Dossier .exe

Fermé
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 - 27 mai 2013 à 14:43
 juju666 - 5 juin 2013 à 20:35
Bonjour,

Ma clé usb a été infecté. Il y a pleins de dossier .exe dans chaque dossier ;(

Comment puis je m'en débarrasser svp?


A voir également:

57 réponses

husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
29 mai 2013 à 18:36
Cijoint.com me dit que la taille max est de 8192 ko.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 29/05/2013 à 19:06
tu l'as compréssé ? essaie sur FEC Upload alors

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
29 mai 2013 à 23:13
Voila enfin j'ai pu l'uploader:
https://forums-fec.be/upload/www/?a=d&i=4758958001
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
29 mai 2013 à 23:49
pfff je comprend plus rien :(. A aucun moment ce virus a été viré de ma clé!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
29 mai 2013 à 23:54
reesaaie une suppression avec usbfix en mode sans echec laisse tous tes ports usb branchés

si tu peux supprime F:\UserData.exe
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
29 mai 2013 à 23:58
Ok je vais réessayer avec usbfixe.

Tu peux etre plus claire qd tu dis de supprimer F:\userdata.exe? Je le fait apres avoir fait un scan avec usbfixe?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
30 mai 2013 à 00:00
avant
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
Modifié par husnu le 30/05/2013 à 00:58
Bon voila. J'ai fait tourné deux fois usbfixe:

J'ai d'abord fait tourné usbfixe en mode sans échec

https://www.cjoint.com/c/CEEa3bzbEyB

Ensuite, j'ai supprimer manuellement dossier par dossier les dossier.exe et j'ai relancé une 2eme fois usbfixe:

https://www.cjoint.com/c/CEEa3BmrjTX

Pour le moment ces virus ne réapparait pas. J'espère que j'en serais débarrassé complétement!
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
30 mai 2013 à 08:51
hello

relance pre_scan (winlogon) clique sur diag et heberge le rapport et donne le lien
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
30 mai 2013 à 11:08
Salut,

Voila le diag: https://www.cjoint.com/c/CEElgWqfNjA
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
30 mai 2013 à 11:52
re

desinstalle Google Toolbar for Internet Explorer

==

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[NeroFilterCheck]
[HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}]
[HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\APN PIP]
[HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\Softonic]
[HKLM\Software\ASK]
[HKLM\Software\BrowserChoice]
[HKLM\Software\PIP]


File|Fold::
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
C:\Users\AUICE\Desktop\Kido.zip
C:\Users\AUICE\Desktop\Kido.txt
C:\Users\AUICE\Desktop\Kido - Copie.txt
C:\Users\AUICE\AppData\Roaming\OpenCandy
C:\ProgramData\Partner
C:\windows\System32\Tasks\CreateChoiceProcessTask

Clean::

MBR::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
30 mai 2013 à 12:36
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0512 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

AUICE : Windows 7 Home Premium (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 12:30:20

Boot : Normal

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(1368) -- spoolsv.exe
(1564) -- armsvc.exe
(1692) -- NBService.exe
(1800) -- taskhost.exe
(1868) -- taskeng.exe
(1976) -- RichVideo.exe
(956) -- explorer.exe
(1472) -- WLIDSVC.EXE
(444) -- WCScheduler.exe
(2056) -- SSCKbdHk.exe
(2076) -- EasySpeedUpManager.exe
(2084) -- dmhkcore.exe
(2156) -- PrintIsolationHost.exe
(2376) -- WLIDSVCM.EXE
(2720) -- RtHDVCpl.exe
(2832) -- CLMLSvc.exe
(2856) -- igfxext.exe
(2912) -- igfxsrvc.exe
(3156) -- WUDFHost.exe
(3348) -- PDVD8Serv.exe
(3396) -- SynTPEnh.exe
(3696) -- SynTPHelper.exe
(3704) -- igfxtray.exe
(3720) -- hkcmd.exe
(3760) -- igfxpers.exe
(3800) -- acrotray.exe
(3912) -- jusched.exe
(3924) -- sidebar.exe
(3944) -- OctoshapeClient.exe
(2228) -- SearchIndexer.exe
(3620) -- wmpnetwk.exe
(2000) -- msiexec.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:NeroFilterCheck
Key Deleted : HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}
Key Deleted : HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\APN PIP
Key Deleted : HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\Softonic
Key Deleted : HKLM\Software\ASK
Key Deleted : HKLM\Software\BrowserChoice
Key Deleted : HKLM\Software\PIP

