Gros problème avec photos sur appareilRésolu/Fermé

Question

Bonjour, 
Je viens de brancher mon appareil photo pour récuperer mes photos de vacances. 
Il me restait plus que 100 photos en mémoire, 271 mo libres sur 3.75 Go. (jusque là tout est normal)

Seulement, lorsque je vais sur les photos, elles ne font plus que 356ko (toutes! sauf quelques unes à la fin qui font bien 2 Mo)
 De plus, lorsque j'en pointe une, l'ordinateur la considère comme une 'application'.
 Enfin, sur les icone de chaque photos, il y a le bouclier de l'administrateur. Je ne peux pas les ouvrir, un message avec "une référence a été envoyé par le serveur" apparait.
 
Quelqu'un peut m'aider, je stresse de toute les avoir perdues.. 

Merci ! 


Configuration: Windows 7 / Internet Explorer 9.0

¡El Desaparecido! · Accepted Answer

Arrfff

On est pas loin de la vérité .


Fais ceci : 

Ouvre la commande executer (menu demarrer -> accesoire > invite de commande ) en faisant un clic droit et executer en tant qu'administrateur
 
Dans la fentre noire copie colle : 

dir /a-d/b/s "C:\Users\Utilisateur\AppData\Roaming\Java\*.*">>%homedrive%\appdata.txt 

Post le rapport C:\appdata.txt

zanarkand8 · Answer

svp !

¡El Desaparecido! · Answer

Hello,


# Télécharge UsbFix sur ton Bureau.

# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double clique sur UsbFix.exe.  

# Clique sur Suppression.
# Laisse travailler l'outil. 

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 

# Tutoriel en images

zanarkand8 · Answer

Merci de suivre mon cas. Voici le rapport fait en début d'aprèm :
Je dois y aller là, je regarde ta réponse en fin d'aprem, merci encore.


############################## | UsbFix V 7.095 | [Suppression]

Utilisateur: Bernard (Administrateur) # BERNARD-PC
Mis à jour le 08/08/2012 par El Desaparecido
Lancé à 11:07:17 | 11/08/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: Dell Inc.                 (OptiPlex 745                 ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz (2394)
RAM -> [Total : 3070 | Free : 2144]
BIOS: Phoenix ROM BIOS PLUS Version 1.10 2.6.4 
BOOT: Normal boot

OS: Microsoft Windows 7 Professionnel  (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Trend Micro Titanium Internet Security 2012 [(!) Disabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 75 Go (23 Go libre(s) - 31%) [HD 80Mo] # NTFS
D:\ -> Disque fixe # 75 Go (41 Go libre(s) - 55%) [Disk II] # NTFS
E:\ -> CD-ROM
I:\ -> Disque amovible # 4 Go (216 Mo libre(s) - 6%) [] # FAT32
J:\ -> CD-ROM

################## | Processus Actif |

C:\Windows\system32\csrss.exe (420)
C:\Windows\system32\wininit.exe (480)
C:\Windows\system32\csrss.exe (492)
C:\Windows\system32\services.exe (536)
C:\Windows\system32\lsass.exe (552)
C:\Windows\system32\lsm.exe (560)
C:\Windows\system32\winlogon.exe (624)
C:\Windows\system32\svchost.exe (720)
C:\Windows\system32\svchost.exe (800)
C:\Windows\System32\svchost.exe (876)
C:\Windows\System32\svchost.exe (908)
C:\Windows\system32\svchost.exe (936)
C:\Windows\system32\svchost.exe (1108)
C:\Windows\system32\svchost.exe (1216)
C:\Windows\System32\spoolsv.exe (1356)
C:\Windows\system32\svchost.exe (1452)
C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe (1596)
C:\Windows\system32\Dwm.exe (1696)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1724)
C:\Program Files\Trend Micro\UniClient\UiFrmWrk\uiWatchDog.exe (1732)
C:\Windows\system32	askhost.exe (1740)
C:\Windows\system32\conhost.exe (1772)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1812)
C:\Program Files\Trend Micro\AMSP\coreFrameworkHost.exe (1828)
C:\Windows\system32\conhost.exe (1844)
C:\Windows\Explorer.EXE (1900)
C:\Program Files\Bonjour\mDNSResponder.exe (108)
C:\Windows\system32\svchost.exe (360)
C:\Windows\system32\svchost.exe (424)
C:\Program Files\Microsoft LifeCam\MSCamS32.exe (664)
C:\Windows\System32\svchost.exe (660)
C:\Windows\System32\svchost.exe (1252)
C:\Windows\system32\svchost.exe (1668)
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (1692)
C:\Windows\system32\svchost.exe (2292)
C:\Program Files\Trend Micro\Titanium\plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe (2924)
C:\Program Files\HP\HP Software Update\hpwuschd2.exe (2992)
C:\Program Files\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe (3036)
C:\Program Files\iTunes\iTunesHelper.exe (3048)
C:\Program Files\ATnotes\ATnotes.exe (3200)
C:\Program Files\Garmin\gStart.exe (3208)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (3216)
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (3228)
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (3256)
C:\Program Files\iPod\bin\iPodService.exe (3408)
C:\Windows\system32\SearchIndexer.exe (3516)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3596)
C:\Windows\System32\svchost.exe (3996)
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (2060)
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (2600)
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (2872)
C:\Windows\system32\WUDFHost.exe (3060)
C:\Program Files\Internet Explorer\iexplore.exe (396)
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe (2464)
C:\Program Files\Internet Explorer\iexplore.exe (5296)
C:\Windows\system32\Macromed\Flash\FlashUtil32_11_3_300_270_ActiveX.exe (988)
C:\UsbFix\Go.exe (4684)
C:\Windows\system32\wbem\wmiprvse.exe (4720)
C:\Windows\system32\wbem\wmiprvse.exe (2956)

