Virus Satan

Résolu
Haere Messages postés 21 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,
Un virus Satan a atteint mon système, par l'intermédiaire d'une carte mémoire, je crois. Il a contaminé une clé USB, probablement deux disques durs externes, et sans doute des cartes mémoires dans un camescope (non vérifiable).
Il apparait sous la forme de deux fichiers sur la clé : un fichier intitulé "Nouveau dossier", et un autre intitulé satan, de type VBScript Encoded, de taille 16,4 Ko. Pour le moment, le seul effet visible est la contamination des autres supports, le fait que je ne puisse pas supprimer ces fichiers, et l'impossibilité d'accéder au Gestionnaire des Tâches.
Merci de m'aider à 'en débarrasser.

58 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème décrit consiste en une infection par un virus nommé Satan qui se propage via une clé USB et contaminerait potentiellement des disques durs externes et des cartes mémoire. La solution prioritaire propose d’utiliser un outil antivirus dédié, telle Malwarebytes, pour un scan complet, désactiver temporairement les protections lors de l’installation et vérifier les rapports d’analyse avant suppression des objets infectés. D’autres conseils évoquent le blocage du réseau, le redémarrage, et l’utilisation de scripts ou outils spécifiques, tout en recommandant de débrancher les supports et de sauvegarder les données avant toute manipulation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    ▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

    ▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
    Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, carte SD , mp3 etc...) sans les ouvrir.
    ▶ Double cliquez sur UsbFix.exe.

    ▶ Cliquez sur Suppression.
    ▶ Laissez travailler l'outil.

    ▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

    ▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
    Tutoriel vidéo

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  2. Haere Messages postés 21 Statut Membre
     
    Merci pour votre aide si rapide.
    Voici copie du rapport obtenu avec usbfix :

    Mis à jour le 28/06/2012 par El Desaparecido
    Lancé à 12:50:44 | 03/07/2012

    Site Web: https://www.sosvirus.net/
    Forum: http://forum.eldesaparecido.com
    Fichier suspect ? : http://eldesaparecido.com/upload.php
    Contact: contact@eldesaparecido.com

    PC: FUJITSU SIEMENS (AMILO XI 1546) (X86-based PC) # Notebook
    CPU: Intel(R) Core(TM)2 CPU T5600 @ 1.83GHz (1828)
    RAM -> [Total : 1022 | Free : 345]
    BIOS: Ver 1.00PARTTBL
    BOOT: Normal boot

    OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    FW: Windows FireWall Service [Enabled]

    C:\ (%systemdrive%) -> Disque fixe # 112 Go (74 Go libre(s) - 66%) [System] # NTFS
    D:\ -> Disque fixe # 112 Go (248 Mo libre(s) - 0%) [Documents] # NTFS
    E:\ -> CD-ROM
    G:\ -> CD-ROM
    H:\ -> Disque fixe # 298 Go (86 Go libre(s) - 29%) [My Passport] # NTFS
    I:\ -> Disque fixe # 233 Go (11 Go libre(s) - 5%) [WD USB 2] # FAT32
    J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 62%) [MICROSD] # FAT

