Sujet Précédent Sujet Suivant

Worm/VB.UG

Résolu/Fermé
Tan nimac - 14 févr. 2014 à 11:49
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 17 févr. 2014 à 12:05
Bonjour,





Je suis victime d'une infection par le Worm/VB.UG.
J'ai lancé une recherche par UsbFix.

Le rapport donne ceci :

############################## | UsbFix V 7.164 | [Recherche]

Utilisateur: user (Administrateur) # USER-PC
Mis à jour le05/02/2014 par El Desaparecido - Team SosVirus
Lancé à 11:45:16 | 14/02/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Gigabyte Technology Co., Ltd. (H61M-DS2 3.0)
CPU: Intel(R) Pentium(R) CPU G645 @ 2.90GHz
RAM -> [Total : 1935 Mo| Free : 679 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 8.0.7601.17514
WB: Google Chrome : 32.0.1700.107

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: AVG AntiVirus Free Edition 2014 [Enabled | Updated]
AS: Windows Defender [(!) Disabled | Updated]
AS: AVG AntiVirus Free Edition 2014 [Enabled | Updated]
FW: Windows FireWall [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 466 Go (440 Go libre(s) - 94%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [TAN NIMAC] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 636 |ParentID: 624)
C:\Windows\system32\csrss.exe (ID: 792 |ParentID: 784)
C:\Windows\system32\wininit.exe (ID: 800 |ParentID: 624)
C:\Windows\system32\winlogon.exe (ID: 848 |ParentID: 784)
C:\Windows\system32\services.exe (ID: 892 |ParentID: 800)
C:\Windows\system32\lsass.exe (ID: 908 |ParentID: 800)
C:\Windows\system32\lsm.exe (ID: 928 |ParentID: 800)
C:\Windows\system32\svchost.exe (ID: 452 |ParentID: 892)
C:\Windows\system32\svchost.exe (ID: 688 |ParentID: 892)
C:\Windows\System32\svchost.exe (ID: 796 |ParentID: 892)
C:\Windows\System32\svchost.exe (ID: 952 |ParentID: 892)
C:\Windows\system32\svchost.exe (ID: 1032 |ParentID: 892)
C:\Windows\system32\svchost.exe (ID: 1108 |ParentID: 892)
C:\Windows\system32\svchost.exe (ID: 1220 |ParentID: 892)
C:\Windows\System32\spoolsv.exe (ID: 1340 |ParentID: 892)
C:\Windows\system32\svchost.exe (ID: 1368 |ParentID: 892)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1508 |ParentID: 892)
C:\Windows\system32\taskhost.exe (ID: 1592 |ParentID: 892)
C:\Windows\system32\Dwm.exe (ID: 1636 |ParentID: 952)
C:\Windows\Explorer.EXE (ID: 1668 |ParentID: 1624)
C:\Program Files (x86)\AVG\AVG2014\avgwdsvc.exe (ID: 1892 |ParentID: 892)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 1936 |ParentID: 892)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 1984 |ParentID: 892)
C:\Windows\system32\svchost.exe (ID: 2044 |ParentID: 892)
C:\Windows\system32\WUDFHost.exe (ID: 2340 |ParentID: 952)
C:\Windows\system32\svchost.exe (ID: 3064 |ParentID: 892)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 2300 |ParentID: 892)
C:\Windows\system32\SearchIndexer.exe (ID: 2332 |ParentID: 892)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 1248 |ParentID: 892)
C:\Windows\System32\igfxtray.exe (ID: 1140 |ParentID: 1668)
C:\Windows\System32\hkcmd.exe (ID: 1820 |ParentID: 1668)
C:\Windows\System32\igfxpers.exe (ID: 2620 |ParentID: 1668)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 3040 |ParentID: 1668)
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (ID: 2276 |ParentID: 1668)
C:\Program Files (x86)\Brother\DSmobileSCAN II\DSmobileSCAN.exe (ID: 640 |ParentID: 1668)
C:\Program Files (x86)\AVG\AVG2014\avgui.exe (ID: 2760 |ParentID: 2680)
C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe (ID: 2336 |ParentID: 892)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 3324 |ParentID: 892)
C:\Windows\SysWOW64\NOTEPAD.EXE (ID: 3352 |ParentID: 2084)
C:\Windows\servicing\TrustedInstaller.exe (ID: 3864 |ParentID: 892)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID: 568 |ParentID: 1668)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID: 416 |ParentID: 568)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID: 3280 |ParentID: 568)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID: 3360 |ParentID: 568)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID: 2624 |ParentID: 568)
C:\Windows\system32\SearchProtocolHost.exe (ID: 816 |ParentID: 2332)
C:\Windows\system32\SearchFilterHost.exe (ID: 3804 |ParentID: 2332)
C:\Program Files (x86)\AVG\AVG2014\avgidsagent.exe (ID: 2148 |ParentID: 892)
C:\Program Files (x86)\AVG\AVG2014\avgemca.exe (ID: 3024 |ParentID: 1892)
C:\Program Files (x86)\AVG\AVG2014\avgnsa.exe (ID: 3344 |ParentID: 1892)
C:\Program Files (x86)\AVG\AVG2014\avgrsa.exe (ID: 1464 |ParentID: 1892)
C:\Program Files (x86)\AVG\AVG2014\avgcsrva.exe (ID: 2868 |ParentID: 1464)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 4036 |ParentID: 452)

