[Virus] Infecté par AdobeR.exe Fermé

Question

Bonjour

Je suis nouveau sur ce forum. Merci pour les tonnes de réponses que vous donnez !

Je n'ai pas identifié précisément de quelle infection il s'agit ou à quelle point elle s'est étendue.

J'ai un disque externe avec deux partitions (L et M) auquel je n'ai plus accès par le poste de travail (double clic). J'ai vu qu'il y avait deux fichiers à la racine des partitions.

disque M
AdobeR.exe.log 	2ko 28/05/07 11:50
RavMonLog	1ko 25/05/07 10:24

disque L
AdobeR.exe.log	3ko 28/05/07 11:47
RavMonLog	1ko 28/05/07 11:18

Mon firewall (Outpost, version gratuite) a bloqué des tentatives de connection intempestives liées à ces fichiers

extrait du fichier AdobeR.exe.log :
***********************************************
Traceback (most recent call last):
  File "AdobeR.py", line 1, in ?
  File "zipextimporter.pyo", line 78, in load_module
  File "twisted\internet\reactor.pyo", line 12, in ?
  File "twisted\internet\selectreactor.pyo", line 182, in install
  File "twisted\internet\posixbase.pyo", line 168, in __init__
  File "twisted\internet\base.pyo", line 268, in __init__
  File "twisted\internet\base.pyo", line 568, in _initThreads
  File "twisted\internet\posixbase.pyo", line 265, in installWaker
  File "twisted\internet\posixbase.pyo", line 78, in __init__
  File "<string>", line 1, in connect
socket.error: (10061, 'Connection refused')
***********************************************

Mon antivirus (AVG, mis à jour) n'a rien détecté sur mes partitions. 

Je n'ai pas vu d'autres fichiers à la racine des partitions des disques internes de mon pc. J'ai cru comprendre sur votre forum qu'il n'est pas possible de faire un hijackthis sur une clef usb, j'imagine que c'est pareil pour mon disque externe.

Que pouvez vous me conseiller pour éliminer les fichiers et le virus ? Merci d'avance !

Cousin_Avi · Answer

Bonjour,
 
Télécharge Hijackthis
http://www.merijn.org/files/hijackthis.zip (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.
 
Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :
 
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse

Daedalus · Answer

Merci d'avoir suivi mon post

voici le log hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17:11:52, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32
vsvc32.exe
D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\HEWLET~2\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programmes dl\Virus\Daedalus.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program 

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - 

D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program 

Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE 

C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe 

/waitservice
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP 

Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & 

Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] d:\program files\le petit 

robert\prhyper.exe
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Emeric\Application 

Data\Mozilla\Firefox\Profiles\3gcxg945.default\extensions\{B13721C7-F507-4982-B2E5-502A714

74FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and 

Settings\Emeric\Application 

Data\Mozilla\Firefox\Profiles/3gcxg945.default\extensions\{B13721C7-F507-4982-B2E5-502A714

74FED}"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A18E7A8F-3600-4D8B-B819-204D2D23D63B}: NameServer 

= 213.228.0.212,212.27.32.177
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program 

Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 

C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - 

D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - 

D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - 

D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EasyModApache - Unknown owner - D:\Program Files\EasyBox\apache\apache.exe" 

-k runservice (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - 

C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - 

D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner 

- %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file 

missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - 

D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Cousin_Avi · Answer

Voila je vais essayer de t'aider,

Vous n'arrivez pas à accéder à disques dur depuis le poste de travail ? Faites ceci :

    * Ouvre le poste de travail
    * Clic sur le menu outils  en haut à droite puis options des dossiers
    * Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
    * Coche dans la liste "Afficher les fichiers cachés"
    * Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
    * Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
    * Ouvrez le poste de travail
    * Faites un clic droit sur le disque dur que vous n'arrivez pas à ouvrir
    * Choisissez ouvrir dans le menu déroulant.
    * Cherchez un fichier autorun.inf
    * Supprimez le en faisant un clic droit puis supprimer.
    * Répétez l'opération sur tous les disques que vous n'arrivez pas à ouvrir


# Afficher les fichiers cachés pour cela :

    * Ouvrez le poste de travail
    * Clicquez sur le menu outils en haut à droite puis options des dossiers
    * Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
    * Cochez dans la liste "Afficher les fichiers cachés"
    * Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
    * Ne tenez pas compte du message disant que cela peut endommager le système.

# Ouvrez le poste de travail
# Faites un clic droit sur le disque C puis Ouvrir
# Supprimez le fichier autorun.inf
# Ouvrez le dossier Windows
# Recherchez le fichier AdobeR.exe puis faites un clic droit et supprimer.
# Téléchargez et installez AVG AntiSpyware : anti-malware recommandé
# Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
# Afin de supprimer toutes traces du spyware et d'autres élements qu'il aurait pu installer, scannez votre ordinateur avec :

    * AVG Antispyware : anti-malware recommandé

# Redémarrez l'ordinateur
# Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n'en aillez pas, utilisez alors un antivirus en ligne : 

    * Scan par Secuser
    * Scan par Symantec
    * Scan par Panda

# Nettoyez votre base de registre à l'aide de l'utilitaire regcleaner
# Nettoyez les fichiers temporaires/caches etc.. avec CCleaner

Daedalus · Answer

Voilà, j'ai appliqué tout ce que tu évoquais. Mon antivirus n'a pas de soucis apparemment (enfin, est-ce un bon signe lorsqu'il ne détecte rien ? :) ). Mes disques fonctionnent normalement désormais.

Je vais nettoyer les autres disques amovibles puis rétablir les options sur les fichiers cachés et système. 

Merci à toi cousin_avy ! Je ne m'attendais pas à avoir une réponse aussi rapide à chaque fois !

Canigi · Answer

Tu es infecté de 2 AdobeR et Ravmonlog il y a un fichier autorun.inf pour chacun d'eux tu dois télécharger usbfix ici http://pagesperso-orange.fr/nostools/usbfix.html tu dois décompresser le fichier puis l'installer puis tu exécute USBfix et tu désactive l'uac sous vista et seven puis tu lance suppression il va tuer les processus le temps de l'analyse et l'antivirus et va faire disparaitre le bureau et puis il va scan et va supprimer Adobe R et Ravmonlog ayant déjà été infecté par Adobe R sa marche parfaitement ;)

[Virus] Infecté par AdobeR.exe

5 réponses

Discussions similaires