    ################## | Processus Actif |

    C:\WINDOWS\System32\smss.exe (860)
    C:\WINDOWS\system32\winlogon.exe (960)
    C:\WINDOWS\system32\services.exe (1012)
    C:\WINDOWS\system32\lsass.exe (1024)
    C:\WINDOWS\system32\Ati2evxx.exe (1200)
    C:\WINDOWS\system32\svchost.exe (1224)
    C:\WINDOWS\System32\svchost.exe (1352)
    C:\WINDOWS\system32\spoolsv.exe (1824)
    C:\WINDOWS\system32\Ati2evxx.exe (132)
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (316)
    C:\WINDOWS\Explorer.EXE (436)
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (500)
    C:\Program Files\Bonjour\mDNSResponder.exe (552)
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe (620)
    C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (652)
    C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe (704)
    C:\WINDOWS\system32\svchost.exe (852)
    C:\WINDOWS\system32\svchost.exe (972)
    C:\Program Files\Java\jre6\bin\jqs.exe (1384)
    C:\WINDOWS\System32\svchost.exe (1540)
    C:\WINDOWS\System32\WScript.exe (1576)
    C:\WINDOWS\System32\svchost.exe (2044)
    C:\Program Files\VIA\RAID\raid_tool.exe (140)
    C:\WINDOWS\RTHDCPL.EXE (188)
    C:\WINDOWS\sm56hlpr.exe (2032)
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2068)
    C:\Program Files\CyberLink\PowerCinema\PCMService.exe (2136)
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (2304)
    C:\Program Files\Alwil Software\Avast5\avastUI.exe (2316)
    C:\WINDOWS\System32\PAStiSvc.exe (2388)
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (2452)
    C:\WINDOWS\system32\svchost.exe (2460)
    C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (2544)
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe (2608)
    C:\Program Files\iTunes\iTunesHelper.exe (2644)
    C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (2812)
    C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE (3108)
    C:\WINDOWS\system32\ctfmon.exe (3444)
    C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (3556)
    D:\Téléchargements\CoreTemp32\Core Temp.exe (3960)
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (4040)
    C:\Program Files\Microsoft Office\Office\OSA.EXE (4060)
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (568)
    C:\Program Files\PIXELA\VideoBrowser\CameraMonitor.exe (1036)
    C:\Program Files\iPod\bin\iPodService.exe (3728)
    C:\WINDOWS\system32\wbem\wmiapsrv.exe (832)
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (1728)
    C:\Program Files\Mozilla Thunderbird\thunderbird.exe (2260)
    C:\Program Files\Skype\Phone\Skype.exe (2696)
    C:\Program Files\Mozilla Firefox\firefox.exe (2024)
    C:\WINDOWS\system32\wscntfy.exe (2868)
    C:\Program Files\Mozilla Firefox\plugin-container.exe (3592)
    C:\UsbFix\Go.exe (2780)

    ################## | Processus Stoppés |

    Stoppé! C:\WINDOWS\system32\Ati2evxx.exe (1200)
    Stoppé! C:\WINDOWS\system32\spoolsv.exe (1824)
    Stoppé! C:\WINDOWS\system32\Ati2evxx.exe (132)
    Stoppé! C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (316)
    Stoppé! C:\WINDOWS\Explorer.EXE (436)
    Stoppé! C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (500)
    Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (552)
    Stoppé! C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe (620)
    Stoppé! C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (652)
    Stoppé! C:\Program Files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe (704)
    Stoppé! C:\Program Files\Java\jre6\bin\jqs.exe (1384)
    Stoppé! C:\WINDOWS\System32\WScript.exe (1576)
    Stoppé! C:\Program Files\VIA\RAID\raid_tool.exe (140)
    Stoppé! C:\WINDOWS\RTHDCPL.EXE (188)
    Stoppé! C:\WINDOWS\sm56hlpr.exe (2032)
    Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2068)
    Stoppé! C:\Program Files\CyberLink\PowerCinema\PCMService.exe (2136)
    Stoppé! C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (2304)
    Stoppé! C:\Program Files\Alwil Software\Avast5\avastUI.exe (2316)
    Stoppé! C:\WINDOWS\System32\PAStiSvc.exe (2388)
    Stoppé! C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (2452)
    Stoppé! C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (2544)
    Stoppé! C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe (2608)
    Stoppé! C:\Program Files\iTunes\iTunesHelper.exe (2644)
    Stoppé! C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (2812)
    Stoppé! C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~1.EXE (3108)
    Stoppé! C:\WINDOWS\system32\ctfmon.exe (3444)
    Stoppé! C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (3556)
    Stoppé! D:\Téléchargements\CoreTemp32\Core Temp.exe (3960)
    Stoppé! C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (4040)
    Stoppé! C:\Program Files\Microsoft Office\Office\OSA.EXE (4060)
    Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (568)
    Stoppé! C:\Program Files\PIXELA\VideoBrowser\CameraMonitor.exe (1036)
    Stoppé! C:\Program Files\iPod\bin\iPodService.exe (3728)
    Stoppé! C:\WINDOWS\system32\wbem\wmiapsrv.exe (832)
    Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (1728)
    Stoppé! C:\Program Files\Mozilla Thunderbird\thunderbird.exe (2260)
    Stoppé! C:\Program Files\Skype\Phone\Skype.exe (2696)
    Stoppé! C:\Program Files\Mozilla Firefox\firefox.exe (2024)
    Stoppé! C:\WINDOWS\system32\wscntfy.exe (2868)
    Stoppé! C:\Program Files\Mozilla Firefox\plugin-container.exe (3592)

