Rootkit tenace

Résolu/Fermé
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 - Modifié par Malekal_morte- le 12/12/2013 à 21:17
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 déc. 2013 à 23:09
Bonsoir à tous,

Cela fait 1 mois que je tente désespérement de me débarasser de "rootkit et logiciels malveillants". Ils avaient été détectés par AVIRA, mis en quarantaine et supprimés immédiatement. Mais rien à faire, ils sont toujours là grrrr A ce jour quand je fais 1 scan, AVIRA m'affiche l'arborecense avec rootkits !!!! mais ne les détecte plus comme menace.

J'ai alors téléchargé Malwarebytes, qui les a détectés et supprimés. Ils ne les détecte plus maintenant alors qu'AVIRA l'affiche sur son rapport.

J'ai tenté secuser.com qui les déteecte, en supprime (??) un et le second au redemarrage selon sa notification. Mais si je fais un second scan, rebelotte même notification.



Néophite en informatiue, quelqu'un pourrait m'aider à trouver une solution pour "nettoyer" mon pc ?

Merci
Sybiline
A voir également:

21 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
12 déc. 2013 à 21:17
Salut,

Donne le rapport de scan Antivir.
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
12 déc. 2013 à 21:25
Tout d'abord merci de m'avoir répondu si vite

Rapport de ce soir
www.malwarebytes.org

Version de la base de données: v2013.12.06.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476


12/12/2013 20:15:37
mbam-log-2013-12-12 (20-15-37).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213182
Temps écoulé: 6 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)


Rapport qui a détecté

www.malwarebytes.org

Version de la base de données: v2013.11.22.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16736
[administrateur]

22/11/2013 14:59:37
mbam-log-2013-11-22 (14-59-37).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 210374
Temps écoulé: 5 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Données: {6A86E924-89E9-4B09-8404-A86E6302232D} -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\ ...... \Downloads\Java.exe (PUP.Optional.BundleInstaller.A) -> Mis en quarantaine et supprimé avec succès.

(fin)


J'ai supprimé mon nom .......

Avira est entrain de scanner le registre

Sybiline
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
12 déc. 2013 à 21:30
La suite.....avira

Avira Free Antivirus
Date de création du fichier de rapport: jeudi 12 décembre 2013 20:16


Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 Home Premium
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : ...................-TOSH