################## | Regedit Run |

04 - HKCU\..\Run : [T1468388TT4] C:\Windows\system32\238408756174l.exe
04 - HKCU\..\Run : [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
04 - HKCU\..\Run : [T1136733TT4] C:\Windows\system32\662832101427l.exe
04 - HKLM\..\Run : [AVG_UI] "C:\Program Files (x86)\AVG\AVG2014\avgui.exe" /TRAYONLY
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [T24Z628] C:\Windows\sa-310733.exe
04 - HKLM\..\RunOnce : [EasyTuneVI] C:\Program Files (x86)\GIGABYTE\ET6\ETCall.exe
04 - HKLM\..\RunOnce : []
04 - HKLM64\..\Run : [IgfxTray] C:\Windows\system32\igfxtray.exe
04 - HKLM64\..\Run : [HotKeysCmds] C:\Windows\system32\hkcmd.exe
04 - HKLM64\..\Run : [Persistence] C:\Windows\system32\igfxpers.exe
04 - HKLM64\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000\..\Run : [T1468388TT4] C:\Windows\system32\238408756174l.exe
04 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000\..\Run : [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
04 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000\..\Run : [T1136733TT4] C:\Windows\system32\662832101427l.exe
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Windows\SysWOW64\user.exe
Présent! E:\Recherche .scr
Présent! E:\Doc JCM .scr
Présent! E:\Ecriture .scr
Présent! E:\JdS .scr
Présent! E:\Autorun.inf .scr
Présent! E:\New Folder(2).exe
Présent! C:\Windows\System32\user.exe

################## | Registre |


################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |

19 réponses

Réponse 1 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2014 à 11:50
Salut,

Fais suppression et donne le rapport.
0
Réponse 2 / 19
Tan nimac
14 févr. 2014 à 11:57
Whoua, quel réactivité!
Merci!
Voici le rapport :

############################## | UsbFix V 7.164 | [Suppression]

Utilisateur: user (Administrateur) # USER-PC
Mis à jour le05/02/2014 par El Desaparecido - Team SosVirus
Lancé à 11:52:48 | 14/02/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Gigabyte Technology Co., Ltd. (H61M-DS2 3.0)
CPU: Intel(R) Pentium(R) CPU G645 @ 2.90GHz
RAM -> [Total : 1935 Mo| Free : 1068 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 8.0.7601.17514
WB: Google Chrome : 32.0.1700.107