    ################## | Éléments infectieux |

    Supprimé! C:\DOCUME~1\Philippe\LOCALS~1\Temp\hpzmsi01.exe
    Supprimé! C:\DOCUME~1\Philippe\LOCALS~1\Temp\hpzscr01.exe
    Supprimé! C:\Documents and Settings\Philippe\Windows\HUMOUR.vbe
    Supprimé! C:\Recycler\S-1-5-21-484763869-1425521274-725345543-1004
    Supprimé! D:\Recycler\S-1-5-21-484763869-1425521274-725345543-1004
    Supprimé! H:\Recycler\S-1-5-21-1703334443-3520164416-1325749352-1003
    Supprimé! H:\Recycler\S-1-5-21-1801674531-1202660629-1596493795-1003
    Supprimé! H:\Recycler\S-1-5-21-484763869-1425521274-725345543-1004
    Supprimé! H:\Recycler\S-1-5-21-839522115-1214440339-1417001333-500
    Non supprimé ! G:\autorun.inf
    Supprimé! I:\AUTORUN.INF

    (!) Fichiers temporaires supprimés.

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Updates

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{29861438-f726-11df-bc25-806d6172696f}

    ################## | Listing |

    [15/11/2010 - 21:16:50 | D ] C:\AddOn
    [15/11/2010 - 21:11:29 | N | 0] C:\AUTOEXEC.BAT
    [15/11/2010 - 21:05:30 | N | 216] C:\boot.ini
    [05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
    [29/06/2012 - 08:36:31 | D ] C:\Config.Msi
    [15/11/2010 - 21:11:29 | N | 0] C:\CONFIG.SYS
    [17/03/2011 - 14:26:46 | D ] C:\Documents and Settings
    [17/02/2011 - 14:37:09 | N | 184] C:\drwtsn32.log
    [15/11/2010 - 21:30:18 | D ] C:\fsc.tmp
    [14/04/2010 - 11:00:44 | N | 271704] C:\hpzids01.dll
    [15/11/2010 - 21:11:29 | N | 0] C:\IO.SYS
    [20/11/2010 - 11:21:59 | N | 17] C:\log.txt
    [15/11/2010 - 21:11:29 | N | 0] C:\MSDOS.SYS
    [05/08/2004 - 14:00:00 | N | 47564] C:\NTDETECT.COM
    [15/11/2010 - 21:46:47 | N | 252240] C:\ntldr
    [12/07/2011 - 17:52:41 | N | 921632] C:\PA7311.DAT
    [03/07/2012 - 08:23:59 | ASH | 1610612736] C:\pagefile.sys
    [25/06/2012 - 12:36:29 | D ] C:\Program Files
    [03/07/2012 - 13:10:16 | SHD ] C:\RECYCLER
    [15/11/2010 - 21:20:32 | SHD ] C:\System Volume Information
    [03/07/2012 - 13:10:46 | D ] C:\UsbFix
    [03/07/2012 - 13:10:46 | A | 7362] C:\UsbFix.txt
    [22/06/2012 - 00:18:11 | D ] C:\WINDOWS
    [30/01/2012 - 11:32:54 | D ] D:\Adobe
    [31/12/2011 - 01:00:49 | N | 574] D:\Anciens documents Excel.lnk
    [22/02/2011 - 10:39:02 | N | 55270] D:\cc_20110222_093834.reg
    [22/02/2011 - 10:39:40 | N | 600] D:\cc_20110222_093931.reg
    [24/06/2012 - 12:18:11 | D ] D:\Chorale
    [02/07/2012 - 15:32:16 | N | 20136] D:\Dakar-2.pvbve
    [15/11/2010 - 23:19:07 | ASH | 80] D:\desktop.ini
    [18/03/2012 - 10:54:58 | D ] D:\Divers
    [29/11/2010 - 13:56:46 | D ] D:\Docs Nous deux
    [30/12/2011 - 23:39:28 | N | 4707] D:\ffastun.ffa
    [30/12/2011 - 23:39:28 | N | 122880] D:\ffastun.ffl
    [30/12/2011 - 23:39:28 | N | 61440] D:\ffastun.ffo
    [30/12/2011 - 23:39:28 | N | 270336] D:\ffastun0.ffx
    [25/06/2012 - 09:43:36 | D ] D:\found.000
    [16/02/2012 - 17:33:35 | D ] D:\Import Mgr Data
    [25/06/2012 - 12:31:25 | D ] D:\Ma musique
    [28/06/2012 - 18:38:20 | D ] D:\MAGIX
    [06/03/2012 - 21:15:37 | D ] D:\MAGIX Downloads
    [07/03/2012 - 01:14:43 | D ] D:\MAGIX Téléchargements
    [19/07/2011 - 22:18:32 | D ] D:\Maison
    [31/05/2009 - 23:40:22 | N | 568] D:\Mes dossiers de partage.lnk
    [29/06/2012 - 16:46:46 | D ] D:\Mes images
    [26/06/2012 - 22:08:07 | D ] D:\Mes numérisations