Informations de version:
BUILD.DAT : 14.0.1.759 55393 Bytes 27/11/2013 10:45:00
AVSCAN.EXE : 14.0.1.645 1030712 Bytes 28/11/2013 05:54:59
AVSCANRC.DLL : 14.0.1.641 62008 Bytes 28/11/2013 05:54:59
LUKE.DLL : 14.0.1.641 65080 Bytes 28/11/2013 05:56:09
AVSCPLR.DLL : 14.0.1.641 124472 Bytes 28/11/2013 05:55:00
AVREG.DLL : 14.0.1.641 250424 Bytes 28/11/2013 05:54:56
avlode.dll : 14.0.1.681 517176 Bytes 28/11/2013 05:54:54
avlode.rdf : 13.0.1.62 56973 Bytes 09/12/2013 16:57:56
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 13:10:37
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 12:26:38
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 14:48:48
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 14:26:33
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 12:12:26
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29/08/2013 12:49:56
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24/09/2013 11:52:58
VBASE007.VDF : 7.11.116.38 5485568 Bytes 28/11/2013 16:50:12
VBASE008.VDF : 7.11.116.39 2048 Bytes 28/11/2013 16:50:12
VBASE009.VDF : 7.11.116.40 2048 Bytes 28/11/2013 16:50:12
VBASE010.VDF : 7.11.116.41 2048 Bytes 28/11/2013 16:50:12
VBASE011.VDF : 7.11.116.42 2048 Bytes 28/11/2013 16:50:12
VBASE012.VDF : 7.11.116.43 2048 Bytes 28/11/2013 16:50:12
VBASE013.VDF : 7.11.116.44 2048 Bytes 28/11/2013 16:50:12
VBASE014.VDF : 7.11.116.195 149504 Bytes 30/11/2013 11:58:50
VBASE015.VDF : 7.11.117.180 271872 Bytes 04/12/2013 11:50:42
VBASE016.VDF : 7.11.118.17 139776 Bytes 06/12/2013 16:21:03
VBASE017.VDF : 7.11.118.137 151552 Bytes 09/12/2013 16:57:52
VBASE018.VDF : 7.11.119.23 211968 Bytes 11/12/2013 15:40:10
VBASE019.VDF : 7.11.119.24 2048 Bytes 11/12/2013 15:40:10
VBASE020.VDF : 7.11.119.25 2048 Bytes 11/12/2013 15:40:10
VBASE021.VDF : 7.11.119.26 2048 Bytes 11/12/2013 15:40:10
VBASE022.VDF : 7.11.119.27 2048 Bytes 11/12/2013 15:40:10
VBASE023.VDF : 7.11.119.28 2048 Bytes 11/12/2013 15:40:10
VBASE024.VDF : 7.11.119.29 2048 Bytes 11/12/2013 15:40:10
VBASE025.VDF : 7.11.119.30 2048 Bytes 11/12/2013 15:40:10
VBASE026.VDF : 7.11.119.31 2048 Bytes 11/12/2013 15:40:10
VBASE027.VDF : 7.11.119.32 2048 Bytes 11/12/2013 15:40:10
VBASE028.VDF : 7.11.119.33 2048 Bytes 11/12/2013 15:40:11
VBASE029.VDF : 7.11.119.34 2048 Bytes 11/12/2013 15:40:11
VBASE030.VDF : 7.11.119.35 2048 Bytes 11/12/2013 15:40:12
VBASE031.VDF : 7.11.119.96 156672 Bytes 12/12/2013 16:25:14
Version du moteur : 8.2.12.162
AEVDF.DLL : 8.1.3.4 102774 Bytes 13/06/2013 15:36:06
AESCRIPT.DLL : 8.1.4.174 516478 Bytes 09/12/2013 16:57:55
AESCN.DLL : 8.1.10.6 131447 Bytes 11/12/2013 15:40:13
AESBX.DLL : 8.2.16.26 1245560 Bytes 23/08/2013 11:55:10
AERDL.DLL : 8.2.0.138 704888 Bytes 02/12/2013 17:37:38
AEPACK.DLL : 8.3.3.6 762232 Bytes 02/12/2013 17:37:38
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 21/08/2013 21:25:51
AEHEUR.DLL : 8.1.4.804 6357370 Bytes 09/12/2013 16:57:55
AEHELP.DLL : 8.1.27.10 266618 Bytes 22/11/2013 13:14:28
AEGEN.DLL : 8.1.7.20 446839 Bytes 13/11/2013 19:59:03
AEEXP.DLL : 8.4.1.114 381304 Bytes 22/11/2013 13:14:32
AEEMU.DLL : 8.1.3.2 393587 Bytes 18/12/2012 10:27:55
AECORE.DLL : 8.1.33.0 225657 Bytes 11/12/2013 15:40:13
AEBB.DLL : 8.1.1.4 53619 Bytes 18/12/2012 10:27:55
AVWINLL.DLL : 14.0.1.641 23608 Bytes 28/11/2013 05:54:42
AVPREF.DLL : 14.0.1.641 48696 Bytes 28/11/2013 05:54:55
AVREP.DLL : 14.0.1.641 175672 Bytes 28/11/2013 05:54:56
AVARKT.DLL : 14.0.1.641 257080 Bytes 28/11/2013 05:54:46
AVEVTLOG.DLL : 14.0.1.641 165944 Bytes 28/11/2013 05:54:50
SQLITE3.DLL : 3.7.0.1 397088 Bytes 18/12/2012 13:34:45
AVSMTP.DLL : 14.0.1.641 60472 Bytes 28/11/2013 05:55:03
NETNT.DLL : 14.0.1.641 13368 Bytes 28/11/2013 05:56:09
RCIMAGE.DLL : 14.0.1.641 4788792 Bytes 28/11/2013 05:54:42
RCTEXT.DLL : 14.0.1.641 69176 Bytes 28/11/2013 05:54:42

Configuration pour la recherche actuelle:
Nom de la tâche...............................: Contrôle rapide du système
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\quicksysscan.avp
Documentation.................................: par défaut
Action principale.............................: Interactif
Action secondaire.............................: Ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Contrôle en cours des secteurs d'amorçage.....: marche
Contrôle en cours des programmes actifs.......: marche
Recherche du registre.........................: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique de fichiers.......................: avancé

Début de la recherche: jeudi 12 décembre 2013 20:16

La recherche sur les secteurs d'amorçage commence:

