Virus vietnamien 16/06

Question

Bonjour,

Je suis au Vietnam (Pays du virus). Aujourd'hui vers 13 heures, toutes mes fenetres ont pris pour nom :

16/06 Chuc Em Luon Vui Ve & Hanh Phuc

Pour info, moi non plus je ne parle pas vietnamien...

Toujours est-il que mon malheureux Antivir (a jour) ne detecte rien. 

Quelqu'un a une idee ????

Laurent · Answer

Salut,

Et ton antispyware il dit quoi ^^

Télécharge AVG antispyware sur clubic.

afideg · Answer

Bonjour cloel, Et comment va l'accès à ton Disque Local ( C:\ ) à partir du Poste de Travail ? Peux-tu faire ceci, SVP? 1°- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw > Si tu as besoin d'aide AVG-antispyware regarde ces tutoriels: --> < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html > -- > < http://www.malekal.com/tutorial_AVG_AntiSpyware.html > Tu enregistres le fichier dans Bureau. A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau. Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours. Tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.1.43.exe". Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions. Tu notes au passage que l’installation va se faire en : C:\Program Files\Grisoft\AVG Anti-Spyware 7.5 Tu peux choisir le raccourci dans le menu « Démarrage » Si on te demande de redémarrer ton ordinateur, tu le fais. Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau. La première fois que tu l'utilises, tu configures le logiciel. Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ). Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique » et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »). Tu redémarres l'ordinateur si nécessaire. - Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir » - clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer » -< http://bp3.blogger.com/... > Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis ensuite l'onglet analyser, analyse complète du système. A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. - PS Pour les autres fois, pour lancer AVG, tu double-clic sur la deuxième icône bureau créée. Tu dois le garder, il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ). 2°- Télécharge Combofix.exe (par sUBs) sur ton Bureau Télécharger la Beta (http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe) Double clique combofix.exe et suis les invites. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis. 3°- Pour HijackThis - Avec connexion au Net en service, - télécharge la version original de HijackThis < http://www.merijn.org/files/hijackthis.zip >, ou là : https://www.pcastuces.com/logitheque/hijackthis.htm - et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm > - Déconnecte-toi du Net pour installer le programme. - Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple. Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer] ( s'il n'y est pas, crée un raccourci sur vers le bureau ) -Redémarre ton PC impérativement. - Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile » •Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) •NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran. •Ouvre le rapport HijackThis précédemment sauvegardé et copie-colle le dans ta prochaine réponse - à la fin du scan le bloc-notes va s'ouvrir sur le bureau - tu fais un copier/coller de tout son contenu. - Et tu le postes sur le forum POURQUOI l'installer là ? Le problème consiste à avoir un dossier dédié à HijackThis; car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur. L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage. Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière. Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action. Bon courage Al.

cloel · Answer

Bonjour,

Je n'ai pas encore pu faire ce que vous m'avez indique (la ligne telephonique ayant flanche). Je suis donc sur un PC a l'exterieur.

Mon probleme d'ouverture de disque semble etre lie a mon virus. Le clic sur le disque cree un "autorun.inf " qui lance un "winlist.exe" et hop renommage des fenetres. Ce virus m'a ete transmis par la cle usb d'un ami et donc ma cle est maintenant egalement infectee !!!


Des que j'ai le moyen de telecharger quelquechose, je vous mets le resultat.

Si quelq'un a une idee pour aussi nettoyer ma cle, je suis preneur...

afideg · Answer

Bonjour cloel, OK, c'est plus clair ainsi. Tu trouveras toutes les explications nécessaires ici : < http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/virus-sujet_29187_1.htm > •- Essaie donc ceci : Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela : SURTOUT ne pas double-cliquer sur le disque dans le poste de travail * Ouvre le poste de travail * Clic sur le menu "outils" en haut à droite puis "options des dossiers" * Dans la nouvelle fenêtre, clic sur "l'onglet Affichage" en haut * Coche dans la liste "Afficher les fichiers cachés" * Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)" * Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. * Ouvre le poste de travail * Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!! * Choisis "ouvrir" dans le menu déroulant. * Cherche un fichier "autorun.inf" et des fichiers : "Adober.exe" ou "RavMonE.exe" ou "MS32DLL.DLL.VBS" ou "autorun.vbs" * Si présents, supprimez le en faisant un "clic droit" puis "supprimer". * Répéte l'opération sur tous les disques se trouvant dans le poste de travail. •- Et fais ceci avant de faire ce que j'ai demandé au post précédent: - Télécharge « clean.zip » < http://www.malekal.com/download/clean.zip > - Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif > - Redémarre en mode sans échec. Tutos: Comment faire pour... à la lettre D < https://forum.pcastuces.com/default.asp > - Ouvre le dossier « clean » qui se trouve sur ton bureau. - Double-clic sur « clean.cmd ». Une fenêtre noire va apparaître, suis les consignes < http://img483.imageshack.us/img483/6285/screenshot210io7.gif > Choisis l’option 2. Clean va travailler. Il va produire un rapport qui se trouve ici C:\rapport_clean.txt. - Arrête, puis Redémarre le PC normalement. - Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. . Commence par ça, ensuite nous reviendrons au post précédent. Merci Bonne journée. Al.