################## | Processus Stoppés |

Stoppé! C:\Windows\System32\spoolsv.exe (1356)
Stoppé! C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe (1596)
Stoppé! C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1724)
Stoppé! C:\Program Files\Trend Micro\UniClient\UiFrmWrk\uiWatchDog.exe (1732)
Stoppé! C:\Windows\system32	askhost.exe (1740)
Stoppé! C:\Windows\system32\conhost.exe (1772)
Stoppé! C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1812)
Stoppé! C:\Program Files\Trend Micro\AMSP\coreFrameworkHost.exe (1828)
Stoppé! C:\Windows\system32\conhost.exe (1844)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (108)
Stoppé! C:\Program Files\Microsoft LifeCam\MSCamS32.exe (664)
Stoppé! C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (1692)
Stoppé! C:\Program Files\Trend Micro\Titanium\plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe (2924)
Stoppé! C:\Program Files\HP\HP Software Update\hpwuschd2.exe (2992)
Stoppé! C:\Program Files\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe (3036)
Stoppé! C:\Program Files\iTunes\iTunesHelper.exe (3048)
Stoppé! C:\Program Files\ATnotes\ATnotes.exe (3200)
Stoppé! C:\Program Files\Garmin\gStart.exe (3208)
Stoppé! C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (3216)
Stoppé! C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (3228)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (3256)
Stoppé! C:\Program Files\iPod\bin\iPodService.exe (3408)
Stoppé! C:\Windows\system32\SearchIndexer.exe (3516)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (3596)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (2060)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (2600)
Stoppé! C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (2872)
Stoppé! C:\Windows\system32\WUDFHost.exe (3060)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (396)
Stoppé! C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe (2464)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (5296)
Stoppé! C:\Windows\system32\Macromed\Flash\FlashUtil32_11_3_300_270_ActiveX.exe (988)

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-20
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1756738267-1130008757-1211622188-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1756738267-1130008757-1211622188-1000
Supprimé! I:\autorun.inf

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fe21a24e-9767-11e1-af2c-0019b92c42f3}

################## | Listing |

[11/08/2012 - 11:08:39 | SHD ] 	C:\$Recycle.Bin
[10/06/2009 - 23:42:20 | N | 24] 	C:\autoexec.bat
[06/05/2012 - 16:31:03 | SHD ] 	C:\Boot
[06/05/2012 - 16:30:52 | RSH | 383786] 	C:\bootmgr
[06/05/2012 - 21:42:26 | N | 8192] 	C:\BOOTSECT.BAK
[10/06/2009 - 23:42:20 | N | 10] 	C:\config.sys
[14/07/2009 - 06:53:55 | SHD ] 	C:\Documents and Settings
[07/05/2012 - 15:41:39 | D ] 	C:\Garmin
[11/08/2012 - 10:42:50 | ASH | 2414039040] 	C:\hiberfil.sys
[06/05/2012 - 15:05:54 | RHD ] 	C:\MSOCache
[11/08/2012 - 10:42:52 | ASH | 3218722816] 	C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] 	C:\PerfLogs
[12/07/2012 - 18:21:08 | D ] 	C:\Program Files
[23/06/2012 - 11:55:34 | HD ] 	C:\ProgramData
[06/05/2012 - 11:59:48 | SHD ] 	C:\Recovery
[05/08/2012 - 00:20:20 | SHD ] 	C:\System Volume Information
[06/05/2012 - 16:17:43 | D ] 	C:	emp
[11/08/2012 - 11:08:39 | D ] 	C:\UsbFix
[11/08/2012 - 11:07:27 | A | 7721] 	C:\UsbFix.txt
[06/05/2012 - 12:00:01 | D ] 	C:\Users
[11/08/2012 - 10:43:06 | D ] 	C:\Windows
[06/05/2012 - 16:30:58 | N | 206312] 	C:\XELDZ
[11/08/2012 - 11:08:39 | SHD ] 	D:\$RECYCLE.BIN
[08/05/2012 - 23:28:11 | D ] 	D:\Appartement 1° étage  rue beuvron
[08/05/2012 - 23:28:11 | D ] 	D:\cyrielle australie 2
[08/05/2012 - 23:28:14 | D ] 	D:\Fête de l'arbre
[08/05/2012 - 23:28:15 | D ] 	D:\HUGO AND Co
[08/05/2012 - 23:28:15 | D ] 	D:\Louis Desmaris
[08/05/2012 - 23:14:18 | D ] 	D:
oir et blanc
[08/05/2012 - 23:14:30 | D ] 	D:\Photos 2004
[08/05/2012 - 23:14:56 | D ] 	D:\Photos 2005
[08/05/2012 - 23:15:19 | D ] 	D:\Photos 2006
[08/05/2012 - 23:16:01 | D ] 	D:\Photos 2007
[08/05/2012 - 23:17:34 | D ] 	D:\Photos 2008
[08/05/2012 - 23:22:01 | D ] 	D:\Photos 2009
[08/05/2012 - 23:28:08 | D ] 	D:\Photos 2010
[08/05/2012 - 23:39:57 | D ] 	D:\Photos 2011
[03/08/2012 - 13:10:08 | D ] 	D:\Photos 2012
[08/05/2012 - 23:34:14 | D ] 	D:\photos a developper
[08/05/2012 - 23:40:39 | D ] 	D:\photos caro
[08/05/2012 - 23:40:31 | D ] 	D:\Photos Clement
[08/05/2012 - 23:40:36 | D ] 	D:\Photos Croatie Duré
[08/05/2012 - 23:41:02 | D ] 	D:\photos maman
[06/05/2012 - 11:44:02 | SHD ] 	D:\System Volume Information
[01/01/1601 - 02:00:00 | D ] 	I:\DCIM
[01/01/1601 - 02:00:00 | D ] 	I:\MISC
[05/10/2008 - 17:05:34 | D ] 	I:\Recycled
[23/08/2009 - 19:35:28 | D ] 	I:\FOUND.000
[14/11/2011 - 14:27:38 | HD ] 	I:\.Trashes
[14/11/2011 - 14:27:38 | N | 4096] 	I:\._.Trashes
[14/11/2011 - 14:27:48 | N | 6148] 	I:\.DS_Store
[30/04/2012 - 11:25:24 | N | 11110] 	I:\BOOTEX.LOG
[19/07/2012 - 13:53:30 | D ] 	I:\R?CYCLER