La recherche sur les processus démarrés commence:
Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '85' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '105' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '61' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '151' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '74' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '91' module(s) ont été recherchés
Recherche en cours du processus 'Dwm.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'taskhost.exe' - '56' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '59' module(s) ont été recherchés
Recherche en cours du processus 'Explorer.EXE' - '182' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '60' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '97' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '60' module(s) ont été recherchés
Recherche en cours du processus 'RichVideo64.exe' - '24' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '58' module(s) ont été recherchés
Recherche en cours du processus 'TODDSrv.exe' - '23' module(s) ont été recherchés
Recherche en cours du processus 'TosCoSrv.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'TecoService.exe' - '35' module(s) ont été recherchés
Recherche en cours du processus 'WLIDSVC.EXE' - '60' module(s) ont été recherchés
Recherche en cours du processus 'uTorrent.exe' - '74' module(s) ont été recherchés
Recherche en cours du processus 'wscript.exe' - '87' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '61' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '97' module(s) ont été recherchés
Recherche en cours du processus 'ToshibaServiceStation.exe' - '94' module(s) ont été recherchés
Recherche en cours du processus 'WLIDSvcM.exe' - '17' module(s) ont été recherchés
Recherche en cours du processus 'taskeng.exe' - '30' module(s) ont été recherchés
Recherche en cours du processus 'NDSTray.exe' - '89' module(s) ont été recherchés
Recherche en cours du processus 'CFSwMgr.exe' - '65' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '20' module(s) ont été recherchés
Recherche en cours du processus 'SearchIndexer.exe' - '54' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés
Recherche en cours du processus 'TMachInfo.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '63' module(s) ont été recherchés
Recherche en cours du processus 'wmpnetwk.exe' - '122' module(s) ont été recherchés
Recherche en cours du processus 'taskeng.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'mbam.exe' - '92' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '111' module(s) ont été recherchés
Recherche en cours du processus 'SpiderSolitaire.exe' - '74' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '70' module(s) ont été recherchés
Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés

La recherche sur les renvois aux fichiers exécutables (registre) commence:
Le registre a été contrôlé ( '1822' fichiers).



Fin de la recherche: jeudi 12 décembre 2013 20:17
Temps nécessaire: 00:52 Minute(s)

La recherche a été effectuée intégralement.

0 Les répertoires ont été contrôlés
2571 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
2571 Fichiers non infectés
18 Les archives ont été contrôlées
0 Avertissements
0 Consignes
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
12 déc. 2013 à 21:33
Rien de détecté.
Antivir est très fort pour afficher des alertes exagérés sur des fichiers cachés du système blalbla rootkit blallba.
99% du temps, c'est faux.

Fichier(s) détecté(s): 1
C:\Users\ ...... \Downloads\Java.exe (PUP.Optional.BundleInstaller.A) -> Mis en quarantaine et supprimé avec succès.


Faux Java.
A lire : https://www.malekal.com/adwares-pup-protection/

~~

eventuellement faire un nettoyage AdwCleaner mais ça a l'air OK :

Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
12 déc. 2013 à 21:35
Mille mercis.

Je vais tenter tout cela et mettrai le rapport.

Bonne soirée et merci

Sybiline
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
12 déc. 2013 à 21:45
# AdwCleaner v3.015 - Rapport créé le 12/12/2013 à 21:39:58
# Mis à jour le 10/12/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : ...... - .......-TOSH
# Exécuté depuis : C:\Users\........\Downloads\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent : C:\Users\.........\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKLM\SOFTWARE\Classes\*\shell\filescout

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16428


-\\ Mozilla Firefox v25.0.1 (fr)

[ Fichier : C:\Users\...............\AppData\Roaming\Mozilla\Firefox\Profiles\nqofi6xf.default-1346518203582\prefs.js ]


-\\ Google Chrome v31.0.1650.63

[ Fichier : C:\Users\.........\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [10529 octets] - [22/11/2013 14:43:14]
AdwCleaner[R1].txt - [1074 octets] - [12/12/2013 21:39:58]
AdwCleaner[S0].txt - [10286 octets] - [22/11/2013 14:44:09]

########## EOF - C:\AdwCleaner\AdwCleaner[R1].txt - [1195 octets] ##########
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
12 déc. 2013 à 21:49
Encore une dernière question : depuis que j'ai ce problème si je transvase des fichiers de mon pc sur une clee usb, celle ci m'affiche des raccourcis, ce qu'elle ne faisait pas avant.

Ces racourcis s'affichent également sur ma box free en .ink
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
12 déc. 2013 à 21:50
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

https://forum.malekal.com/viewtopic.php?t=5544&start=

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial -.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/


0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
12 déc. 2013 à 22:05
J'ai doc bien fait de faire la remarque sur mes clees usb.