    [31/12/2011 - 01:00:52 | D ] D:\Mes sites Web
    [19/11/2010 - 01:39:04 | D ] D:\Mes sons
    [02/07/2012 - 15:47:20 | D ] D:\Mes vidéos
    [05/03/2012 - 00:54:07 | D ] D:\MP-Manager
    [28/02/2011 - 20:13:08 | D ] D:\My eBooks
    [19/11/2010 - 01:42:36 | D ] D:\My PSP Files
    [19/11/2010 - 01:42:36 | D ] D:\NeroVision
    [19/11/2010 - 01:42:36 | D ] D:\Photos Bernard
    [03/07/2012 - 13:10:17 | SHD ] D:\RECYCLER
    [25/10/2011 - 23:50:45 | D ] D:\Sante
    [15/11/2010 - 21:24:19 | SHD ] D:\System Volume Information
    [02/03/2012 - 17:54:37 | D ] D:\Sénégal
    [02/01/2012 - 22:48:15 | D ] D:\Temp
    [19/11/2010 - 01:43:25 | D ] D:\TomTom
    [20/01/2012 - 17:12:08 | D ] D:\Travail
    [03/07/2012 - 12:41:02 | D ] D:\Téléchargements
    [31/01/2011 - 13:29:57 | N | 24064] D:\~WRL0004.tmp
    [31/01/2011 - 13:38:09 | N | 19968] D:\~WRL0086.tmp
    [31/01/2011 - 14:20:44 | N | 20992] D:\~WRL0763.tmp
    [31/01/2011 - 20:27:03 | N | 25088] D:\~WRL3663.tmp
    [31/01/2011 - 13:41:10 | N | 20480] D:\~WRL3864.tmp
    [31/01/2011 - 21:46:25 | N | 25088] D:\~WRL4001.tmp
    [06/05/2010 - 17:21:18 | R | 82] G:\autorun.inf
    [09/09/2010 - 00:16:26 | RD ] G:\Extras
    [08/09/2010 - 19:51:20 | R | 5054752] G:\Unlock.exe
    [08/09/2010 - 19:51:22 | R | 4615456] G:\WD Quick Formatter.exe
    [22/06/2010 - 23:13:43 | RD ] G:\WD SmartWare
    [23/09/2010 - 19:49:07 | D ] H:\Extras
    [03/07/2012 - 13:10:17 | SHD ] H:\RECYCLER
    [03/07/2012 - 09:57:01 | D ] H:\Sauvegarde
    [03/07/2011 - 18:58:56 | SHD ] H:\System Volume Information
    [23/09/2010 - 19:49:07 | D ] H:\User Manuals
    [08/09/2010 - 19:51:24 | N | 4615456] H:\WD Quick Formatter.exe
    [11/03/2011 - 08:44:05 | D ] H:\WD SmartWare
    [08/09/2010 - 19:51:22 | N | 5553952] H:\WD SmartWare.exe
    [17/10/2002 - 09:56:50 | N | 36] I:\AUTORUN.FCB
    [15/10/2006 - 17:41:46 | D ] I:\Documents and Settings
    [21/11/2010 - 23:33:50 | N | 3018752] I:\ffastun0.ffx
    [08/08/2005 - 21:02:08 | SHD ] I:\System Volume Information
    [08/08/2005 - 21:04:24 | SHD ] I:\Recycled
    [08/08/2005 - 21:06:06 | D ] I:\P2P
    [09/08/2005 - 08:44:30 | D ] I:\Photos
    [21/11/2010 - 23:33:50 | N | 991232] I:\ffastun.ffl
    [21/11/2010 - 23:33:54 | N | 774144] I:\ffastun.ffo
    [21/11/2010 - 23:33:54 | N | 4743] I:\ffastun.ffa
    [10/11/2010 - 00:03:20 | D ] I:\Docs Philippe importés portable 09nov10
    [09/08/2005 - 13:20:00 | D ] I:\Docs Philippe
    [09/08/2005 - 19:40:34 | D ] I:\Docs Noemi
    [10/08/2005 - 16:25:12 | D ] I:\Docs Nous deux
    [12/11/2010 - 18:47:16 | D ] I:\Sauvegarde Thunderbird Contenu de Inbox sbd
    [25/10/2005 - 13:14:44 | D ] I:\sauvegarde sonicstage
    [12/11/2010 - 18:26:02 | D ] I:\Sauvegarde Fichiers SonicStage 12-11-2010(Contenu de Package)
    [12/11/2010 - 18:53:42 | D ] I:\Sauvegarde Thunderbird Contenu de Sent sbd
    [14/10/2006 - 20:24:22 | D ] I:\SMRTNTKY
    [19/08/2004 - 16:10:06 | N | 28672] I:\setupSNK.exe
    [14/01/2008 - 18:59:42 | D ] I:\e-mail et adresses importées du portable140108
    [14/01/2008 - 19:21:02 | D ] I:\sauvegarde my_places google earth 140108
    [03/05/2002 - 00:47:30 | D ] I:\Messages courriels à importer
    [09/02/2008 - 21:38:48 | SHD ] I:\$RECYCLE.BIN
    [27/07/2008 - 09:35:12 | N | 2352929] I:\01_Aire sur Adour.jpg
    [19/02/2011 - 12:05:56 | ASH | 6656] I:\Thumbs.db

