! C:\WINDOWS\RTHDCPL.EXE (188)
Stoppé! C:\WINDOWS\sm56hlpr.exe (2032)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2068)
Stoppé! C:\Program Files\CyberLink\PowerCinema\PCMService.exe (2136)
Stoppé! C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (2304)
Stoppé! C:\Program Files\Alwil Software\Avast5\avastUI.exe (2316)
Stoppé! C:\WINDOWS\System32\PAStiSvc.exe (2388)
Stoppé! C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (2452)
Stoppé! C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (2544)
Stoppé! C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe (2608)
Stoppé! C:\Program Files\iTunes\iTunesHelper.exe (2644)
Stoppé! C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (2812)
Stoppé! C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE (3108)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (3444)
Stoppé! C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (3556)
Stoppé! D:\Téléchargements\CoreTemp32\Core Temp.exe (3960)
Stoppé! C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (4040)
Stoppé! C:\Program Files\Microsoft Office\Office\OSA.EXE (4060)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (568)
Stoppé! C:\Program Files\PIXELA\VideoBrowser\CameraMonitor.exe (1036)
Stoppé! C:\Program Files\iPod\bin\iPodService.exe (3728)
Stoppé! C:\WINDOWS\system32\wbem\wmiapsrv.exe (832)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (1728)
Stoppé! C:\Program Files\Mozilla Thunderbird\thunderbird.exe (2260)
Stoppé! C:\Program Files\Skype\Phone\Skype.exe (2696)
Stoppé! C:\Program Files\Mozilla Firefox\firefox.exe (2024)
Stoppé! C:\WINDOWS\system32\wscntfy.exe (2868)
Stoppé! C:\Program Files\Mozilla Firefox\plugin-container.exe (3592)

################## | Éléments infectieux |

Supprimé! C:\DOCUME~1\Philippe\LOCALS~1\Temp\hpzmsi01.exe
Supprimé! C:\DOCUME~1\Philippe\LOCALS~1\Temp\hpzscr01.exe
Supprimé! C:\Documents and Settings\Philippe\Windows\HUMOUR.vbe
Supprimé! C:\Recycler\S-1-5-21-484763869-1425521274-725345543-1004
Supprimé! D:\Recycler\S-1-5-21-484763869-1425521274-725345543-1004
Supprimé! H:\Recycler\S-1-5-21-1703334443-3520164416-1325749352-1003
Supprimé! H:\Recycler\S-1-5-21-1801674531-1202660629-1596493795-1003
Supprimé! H:\Recycler\S-1-5-21-484763869-1425521274-725345543-1004
Supprimé! H:\Recycler\S-1-5-21-839522115-1214440339-1417001333-500
Non supprimé ! G:\autorun.inf
Supprimé! I:\AUTORUN.INF

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Updates

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{29861438-f726-11df-bc25-806d6172696f}