afideg · Answer

Bonjour cloel, 1°- Je ne sais pas si tu as pu exécuter au Post#4 la procédure indiquée au début ( dont tu as reçu un lien en exemple de traitement ). Je suppose que OUI, puisque le rapport de "clean" ne donne aucune indication de suppression des fichiers "autorun.inf", "Adober.exe", "RavMonE.exe", "MS32DLL.DLL.VBS" ou "autorun.vbs" . Mais ce ne sont malheureusement que des suppositions . > > 2°- Rapport AVG : Pas de rapport ===> c'est impossible! As-tu bien exécuter la procédure indiquée ? À savoir : « Tu coches à droite "générer un rapport après chaque analyse"; à la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. » . - Recherche par l'explorateur Windows le dossier AVG Antispyware ( en C:\Program Files\ si ma mémoire est bonne ), et là, il devrait y avoir ce rapport .... si tu as bien suivi les consignes de configuration . J'ai besoin de ce rapport. Merci. > > 3°- O23 - Service: Httlinai - Conexant Systems, Inc. - (no file) Connais-tu ce service Httlinai ? > > 4°- Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer fichiers protégés du dossier système Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > > Ensuite, peux-tu contrôler ces fichiers à l'aide de VirusTotal ? Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html > •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) ) •- c'est-à-dire : C:\WINDOWS\winlist.exe C:\WINDOWS\system32\msi.dll C:\WINDOWS\system32\RunDLL32.EXE •- quand tu as trouvé le fichier, tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal ) •- et tu attends le résultat ( sois patiente ) •- que tu postes sur le forum DONC, tu refais la manipulation fichier par fichier. > > 5°- Quand le PC sera désinfecté, il faudra prendre ceci en considération : Aucun pare-feu actif n'a été trouvé sur votre système Télécharger ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe > ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html > •- Ensuite lancer l'installation de ce pare-feu. Pour cela: - tu dois impérativement couper la connexion de ton modem (débranche-le), - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). - ensuite installer ce pare-feu une fois téléchargé , - et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé - si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) •- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. . Eventuellement mettre à jour Kério. •- Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio - http://www.chez.com/leppa/scripts/kpfV4.html - https://www.vulgarisation-informatique.com/kerio.php - Tuto - https://forums.cnetfrance.fr - Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php > > > Merci pour ta collaboration Al.

afideg · Answer

Re,

Merci

1°- OK vérifie avec la procédure que je t'ai donné :
« * Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!! 
* Choisis "ouvrir" dans le menu déroulant. 
* Cherche un fichier "autorun.inf" et des fichiers : "Adober.exe" ou "RavMonE.exe" ou "MS32DLL.DLL.VBS" ou "autorun.vbs" 
* Si présents, supprimez le en faisant un "clic droit" puis "supprimer". 
* Répéte l'opération sur tous les disques se trouvant dans le poste de travail. »

... que tu n'as plus de fichiers "autorunf.inf"  etc.. sur ton disque dur externe.
Supprime le partout.

2°- Ensuite : 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut". 
Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut". 


3°- Exécute cet outil, SVP:
Télécharge kill_autorun_vbs.bat sur le bureau
< http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16 > 
Double-click sur "kill_autorun_vbs.bat" et laisse-le faire le boulot

En fait cet outil détruit les "autorun" vérolés, et aussi il répare une clé du regsitre.

Donne-moi des nouvelles.

Bonne chance
Al.

afideg · Answer

Allo ?
Cloel, où en es-tu ?

Ajoute ceci éventuellement :

Supprimer :
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\winlist.exe 
E:\winlist.exe

Lance une recherche dans la BdR ( exécuter regedit > édition > recherche , sur pied de :
winlist
RavMonE
Copie les clés en rapport avec, et poste-les.
N'oublie pas F3 pour compléter la recherche.