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F |
    0
  3. g3n-h@ckm@n
     
    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Haere Messages postés 21 Statut Membre
     
    Complément : Je n'ai pas eu besoin d'utiliser http://forums-fec.be/gen-hackman/Pre_Scan.pif
    0
  6. g3n-h@ckm@n
     
    desinstalle Adobe reader 9
    desinstalle tout Java
    desinstalle windows searchqu toolbar

    =============

    @: à L'attention de ceux qui utilisent les switchs de Pre_script :
    n'utiliser que les switchs proposés sur la page correspondante :
    https://gen-hackman.kanak.fr/

    ================================

    Clique sur ce lien : https://www.cjoint.com/?BGds3WQCLzO

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  7. Haere Messages postés 21 Statut Membre
     
    Merci.
    J'ai désinstallé Adobe Reader 9.5 et les deux logiciels Java.
    Mais je ne trouve pas Windows searchqu toolbar.
    0
  8. g3n-h@ckm@n
     
    ok pas grave c est des restes ca va sauter de toute facon , la suite :)
    0
  9. Haere Messages postés 21 Statut Membre
     
    Je pense avoir exécuté les actions demandées.
    J'ai maintenant une petite fenêtre Pre_Script, "Kill des processus", qui reste vierge.
    0
  10. g3n-h@ckm@n
     
    ben t'as du reactiver avast , sa sandbox , et tutti cuanti....
    0
  11. Haere Messages postés 21 Statut Membre
     
    Oui, il s'était réactivé seul...
    Donc je recommence la dernière étape, après avoir de nouveau désactivé avast.
    0
  12. Haere Messages postés 21 Statut Membre
     
    Et... Zut ! Pré-Script a bien démarré, a fait une pause sur MBR, et une fenêtre nouvelle "Nettoyage de disques" s'est ouverte annonçant un calcul de la quantité d'espace pouvant être libérée sur le système... Et au bout d'un moment, Windows s'est fermé !
    0
  13. Haere Messages postés 21 Statut Membre
     
    J'ai relancé. Même incident...
    0
  14. Haere Messages postés 21 Statut Membre
     
    Après vérification, les fichiers indésirables sont toujours présents sur la carte mémoire et la clé USB infectées (Ce n'est pas une surprise puisque l'opération de désinfection n'est pas arrivée à son terme).
    Par contre, le gestionnaire des tâches est redevenu accessible.
    0
  15. g3n-h@ckm@n
     
    poste le rapport qui se trouve sur ton bureau dans tes icones ou dans c:\
    0
  16. Haere Messages postés 21 Statut Membre
     
    Voici le rapport Pre_script trouvé sur le bureau:

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.703 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Philippe : Microsoft Windows XP (32 bits)

    Switchs : https://gen-hackman.kanak.fr/

    Script : 21:31:48

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Suppression registre

    Clé supprimée : HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
    Clé supprimée : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F6B75EF9-6CDD-4ED5-8A02-0EC3EFE65604}
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Alcmtr
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:NeroFilterCheck
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:HP Software Update
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:DATAMNGR
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:TrayServer
    Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:
    Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{99079a25-328f-4bd4-be04-00955acaa0a7}
    Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:10
    Valeur supprimée : [HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\Microsoft\Internet Explorer\Toolbar]:Locked
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
    Clé supprimée : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Clé supprimée : HKCR\Applications\Acrobat.exe
    Clé supprimée : HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\DataMngr
    Clé supprimée : HKU\S-1-5-21-484763869-1425521274-725345543-1004\Software\DataMngr_Toolbar
    Clé supprimée : HKLM\Software\BrowserChoice
    Clé supprimée : HKLM\Software\DataMngr
    Clé supprimée : HKLM\Software\Freeze.com
    Clé supprimée : HKLM\Software\SearchquMediabarTb