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_BERNARD-PC.zip
http://eldesaparecido.com/upload.php
Merci de votre contribution.

################## | E.O.F |

¡El Desaparecido! · Answer

Re,

T'es photo sont sur le lecteur I:\ ? dans le dossier DCIM ?

Fais ceci aussi stp : 


Nous allons éffectuer un diagnostic de ton ordinateur.

# Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau.

# Double-clique sur ZHPDiag2.exe pour lancer l'installation.
# Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
# N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

# L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
# Double-clique sur ZHPDiag pour lancer l'exécution.
# Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

# Clique sur la loupe pour lancer l'analyse.
# Tu patientes jusqu'à ce que le scan affiche 100%.
# Le rapport est sauvegardé sur le bureau.
# Ferme ZHPDiag.

# Héberger et transmettre un rapport.

# Rend toi sur Pjjoint de Malekal.
# Clique sur Parcourir et cherche le rapport de ZHPDiag sur ton bureau
# Clique ensuite sur Envoyer le fichier.
# Tu obtiendras un message de confirmation avec un lien.
# Transmet ce lien dans ta prochaine réponse.

zanarkand8 · Answer

Bon l'analyse est en cours. (la carte SD n'est plus dans l'ordi hein.)
Les photos sont bien sur I: dans le dossier DCIM.


voici le rapport


https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120811_h10g10q5p9w6

merci

zanarkand8 · Answer

Voici le rapport AVEC la carte SD insérée dans l'ordinateur. Je ne sais pas si cela change quelque chose.

Merci !

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120811_g11i6l7i7o6

¡El Desaparecido! · Answer

Re,

Branche ta carte SD

Télécharge ce fichier 

Dézippe le et fais un clic droit sur Carte_SD.bat, choisi executer en tant qu'administrateur.

Post le rapport qui apparaitra ensuite ( C:\Carte_SD.txt )

zanarkand8 · Answer

Voici le rapport : 

https://pjjoint.malekal.com/files.php?read=20120812_i1413d5j10u5

¡El Desaparecido! · Answer

Re,

Il va falloir que je teste ton infection pour pouvoir t'aider, pour cela il me faut quelques fichiers .exe ( avec le bouclier ) contenu dans ce dossier : I:\DCIM\109_PANA

Fais moi parvenir quelques un de ces fichiers ici stp pour analyse : http://eldesaparecido.com/upload.php

Apres traitement de ton infection, je te proposerai une solution. Dis moi quand tu as envoyé les fichiers stp.

zanarkand8 · Answer

Ca y est , je les ai "uploadé"

1090001 et 1090002

Sachant que TOUTES les photos de 108_PANA sont avec bouclier et que seulement les 3 premières de 109_PANA sont avec bouclier. (dont les 2 que je t'ai envoyé.)

¡El Desaparecido! · Answer

Ok je test,

Voila deja à quoi nous avons à faire : 
https://www.virustotal.com/gui/file/ca4792e3cffa7cb4bcce6a9d6b52d94a618cf5e59426c50c32a8beaeecf772b5

Je te tiens au courant

zanarkand8 · Answer

TrendMicro  --  WORM_AUTORUN.ZYC 


C'est ce que trendmicro a reconnu chez moi, en effet. 
J'attends de tes nouvelles, merci encore.

(Jespère qu'il y a une solution, je suis vraiment en stress de perdre toutes mes photos de vacances...  :(

¡El Desaparecido! · Answer

Re,

T'es photos ne sont pas perdues rassures toi. 
J'ai besoin que tu refasse un scan avant d'intervenir :

Supprime 
Carte_SD.bat & l'archive que tu as précédemment téléchargé. 

Retélécharge le zip et réeffectue un scan stp avec le lecteur I:\ (carte ) branché. 
Post moi le rapport ensuite ( C:\Carte_SD.txt ) 

Le nouveau fichier à télécharger

zanarkand8 · Answer

Voilà :

https://pjjoint.malekal.com/files.php?read=20120812_x6n13g5k14s9

¡El Desaparecido! · Answer

Ok,

Je vais te préparer de quoi réparer tout ça, je dois juste bouger environ 3H, à mon retour je te passe les instructions ;)

zanarkand8 · Answer

Merci encore..!