################## | Listing |

[15/11/2010 - 21:16:50 | D ] C:\AddOn
[15/11/2010 - 21:11:29 | N | 0] C:\AUTOEXEC.BAT
[15/11/2010 - 21:05:30 | N | 216] C:\boot.ini
[05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
[29/06/2012 - 08:36:31 | D ] C:\Config.Msi
[15/11/2010 - 21:11:29 | N | 0] C:\CONFIG.SYS
[17/03/2011 - 14:26:46 | D ] C:\Documents and Settings
[17/02/2011 - 14:37:09 | N | 184] C:\drwtsn32.log
[15/11/2010 - 21:30:18 | D ] C:\fsc.tmp
[14/04/2010 - 11:00:44 | N | 271704] C:\hpzids01.dll
[15/11/2010 - 21:11:29 | N | 0] C:\IO.SYS
[20/11/2010 - 11:21:59 | N | 17] C:\log.txt
[15/11/2010 - 21:11:29 | N | 0] C:\MSDOS.SYS
[05/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[15/11/2010 - 21:46:47 | N | 252240] C:\ntldr
[12/07/2011 - 17:52:41 | N | 921632] C:\PA7311.DAT
[03/07/2012 - 08:23:59 | ASH | 1610612736] C:\pagefile.sys
[25/06/2012 - 12:36:29 | D ] C:\Program Files
[03/07/2012 - 13:10:16 | SHD ] C:\RECYCLER
[15/11/2010 - 21:20:32 | SHD ] C:\System Volume Information
[03/07/2012 - 13:10:46 | D ] C:\UsbFix
[03/07/2012 - 13:10:46 | A | 7362] C:\UsbFix.txt
[22/06/2012 - 00:18:11 | D ] C:\WINDOWS
[30/01/2012 - 11:32:54 | D ] D:\Adobe
[31/12/2011 - 01:00:49 | N | 574] D:\Anciens documents Excel.lnk
[22/02/2011 - 10:39:02 | N | 55270] D:\cc_20110222_093834.reg
[22/02/2011 - 10:39:40 | N | 600] D:\cc_20110222_093931.reg
[24/06/2012 - 12:18:11 | D ] D:\Chorale
[02/07/2012 - 15:32:16 | N | 20136] D:\Dakar-2.pvbve
[15/11/2010 - 23:19:07 | ASH | 80] D:\desktop.ini
[18/03/2012 - 10:54:58 | D ] D:\Divers
[29/11/2010 - 13:56:46 | D ] D:\Docs Nous deux
[30/12/2011 - 23:39:28 | N | 4707] D:\ffastun.ffa
[30/12/2011 - 23:39:28 | N | 122880] D:\ffastun.ffl
[30/12/2011 - 23:39:28 | N | 61440] D:\ffastun.ffo
[30/12/2011 - 23:39:28 | N | 270336] D:\ffastun0.ffx
[25/06/2012 - 09:43:36 | D ] D:\found.000
[16/02/2012 - 17:33:35 | D ] D:\Import Mgr Data
[25/06/2012 - 12:31:25 | D ] D:\Ma musique
[28/06/2012 - 18:38:20 | D ] D:\MAGIX
[06/03/2012 - 21:15:37 | D ] D:\MAGIX Downloads
[07/03/2012 - 01:14:43 | D ] D:\MAGIX Téléchargements
[19/07/2011 - 22:18:32 | D ] D:\Maison
[31/05/2009 - 23:40:22 | N | 568] D:\Mes dossiers de partage.lnk
[29/06/2012 - 16:46:46 | D ] D:\Mes images
[26/06/2012 - 22:08:07 | D ] D:\Mes numérisations
[31/12/2011 - 01:00:52 | D ] D:\Mes sites Web
[19/11/2010 - 01:39:04 | D ] D:\Mes sons
[02/07/2012 - 15:47:20 | D ] D:\Mes vidéos
[05/03/2012 - 00:54:07 | D ] D:\MP-Manager
[28/02/2011 - 20:13:08 | D ] D:\My eBooks
[19/11/2010 - 01:42:36 | D ] D:\My PSP Files
[19/11/2010 - 01:42:36 | D ] D:\NeroVision
[19/11/2010 - 01:42:36 | D ] D:\Photos Bernard
[03/07/2012 - 13:10:17 | SHD ] D:\RECYCLER
[25/10/2011 - 23:50:45 | D ] D:\Sante
[15/11/2010 - 21:24:19 | SHD ] D:\System Volume Information
[02/03/2012 - 17:54:37 | D ] D:\Sénégal
[02/01/2012 - 22:48:15 | D ] D:\Temp
[19/11/2010 - 01:43:25 | D ] D:\TomTom
[20/01/2012 - 17:12:08 | D ] D:\Travail
[03/07/2012 - 12:41:02 | D ] D:\Téléchargements
[31/01/2011 - 13:29:57 | N | 24064] D:\~WRL0004.tmp
[31/01/2011 - 13:38:09 | N | 19968] D:\~WRL0086.tmp
[31/01/2011 - 14:20:44 | N | 20992] D:\~WRL0763.tmp
[31/01/2011 - 20:27:03 | N | 25088] D:\~WRL3663.tmp
[31/01/2011 - 13:41:10 | N | 20480] D:\~WRL3864.tmp
[31/01/2011 - 21:46:25 | N | 25088] D:\~WRL4001.tmp
[06/05/2010 - 17:21:18 | R | 82] G:\autorun.inf
[09/09/2010 - 00:16:26 | RD ] G:\Extras
[08/09/2010 - 19:51:20 | R | 5054752] G:\Unlock.exe
[08/09/2010 - 19:51:22 | R | 4615456] G:\WD Quick Formatter.exe
[22/06/2010 - 23:13:43 | RD ] G:\WD SmartWare
[23/09/2010 - 19:49:07 | D ] H:\Extras
[03/07/2012 - 13:10:17 | SHD ] H:\RECYCLER
[03/07/2012 - 09:57:01 | D ] H:\Sauvegarde
[03/07/2011 - 18:58:56 | SHD ] H:\System Volume Information
[23/09/2010 - 19:49:07 | D ] H:\User Manuals
[08/09/2010 - 19:51:24 | N | 4615456] H:\WD Quick Formatter.exe
[11/03/2011 - 08:44:05 | D ] H:\WD SmartWare
[08/09/2010 - 19:51:22 | N | 5553952] H:\WD SmartWare.exe
[17/10/2002 - 09:56:50 | N | 36] I:\AUTORUN.FCB
[15/10/2006 - 17:41:46 | D ] I:\Documents and Settings
[21/11/2010 - 23:33:50 | N | 3018752] I:\ffastun0.ffx
[08/08/2005 - 21:02:08 | SHD ] I:\System Volume Information
[08/08/2005 - 21:04:24 | SHD ] I:\Recycled
[08/08/2005 - 21:06:06 | D ] I:\P2P
[09/08/2005 - 08:44:30 | D ] I:\Photos
[21/11/2010 - 23:33:50 | N | 991232] I:\ffastun.ffl
[21/11/2010 - 23:33:54 | N | 774144] I:\ffastun.ffo
[21/11/2010 - 23:33:54 | N | 4743] I:\ffastun.ffa
[10/11/2010 - 00:03:20 | D ] I:\Docs Philippe importés portable 09nov10
[09/08/2005 - 13:20:00 | D ] I:\Docs Philippe
[09/08/2005 - 19:40:34 | D ] I:\Docs Noemi
[10/08/2005 - 16:25:12 | D ] I:\Docs Nous deux
[12/11/2010 - 18:47:16 | D ] I:\Sauvegarde Thunderbird Contenu de Inbox sbd
[25/10/2005 - 13:14:44 | D ] I:\sauvegarde sonicstage
[12/11/2010 - 18:26:02 | D ] I:\Sauvegarde Fichiers SonicStage 12-11-2010(Contenu de Package)
[12/11/2010 - 18:53:42 | D ] I:\Sauvegarde Thunderbird Contenu de Sent sbd
[14/10/2006 - 20:24:22 | D ] I:\SMRTNTKY
[19/08/2004 - 16:10:06 | N | 28672] I:\setupSNK.exe
[14/01/2008 - 18:59:42 | D ] I:\e-mail et adresses importées du portable140108
[14/01/2008 - 19:21:02 | D ] I:\sauvegarde my_places google earth 140108
[03/05/2002 - 00:47:30 | D ] I:\Messages courriels à importer
[09/02/2008 - 21:38:48 | SHD ] I:\$RECYCLE.BIN
[27/07/2008 - 09:35:12 | N | 2352929] I:\01_Aire sur Adour.jpg
[19/02/2011 - 12:05:56 | ASH | 6656] I:\Thumbs.db

