Virus raccourci clé usb
Résolu/Fermé
A voir également:
- Virus raccourci clé usb
- Cle usb non reconnu - Guide
- Clé windows 10 gratuit - Guide
- Cle usb bootable - Guide
- Formater clé usb mac - Guide
- Medicat usb - Guide
30 réponses
Utilisateur anonyme
9 janv. 2014 à 18:20
9 janv. 2014 à 18:20
Bonsoir
Ton infection est une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Pour remédier à cela :
Télécharge et installe UsbFix de El Desaparecido & g3n-h@ckm@n
http://general-changelog-team.fr/fr/outils/71-usbfix
Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
*
Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
* Double clic sur UsbFix (pour les utilisateurs de windows Vista , windows 7 , windows 8) , clique droit => exécuter en tant qu'administrateur"
* Cliquer sur recherche.
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix [Scan ].txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
@+
Ton infection est une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Pour remédier à cela :
Télécharge et installe UsbFix de El Desaparecido & g3n-h@ckm@n
http://general-changelog-team.fr/fr/outils/71-usbfix
Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
*
Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
* Double clic sur UsbFix (pour les utilisateurs de windows Vista , windows 7 , windows 8) , clique droit => exécuter en tant qu'administrateur"
* Cliquer sur recherche.
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix [Scan ].txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
@+
Utilisateur anonyme
9 janv. 2014 à 22:16
9 janv. 2014 à 22:16
Re
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
ShortcutFix
O4 - HKCU\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe
O4 - HKUS\S-1-5-21-2613245926-3574014760-4208713533-1001\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe
O43 - CFD: 05/01/2014 - 16:15:24 - [0,004] ----D C:\ProgramData\CDTEST 3
O43 - CFD: 09/01/2014 - 17:44:50 - [0,015] --H-D C:\Users\Lancelot2\AppData\Roaming\A66329C5
O43 - CFD: 23/11/2013 - 13:03:15 - [0,001] ----D C:\Users\Lancelot2\AppData\Roaming\com.northwayGames.Incredipede
O51 - MPSK:{adb3c596-f5ae-11e1-be6f-806e6f6e6963}\AutoRun\command. (...) -- D:\.\CDTEST.exe
O51 - MPSK:{cac76602-b061-11e2-be87-50b7c3430c45}\AutoRun\command. (.UBISOFT - Pas de description.) -- G:\autorun.exe
[MD5.F936FA87EC52A3373E254E1D559E8609] [SPRF][09/12/2013] (.Hôte de la fenêtre de la console - Hôte de la fenêtre de la console.) -- C:\Users\Lancelot2\AppData\Local\Temp\DATA.exe [83404540] => Temporary file not necessary
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
@+
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
ShortcutFix
O4 - HKCU\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe
O4 - HKUS\S-1-5-21-2613245926-3574014760-4208713533-1001\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe
O43 - CFD: 05/01/2014 - 16:15:24 - [0,004] ----D C:\ProgramData\CDTEST 3
O43 - CFD: 09/01/2014 - 17:44:50 - [0,015] --H-D C:\Users\Lancelot2\AppData\Roaming\A66329C5
O43 - CFD: 23/11/2013 - 13:03:15 - [0,001] ----D C:\Users\Lancelot2\AppData\Roaming\com.northwayGames.Incredipede
O51 - MPSK:{adb3c596-f5ae-11e1-be6f-806e6f6e6963}\AutoRun\command. (...) -- D:\.\CDTEST.exe
O51 - MPSK:{cac76602-b061-11e2-be87-50b7c3430c45}\AutoRun\command. (.UBISOFT - Pas de description.) -- G:\autorun.exe
[MD5.F936FA87EC52A3373E254E1D559E8609] [SPRF][09/12/2013] (.Hôte de la fenêtre de la console - Hôte de la fenêtre de la console.) -- C:\Users\Lancelot2\AppData\Local\Temp\DATA.exe [83404540] => Temporary file not necessary
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
@+
Merci, j'ai téléchargé usbfix mais quand je clique pour l'installer ça me met "ce logiciel ne s'est peut être pas installé correctement" et il s'installe pas du tout enfaîte.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
9 janv. 2014 à 19:31
9 janv. 2014 à 19:31
Re
Tu utilises Internet explorer
désactives le smart screen
Comment désactiver le SmartScreen sur Windows 8
https://forums.commentcamarche.net/forum/affich-37641559-desactiver-le-smartscreen-sous-windows
Et tu reprends le téléchargement d'UsbFix
@+
Tu utilises Internet explorer
désactives le smart screen
Comment désactiver le SmartScreen sur Windows 8
https://forums.commentcamarche.net/forum/affich-37641559-desactiver-le-smartscreen-sous-windows
Et tu reprends le téléchargement d'UsbFix
@+
Re, il se télécharge dans "telechargements" , je peut même pas choisir l'emplacement d'installation dès que je clique sur usbfix.exe il me met le message "ce logiciel ne s'est peut être pas installé correctement" .