J'ai suivi ton lien. Mais afin de ne pas faire de bêtises je suivrais les indications demain soir.

Mille mercis encore
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
14 déc. 2013 à 22:37
Bonsoir,

J'ai acheté une nouvelle clee usb aujourd'hui. Rebelotte, quand j'ai transvasé un fichier dessus elle me l'affiche en racourci. Ce ne sont donc pas les clées qui infectent mon pc, mais l'inverse.

Désespérée, je pense sérieusement à le formater avec le DVD de sauvegarde que j'avais fait à l'achat. Ce qui m'en empêche pour le moment, ce sont les photos qui sont sur le pc.

Sybiline
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
14 déc. 2013 à 22:41
Faire nettoyage USBFix ....
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 21:13
Bonsoir,

J'ai bien le tutoriel usb fix. J'ai coché affiché les dossiers cachés et décoché les fichiers protégés. Mais je ne sais pas comment enlever l'autorun.

J'ai téléchargé usbfix, mais j'ai peur de le lancer en "free lance". Pouvez vous me guider ?

Merci

Sybiline
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 21:13
pardon...bien lu le tutoriel
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 21/12/2013 à 21:25
Il faut le rapport USBFix.
Donne le ici dans une réponse ou par http://pjjoint.malekal.com

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 21:27
Merci pour ta réponse rapide et surtout pour ta patience. Mais ne faut il pas désactiver l'autorun auparavant ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
21 déc. 2013 à 21:28
non laisse :)
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 21:41
############################## | UsbFix V 7.155 | [Recherche]

Utilisateur: GILLMANN (Administrateur) # GILLMANN-TOSH
Mis à jour le 16/12/2013 par El Desaparecido - Team SosVirus
Lancé à 21:30:22 | 21/12/2013

Site Web : https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/

PC: TOSHIBA (NALAA)
CPU: Intel(R) Core(TM) i5 CPU M 450 @ 2.40GHz
RAM -> [Total : 3955 | Free : 2322]
Bios: TOSHIBA
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16476
WB: Google Chrome : 31.0.1650.63
WB: Mozilla Firefox : 26.0