Merci
Al.

afideg · Answer

(suite)

Allo? 

Pour cette ligne  O23 - Service: Httlinai - Conexant Systems, Inc. - (no file), 

il y a lieu de faire ceci: 

A)- "Démarrer" > "Exécuter" > taper services.msc et rechercher dans la liste  Httlinai ou Conexant Systems, Inc, et m'en donner  la dénomination exacte par un copier/coller ( sur exporter la liste ), ou par une capture écran .

B)- En attendant, tu peux tester ceci:

1)- « Démarrer » > « Executer » > taper  cmd > dans la fenetre d'invite de commande,  copier/coller et valide par [enter] à chaque fois !:

sc stop Httlinai
sc config  Httlinai start= disabled

Terminer par [exit]

2)- Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

3)-  « Démarrer » > « Executer » > taper  cmd > dans la fenetre d'invite de commande,  copier/coller et valide par [enter]:

sc delete Httlinai

Arrête, puis redémarre le PC normalement.

Merci
Al.

cloel · Answer

Bonjour, ME revoila. 

Maintenant, voici tous les endroits de la base de registre concerne (heureusement j'ai trouve le moyen de copier coller, sinon je devenais cinglee !) :

Pour winlist dans la base de registre :

My Computer/ HKey_Local_Machine \ software \ microsoft \ windows \ current version \ run \

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\AutoRun\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\open\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\AutoRun\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\open\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\AutoRun\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\open\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Task Manager (command et item)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Task Manager


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ Task Manager

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\AutoRun\command \ default

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\open\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\open\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\open\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache

Pour RavMonE : 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\Auto\command

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\Auto\command

HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\AutoRun\command


J'espere que ca te parle plus qu'a moi....

Merci d'avance.

afideg · Answer

Bonjour et merci cloel,

Ces clés, sont-elles celles trouvées avant ou après la réalisation complète du post # 8 ?
Il faut que tu exécutes tout ce qui y est spécifié.
Dis-moi comment fonctionne le PC ensuite.

Ensuite, rechercher et supprimer 
C:\WINDOWS\RavMonE.exe 
C:\WINDOWS\winlist.exe 
E:\winlist.exe 

Ensuite, exécuter le post # 10 §A, et poursuivre tout si Httlinai est bien la dénomination exacte de ce service. Sinon, il faudra que je modifie les écritures.

Courage
Al.

balltrap34 · Answer

salut
a quoi correspont le lecteur E
il faut que tu fasse se qui est mis au post 8 avec tous les lecteurs ou clef usb contaminer brancher
sinon la desinfection revient des que tu rebranche un de ces lecteur ou clef usb
a++

cloel · Answer

J'ai fait le 8 et apres le 9.

Pour le 10, j'ai pas encore eu le temps.

Le E c'est mon deuxieme disque local. Et oui, je fais tout avec tous mes disques veroles branches....

Ca a l'air d'aller mieux. Je refais une verif demain.

afideg · Answer

Re,

Merci Balltrap, j'avais oublié de le rappeler ( USB branchée durant l'exécution des postes#8 -kill_autorun_vbs.bat - et # 9 - suppression des fichiers -).

Cloel, la recherche dans la BdR avait-elle été réalisée avant ou après la réalisation complète du post # 8 ? 

Merci de m'apporter une réponse.

Al.

cloel · Answer

Bonjour,

La recherche dans la base de registre a ete faite apres la realisation complete du post 8. Et de plus, j'effectue toutes les operations en branchant tous les peripheriques infectes.

Pour l'instant le fichier autorun.inf ne revient plus, mais comme j'ai encore tout ca dans la BDR, je me dis que ce n'est pas encore nickel... Du coup je n'ose pas redemarrer (j'ai peur que des trucs se remettent en place au redemarrage....) 

Merci pour votre avis...

A bientot.