Utilisateur anonyme
9 janv. 2014 à 19:59
9 janv. 2014 à 19:59
Re
T'inquiète pas je l'ai renommé.
http://sd-2.archive-host.com/membres/up/19387509578328357/winlogon.exe
@+
T'inquiète pas je l'ai renommé.
http://sd-2.archive-host.com/membres/up/19387509578328357/winlogon.exe
@+
Merci, ça fait la même chose...
Ce qui est bizarre c'est que quand je le télécharge ça me met qu'il fait 1,6mo et pendant le téléchargement à 1,4mo il se bloque 2sc et finit le téléchargement d'un coup. Le fichier au final fait 1,4mo et pas 1,6 comme annoncé.
Ce qui est bizarre c'est que quand je le télécharge ça me met qu'il fait 1,6mo et pendant le téléchargement à 1,4mo il se bloque 2sc et finit le téléchargement d'un coup. Le fichier au final fait 1,4mo et pas 1,6 comme annoncé.
Utilisateur anonyme
9 janv. 2014 à 20:10
9 janv. 2014 à 20:10
Re
On passe à autre chose.
[*] Télécharger sur le bureau RogueKiller (by tigzy) (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
On passe à autre chose.
[*] Télécharger sur le bureau RogueKiller (by tigzy) (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
Merci, ça marche
RogueKiller V8.8.0 _x64_ [Dec 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Lancelot2 [Droits d'admin]
Mode : Suppression -- Date : 01/09/2014 20:24:57
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SURVIVAL (wscript.exe //B "C:\Users\Lancelot2\AppData\Local\Temp\SURVIVAL.vbe" [x][-]) -> SUPPRIMÉ
[RUN][HJNAME] HKCU\[...]\Run : APS (C:\Users\Public\conhost.exe [-]) -> SUPPRIMÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 1 ¤¤¤
[Lancelot2][HJNAME] conhost.exe : C:\Users\Lancelot2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\conhost.exe [-] -> SUPPRIMÉ
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 603e1893a4188e19a4983d72f9c8cfc1
[BSP] fbe29bb9749710ff71ab69cad9226367 : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 3.0 USB Device +++++
--- User ---
[MBR] 3981adb953f8492e61aa9845f216193c
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 29569 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )
Termine : << RKreport[0]_D_01092014_202457.txt >>
RKreport[0]_S_01092014_202045.txt;RKreport[0]_S_01092014_202338.txt
RogueKiller V8.8.0 _x64_ [Dec 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Lancelot2 [Droits d'admin]
Mode : Suppression -- Date : 01/09/2014 20:24:57
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SURVIVAL (wscript.exe //B "C:\Users\Lancelot2\AppData\Local\Temp\SURVIVAL.vbe" [x][-]) -> SUPPRIMÉ
[RUN][HJNAME] HKCU\[...]\Run : APS (C:\Users\Public\conhost.exe [-]) -> SUPPRIMÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 1 ¤¤¤
[Lancelot2][HJNAME] conhost.exe : C:\Users\Lancelot2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\conhost.exe [-] -> SUPPRIMÉ
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 603e1893a4188e19a4983d72f9c8cfc1
[BSP] fbe29bb9749710ff71ab69cad9226367 : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 3.0 USB Device +++++
--- User ---
[MBR] 3981adb953f8492e61aa9845f216193c
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 29569 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )
Termine : << RKreport[0]_D_01092014_202457.txt >>
RKreport[0]_S_01092014_202045.txt;RKreport[0]_S_01092014_202338.txt
Utilisateur anonyme
9 janv. 2014 à 20:28
9 janv. 2014 à 20:28
Re
Télécharge Malwaresbytes anti malware ici
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
A la fin de l'installation : Décoches « activer l'esssai gratuit de malwarebytes PRO »
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Rapide"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
Télécharge Malwaresbytes anti malware ici
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