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |
0
Réponse 3 / 58
Utilisateur anonyme
3 juil. 2012 à 13:56
Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
0
Réponse 4 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 18:10
Merci encore.
Voici le lien obtenu :
https://pjjoint.malekal.com/files.php?id=20120703_g7q8g14p12g6
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 18:52
Complément : Je n'ai pas eu besoin d'utiliser http://forums-fec.be/gen-hackman/Pre_Scan.pif
0
Réponse 6 / 58
Utilisateur anonyme
3 juil. 2012 à 18:56
desinstalle Adobe reader 9
desinstalle tout Java
desinstalle windows searchqu toolbar

=============


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGds3WQCLzO

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Réponse 7 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 19:20
Merci.
J'ai désinstallé Adobe Reader 9.5 et les deux logiciels Java.
Mais je ne trouve pas Windows searchqu toolbar.
0
Réponse 8 / 58
Utilisateur anonyme
3 juil. 2012 à 19:21
ok pas grave c est des restes ca va sauter de toute facon , la suite :)
0
Réponse 9 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 19:50
Je pense avoir exécuté les actions demandées.
J'ai maintenant une petite fenêtre Pre_Script, "Kill des processus", qui reste vierge.
0
Réponse 10 / 58
Utilisateur anonyme
3 juil. 2012 à 19:59
ben t'as du reactiver avast , sa sandbox , et tutti cuanti....
0
Réponse 11 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 20:04
Oui, il s'était réactivé seul...
Donc je recommence la dernière étape, après avoir de nouveau désactivé avast.
0
Réponse 12 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 20:29
Et... Zut ! Pré-Script a bien démarré, a fait une pause sur MBR, et une fenêtre nouvelle "Nettoyage de disques" s'est ouverte annonçant un calcul de la quantité d'espace pouvant être libérée sur le système... Et au bout d'un moment, Windows s'est fermé !
0
Réponse 13 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 20:59
J'ai relancé. Même incident...
0
Réponse 14 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 21:23
Après vérification, les fichiers indésirables sont toujours présents sur la carte mémoire et la clé USB infectées (Ce n'est pas une surprise puisque l'opération de désinfection n'est pas arrivée à son terme).
Par contre, le gestionnaire des tâches est redevenu accessible.
0
Réponse 15 / 58
Utilisateur anonyme
3 juil. 2012 à 22:48
poste le rapport qui se trouve sur ton bureau dans tes icones ou dans c:\
0
Réponse 16 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 23:10
Voici le rapport Pre_script trouvé sur le bureau:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.703 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Philippe : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 21:31:48