¡El Desaparecido! · Answer

Re,

Désolé pour le retard,

Branche ta carte SD 

Télécharge ce fichier
 
Dézippe le et fais un clic droit sur Clean_Card.bat, choisi executer en tant qu'administrateur.
 
Post le rapport qui apparaitra ensuite ( C:\Carte_SD_Nettoyage.txt )

zanarkand8 · Answer

Voici le rapport :

https://pjjoint.malekal.com/files.php?read=20120812_m12u11w5h15r7



Mes photos sont revenues !! Merci beaucoup !!
Y'a t'il autre chose à faire maintenant ?

¡El Desaparecido! · Answer

Re,

Cool pour les photos :)


Y'a t'il autre chose à faire maintenant ?

Tu peux supprimer : C:\Backup Carte SD

C'est photos la, ça te parle ? 

Dh39.JPG  
Dh40.JPG  
Dh41.JPG  
Dh42.JPG  
Dh43.JPG  
Dh44.JPG  
Dh45.JPG 

etc

zanarkand8 · Answer

Non, elle sont dans quel dossier ?

(tu peux les ouvrir? Ce sont quoi comme photos ?)
Celle de mes vacances sont dans les 108_PANA et 109_PANA.

Et elles sont numérotées comme ça :   P1080202 etc...

¡El Desaparecido! · Answer

elles sont ici :

I:\Recycled\Dh48.JPG  
Ne touche pas aux fichiers .exe  I:\Recycled\Dh6.exe  

Le dossier recycled est caché, pour le voir fait ceci : 

http://www.forum-seven.com/forum/

zanarkand8 · Answer

Effectivement, il y a des "DHxx" dans recycled (y'en a 28). Elles ont les même propriétés que les photos touchées par le virus.
(bouclier sur l'icone et 356 ko de taille)

Doit t-on faire les même démarches ? Dans ce cas, à partir de quelle étape ?

Je dois y aller je suis sur l'ordi dans 3h.

Merci encore..!

¡El Desaparecido! · Answer

On va les récupérer et tu verras bien de quoi il s'agit.

Je t'envoi la marche à suivre pour ton retour ;)

zanarkand8 · Answer

bon, on fera ça demain, je suis rentré tard..!
Merci beaucoup !

¡El Desaparecido! · Answer

Re,  

idem, j'ai pas eu le temps hier soir.,  

Branche ta carte SD  

Télécharge ce fichier  

Dézippe le et fais un clic droit sur Clean_Card.bat, choisi executer en tant qu'administrateur. 
  
Edit : tu retrouveras les photos dans le dossier C:\Backup Recycled
Post le rapport qui apparaitra ensuite ( C:\Carte_SD_Nettoyage.txt )  

El Desaparecido

zanarkand8 · Answer

Bonjour,
Bon j'ai fais une bêtise..

J'ai branché ma clé USB qui avait ce virus sur mon ordinateur, et de nouveau sur ma carte SD les photos ne font plus que 350 ko. 
Dois-je refaire les même démarches  qu'auparavant ?

Merci..!

¡El Desaparecido! · Answer

re,

Arff ^^

Passe usbfix option listing avec clé et carte branché et post le rapport.

Laisse la carte et la clé branchés pour l'instant

zanarkand8 · Answer

############################## | UsbFix V 7.095 | [Listing]

Utilisateur: Utilisateur (Administrateur) # PC-DE-CLEMENT
Mis à jour le 08/08/2012 par El Desaparecido
Lancé à 20:47:17 | 13/08/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: Sony Corporation (VGN-FZ31S) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU     T8100  @ 2.10GHz (2101)
RAM -> [Total : 2046 | Free : 986]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.19272

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 222 Go (129 Go libre(s) - 58%) [] # NTFS
E:\ -> Disque amovible # 4 Go (192 Mo libre(s) - 5%) [INTEGRAL] # FAT32
G:\ -> Disque amovible # 4 Go (28 Mo libre(s) - 1%) [] # FAT32

