Sujet Précédent Sujet Suivant

Desinfecter VBS : Small

bdjalou Messages postés 11 Statut Membre -  
 karukera78 -
Bonjour GreNouille,
Problème de virus : VBS SMALL et Adober notamment, je crois.

J'envoie les logs (highjack et kaspersky).

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:12:48, on 19/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\claude\Bureau\VBS\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mailweb.sonatel.sn/iNotes6W.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{19FCBAED-6D19-43BB-BECA-82F47B5A57F9}: NameServer = 213.154.64.13,213.154.95.126
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
A voir également:

10 réponses

Réponse 1 / 10
Grenouille
 
Salut bdjalou

Télécharges Flash_Disinfector de sUBs et enregistres-le sur ton bureau:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Ne l'utilise pas tout de suite.

Désactive la restauration systéme.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système sur tous les lecteurs".
clic sur ok pour valider.

_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [Do a system scan only]
cocher la case au début des lignes suivantes:

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat

valide en cliquant sur le bouton [Fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ferme tous les programmes en cours et lance Flash_Disinfector.exe

Il fonctionne comme ceci:
Double clic sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte ta clé USB ou DD externes
Attends quelques secondes qu'ils soient reconnus par Windows, puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: Done!!
Appuie sur OK, pour faire réapparaitre le bureau.

Si tout s'est bien déroulé, l'infection devrait être pratiquement éradiquée dès la fin de cette étape.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Refais scanner ton pc chez Kaspersky et poste le rapport ainsi qu'un nouveau rapport hijackthis.
Et dis moi si tu as rencontré un problème particulier lors de l'utilisation de Flash_Disinfector.

Bon courage.

a+
0
bdjalou Messages postés 11 Statut Membre
 
Merci bocou Grenouille,
Pas de bleme lors de l'utilsation de FLASH (très rapide comme scan).

voici les rapports :


=

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:41:49, on 20/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Cool2000\cool2000.exe
C:\Documents and Settings\claude\Bureau\VBS\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sports.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mailweb.sonatel.sn/iNotes6W.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{19FCBAED-6D19-43BB-BECA-82F47B5A57F9}: NameServer = 213.154.64.13,213.154.95.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FBD3C3C-971B-4DB2-82D2-EC15279B413B}: NameServer = 213.154.95.126 213.154.64.13
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
0
karukera78
 
Bonjour,

Moi aussi j'avais un problème avec VBS : Small
Mais en suivant tes conseils, c'est à dire télécharger Flash_Disinfector, je peux maintenant accéder à tous mes disques.

Merci encore !!!
0
Réponse 2 / 10
Grenouille
 
Bonsoir bdjalou

Ouep, Flash a été très rapide mais inefficace sur le coup.
Kaspersky détecte encore les mêmes fichiers et aux mêmes emplacements qu'avant son utilisation...

On va procéder autrement:
Télécharge Clean autoruns.zip de Mosaic1 et enregistre-le sur ton bureau.
http://forums.techguy.org/attachments/102310d1175652013/clean-autoruns.zip
Décompresse-le, clic-droit >> Extraire tout
Dans le dossier Clean autoruns, double clic sur le fichier Clean autoruns.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Puis rends toi dans le dossier Clean autoruns, tu devrais trouver deux fichiers nommés Part1.txt et Part2.txt.
Héberges-les sur https://www.cjoint.com/ car ils sont un peu trop volumineux pour être copié/collé ici, ensuite poste les deux liens sur le forum.

a++
0
bdjalou Messages postés 11 Statut Membre
 
Slt Grenouille

voici les 2 liens part1 et part 2

https://www.cjoint.com/?fvjs423q61

https://www.cjoint.com/?fvjukhd0XT

a+
0
Réponse 3 / 10
Grenouille
 
Salut bdjalou

Clean autoruns n'a pas trop mal bossé, mais reste encore deux fichiers à la racine de C:\ et D:\ qu'il n'a pas pu supprimer:
Autorun.exe_?????
autorun.inf_?????
Le points d'interrogation correspondant à des caractères asiatiques.

Télécharge FxRajump, ici:
https://www.broadcom.com/support/security-center

Pour plus de commodité, enregistres-le sur le Bureau.