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
AS: Malwarebytes' Anti-Malware : 1.75.0001
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 233 Go (75 Go libre(s) - 32%) [WINDOWS] # NTFS
D:\ -> Disque fixe # 232 Go (232 Go libre(s) - 100%) [Data] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 15 Go (6 Go libre(s) - 42%) [STORE N GO] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 420 |ParentID: 408)
C:\Windows\system32\wininit.exe (ID: 508 |ParentID: 408)
C:\Windows\system32\csrss.exe (ID: 532 |ParentID: 516)
C:\Windows\system32\services.exe (ID: 564 |ParentID: 508)
C:\Windows\system32\lsass.exe (ID: 592 |ParentID: 508)
C:\Windows\system32\lsm.exe (ID: 600 |ParentID: 508)
C:\Windows\system32\winlogon.exe (ID: 660 |ParentID: 516)
C:\Windows\system32\svchost.exe (ID: 744 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 828 |ParentID: 564)
C:\Windows\System32\svchost.exe (ID: 916 |ParentID: 564)
C:\Windows\System32\svchost.exe (ID: 956 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 988 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 1012 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 468 |ParentID: 564)
C:\Windows\System32\spoolsv.exe (ID: 1288 |ParentID: 564)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (ID: 1320 |ParentID: 564)
C:\Windows\system32\Dwm.exe (ID: 1340 |ParentID: 956)
C:\Windows\system32\taskhost.exe (ID: 1348 |ParentID: 564)
C:\Windows\Explorer.EXE (ID: 1388 |ParentID: 1332)
C:\Windows\system32\svchost.exe (ID: 1436 |ParentID: 564)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (ID: 1580 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 1612 |ParentID: 564)
C:\Program Files\Cyberlink\Shared files\RichVideo64.exe (ID: 1736 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 1948 |ParentID: 564)
C:\Windows\system32\TODDSrv.exe (ID: 1972 |ParentID: 564)
C:\Program Files (x86)\uTorrent\uTorrent.exe (ID: 2044 |ParentID: 1388)
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe (ID: 1692 |ParentID: 564)
C:\Program Files\TOSHIBA\TECO\TecoService.exe (ID: 260 |ParentID: 564)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2084 |ParentID: 564)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (ID: 2596 |ParentID: 2100)
C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe (ID: 2604 |ParentID: 2100)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2620 |ParentID: 744)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2676 |ParentID: 2084)
C:\Windows\system32\taskeng.exe (ID: 3060 |ParentID: 1012)
C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe (ID: 2108 |ParentID: 3060)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (ID: 2300 |ParentID: 1580)
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe (ID: 1904 |ParentID: 2108)
C:\Windows\system32\SearchIndexer.exe (ID: 908 |ParentID: 564)
C:\Windows\system32\svchost.exe (ID: 3104 |ParentID: 564)
C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe (ID: 3464 |ParentID: 564)
C:\Windows\System32\svchost.exe (ID: 3696 |ParentID: 564)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 840 |ParentID: 564)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 4092 |ParentID: 1388)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (ID: 2724 |ParentID: 4092)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_152.exe (ID: 2564 |ParentID: 2724)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_152.exe (ID: 3972 |ParentID: 2564)
C:\UsbFix\Go.exe (ID: 460 |ParentID: 2336)
c:\program files\windows defender\MpCmdRun.exe (ID: 3088 |ParentID: 3292)
C:\Windows\System32\WUDFHost.exe (ID: 2396 |ParentID: 956)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [] -
04 - HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE | Run : [ToshibaServiceStation] - "C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" /hide:60
04 - HKLM\SOFTWARE\wow6432Node | Run : [] -
04 - HKLM\SOFTWARE\wow6432Node | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE\wow6432Node | Run : [ToshibaServiceStation] - "C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" /hide:60
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1327695716-3830582157-303623112-1000\SOFTWARE | Run : [uTorrent] - "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED
04 - HKU\S-1-5-21-1327695716-3830582157-303623112-1000\SOFTWARE | Run : [Intel(R)Service] - wscript.exe //B "C:\Users\GILLMANN\AppData\Local\Temp\Intel(R)Service.vbs"
04 - HKU\S-1-5-18\SOFTWARE | Run : [TOSHIBA Online Product Information] - C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Users\GILLMANN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)Service.vbs
Présent! C:\Users\GILLMANN\AppData\Local\Temp\Intel(R)Service.vbs
Présent! C:\Users\GILLMANN\AppData\Local\Temp\avgnt.exe
Présent! F:\Intel(R)Service.vbs
Présent! F:\buda_vfs.lnk
Présent! F:\The.lnk
Présent! F:\game.lnk

################## | Référence de comparaison MD5 |

Md5 : 0432EA5E5D3D9897407715AC9A743ECC -> C:\Users\GILLMANN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)Service.vbs
Md5 : 0432EA5E5D3D9897407715AC9A743ECC -> C:\Users\GILLMANN\AppData\Local\Temp\Intel(R)Service.vbs
Md5 : 0432EA5E5D3D9897407715AC9A743ECC -> F:\Intel(R)Service.vbs

################## | Comparaison MD5 |

Présent! Md5 : 0432EA5E5D3D9897407715AC9A743ECC -> C:\Users\GILLMANN\AppData\Local\Temp\Intel(R)Service.vbs
Présent! Md5 : 0432EA5E5D3D9897407715AC9A743ECC -> C:\Users\GILLMANN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)Service.vbs
Présent! Md5 : 0432EA5E5D3D9897407715AC9A743ECC -> F:\Intel(R)Service.vbs

################## | Registre |

Présent! HKU\S-1-5-21-1327695716-3830582157-303623112-1000\Software\Microsoft\Windows\CurrentVersion\Run|Intel(R)Service
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Intel(R)Service

################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
21 déc. 2013 à 21:58
ok fais suppression sur USBFix.
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 22:08
ci joint lien du rapport après suppression,

https://pjjoint.malekal.com/files.php?id=20131221_n8h12i6t9u10
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
21 déc. 2013 à 22:20
regarde ce que cela donne pour la clef USB :)
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 22:29
super !! je RE vois mes fichiers.

1 0000000000000 MERCIS

je fais pareil pour tous mes amovibles, cartes SD y compris ?

merci merci merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
21 déc. 2013 à 23:03
oui :)

et tu passes USBFix à tes amis qui peuvent avoir leur PC infectés par ce truc car si tu remets ta clef USB chez eux, rebelotte! (et inversement)
0
sybiline01 Messages postés 56 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 3 janvier 2015 1
21 déc. 2013 à 23:08
Mille mercis encore :) .

Je ne manquerai pas de les informer.

Sybiline
0