¤

Folder Moved to quarantine successfully : |D| - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
Folder Moved to quarantine successfully : |D| - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
File Moved to quarantine successfully : |A| - C:\Users\AUICE\Desktop\Kido.zip
File Moved to quarantine successfully : |A| - C:\Users\AUICE\Desktop\Kido.txt
File Moved to quarantine successfully : |A| - C:\Users\AUICE\Desktop\Kido - Copie.txt
Folder Moved to quarantine successfully : |D| - C:\Users\AUICE\AppData\Roaming\OpenCandy
Folder Moved to quarantine successfully : |D| - C:\ProgramData\Partner
File Moved to quarantine successfully : |A| - C:\windows\System32\Tasks\CreateChoiceProcessTask

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R530/R730
Logical Drives Mask: 0x0000003c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601 Disk: TOSHIBA_ rev.GJ00 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll
C:\windows\system32\DRIVERS\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
1 nt!IofCallDriver[0x8344BFCE] -> \Device\Harddisk0\DR0[0x8719C378]
3 CLASSPNP[0x8C66D59E] -> nt!IofCallDriver[0x8344BFCE] -> \Device\Ide\IAAStorageDevice-1[0x86358028]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV DS, AX; MOV ES, AX; MOV SS, AX; MOV SP, 0x7c00; MOV SI, SP; MOV DI, 0x600; MOV CX, 0x100; CLD ; REP MOVSW ; JMP FAR 0x60:0x1b; }
user & kernel MBR OK

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

FreeSpace : 98543

Cleaning disk...

FreeSpace : 98535

¤


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 12:30:52
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
30 mai 2013 à 12:55
scan à faire sur tous les disques :

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
30 mai 2013 à 16:05
Les fichier qu'il a détecté me paraisse non vulnérable:

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.30.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
AUICE :: CHARLEROIMG [administrateur]

Protection: Désactivé

30/05/2013 14:30:03
mbam-log-2013-05-30 (14-30-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 333814
Temps écoulé: 1 heure(s), 28 minute(s), 32 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 33
D:\Documents\Logiciel\SoftonicDownloader_pour_rising-antivirus.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ar\ar.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\de\de.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\en\en.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\es\es.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\fr\fr.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\he\he.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\it\it.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ja\ja.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ko\ko.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\nl\nl.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\pl\pl.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Preload\Preload.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\pt\pt.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ru\ru.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ar\ar.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\de\de.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\es\es.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\fr\fr.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\he\he.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\it\it.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ja\ja.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ko\ko.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\nl\nl.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\pl\pl.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\pt\pt.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ru\ru.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\zh-CN\zh-CN.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\zh-HK\zh-HK.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\zh-TW\zh-TW.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\zh-CN\zh-CN.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\zh-HK\zh-HK.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\zh-TW\zh-TW.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 30/05/2013 à 16:07
lol sauf que ca ressemble à mabezat

et softonic, c'est comme 01net et telecharger.com , ils refourguent des adwares avec les programmes :)

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
30 mai 2013 à 16:23
Ah ben c'est toi l'expert :) Donc plus de virus?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
30 mai 2013 à 16:26
tu confirmes que tu es en belgique ?
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
30 mai 2013 à 16:31
oui pq?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
30 mai 2013 à 16:34
on va quand meme verifier tes navigateurs et ton host

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0
husnu Messages postés 391 Date d'inscription dimanche 27 mars 2005 Statut Membre Dernière intervention 21 mai 2016 24
3 juin 2013 à 11:08
Salut,

Dsl pour le retard. Je ne sais pas si tu es encore là mais je te poste le rapport d'OTL:

https://www.cjoint.com/?CFdlhjUK94L

Extra:

https://www.cjoint.com/c/CFdlih004Ef
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
3 juin 2013 à 11:37
oui hello je regarde ca :)
0