A la fin de l'installation : Décoches « activer l'esssai gratuit de malwarebytes PRO »
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Rapide"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
C'est fait:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.01.09.07
Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16688
Lancelot2 :: LANCELOT [administrateur]
09/01/2014 20:47:03
mbam-log-2014-01-09 (20-47-03).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 210676
Temps écoulé: 4 minute(s), 47 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 7
C:\Users\LANCELOT2\AppData\Local\Temp\bitool.dll (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\AppData\Local\Temp\nsf5E9D.tmp (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\AppData\Local\Temp\is42483369\7370577_stp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\AppData\Local\Temp\is42483369\7370867_stp\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\Local Settings\Temporary Internet Files\Content.IE5\Z4STTRJG\BiTool[1].dll (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\Local Settings\Temporary Internet Files\Content.IE5\ZS3FUBV6\bi_downloader[1].exe (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Public\conhost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
(fin)
Par contre il reste encore les fichiers raccourcis sur la clé usb, et il y a le dossier RK Quarantaine sur le bureau avec des fichiers .dll, je dois les supprimés ?
merci
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.01.09.07
Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16688
Lancelot2 :: LANCELOT [administrateur]
09/01/2014 20:47:03
mbam-log-2014-01-09 (20-47-03).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 210676
Temps écoulé: 4 minute(s), 47 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 7
C:\Users\LANCELOT2\AppData\Local\Temp\bitool.dll (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\AppData\Local\Temp\nsf5E9D.tmp (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\AppData\Local\Temp\is42483369\7370577_stp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\AppData\Local\Temp\is42483369\7370867_stp\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\Local Settings\Temporary Internet Files\Content.IE5\Z4STTRJG\BiTool[1].dll (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.
C:\Users\LANCELOT2\Local Settings\Temporary Internet Files\Content.IE5\ZS3FUBV6\bi_downloader[1].exe (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Public\conhost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
(fin)
Par contre il reste encore les fichiers raccourcis sur la clé usb, et il y a le dossier RK Quarantaine sur le bureau avec des fichiers .dll, je dois les supprimés ?
merci
Utilisateur anonyme
9 janv. 2014 à 21:33
9 janv. 2014 à 21:33
Re
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé,
Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »
Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"
Clique sur la loupe en bas à gauche avec le signe plus pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/
Si problème utilise un des suivants
https://forums-fec.be/upload
https://www.cjoint.com/
Regarde sur le bureau
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé,
Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »
Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"
Clique sur la loupe en bas à gauche avec le signe plus pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/
Si problème utilise un des suivants
https://forums-fec.be/upload
https://www.cjoint.com/
Regarde sur le bureau
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Ma connexion internet va se couper, je fais la suite demain si ça ne vous dérange pas... Merci pour votre aide