################## | Listing |

[26/01/2012 - 22:49:14 | SHD ] 	C:\$RECYCLE.BIN
[18/09/2006 - 23:43:36 | A | 24] 	C:\autoexec.bat
[23/12/2011 - 12:38:05 | D ] 	C:\Boot
[11/04/2009 - 00:36:38 | RASH | 333257] 	C:\bootmgr
[22/12/2011 - 18:48:23 | RAS | 8192] 	C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] 	C:\Documents and Settings
[13/08/2012 - 19:17:13 | ASH | 2145837056] 	C:\hiberfil.sys
[23/12/2011 - 10:59:38 | D ] 	C:\Intel
[26/12/2011 - 20:17:25 | RD ] 	C:\MSOCache
[13/08/2012 - 19:17:10 | ASH | 2459635712] 	C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] 	C:\PerfLogs
[04/03/2012 - 17:38:38 | D ] 	C:\Pre_Scan
[13/08/2012 - 18:13:43 | RD ] 	C:\Program Files
[27/06/2012 - 22:20:14 | D ] 	C:\ProgramData
[26/01/2012 - 22:49:13 | D ] 	C:\Qoobox
[12/07/2012 - 23:59:08 | SHD ] 	C:\System Volume Information
[13/08/2012 - 20:47:19 | D ] 	C:\UsbFix
[13/08/2012 - 20:47:14 | A | 2013] 	C:\UsbFix.txt
[22/12/2011 - 18:59:57 | RD ] 	C:\Users
[13/08/2012 - 19:17:10 | D ] 	C:\Windows
[13/08/2012 - 17:39:34 | RSHD ] 	E:\RÈCYCLER
[13/08/2012 - 17:39:36 | RASH | 65222] 	E:\autorun.inf
[24/07/2012 - 13:22:12 | D ] 	E:\Photos bab 24.07.12
[26/07/2012 - 18:30:40 | D ] 	E:\Photos clem 26.07.12
[01/01/1601 - 02:00:00 | D ] 	G:\DCIM
[01/01/1601 - 02:00:00 | D ] 	G:\MISC
[05/10/2008 - 17:05:34 | D ] 	G:\Recycled
[23/08/2009 - 19:35:28 | D ] 	G:\FOUND.000
[14/11/2011 - 14:27:38 | HD ] 	G:\.Trashes
[14/11/2011 - 14:27:38 | N | 4096] 	G:\._.Trashes
[14/11/2011 - 14:27:48 | N | 6148] 	G:\.DS_Store
[30/04/2012 - 11:25:24 | N | 11110] 	G:\BOOTEX.LOG
[19/07/2012 - 13:53:30 | D ] 	G:\R?CYCLER
[11/08/2012 - 11:09:42 | RASHD ] 	G:\Autorun.inf
[13/08/2012 - 17:45:02 | RSHD ] 	G:\RÈCYCLER

################## | E.O.F |

¡El Desaparecido! · Answer

Re,

Fais ceci :

Ouvre la commande executer (menu demarrer -> accesoire > invite de commande ) en faisant un clic droit et executer en tant qu'administrateur

Dans la fentre noire copie colle : 

dir /a-d/b/s "E:\RÈCYCLER\*.*">>%homedrive%\cle_usb.txt

Post le rapport C:\cle_usb.txt stp

zanarkand8 · Answer

Je colle le texte en gras et ferme la fenetre mais après, il ne se passe rien...

zanarkand8 · Answer

E:\RÔCYCLER\Desktop.ini
E:\RÔCYCLER	humbs.db

¡El Desaparecido! · Answer

Recommence avec cette ligne stp: 

dir /a-d/b/s "E:\*.*">>%homedrive%\cle_usb.txt

zanarkand8 · Answer

https://pjjoint.malekal.com/files.php?read=20120813_o14n10z511i8

¡El Desaparecido! · Answer

Télécharge ce fichier 
  
Dézippe le et fais un clic droit sur Clean.bat, choisi executer en tant qu'administrateur. 
  
Post le rapport qui apparaitra ensuite ( C:\Carte_SD_Nettoyage.txt )  


El Desaparecido

zanarkand8 · Answer

https://pjjoint.malekal.com/files.php?read=20120813_q12g10p15c7q5

¡El Desaparecido! · Answer

Tu vois tes photos dans G et E

zanarkand8 · Answer

Oui je les vois !
Merci !
Mais j'ai l'impression d'en avoir perdu. Il me semblait avoir plus que 2,7 Go.
C'est possible  que j'en ai perdu ??

¡El Desaparecido! · Answer

Avec ce que l'on a fait non. 

Je vais aller me coucher, on refera le pont demain, je serais dispo :) 

Bonne nuit 

Ps: sauvegarde tes photos dans un autre dossier deja ;)

zanarkand8 · Answer

oui ça y est je les ai transférée sur mon ordinateur.
Je me rappelle de l'ordi infecté lors de mes vacances. J'y avait branché ma carte SD, et 2 clés USB.
Il en reste donc une à désinfecter..!
Je l'amène au taf pour faire ça demain dans la journée.

Merci encore..!

zanarkand8 · Answer

Dans C:  j'ai un fichier nommé "Backup Carte SD"

Dedans, il y a 1758 "photos" (qu'on ne peut pas visionner) de la taille de 356 ko.

Elles ont pour noms : P1090532 etc...


Dans mes photos récupérées j'en ai 1182.

Sais-tu ce que cela signifie ?

¡El Desaparecido! · Answer

Hello,

Fais ceci :


Ouvre la commande executer (menu demarrer -> accesoire > invite de commande ) en faisant un clic droit et executer en tant qu'administrateur
 
Dans la fentre noire copie colle : 

attrib -r -s -h -a "%HomeDrive%\Backup Carte SD\*.*" /s /d

 Regarde ensuite le contenu de Backup Carte SD

zanarkand8 · Answer

Bonjour,
Je suis sur mon ordi de travail, je ferais cette étape ce soir..!

Cependant, il me reste une clé USB que j'ai avec moi qui doit être aussi infectée.
Peux-t-on faire la désinfection ?

Je suis sur XP là.
Merci

¡El Desaparecido! · Answer

Il vaut mieux attendre ce soir, et ne pas travailler sur le pc de ton boulot ;)

zanarkand8 · Answer

Je suis chez moi pour désinfecter ma dernière clé usb..!

¡El Desaparecido! · Answer

Hello,

Branche cette clé et effectue usbfix option listing stp

zanarkand8 · Answer

Bon je ne comprend plus rien, j'ai branché ma clé USB sensée être désinfectée et de nouveau les photos sur cette clé sont sont à 356ko.
De plus mes photos ayant l'air correctes (qui sont maintenant sur mon bureau), je les copie sur une autre clé (celle de ma copine donc tout à fait saine) les photos transférées sur cette clé sont à 356ko.