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: AVG AntiVirus Free Edition 2014 [(!) Disabled | Updated]
AS: Windows Defender [(!) Disabled | Updated]
AS: AVG AntiVirus Free Edition 2014 [(!) Disabled | Updated]
FW: Windows FireWall [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 466 Go (440 Go libre(s) - 94%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [TAN NIMAC] # FAT32

################## | Processus Actif |

C:\PROGRA~2\AVG\AVG2014\avgrsa.exe (ID: 380 |ParentID: 368)
C:\Program Files (x86)\AVG\AVG2014\avgcsrva.exe (ID: 432 |ParentID: 380)
C:\Windows\system32\csrss.exe (ID: 636 |ParentID: 628)
C:\Windows\system32\wininit.exe (ID: 776 |ParentID: 628)
C:\Windows\system32\csrss.exe (ID: 788 |ParentID: 768)
C:\Windows\system32\services.exe (ID: 832 |ParentID: 776)
C:\Windows\system32\winlogon.exe (ID: 864 |ParentID: 768)
C:\Windows\system32\lsass.exe (ID: 892 |ParentID: 776)
C:\Windows\system32\lsm.exe (ID: 900 |ParentID: 776)
C:\Windows\system32\svchost.exe (ID: 1000 |ParentID: 832)
C:\Windows\system32\svchost.exe (ID: 600 |ParentID: 832)
C:\Windows\System32\svchost.exe (ID: 716 |ParentID: 832)
C:\Windows\System32\svchost.exe (ID: 948 |ParentID: 832)
C:\Windows\system32\svchost.exe (ID: 372 |ParentID: 832)
C:\Windows\system32\svchost.exe (ID: 1128 |ParentID: 832)
C:\Windows\system32\svchost.exe (ID: 1212 |ParentID: 832)
C:\Windows\System32\spoolsv.exe (ID: 1340 |ParentID: 832)
C:\Windows\system32\svchost.exe (ID: 1372 |ParentID: 832)
C:\Windows\system32\taskhost.exe (ID: 1492 |ParentID: 832)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1584 |ParentID: 832)
C:\Windows\system32\taskeng.exe (ID: 1676 |ParentID: 372)
C:\Windows\system32\Dwm.exe (ID: 1768 |ParentID: 948)
C:\Windows\Explorer.EXE (ID: 1780 |ParentID: 1660)
C:\Program Files (x86)\AVG\AVG2014\avgidsagent.exe (ID: 1820 |ParentID: 832)
C:\Windows\system32\runonce.exe (ID: 1876 |ParentID: 1780)
C:\Program Files (x86)\AVG\AVG2014\avgwdsvc.exe (ID: 1940 |ParentID: 832)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 2000 |ParentID: 832)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 944 |ParentID: 832)
C:\Windows\system32\svchost.exe (ID: 1292 |ParentID: 832)
C:\Program Files (x86)\AVG\AVG2014\avgnsa.exe (ID: 2108 |ParentID: 1940)
C:\Program Files (x86)\AVG\AVG2014\avgemca.exe (ID: 2116 |ParentID: 1940)
C:\Windows\system32\WUDFHost.exe (ID: 2536 |ParentID: 948)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2696 |ParentID: 1000)