    ¤

    Absent : C:\Program Files\Mozilla Firefox\searchplugins\Search_Results.xml
    Absent : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\searchplugins\Search_Results.xml
    Absent : C:\WINDOWS\*.tmp
    Absent :

    ¤

    non Supprimé : C:\PROGRA~1\SEARCH~1
    Absent : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
    Absent : C:\Documents and Settings\Philippe\Application Data\searchqutoolbar
    Absent : C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
    Absent : C:\Documents and Settings\Philippe\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
    Absent : C:\Documents and Settings\Invité\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}
    non Supprimé : C:\Program Files\Searchqu Toolbar

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows XP Home Edition
    Windows Information: Service Pack 3 (build 2600)
    Logical Drives Mask: 0x000003fc

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows XP MBR code detected
    0
  17. g3n-h@ckm@n
     
    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    (Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste son rapport.
    0
  18. Haere Messages postés 21 Statut Membre
     
    # AdwCleaner v1.701 - Rapport créé le 03/07/2012 à 23:38:41
    # Mis à jour le 02/07/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Philippe - PENEAU
    # Exécuté depuis : D:\Téléchargements\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\Searchqutoolbar
    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\boost_interprocess
    Dossier Supprimé : C:\Program Files\Searchqu Toolbar
    Fichier Supprimé : C:\Documents and Settings\All Users\Bureau\Get The Best Facebook Chat Messenger.lnk

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\DataMngr
    Clé Supprimée : HKCU\Software\DataMngr_Toolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
    Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
    Clé Supprimée : HKLM\SOFTWARE\DataMngr
    Clé Supprimée : HKLM\SOFTWARE\Freeze.com
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar
    Clé Supprimée : HKLM\SOFTWARE\SearchquMediabarTb
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v13.0.1 (fr)

    Nom du profil : default
    Fichier : C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\nwuppqh6.default\prefs.js

    Supprimée : user_pref("browser.search.defaultenginename", "Search Results");
    Supprimée : user_pref("browser.search.order.1", "Search Results");
    Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&sr=0&q=");

    -\\ Google Chrome v20.0.1132.47

    Fichier : C:\Documents and Settings\Philippe\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    Supprimée : "homepage": "hxxp://www.searchnu.com/410",
    Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.searchnu.com/410" ]
    Supprimée : "homepage": "hxxp://www.searchnu.com/410",
    Supprimée : "urls_to_restore_on_startup": [ "hxxp://www.searchnu.com/410" ]

    *************************

    AdwCleaner[S1].txt - [3977 octets] - [03/07/2012 23:38:41]

    ########## EOF - C:\AdwCleaner[S1].txt - [4105 octets] ##########
    0
  19. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  20. Haere Messages postés 21 Statut Membre
     
    Bonjour,
    Voici le rapport de Malwarebyte's :

    2012/07/04 00:11:56 +0200 PENEAU Philippe MESSAGE Starting protection
    2012/07/04 00:12:02 +0200 PENEAU Philippe MESSAGE Protection started successfully
    2012/07/04 00:12:05 +0200 PENEAU Philippe MESSAGE Starting IP protection
    2012/07/04 00:12:10 +0200 PENEAU Philippe MESSAGE IP Protection started successfully
    2012/07/04 02:31:20 +0200 PENEAU Philippe MESSAGE Executing scheduled update: Daily
    2012/07/04 02:31:21 +0200 PENEAU Philippe ERROR Scheduled update failed: Host not found failed with error code 0

    Pour info, voici l'autre rapport :

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Philippe :: PENEAU [administrateur]

    Protection: Activé

    04/07/2012 00:13:26
    mbam-log-2012-07-04 (00-13-26).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 477411
    Temps écoulé: 2 heure(s), 51 minute(s), 23 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 3
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_XMLLookup (Hijacker.XMLLookup) -> Données: http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Données: http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_intl (Hijacker.intl) -> Données: http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 2
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|XMLLookup (Hijacker.XMLLookup) -> Mauvais: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Bon: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|intl (Hijacker.intl) -> Mauvais: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Bon: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  • 1
  • 2
  • 3