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Clé supprimée : HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé supprimée : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F6B75EF9-6CDD-4ED5-8A02-0EC3EFE65604}
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Alcmtr
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:NeroFilterCheck
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:HP Software Update
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:DATAMNGR
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:TrayServer
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{99079a25-328f-4bd4-be04-00955acaa0a7}
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:10
Valeur supprimée : [HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\Microsoft\Internet Explorer\Toolbar]:Locked
Clé supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Clé supprimée : HKCR\Applications\Acrobat.exe
Clé supprimée : HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\DataMngr
Clé supprimée : HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\DataMngr_Toolbar
Clé supprimée : HKLM\Software\BrowserChoice
Clé supprimée : HKLM\Software\DataMngr
Clé supprimée : HKLM\Software\Freeze.com
Clé supprimée : HKLM\Software\SearchquMediabarTb

¤

Absent : C:\Program Files\Mozilla Firefox\searchplugins\Search_Results.xml
Absent : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\searchplugins\Search_Results.xml
Absent : C:\WINDOWS\*.tmp
Absent :

¤

non Supprimé : C:\PROGRA~1\SEARCH~1
Absent : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
Absent : C:\Documents and Settings\Philippe\Application Data\searchqutoolbar
Absent : C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
Absent : C:\Documents and Settings\Philippe\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
Absent : C:\Documents and Settings\Invité\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
non Supprimé : C:\Program Files\Searchqu Toolbar

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000003fc

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
0
Réponse 17 / 58
Utilisateur anonyme
3 juil. 2012 à 23:32
Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.
0
Réponse 18 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
3 juil. 2012 à 23:44
# AdwCleaner v1.701 - Rapport créé le 03/07/2012 à 23:38:41
# Mis à jour le 02/07/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Philippe - PENEAU
# Exécuté depuis : D:\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\Searchqutoolbar
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\boost_interprocess
Dossier Supprimé : C:\Program Files\Searchqu Toolbar
Fichier Supprimé : C:\Documents and Settings\All Users\Bureau\Get The Best Facebook Chat Messenger.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Freeze.com
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar
Clé Supprimée : HKLM\SOFTWARE\SearchquMediabarTb
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v13.0.1 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "Search Results");
Supprimée : user_pref("browser.search.order.1", "Search Results");
Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&sr=0&q=");

-\\ Google Chrome v20.0.1132.47

Fichier : C:\Documents and Settings\Philippe\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée : "homepage": "hxxp://www.searchnu.com/410",
Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.searchnu.com/410" ]
Supprimée : "homepage": "hxxp://www.searchnu.com/410",
Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.searchnu.com/410" ]

*************************

AdwCleaner[S1].txt - [3977 octets] - [03/07/2012 23:38:41]

########## EOF - C:\AdwCleaner[S1].txt - [4105 octets] ##########
0
Réponse 19 / 58
Utilisateur anonyme
3 juil. 2012 à 23:47
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 20 / 58
Haere Messages postés 21 Date d'inscription mardi 3 juillet 2012 Statut Membre Dernière intervention 4 juillet 2012
4 juil. 2012 à 08:01
Bonjour,
Voici le rapport de Malwarebyte's :

2012/07/04 00:11:56 +0200 PENEAU Philippe MESSAGE Starting protection
2012/07/04 00:12:02 +0200 PENEAU Philippe MESSAGE Protection started successfully
2012/07/04 00:12:05 +0200 PENEAU Philippe MESSAGE Starting IP protection
2012/07/04 00:12:10 +0200 PENEAU Philippe MESSAGE IP Protection started successfully
2012/07/04 02:31:20 +0200 PENEAU Philippe MESSAGE Executing scheduled update: Daily
2012/07/04 02:31:21 +0200 PENEAU Philippe ERROR Scheduled update failed: Host not found failed with error code 0

Pour info, voici l'autre rapport :

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Philippe :: PENEAU [administrateur]

Protection: Activé

04/07/2012 00:13:26
mbam-log-2012-07-04 (00-13-26).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 477411
Temps écoulé: 2 heure(s), 51 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_XMLLookup (Hijacker.XMLLookup) -> Données: http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Données: http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_intl (Hijacker.intl) -> Données: http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|XMLLookup (Hijacker.XMLLookup) -> Mauvais: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Bon: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|intl (Hijacker.intl) -> Mauvais: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Bon: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses