Virus créant des raccourcis sur mon disque dur externe [Résolu/Fermé]

Signaler
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015
-
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
-
Bonjour,

Lorsque je souhaite ouvrir les fichiers sur mon disque dure externe, j'ai ce message :

"Windows ne trouve pas F:\snkb0ptz\snkb0ptz.exe . Vérifiez que vous avez entré le nom correct, puis réessayez.

Dans le même temps il ouvre une invite de commandes vide.

J'ai tenté une recherche avec le logiciel UsbFix, voici le rapport :
############################## | UsbFix V 7.129 | [Recherche]

Utilisateur: claire (Administrateur) # PC-DE-CLAIRE
Mis à jour le 24/06/2013 par El Desaparecido
Lancé à 14:51:17 | 20/08/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload-malware-pour-analyse-t489.html
Contact: contact@sosvirus.net

PC: SAMSUNG ELECTRONICS CO., LTD. (SQ45S70S) (X86-based PC)
CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz (2001)
RAM -> [Total : 2046 | Free : 1152]
BIOS: Phoenix TrustedCore(tm) NB Service Pack 3B Version 0.00 11ST
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
WB: Windows Internet Explorer 7.0.6000.17037

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 112 Go (2 Go libre(s) - 2%) [] # NTFS
D:\ -> Disque fixe # 111 Go (111 Go libre(s) - 100%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 466 Go (440 Go libre(s) - 94%) [My Passport] # NTFS
G:\ -> CD-ROM

################## | Processus Actif |

C:\Windows\system32\csrss.exe (576)
C:\Windows\system32\wininit.exe (624)
C:\Windows\system32\csrss.exe (636)
C:\Windows\system32\services.exe (668)
C:\Windows\system32\lsass.exe (680)
C:\Windows\system32\lsm.exe (688)
C:\Windows\system32\winlogon.exe (808)
C:\Windows\system32\svchost.exe (892)
C:\Windows\system32\svchost.exe (952)
C:\Windows\System32\svchost.exe (984)
C:\Windows\System32\svchost.exe (1072)
C:\Windows\System32\svchost.exe (1104)
C:\Windows\system32\svchost.exe (1116)
C:\Windows\system32\SLsvc.exe (1272)
C:\Windows\system32\svchost.exe (1336)
C:\Windows\system32\svchost.exe (1508)
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1652)
C:\Program Files\Alwil Software\Avast4\ashServ.exe (1676)
C:\Windows\system32\Dwm.exe (1768)
C:\Windows\Explorer.EXE (1788)
C:\Windows\System32\spoolsv.exe (440)
C:\Windows\system32\svchost.exe (524)
C:\Windows\system32\taskeng.exe (548)
C:\Program Files\Windows Defender\MSASCui.exe (1112)
C:\Windows\System32\rundll32.exe (1496)
C:\Windows\RtHDVCpl.exe (1424)
C:\Windows\system32\taskeng.exe (1216)
C:\Program Files\Google\Update\GoogleUpdate.exe (1448)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (540)
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe (1144)
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe (1284)
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe (1292)
C:\Windows\System32\rundll32.exe (2112)
C:\Program Files\Intel\Intel Media Share Software\Viivmonitor.exe (2120)
C:\Program Files\Alwil Software\Avast4\ashDisp.exe (2128)
C:\Program Files\Windows Sidebar\sidebar.exe (2140)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (2148)
C:\Program Files\IncrediMail\Bin\IncMail.exe (2164)
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (2300)
C:\Program Files\IncrediMail\Bin\ImApp.exe (2640)
C:\Windows\system32\agrsmsvc.exe (2836)
C:\Windows\system32\svchost.exe (2868)
C:\Program Files\Intel\Intel Media Share Software\IMSSync.exe (2912)
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE (3032)
C:\Windows\system32\svchost.exe (3124)
C:\Program Files\CyberLink\Shared Files\RichVideo.exe (3144)
C:\Windows\system32\svchost.exe (3252)
C:\Windows\System32\svchost.exe (3288)
C:\Windows\system32\SearchIndexer.exe (3332)
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe (3544)
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (4012)
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (4032)
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe (2380)
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe (1408)
C:\Windows\system32\wbem\wmiprvse.exe (3496)
C:\Windows\system32\wbem\unsecapp.exe (3752)
C:\Program Files\Mozilla Firefox\firefox.exe (2424)
C:\Program Files\Mozilla Firefox\plugin-container.exe (4224)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe (4288)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe (4308)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (4368)
C:\UsbFix\Go.exe (3540)
C:\Windows\system32\wbem\wmiprvse.exe (1344)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [Windows Defender] - %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\SOFTWARE | Run : [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
HKLM\SOFTWARE | Run : [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\SOFTWARE | Run : [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM\SOFTWARE | Run : [RtHDVCpl] - RtHDVCpl.exe
HKLM\SOFTWARE | Run : [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [RemoteControl] - "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
HKLM\SOFTWARE | Run : [LanguageShortcut] - "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
HKLM\SOFTWARE | Run : [Play AVStation TV Scheduler] - C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [ViivMonitor] - C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe
HKLM\SOFTWARE | Run : [avast!] - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\SOFTWARE | Run : [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\SOFTWARE | Run : [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [WinUsr] - C:\Program Files\Winsudate\gibusr.exe
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [IncrediMail] - C:\Program Files\IncrediMail\bin\IncMail.exe /c

################## | Éléments infectieux |

Présent! F:\Musique.lnk
Présent! F:\Personnel.lnk
Présent! F:\Photos.lnk
Présent! F:\Recycler\e621ca05.exe
Présent! F:\Recycler\desktop.ini
Présent! F:\snkb0pt\desktop.ini
Présent! F:\snkb0pt\snkb0pt.exe
Présent! F:\snkb0ptz\desktop.ini
Présent! F:\snkb0pt
Présent! F:\snkb0ptz

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{7bc75421-03cf-11dd-8ab6-00027877112e}
Shell\Auto\Command = AdobeR.exe e
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\.\.\.\.\Explorer\MountPoints2\{d34c68d3-5c09-11dd-98e4-806e6f6e6963}
Shell\AutoRun\Command = F:\EmDesk.exe
Shell\EmDesk\Command = F:\EmDesk.exe



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.sosvirus.net/ |

Je souhaiterai récupérer mes données.

Merci d'avance.

Julien

19 réponses

Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Salut Julien ^^

Fais la suppression et poste le rapport
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

Le voilà :

############################## | UsbFix V 7.129 | [Suppression]

Utilisateur: claire (Administrateur) # PC-DE-CLAIRE
Mis à jour le 24/06/2013 par El Desaparecido
Lancé à 15:15:04 | 20/08/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload-malware-pour-analyse-t489.html
Contact: contact@sosvirus.net

PC: SAMSUNG ELECTRONICS CO., LTD. (SQ45S70S) (X86-based PC)
CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz (2001)
RAM -> [Total : 2046 | Free : 1295]
BIOS: Phoenix TrustedCore(tm) NB Service Pack 3B Version 0.00 11ST
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
WB: Windows Internet Explorer 7.0.6000.17037

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 112 Go (2 Go libre(s) - 2%) [] # NTFS
D:\ -> Disque fixe # 111 Go (111 Go libre(s) - 100%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 466 Go (440 Go libre(s) - 94%) [My Passport] # NTFS
G:\ -> CD-ROM

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [Windows Defender] - %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\SOFTWARE | Run : [NvSvc] - RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
HKLM\SOFTWARE | Run : [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\SOFTWARE | Run : [NvMediaCenter] - RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
HKLM\SOFTWARE | Run : [RtHDVCpl] - RtHDVCpl.exe
HKLM\SOFTWARE | Run : [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [RemoteControl] - "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
HKLM\SOFTWARE | Run : [LanguageShortcut] - "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
HKLM\SOFTWARE | Run : [Play AVStation TV Scheduler] - C:\Program Files\Samsung\Play AVStation\TvScheduler.exe
HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [ViivMonitor] - C:\Program Files\Intel\Intel Media Share Software\ViivMonitor.exe
HKLM\SOFTWARE | Run : [avast!] - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\SOFTWARE | Run : [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\SOFTWARE | Run : [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [WinUsr] - C:\Program Files\Winsudate\gibusr.exe
HKU\S-1-5-21-2638237930-1929708488-94941261-1003\SOFTWARE | Run : [IncrediMail] - C:\Program Files\IncrediMail\bin\IncMail.exe /c