Rebonjour,
voilà le rapport:
Rapport de ZHPFix 2013.12.14.5 par Nicolas Coolman, Update du 06/12/2013
Fichier d'export Registre :
Run by Lancelot2 at 10/01/2014 17:04:34
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit (Build 9200)
Corbeille vidée (00mn 03s)
Réparation des raccourcis navigateur
========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\Lancelot2\AppData\Local\Temp\DATA.exe
========== Clés du Registre ==========
SUPPRIMÉ CLSID MPSK: {adb3c596-f5ae-11e1-be6f-806e6f6e6963}
SUPPRIMÉ CLSID MPSK: {cac76602-b061-11e2-be87-50b7c3430c45}
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: SURVIVAL
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
SUPPRIMÉ: FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIMÉ: FirewallRaz (Private) : TCP Query User{DA8074B1-D8C2-421F-91D8-F6506D04E819}C:\program files (x86)\intel\intelappstore\bin\ismagent.exe
SUPPRIMÉ: FirewallRaz (Private) : UDP Query User{ED8B0262-1562-4C4B-9D97-2E4325538430}C:\program files (x86)\intel\intelappstore\bin\ismagent.exe
SUPPRIMÉ: FirewallRaz (Public) : {42267DC4-03DC-4A3C-A22E-A753ECD0B977}
SUPPRIMÉ: FirewallRaz (Public) : {00060402-FBB6-4913-BC9F-1ECA9AAA4074}
SUPPRIMÉ: FirewallRaz (Public) : {E2CAA992-93E2-4B51-96C8-B47DDAFDEBD7}
SUPPRIMÉ: FirewallRaz (Public) : {515AD0BD-F8D9-4824-A1EE-10BCDB95535E}
========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\wscript.exe
SUPPRIMÉ Redémarrage: d:\.\cdtest.exe
SUPPRIMÉ Redémarrage: g:\autorun.exe
SUPPRIMÉS Temporaires Windows (1281) (1 079 289 795 octets)
========== Récapitulatif ==========
1 : Processus mémoire
2 : Clés du Registre
19 : Valeurs du Registre
1 : Dossiers
4 : Fichiers
End of clean in 00mn 10s
========== Chemin de fichier rapport ==========
C:\Users\Lancelot2\AppData\Roaming\ZHP\ZHPFix[R1].txt - 10/01/2014 17:04:37 [2423]
merci
voilà le rapport:
Rapport de ZHPFix 2013.12.14.5 par Nicolas Coolman, Update du 06/12/2013
Fichier d'export Registre :
Run by Lancelot2 at 10/01/2014 17:04:34
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit (Build 9200)
Corbeille vidée (00mn 03s)
Réparation des raccourcis navigateur
========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\Lancelot2\AppData\Local\Temp\DATA.exe
========== Clés du Registre ==========
SUPPRIMÉ CLSID MPSK: {adb3c596-f5ae-11e1-be6f-806e6f6e6963}
SUPPRIMÉ CLSID MPSK: {cac76602-b061-11e2-be87-50b7c3430c45}
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: SURVIVAL
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
SUPPRIMÉ: FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIMÉ: FirewallRaz (Private) : TCP Query User{DA8074B1-D8C2-421F-91D8-F6506D04E819}C:\program files (x86)\intel\intelappstore\bin\ismagent.exe
SUPPRIMÉ: FirewallRaz (Private) : UDP Query User{ED8B0262-1562-4C4B-9D97-2E4325538430}C:\program files (x86)\intel\intelappstore\bin\ismagent.exe
SUPPRIMÉ: FirewallRaz (Public) : {42267DC4-03DC-4A3C-A22E-A753ECD0B977}
SUPPRIMÉ: FirewallRaz (Public) : {00060402-FBB6-4913-BC9F-1ECA9AAA4074}
SUPPRIMÉ: FirewallRaz (Public) : {E2CAA992-93E2-4B51-96C8-B47DDAFDEBD7}
SUPPRIMÉ: FirewallRaz (Public) : {515AD0BD-F8D9-4824-A1EE-10BCDB95535E}
========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\wscript.exe
SUPPRIMÉ Redémarrage: d:\.\cdtest.exe
SUPPRIMÉ Redémarrage: g:\autorun.exe
SUPPRIMÉS Temporaires Windows (1281) (1 079 289 795 octets)
========== Récapitulatif ==========
1 : Processus mémoire
2 : Clés du Registre
19 : Valeurs du Registre
1 : Dossiers
4 : Fichiers
End of clean in 00mn 10s
========== Chemin de fichier rapport ==========
C:\Users\Lancelot2\AppData\Roaming\ZHP\ZHPFix[R1].txt - 10/01/2014 17:04:37 [2423]
merci