1\
Rend visible les fichiers cachés et système
Panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

/!\ Ne pas oublier une fois le nettoyage terminé de faire l'inverse pour recacher les fichiers.

2\
Sur le bureau, double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera crée sur le bureau, avec le listing des suppressions éventuelles de fichiers/clés registre.
Copie et colle le contenu de ce rapport sur le forum.

3\
Recherche et fais analyser ici ce fichier, s'il existe:
http://www.virustotal.com/xhtml/virustotal_en.html

C:\Windows\Setup.pif
ou
C:\Windows\System32\Setup.pif

Poste le rapport d'analyse si le fichier était bien présent.

4\
Ouvre le poste de travail et fais un clic droit > Explorer sur l'icône de ton disque C:\ et supprime:

C:\Autorun.exe_?????
C:\autorun.inf_?????

Fais exactement la même chose pour ton disque/partition D:\

5\
Lance hijackthis, clic sur [Open the misc tools section]
A coté du bouton [Générate startuplist log]
Coche les 2 cases
Puis clic sur [Générate startuplist log]
copie et colle le rapport ici

6\
Sur ton bureau et dans le dossier Clean autorun, tu dois avoir un dossier qui porte comme nom la date d'aujourd'hui et l'heure à laquelle tu as utilisé Clean autorun, est-ce que dans ce dossier, tu pourrais me faire parvenir ici:
grenouille@trashmail.net
une copie du fichier autorun.rar ?
Merci.

... Bon courage et à bientôt :-)
0
Réponse 4 / 10
Grenouille
 
re,

Ouvre le bloc notes et copiet colle tout ce qui est en bleu ci-dessous: 
Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{060a18ad-d26c-11db-9a7b-eb2e8f01f631}\Shell]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{457ca41c-fce9-11db-9b07-000bcd4722bf}\Shell]

Dans le menu, clic sur Fichier > enregistrer sous
Selectionne le bureau comme lieu d'enregistrement
Dans le champs "Nom du fichier" : mets -> bdjalou.reg
Dans le champ "Type" : choisis "Tous les fichiers"
et valide.

Double clic sur le fichier bdjalou.reg et accepte la fusion dans le registre.

Sur ton bureau et dans le dossier Clean autorun, relance clean autorun.bat et poste sur le forum les deux liens cjoint des rapports.

Si tout c'est bien passé jusque là, on ne devrait plus être très loin maintenant d'avoir réglé son compte à vbs small.

a+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
bdjalou Messages postés 11 Statut Membre
 
Oui, jai pu supprimer les 2 fichiers autorun.exe et autorun.inf sur C comme sur D.

Comment faire faire pour contacter le modérateur pour la suppression des 2 liens cjoint ?

Merci pour ton aide
0
Réponse 6 / 10
Grenouille
 
juste à côté de : 
 < 9 >  bdjalou (lundi 21 mai 2007 à 21:02:10)

tu clic sur l' icône en forme de triangle avec un point d'exclamation dedans.
Tu leur donne le lien du post:
desinfecter vbs small#6
En disant dans la partie commentaire que tu souhaites qu'ils suppriment les deux liens.
Voilà :-)

a+
0
Réponse 7 / 10
bdjalou Messages postés 11 Statut Membre
 
slt Grenouille

Après fusion de bdjalou.reg dans le registre, j'ai appliqué clean autorun.bat

Voici les 2 fichiers :

https://www.cjoint.com/?fwb0HPEuVY
https://www.cjoint.com/?fwb07RfG0Q

Ps : seul le fichier Part2 a été modifié

Merci pour ton soutien
0
Réponse 8 / 10
Grenouille
 
Salut bdjalou

Ok, donc voilà un petit topo de la situation:
fxrajump que tu as exécuté hier a supprimé les dernières trace du ver Rjump (adober), cette infection n'était plus active mais il restait encore queques traces (un fichier dans C:\Windows) qu'il a viré.
Côté VBS small, Flash_disinfector s'est chargé de supprimer les 3 fichiers qui permettaient au ver d'être actif, sur chaque disques/patitions ou périphériques externes (clé USB, DD...), qui étaient connectés au moment ou tu l'as exécuté.
Clean autorun quant à lui, a viré le reste de l'infection et permis de vérifier qu'il n'en restait plus de traces.
Le fichier reg que tu as crées ensuite, a permis lui via le registre de supprimer les caractères qui avaient remplacés "ouvrir" et "explorer" dans le menu du clic droit sur l'icône d'un disque.