¡El Desaparecido! · Answer

^^

Bon on va tout reprendre ;)

Laisse branché : Les 2 clé usb + la carte SD 

Ensuite Supprime les .zip et les dossier extrait que je t'ai fais téléchargé puis : 


# Télécharge DelFix par Xplode.
# Exécute delfix.exe 
# Clique sur Suppression.
# Patiente pendant le scan jusqu'à l'ouverture du rapport.
 
# Poste le contenu du rapport dans ta prochaine réponse sur le forum.
# Note : Le rapport se trouve sous C:\DelFix[S1].txt

( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller )

¡El Desaparecido! · Answer

Je vais faire un check-up complet de mon ordi. 
Je vais créer un nouveau sujet pour une analyse complète. je reviendrais ensuite pour désinfecter les clés USB (il y en a 3 maintenant d'infectées..!)

Nous allons faire ça ensemble ;) 

Suis les instructions du dessus pour débuter ;)

zanarkand8 · Answer

Merci , le problème c'est que je ne suis pas là ce soir..

Est-ce que demain tu es dispo ?

Je peux me rendre disponible toute la journée pour :
- Check-up de mon ordinateur 
- Désinfection de mes 3 clés USB
- Désinfection de ma carte SD (je ne sais pas si elle est infectée)

Je viens de faire une analyse malwarebyte sur mon ordinateur, y'a du worms.autorun.gen, du security.hijack, alors qu'après avoir fait nos démarches d'hier , il n'y avait rien.

Je pense donc qu'il y a de l'espoir..

Merci de me confirmer ta dispo..!

¡El Desaparecido! · Answer

Oui demain je suis dispo ;)

Passe moi le rapport malwarebyte stp

zanarkand8 · Answer

Voici le rapport. Je dois y aller à demain..!
(je suis en train de penser que ce WE j'étais sur le PC de mon père... Si je l'ai infecté, je suis mal.. :D )


Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.13.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19272
Utilisateur :: PC-DE-CLEMENT [administrateur]

14/08/2012 18:41:51
mbam-log-2012-08-14 (18-48-04).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 187633
Temps écoulé: 5 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 2
C:\Users\Utilisateur\AppData\Roaming\Java\?shimgvw?.exe (Worm.AutoRun.Gen) -> 2308 -> Aucune action effectuée.
C:\Users\Utilisateur\AppData\Roaming\Java\?Jview?.exe (Worm.AutoRun.Gen) -> 2316 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 21
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorunme.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EHttpSrv.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASCui.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nbrowser.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\New Folder.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Njeeves.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32krn.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32kui.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pcsvc32.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pc_login.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pc_tray.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pflgutl.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfports.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfrules.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfsvc32.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfuser.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfwiz.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
prosec.exe (Security.Hijack) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
vcsched.exe (Security.Hijack) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PC-DE-CLEMENT? (Worm.AutoRun.Gen) -> Données: C:\Users\Utilisateur\AppData\Roaming\Java\?shimgvw?.exe -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jre? (Worm.AutoRun.Gen) -> Données: C:\Users\Utilisateur\AppData\Roaming\Java\?Jview?.exe -> Aucune action effectuée.
HKCR\exefile|NeverShowExt (Risk.HiddenExt) -> Données:  -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe|Debugger (Security.Hijack) -> Données: rundll32.exe -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe|Debugger (Security.Hijack) -> Données: cmd.exe /c del /f /q  -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe|Debugger (Security.Hijack) -> Données: cmd.exe /c del /f /q  -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe|Debugger (Security.Hijack) -> Données: rundll32.exe -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Utilisateur\AppData\Roaming\Java\?shimgvw?.exe (Worm.AutoRun.Gen) -> Aucune action effectuée.
C:\Users\Utilisateur\AppData\Roaming\Java\?Jview?.exe (Worm.AutoRun.Gen) -> Aucune action effectuée.

(fin)

¡El Desaparecido! · Answer

Tu peux me faire parvenir ce dossier C:\Users\Utilisateur\AppData\Roaming\Java  avec son contenu sous format zip ?

ici : http://eldesaparecido.com/upload.php stp

zanarkand8 · Answer

Je ne trouve pas le fichier "Java" dans "Roaming"... 

A noter qu'il y a quelque temps j'ai fait ce sujet en rapport avec Java. 

https://forums.commentcamarche.net/forum/affich-24395731-besoin-d-aide-pour-analyser-rapport-avira#p25581468

Cela joue peut-être ?

¡El Desaparecido! · Answer

Hello,

Je suis dispo toute la journée ;)

On reprend le tout : 


# Télécharge DelFix par Xplode.
# Exécute delfix.exe 
# Clique sur Suppression.
# Patiente pendant le scan jusqu'à l'ouverture du rapport.
 
# Poste le contenu du rapport dans ta prochaine réponse sur le forum.
# Note : Le rapport se trouve sous C:\DelFix[S1].txt

( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 

########


# Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau.

# Double-clique sur ZHPDiag2.exe pour lancer l'installation.
# Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
# N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

# L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
# Double-clique sur ZHPDiag pour lancer l'exécution.
# Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

# Clique sur la loupe pour lancer l'analyse.
# Tu patientes jusqu'à ce que le scan affiche 100%.
# Le rapport est sauvegardé sur le bureau.
# Ferme ZHPDiag.