################## | Regedit Run |

04 - HKCU\..\Run : [T1468388TT4] C:\Windows\system32\238408756174l.exe
04 - HKCU\..\Run : [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
04 - HKCU\..\Run : [T1136733TT4] C:\Windows\system32\662832101427l.exe
04 - HKLM\..\Run : [AVG_UI] "C:\Program Files (x86)\AVG\AVG2014\avgui.exe" /TRAYONLY
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [T24Z628] C:\Windows\sa-310733.exe
04 - HKLM\..\RunOnce : [EasyTuneVI] C:\Program Files (x86)\GIGABYTE\ET6\ETCall.exe
04 - HKLM\..\RunOnce : []
04 - HKLM64\..\Run : [IgfxTray] C:\Windows\system32\igfxtray.exe
04 - HKLM64\..\Run : [HotKeysCmds] C:\Windows\system32\hkcmd.exe
04 - HKLM64\..\Run : [Persistence] C:\Windows\system32\igfxpers.exe
04 - HKLM64\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000\..\Run : [T1468388TT4] C:\Windows\system32\238408756174l.exe
04 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000\..\Run : [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
04 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000\..\Run : [T1136733TT4] C:\Windows\system32\662832101427l.exe
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Non supprimé ! C:\Windows\SysWOW64\user.exe
Non supprimé ! E:\Recherche .scr
Non supprimé ! E:\Doc JCM .scr
Non supprimé ! E:\Ecriture .scr
Non supprimé ! E:\JdS .scr
Non supprimé ! E:\Autorun.inf .scr
Non supprimé ! E:\New Folder(2).exe
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\Data DosenKu .exe
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\Gallery .scr
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\Lagu - Server .scr
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\Love Song .scr
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\New mp3 BaraT !! .exe
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\RaHasIA .exe
Non supprimé ! C:\ProgramData\AVG2014\IDS\download\THe Best Ungu .scr
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\Data DosenKu .exe
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\Gallery .scr
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\Lagu - Server .scr
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\Love Song .scr
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\New mp3 BaraT !! .exe
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\RaHasIA .exe
Non supprimé ! C:\Users\All Users\AVG2014\IDS\download\THe Best Ungu .scr
Non supprimé ! C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\UY2HR6UP\v1fr.sftcdn.net\shared\Norman virus Control 5.18 .exe
Non supprimé ! C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\UY2HR6UP\v1fr.sftcdn.net\shared\Titip Folder Jangan DiHapus .exe
Non supprimé ! C:\Windows\System32\user.exe

(!) Fichiers temporaires supprimés.

################## | Registre |

Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|EnableLUA -> 1
Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|ConsentPromptBehaviorAdmin -> 5

################## | Listing |

[13/02/2014 - 12:56:51 | D] - C:\$AVG
[06/02/2014 - 18:15:06 | SHD] - C:\$Recycle.Bin
[06/02/2014 - 18:09:24 | SHD] - C:\Boot
[21/11/2010 - 04:23:51 | RASH | 375 Ko] - C:\bootmgr
[06/02/2014 - 18:09:24 | RASH | 8 Ko] - C:\BOOTSECT.BAK
[14/02/2014 - 11:31:06 | D] - C:\Config.Msi
[06/02/2014 - 12:14:28 | N | 0 Ko] - C:\csb.log
[14/07/2009 - 06:08:56 | SHD] - C:\Documents and Settings
[14/02/2014 - 11:52:11 | ASH | 1486272 Ko] - C:\hiberfil.sys
[06/02/2014 - 12:02:23 | D] - C:\Intel
[13/02/2014 - 12:57:16 | D] - C:\Microsoft Office 2007 Enterprise Fr
[13/02/2014 - 13:15:42 | RHD] - C:\MSOCache
[14/02/2014 - 11:52:12 | ASH | 1981696 Ko] - C:\pagefile.sys
[14/07/2009 - 04:20:08 | D] - C:\PerfLogs
[13/02/2014 - 13:50:44 | D] - C:\Program Files
[14/02/2014 - 11:31:06 | D] - C:\Program Files (x86)
[13/02/2014 - 13:50:58 | HD] - C:\ProgramData
[06/02/2014 - 18:14:50 | SHD] - C:\Recovery
[06/02/2014 - 12:06:51 | N | 3 Ko] - C:\RHDSetup.log
[14/02/2014 - 11:31:06 | SHD] - C:\System Volume Information
[14/02/2014 - 11:44:55 | D] - C:\UsbFix
[14/02/2014 - 11:54:39 | A | 9 Ko | 97C0B6A78987A1388AC725433F180157] - C:\UsbFix [Clean 2] USER-PC.txt
[14/02/2014 - 11:46:22 | N | 7 Ko | 6E1A49FEE0BAB8C59F918FB5B2D684FC] - C:\UsbFix [Scan 1] USER-PC.txt
[14/02/2014 - 09:12:06 | D] - C:\Users
[14/02/2014 - 11:34:29 | D] - C:\Windows
[10/01/2008 - 20:57:44 | N | 191 Ko | D41D8CD98F00B204E9800998ECF8427E] - E:\New Folder(2).exe
[10/01/2008 - 20:57:44 | N | 191 Ko | D41D8CD98F00B204E9800998ECF8427E] - E:\Recherche .scr
[10/01/2008 - 20:57:44 | N | 191 Ko | D41D8CD98F00B204E9800998ECF8427E] - E:\Doc JCM .scr
[10/01/2008 - 20:57:44 | N | 191 Ko | D41D8CD98F00B204E9800998ECF8427E] - E:\Ecriture .scr
[10/01/2008 - 20:57:44 | N | 191 Ko | D41D8CD98F00B204E9800998ECF8427E] - E:\JdS .scr
[10/01/2008 - 20:57:44 | N | 191 Ko | D41D8CD98F00B204E9800998ECF8427E] - E:\Autorun.inf .scr