Pour ma part je ne vois plus rien d'infectieux dans les divers rapports que tu m'as fait passer et il y a de très grandes chances que tu sois venu à bout de VBS small :-)

Refais par précaution un scan AV en ligne chez Kaspersky et poste le rapport.

a+
0
bdjalou Messages postés 11 Statut Membre
 
Merci beaucoup Grenouille
je fais le scan et je poste le rapport sous peu
0
Réponse 9 / 10
bdjalou Messages postés 11 Statut Membre
 
Slt Grenouille,

Voici le rapport kaspersky (il n'y plus qu'un virus avec 16 traces).

Merci encore une fois pour ton aide.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, May 22, 2007 6:01:38 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 22/05/2007
Enregistrements dans la base antivirus Kaspersky : 306386
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\

Statistiques de l'analyse:
Total d'objets analysés: 53324
Nombre de virus trouvés: 1
Nombre d'objets infectés: 16 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:26:34

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.C.txt/AUTORUN.INF_¦+ã-¦+-¥-Ý Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.C.txt/autorun.vbs Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.C.txt/autorun.bat Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.C.txt/AUTORUN.INF Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.C.txt RAR: infecté - 4 ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.D.txt/AUTORUN.INF_¦+ã-¦+-¥-Ý Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.D.txt/autorun.vbs Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.D.txt/autorun.bat Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.D.txt/AUTORUN.INF Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\autorun.rar.D.txt RAR: infecté - 4 ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\System32\autorun.inf_被屏蔽木马 Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\System32\autorun.rar/AUTORUN.INF_¦+ã-¦+-¥-Ý Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\System32\autorun.rar/autorun.vbs Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\System32\autorun.rar/autorun.bat Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\System32\autorun.rar/AUTORUN.INF Infecté : Virus.VBS.Small.a ignoré
C:\Documents and Settings\claude\Bureau\clean\21-05-2007 7-17-40,21\System32\autorun.rar RAR: infecté - 4 ignoré
C:\Documents and Settings\claude\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Historique\History.IE5\MSHist012007052220070523\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Temp\~DF3F9B.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Temp\~efd406\~efe2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Temp\~efe6e2\~efe2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\claude\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\claude\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\claude\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\00000002.ps1 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\00000002.ps2 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\00010001.ci L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\cicat.fid L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\cicat.hsh L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiCL0001.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiP10000.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiP20000.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiPT0000.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiSL0001.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiSP0000.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiST0000.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\CiVP0000.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\INDEX.000 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\propstor.bk1 L'objet est verrouillé ignoré
C:\System Volume Information\catalog.wci\propstor.bk2 L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_5e8.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 10 / 10
Grenouille
 
Salut bdjalou

Rien de méchant t'inquiète, ce sont juste les backups (sauvegardes) des fichiers supprimés, qu'avait faites Clean autorun et que détecte KAV.

Tu peux supprimer sans problèmes le dossier :
C:\Documents and Settings\claude\Bureau\clean

Voilà... Je crois que tu es définitivement débarrassé de VBS small :-)

Ah oui, juste une dernière chose... Comment se comporte ton pc depuis le nettoyage ?
L'accès aux disques/clé USB se fait normalement ?

a++

PS:
De rien, c'est avec plaisir si j'ai pu t'aider à faire un peu de ménage :-)
0
bdjalou Messages postés 11 Statut Membre
 
Slt Grenouille,

L'accès aux disques/clé USB se fait normalement depuis le nettoyage. Et même avec AVAST, je n'ai plus les msg qui me parle de virus (vbs)

merci encore
0

Discussions similaires

Faire une pause en VBS
quent -
quent -

3 réponses
Comment lancer mon vbs
Akasha51150 -
Akasha51150 -

14 réponses
redemarer mon pc avec un cd rom d'antivirus
zozoazae1 -
zozoazae1 -

2 réponses
Demande de désinfection SVP !!!
Heimrik -
bazfile -

1 réponse
Impossible de trouver le fichier script .vbs
Marker_ -
Marker_ -

6 réponses