# Héberger et transmettre un rapport.

# Rend toi sur Pjjoint de Malekal.
# Clique sur Parcourir et cherche le rapport de ZHPDiag sur ton bureau
# Clique ensuite sur Envoyer le fichier.
# Tu obtiendras un message de confirmation avec un lien.
# Transmet ce lien dans ta prochaine réponse.

zanarkand8 · Answer

# DelFix v8.9 - Rapport créé le 15/08/2012 à 10:42:57
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Utilisateur - PC-DE-CLEMENT (Administrateur)
# Exécuté depuis : C:\Users\Utilisateur\Desktop\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1010 octets] - [15/08/2012 10:42:58]

########## EOF - C:\DelFix[S1].txt - [1134 octets] ##########

zanarkand8 · Answer

ZHP Diag :

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120815_y515o15t13f5

¡El Desaparecido! · Answer

Ok,

Dans un premier temps : 


# Télécharge AdwCleaner par Xplode sur ton bureau.
# Exécute AdwCleaner.exe.
# Clic sur Suppression, puis patiente le temps du scan.

# Une fois le scan fini, un rapport s'ouvrira. Poste son contenu dans ta prochaine réponse. 
# Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

zanarkand8 · Answer

# AdwCleaner v1.801 - Rapport créé le 15/08/2012 à 11:09:11
# Mis à jour le 14/08/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Utilisateur - PC-DE-CLEMENT
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Utilisateur\Desktop\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Utilisateur\AppData\LocalLow\searchquband
Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\pdfforge
Dossier Supprimé : C:\Program Files\vShare.tv plugin

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKCU\Software\Ask.com.tmp
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\StartSearch

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19272

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v14.0.1 (fr)

Nom du profil : default 
Fichier : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\wcnoqewo.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2614 octets] - [15/08/2012 11:09:11]

########## EOF - C:\AdwCleaner[S1].txt - [2742 octets] ##########

¡El Desaparecido! · Answer

Désinstal ta version de UsbFix et supprime usbfix.exe de ton bureau ensuite :


# Télécharge UsbFix sur ton Bureau.

# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double clique sur UsbFix.exe.  

# Clique sur Recherche.
# Laisse travailler l'outil. 

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 

# Tutoriel en images

zanarkand8 · Answer

Mon antivirus ne s'est tjrs pas remis en marche hein.. 


Je branche ma carte SD ainsi que mes 3 clés USB. 
Je fais "ouvrir en tant qu'admin" pour usbfix.

Le rapport arrive.

zanarkand8 · Answer

############################## | UsbFix V 7.096 | [Recherche]

Utilisateur: Utilisateur (Administrateur) # PC-DE-CLEMENT
Mis à jour le 15/08/2012 par El Desaparecido
Lancé à 11:57:56 | 15/08/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: Sony Corporation (VGN-FZ31S) (X86-based PC) # Notebook
CPU: Intel(R) Core(TM)2 Duo CPU     T8100  @ 2.10GHz (2101)
RAM -> [Total : 2046 | Free : 886]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.19272

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 222 Go (125 Go libre(s) - 56%) [] # NTFS
D:\ -> Disque amovible # 7 Go (4 Go libre(s) - 59%) [] # FAT32
E:\ -> Disque amovible # 4 Go (596 Mo libre(s) - 15%) [BAB'] # FAT32
G:\ -> Disque amovible # 4 Go (460 Mo libre(s) - 12%) [] # FAT32
H:\ -> Disque amovible # 4 Go (2 Go libre(s) - 54%) [INTEGRAL] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (512)
C:\Windows\system32\wininit.exe (568)
C:\Windows\system32\csrss.exe (576)
C:\Windows\system32\services.exe (616)
C:\Windows\system32\lsass.exe (628)
C:\Windows\system32\lsm.exe (636)
C:\Windows\system32\winlogon.exe (748)
C:\Windows\system32\svchost.exe (828)
C:\Windows\system32\svchost.exe (888)
C:\Windows\System32\svchost.exe (948)
C:\Windows\System32\svchost.exe (976)
C:\Windows\system32\svchost.exe (1004)
C:\Windows\system32\svchost.exe (1180)
C:\Windows\system32\SLsvc.exe (1204)
C:\Windows\system32\svchost.exe (1232)
C:\Windows\system32\svchost.exe (1416)
C:\Windows\System32\spoolsv.exe (1596)
C:\Windows\system32\svchost.exe (1644)
C:\Windows\system32	askeng.exe (1772)
C:\Windows\system32\Dwm.exe (1820)
C:\Windows\Explorer.EXE (1860)
C:\Windows\system32	askeng.exe (272)
C:\Windows\System32undll32.exe (400)
C:\Windows\System32undll32.exe (820)
C:\Program Files\Sony\AppMonUtil\AppMonUtility.exe (812)
C:\Program Files\Apoint\Apoint.exe (504)
C:\Program Files\Sony\ISB Utility\ISBMgr.exe (1104)
C:\Program Files\Apoint\ApMsgFwd.exe (780)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (324)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (660)
C:\Program Files\Bonjour\mDNSResponder.exe (1044)
C:\Windows\system32\svchost.exe (672)
C:\Windows\system32\svchost.exe (2236)
C:\Windows\system32\stacsv.exe (2256)
C:\Windows\system32\svchost.exe (2324)
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe (2392)
C:\Windows\System32\svchost.exe (2460)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2512)
C:\Windows\system32\SearchIndexer.exe (2572)
C:\Windows\system32\WUDFHost.exe (2580)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2624)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (2800)
C:\Program Files\iTunes\iTunesHelper.exe (2808)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (2820)
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe (2872)
C:\Users\Utilisateur\AppData\Roaming\Java\?shimgvw?.exe (2960)
C:\Users\Utilisateur\AppData\Roaming\Java\?Jview?.exe (2968)
C:\Program Files\Apoint\Apntex.exe (3008)
C:\Program Files\iPod\bin\iPodService.exe (3304)
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe (3644)
C:\Program Files\Mozilla Firefox\firefox.exe (3572)
C:\Windows\system32\svchost.exe (3708)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (12)
C:\Windows\servicing\TrustedInstaller.exe (2184)
C:\Windows\system32\conime.exe (1664)
C:\Windows\system32\wbem\wmiprvse.exe (3108)
C:\Windows\system32\SearchProtocolHost.exe (248)
C:\Program Files\Mozilla Firefox\plugin-container.exe (2748)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_270.exe (2232)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_3_300_270.exe (3816)
C:\Windows\system32\SearchFilterHost.exe (912)
C:\UsbFix\Go.exe (3740)