################## | Vaccin |

E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |
0
Réponse 3 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2014 à 12:05
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Réponse 4 / 19
Tan nimac
Modifié par Tan nimac le 14/02/2014 à 12:20
Voici le fichier extra : http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140214_x13j7h7l9d9

Et le fichier OTL : http://pjjoint.malekal.com/files.php?id=OTL_20140214_u8e13c6j12c6

Merci d'avance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2014 à 12:26
Désinstalle Google Toolbar.

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000..\Run: [T1136733TT4] C:\Windows\system32\662832101427l.exe File not found
O4 - HKU\S-1-5-21-1135284547-3193179499-350583353-1000..\Run: [T1468388TT4] C:\Windows\system32\238408756174l.exe File not found
O20 - HKLM Winlogon: Shell - (C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe) - File not found
O20 - HKLM Winlogon: UserInit - (C:\Windows\M13616\Ja412375bLay.com) - File not found


* poste le rapport ici
0
Réponse 6 / 19
Tan nimac
14 févr. 2014 à 12:42
Voici le fichier extra : http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140214_w8g10p7e11m8

Et le OTL : http://pjjoint.malekal.com/files.php?id=OTL_20140214_t13t11b12u1112
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2014 à 12:44
Tu as refait un scan et non une correction.
Lis les instructions.
0
Réponse 7 / 19
Tan nimac
14 févr. 2014 à 12:49
Désolé : voici le rapport :

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1135284547-3193179499-350583353-1000\Software\Microsoft\Windows\CurrentVersion\Run\\T1136733TT4 deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1135284547-3193179499-350583353-1000\Software\Microsoft\Windows\CurrentVersion\Run\\T1468388TT4 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\O41524Z\TuxO41524Z.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Windows\M13616\Ja412375bLay.com deleted successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 02142014_124844
0
Réponse 8 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2014 à 13:38
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

0
Réponse 9 / 19
Tan nimac
14 févr. 2014 à 13:53
Voici le rapport (remarque, seul des fichier présent sur C: ont été détecté. Ma clé USB n'a peut-être pas été prise en compte. En tout ca à ce stade, les chose reste identique : dossier de la clé transformé en .scr et considéré comme des virus par mon anti-virus)


Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.02.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
user :: USER-PC [administrateur]