################## | Processus Stoppés |

Stoppé! C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1652)
Stoppé! C:\Program Files\Alwil Software\Avast4\ashServ.exe (1676)
Stoppé! C:\Program Files\Alwil Software\Avast4\ashDisp.exe (2128)
Stoppé! C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (4012)
Stoppé! C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (4032)
Stoppé! \\?\C:\Windows\system32\wbem\WMIADAP.EXE (5664)
Stoppé! C:\Windows\system32\SearchIndexer.exe (2956)
Stoppé! C:\Windows\system32\taskeng.exe (1712)
Stoppé! C:\Windows\System32\spoolsv.exe (3228)
Stoppé! C:\Windows\system32\taskeng.exe (3664)
Stoppé! C:\Windows\system32\SearchProtocolHost.exe (2480)
Stoppé! C:\Windows\system32\SearchFilterHost.exe (2124)

################## | Éléments infectieux |

Supprimé! F:\Musique.lnk
Supprimé! F:\Personnel.lnk
Supprimé! F:\Photos.lnk
Supprimé! F:\Recycler\e621ca05.exe
Supprimé! F:\Recycler\desktop.ini
Supprimé! F:\snkb0pt\desktop.ini
Supprimé! F:\snkb0pt\snkb0pt.exe
Supprimé! F:\snkb0ptz\desktop.ini
Supprimé! F:\snkb0pt
Supprimé! F:\snkb0ptz

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[07/11/2009 - 11:33:42 | SHD ] C:\$Recycle.Bin
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[20/08/2013 - 15:14:10 | RASHD ] C:\Autorun.inf
[26/09/2007 - 13:40:41 | D ] C:\avs contents
[16/11/2006 - 12:39:28 | SHD ] C:\Boot
[02/11/2006 - 11:53:57 | RASH | 438840] C:\bootmgr
[16/11/2006 - 12:39:29 | N | 8192] C:\BOOTSECT.BAK
[09/03/2013 - 15:34:49 | D ] C:\Conduit
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[22/10/2012 - 13:18:06 | N | 9] C:\END
[20/08/2013 - 14:43:38 | ASH | 2145837056] C:\hiberfil.sys
[26/09/2007 - 12:30:04 | D ] C:\Intel
[28/01/2008 - 16:15:23 | N | 0] C:\IO.SYS
[22/10/2012 - 13:18:05 | D ] C:\Mozilla
[28/01/2008 - 16:15:23 | N | 0] C:\MSDOS.SYS
[26/09/2007 - 13:21:00 | RHD ] C:\MSOCache
[20/08/2013 - 14:43:37 | ASH | 2459762688] C:\pagefile.sys
[17/08/2013 - 14:53:15 | D ] C:\Program Files
[22/10/2012 - 13:19:26 | HD ] C:\ProgramData
[26/09/2007 - 12:34:58 | N | 420] C:\RHDSetup.log
[26/09/2007 - 13:35:44 | D ] C:\Samsung
[31/07/2008 - 17:21:34 | N | 185] C:\Setup.log
[20/08/2013 - 14:50:25 | SHD ] C:\System Volume Information
[16/04/2012 - 10:33:11 | D ] C:\temp
[26/06/2010 - 00:12:42 | N | 8704] C:\test_cap2.grf
[23/09/2010 - 08:17:55 | N | 7168] C:\test_pre2.grf
[20/08/2013 - 15:14:10 | N | 1089485] C:\Upload_UsbFix.zip
[20/08/2013 - 15:15:45 | D ] C:\UsbFix
[20/08/2013 - 15:14:10 | N | 7967] C:\UsbFix [Clean 2] PC-DE-CLAIRE.txt
[20/08/2013 - 15:16:01 | A | 5862] C:\UsbFix [Clean 3] PC-DE-CLAIRE.txt
[06/04/2008 - 13:32:32 | D ] C:\Users
[08/04/2012 - 13:17:44 | D ] C:\Windows
[07/11/2009 - 11:33:42 | SHD ] D:\$RECYCLE.BIN
[20/08/2013 - 15:14:10 | RASHD ] D:\Autorun.inf
[31/07/2008 - 18:21:15 | RHD ] D:\MSOCache
[06/04/2008 - 13:49:38 | SHD ] D:\System Volume Information
[09/07/2013 - 22:24:03 | RSHD ] F:\$RECYCLE.BIN
[09/07/2013 - 23:12:45 | D ] F:\Julien
[09/07/2013 - 23:43:13 | D ] F:\Master Histoire
[09/07/2013 - 23:47:45 | D ] F:\Musique
[03/08/2013 - 14:55:48 | D ] F:\Personnel
[05/08/2013 - 10:35:42 | D ] F:\Photos
[20/08/2013 - 15:15:44 | HD ] F:\RECYCLER
[20/08/2013 - 15:15:44 | D ] F:\snkb0pt
[03/09/2011 - 03:26:31 | SHD ] F:\System Volume Information
[09/07/2013 - 23:34:46 | D ] F:\WD

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Télécharge ici (lien direct): AdwCleaner (de Xplode)

▶ Lance-le

▶ Clique sur Nettoyer et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans le répertoire AdwCleaner de ton disque dur ( C:\AdwCleaner\AdwCleaner[x].txt) ou son contenu s'il s'ouvre.
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

AdwCleaner v3.000 - Rapport créé le 20/08/2013 à 16:22:56
# Mis à jour le 20/08/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
# Nom d'utilisateur : claire - PC-DE-CLAIRE
# Exécuté depuis : C:\Users\claire\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Conduit
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\IncrediMail_MediaBar_Francais_2
Dossier Supprimé : C:\Users\claire\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\claire\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\claire\AppData\LocalLow\IncrediMail_MediaBar_Francais_2
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\claire\AppData\Roaming\Mozilla\Firefox\Profiles\hv4mz3lf.default\searchplugins\MyStart Search.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{249D74A3-BD19-4657-B6CE-E62F480A20DE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3280509D-948C-45C3-899F-891E1383A062}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{17CD6E7F-13B3-4FB2-A811-C1B885EE6C7F}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{249D74A3-BD19-4657-B6CE-E62F480A20DE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{249D74A3-BD19-4657-B6CE-E62F480A20DE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{17CD6E7F-13B3-4FB2-A811-C1B885EE6C7F}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{17CD6E7F-13B3-4FB2-A811-C1B885EE6C7F}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8CFAD7B9-8655-45A7-98E9-BC1DB526FDE7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C4007BA3-2810-4C70-AC91-6C2380FC07AC}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{249D74A3-BD19-4657-B6CE-E62F480A20DE}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{249D74A3-BD19-4657-B6CE-E62F480A20DE}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{249D74A3-BD19-4657-B6CE-E62F480A20DE}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{249D74A3-BD19-4657-B6CE-E62F480A20DE}]
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\ImInstaller
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_Francais_2
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\ImInstaller
Clé Supprimée : HKLM\Software\IncrediMail_MediaBar_Francais_2
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IncrediMail_MediaBar_Francais_2 Toolbar

***** [ Navigateurs ] *****

-\\ Internet Explorer v7.0.6000.17037


-\\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Users\claire\AppData\Roaming\Mozilla\Firefox\Profiles\hv4mz3lf.default\prefs.js ]

Ligne Supprimée : user_pref("keyword.URL", "hxxp://mystart.incredimail.com//?loc=ff_address_bar&a=19enfJPdvpd&search=");

*************************

AdwCleaner[R0].txt - [4752 octets] - [20/08/2013 16:21:46]
AdwCleaner[S0].txt - [3879 octets] - [20/08/2013 16:22:56]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [3939 octets] ##########
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Re;

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.

▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

Voilà le rapport :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.08.21.04

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037
claire :: PC-DE-CLAIRE [administrateur]

Protection: Activé

21/08/2013 15:18:09
mbam-log-2013-08-21 (15-18-09).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 333643
Temps écoulé: 1 heure(s), 36 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Winsudate (Adware.GibMedia) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WinUsr (Adware.Gibmedia) -> Données: C:\Program Files\Winsudate\gibusr.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 8
C:\UsbFix\Quarantine\F\Recycler\e621ca05.exe.vir (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\UsbFix\Quarantine\H\Recycler\e621ca05.exe.vir (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\claire\Desktop\Claire Bernard\CLAIRE\JOBS ARCHIVES\WEBMEDIAGROUP fevrier 2011\Dossiers C.B\DOCS VRAC\unlost\VncUnlost.exe (PUP.Radmin) -> Mis en quarantaine et supprimé avec succès.
C:\Users\claire\Desktop\Claire Bernard\CLAIRE\JOBS ARCHIVES\WEBMEDIAGROUP fevrier 2011\Dossiers C.B\Dossiers prédécesseurs (avant le 010408)\Badiliz\unlost.zip (PUP.Radmin) -> Mis en quarantaine et supprimé avec succès.
C:\Users\claire\Desktop\Claire Bernard\CLAIRE\JOBS ARCHIVES\WEBMEDIAGROUP fevrier 2011\Dossiers C.B\Dossiers prédécesseurs (avant le 010408)\Badiliz\VncUnlost.exe (PUP.Radmin) -> Mis en quarantaine et supprimé avec succès.
C:\AdwCleaner\Quarantine\C\Conduit\CT2724431\IncrediMail_MediaBar_Francais_2AutoUpdateHelper.exe.vir (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
F:\RECYCLER\e621ca05.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\claire\AppData\Roaming\2858.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Re,

Mmmmmh vu certaines détections on va pousser l'analyse.

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

▶ Télécharge ici :OTL

▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Clique ici pour voir la configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%LocalAppData%\*
%LocalAppData%\*.
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C


▶ Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

Bonjour,

extras : https://forums-fec.be/upload/www/?a=d&i=8894762199

OTL : https://forums-fec.be/upload/www/?a=d&i=3800710555

Merci,

Julien
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :

:OTL
O4 - HKU\S-1-5-21-2638237930-1929708488-94941261-1003\..\Run: [Oydodc] C:\Users\claire\AppData\Roaming\Oydodc.exe File not found

:Commands
[EMPTYTEMP]

▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.


======================================

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/download/telecharger-34079650-delfix

~~

Fais des scans réguliers avec Malwarebytes, il est efficace.

~~

Sécurise ton PC !

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

~~

Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

voilà le rapport :

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2638237930-1929708488-94941261-1003\\Software\Microsoft\Windows\CurrentVersion\Run\\Oydodc deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users
-> No Temporary Internet Files cache folder defined!

User: claire
-> No Temporary Internet Files cache folder defined!

User: Default
-> No Temporary Internet Files cache folder defined!

User: Default User
-> No Temporary Internet Files cache folder defined!

User: Public
-> No Temporary Internet Files cache folder defined!

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 35574585 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 34,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 08222013_204844

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

Merci. Cela fonctionne de nouveau. Je n'oublie pas de mettre à jour les logiciels mentionnés.

Julien
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Prudence et bon surf.
J'ai la même chose .. Je présume que je dois faire toutes les étapes plus haut ?
Messages postés
23
Date d'inscription
mardi 20 août 2013
Statut
Membre
Dernière intervention
21 mai 2015

Bonjour,

Oui pour les premières étapes. En suite il y a des actions qui sont personnalisées.
Ex :
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
Il faut contacter la personne qui a résolu mon problème.
Julien
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
@kOsh :

Bonsoir,

Sinon, on dit "bonjour" et "merci", encore plus quand on s'incruste sur un ancien topik ...
Oui désolé. Je ne pensais pas qu'une personne allait répondre sur ce topic. Vu que le problème de la personne a été réglé il y a quelques semaines.
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Ah ben moi tous mes topiks sont toujours suivis :)
Rebonsoir, du coup j'ai fais pareil que les étapes au dessus. Un coup de scan d'avira (rien), de malwarebytes (rien) et de OTL, je n'ai pas compris le résultat ...

Peux-tu m'aide stp ?
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 745
Ouvre un nouveau sujet