################## | Éléments infectieux |

Présent! C:\Users\Utilisateur\AppData\Roaming\Java
Présent! D:\RunClubSanDisk.exe
Présent! D:\autorun.inf
Présent! D:\Recycler\desktop.ini
Présent! E:\autorun.inf
Présent! H:\autorun.inf

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorunme.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\blastclnn.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\blastclnnn.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EHttpSrv.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASCui.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nbrowser.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\New Folder.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Njeeves.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32krn.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32kui.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pcsvc32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pc_login.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pc_tray.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pflgutl.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfports.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfrules.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfsvc32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfuser.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
pfwiz.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
prosec.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
uaa.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nvcoa.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
vcsched.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
voy.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionseg32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionstpsvc.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scsaver.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SSCVIHOST.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |



################## | Vaccin |

G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |

zanarkand8 · Answer

C:\Users\Utilisateur\AppData\Roaming\Java\Desktop.ini
C:\Users\Utilisateur\AppData\Roaming\Java\?shimgvw?.exe
C:\Users\Utilisateur\AppData\Roaming\Java\?Jview?.exe
C:\Users\Utilisateur\AppData\Roaming\Java\Desktop.ini
C:\Users\Utilisateur\AppData\Roaming\Java\?shimgvw?.exe
C:\Users\Utilisateur\AppData\Roaming\Java\?Jview?.exe



je l'ai fait 2 fois sans faire exprès..

¡El Desaparecido! · Answer

Re,

On va faire simple ;)

UsbFix nécessite une mises à jours pour traiter l'infection. Chose que je vais faire une fois que tu auras fais ceci : 

Relance UsbFix et choisi néttoyage.

En fin de nettoyage, usbfix va créer une archive qu'il va te demander de me transférer, fais le. Met la dans le dossier malware ;)

A réception de cette archive, je vais travailler sur ton infection, dis moi quand tu as infectué le transfert stp

zanarkand8 · Answer

nettoyage ? Suppression non ?

zanarkand8 · Answer

Voici le rapport en tout cas :

https://pjjoint.malekal.com/files.php?read=20120815_i15e11u15y5h5

¡El Desaparecido! · Answer

C'est un message de ce type : 
http://eldesaparecido.com/confirm.php

¡El Desaparecido! · Answer

arrf

Comment s'appelle le fichier ?

zanarkand8 · Answer

UsbFix_Upload_Me_PC-DE-CLEMENT.zip

¡El Desaparecido! · Answer

Oki, dezippe ce fichier ,

Zip le dossier Java contenu dans le dossier C > Users > Utilisateur> AppData > Roaming de l'archive dézippé 

Envoi Java.zip dans le dossier malware :)

zanarkand8 · Answer

peux tu me mettre la page pour l'upload ?

zanarkand8 · Answer

Bon j'ai l'impression que ça va, j'ai formaté mes périphériques. Et mon Pc va un peu plus vite..!

Par contre en faisant une analyse Avast sur le dossier "Thai" sur mon bureau (là où il y a les photos) j'ai une alerte :

Win32:Sality 


C'est la photo 1090005 qui est concernée...

¡El Desaparecido! · Answer

Hello,

Scan le dossier thai avec avast et vois si il détecte quelque chose :)

si la détection est positif, choisi supprimer

zanarkand8 · Answer

Bonjour,
Ok je fais ça chez moi ce soir en rentrant.

J'avais hésité à faire "supprimer". Cela va supprimer la photo ou juste l'élément infectieux ?

Je vais en tout cas devoir faire pareil sur une clé USB où j'avais dupliqué mon dossier "Thaï".

Je te tiens au courant..! Merci !

zanarkand8 · Answer

J'ai fait l'analyse, puis supprimer.

Je te tiens au courant si ça revient..!

¡El Desaparecido! · Answer

Hello,

Ca racontes quoi ?

zanarkand8 · Answer

J'ai navigué sur mon ordinateur hier soir.

ça a l'air d'aller, j'ai fait "supprimer" lorsque Avast a détecté la photo 109_PANA\P1090005.

Y'a t'il une vérification à faire pour être sûr ?

¡El Desaparecido! · Answer

Non c'est OK.

Bon week end ;)

zanarkand8 · Answer

Merci encore, Bon WE..!

Gros problème avec photos sur appareil

79 réponses

Discussions similaires

Newsletters