14/02/2014 13:41:52
mbam-log-2014-02-14 (13-41-52).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 204612
Temps écoulé: 2 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|T24Z628 (Worm.Brontok.Gen) -> Données: C:\Windows\sa-310733.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders|Common Startup (Hijack.Commonstart) -> Mauvais: (C:\Windows\system32\X38112go) Bon: (%ALLUSERSPROFILE%\Start Menu\Programs\Startup) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\user\Downloads\SoftonicDownloader_pour_avg-anti-virus-free-2014.exe (PUP.Optional.Softonic.A) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 10 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2014 à 14:04
ok fais un scan genre demain avec Malwarebytes, voir ce que cela donne :)
0
Réponse 11 / 19
Tan nimac
14 févr. 2014 à 14:09
OK, demain ça ne sera pas possible, mais soit j'en refait un dans l'après-midi (après un redémarrage si besoin), soit je vois ça lundi...
0
Réponse 12 / 19
Tan nimac
17 févr. 2014 à 09:23
Voici le rapport de mon scan :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.02.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
user :: USER-PC [administrateur]

17/02/2014 09:18:03
mbam-log-2014-02-17 (09-18-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206129
Temps écoulé: 3 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Réponse 13 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
17 févr. 2014 à 09:44
Ca semble correct, plus de problème ?
0
Réponse 14 / 19
Tan nimac
17 févr. 2014 à 09:57
Ben malheureusement si.

Ma clé USB est toujours dans le même état (et naturellement elle contient certain fichier que j'aimerais vraiment récupérer).

Mes dossier sont considéré comme des fond d'cran (.scr) sauf un, que je ne me rappelle pas avoir créé et qui s'appelle New Folder(2).exe (considéré donc comme une application)
Tous mes fichiers pèsent 191ko

Le tout est toujours reconnu comme Worm/VB.UG par mon anti virus...

Ceci étant dit, à part ça mon pc fonctionne correctement
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
17 févr. 2014 à 10:02
Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Nettoye ta clef USB.
0
Réponse 15 / 19
Tan nimac
17 févr. 2014 à 10:07
Que dois-je faire pour nettoyer ma clé?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
17 févr. 2014 à 10:08
tu supprimes tous les fichiers .scr
tu regardes si tes "vrais" documents ne sont pas masqués.
0
Réponse 16 / 19
Tan nimac
17 févr. 2014 à 10:19
J'ai affiché les fichiers/dossiers masqués et rien n'apparaît.

Si je supprime mes .scr, cela revient à supprimer mes dossiers et donc à perdre les fichiers que j'aimerais bien récupérer non?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
17 févr. 2014 à 10:30
non les .scr ne sont pas tes dossiers, ce sont des executables qui installent le virus.
Faut les virer.

Je pense qu'il faut utiliser un logiciel de récupération de fichiers supprimés sur la clef.
0
Réponse 17 / 19
Tan nimac
17 févr. 2014 à 10:32
OK, donc je supprime.
Je suppose que je supprime aussi le New Folder (2).exe

Pour ce qui est de la récupération de mes fichier, as tu un logiciel à me conseiller?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 17/02/2014 à 10:35
si supprime le.
Toute façon, si t'as un doute sur un fichier, tu l'envoies là https://www.virustotal.com/gui/

Non j'ai jamais utilisé, regarde là : https://www.commentcamarche.net/download/s/
0
Réponse 18 / 19
Tan nimac
17 févr. 2014 à 11:50
J'ai récupéré mes fichiers \°/ avec EaseUS Data Recovery Wizard 7.0 (gratuit et efficace)

Merci de ton aide!
0
Réponse 19 / 19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
17 févr. 2014 à 12:05
:))
super :)


0

Discussions similaires

comment se debarasser de VBS malware-gen
alquint -
Malekal_morte- -

12 réponses
Help ! Worm:Win32/Autorun.gen!inf et Worm:Win32/Wecykler.A
Guizro -
Guizro -

6 réponses
Virus Worm.Win32.Autorun.mjd
mehdoux -
anthony5151 -

17 réponses
worm bagle
manu2531 -
Utilisateur anonyme -

30 réponses
Virus.Worm.VBS : Clef USB infectée (suite)
Trombone -
Malekal_morte- -

8 réponses