afideg · Answer

Bonjour cloel, Content que ce PC soit mieux. Il faut terminer comme ceci: 1°- Sauvegarde de toute la base de registre • Cliquez sur Démarrer / Exécuter • Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ». • Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail ». ( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres ) • Dans le menu « Fichier » cliquez sur « Exporter.... » • Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU. • Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1) • Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)". < http://img252.imageshack.us/img252/8522/screenshot258es5.gif > • Cochez la case ( le bouton ratio ) « Tout ». • Cliquez sur [Enregistrer]. Puis Quitter le registre. L'icône du fichier de sauvegarde du Registre est sur le bureau. 2°- Recherche des traces à éliminer dans la BdR "Démarrer" > "Exécuter" > là, taper " regedit " dans la fenêtre, puis [OK] Donc, il nous faut retrouver ces éléments à supprimer : RavMonE.exe ( avec ou sans l'extension .exe ) et winlist.exe ( idem ) Pour cela, clic sur "edition" puis "rechercher", comme ça: Dans la fenêtre texte, tu colles winlist.exe Regarde bien que les trois cases "cles/valeurs/données" soient cochées. Clic sur "suivant" S'affiche alors des éléments de clés en surbrillance devant contenir le terme " winlist.exe " Sur cette clé en surbrillance clic droit puis "supprimer" Clic sur F3 pour lancer une nouvelle recherche, et supprime ce qui est en subrillance ( dans la colonne de gauche comme de droite ) La fin est signalée par un message . Fais la même chose avec le mot RavMonE.exe. 3°- Ensuite, exécuter le post # 10 §A, et poursuivre tout si Httlinai est bien la dénomination exacte de ce service. Sinon, il faudra que je modifie les écritures. 4°- Fais un scan en ligne avec< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr > Le scan ne marche que sous Internet Explorer. Sous < https://www.informatruc.com >, on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner : « Exécuter l'analyse en ligne » . Le scan ne marche que sous Internet Explorer. Le scan va commencer. Clic sur l'image « Kaspersky Online Scanner » Puis sur "démarrer scan online " en bas à droite de la page. < http://pictures.kaspersky.fr/bouton-scann1.jpg > Clic sur « J'accepte » ( ou I agree ) On va te demander de télécharger un contrôle active x, accepte . ( on va peut-être demander installer ==> clic sur "installer" ) Tu attends que la mise à jour se termine ( patiente ), une fois terminé, clic sur « Suivant » Clic sur « Paramètres d'analyse » Coche la case « Étendue » >> Ok Dans le menu « Choisissez la cible de l'analyse » Clic sur Poste de travail pour faire un scan complet Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..." Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer] Tu ouvres le fichier que tu viens de sauvegarder, Copier/coller le rapport généré, et poste-le AIDE : -Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. -Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3 NOTES : - En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 > - Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement) - En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 > Ça peut durer plus d’1 heure. Patiente Bonne journée Albert

afideg · Answer

moe · Answer

Salut

Sur la pointe des pieds...
... Juste pour suivre l'épilogue.

a+

moe · Answer

Salut afideg,

Je ne connais pas vraiment le payload de winlist.exe précisément et dans quel ordre il execute ce pourquoi il a été codé, mais souvent dans ce genre d'infection le principe de base est le même.
Propagation ultra rapide soit via MSN, P2P, mails, réseau puis se répliquant sur tous les média amovibles connectés, partitions ou second DD interne, pendant la phase d'infection, certaines variantes utilisant simultanément les cinq modes avec en plus un bypass du firewall windows et ouverture d'une backdoor.

Sinon, pour répondre à ta question et comme tu l'auras très surement remarqué au vu des divers rapports postés par cloel, winlist.exe semble bien situé dans C:\Windows et s'assure d'être exécuté à chaque redémarrage via ces deux clés:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Run]
"Task Manager" = C:\WINDOWS\winlist.exe
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"Task Manager" = C:\WINDOWS\winlist.exe 

Sans parler bien sur des autorun.inf qui forcent l'exécution du fichier winlist.exe copié à la racine des autres médias, à chaque ouvertures par double clic ou par le clic droit > Ouvrir.

Maintenant si cloel l'a supprimé dans C:\windows et sur ses médias externes, ca va être très difficile pour l'upload chez MAD ! :-)

Quant a C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe, en fait il y a une petite subtilité, le fichier sensé être exécuté, est bien RavMonE.exe mais tu remarqueras que le chemin à partir duquel il doit se lancer n'est pas précisé comme pour winlist.exe. 
C'est du à cette commande: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL qui fait appel au fichier système RunDLL32.EXE, et qui lui fait appel à une fonction bien précise d'une dll (Shell32.DLL).
Cette fonction en gros permet à un fichier d'être lancé à partir du dernier emplacement ou il a été exécuté pour la dernière fois, quelque soit les multiples  endroits ou il existe dans le pc.
Par exemple dans le cas ou C:\WINDOWS\RavMonE.exe se serait lancé pour la dernière fois au démarrage du pc, si l'utilisateur ne fait que supprimer le fichier RavMonE.exe dans sa clé USB sans toucher à l'autorun.inf, grace à cette commande et dès la tentative d'ouverture suivante de la clé il y aura réinfection car se sera C:\WINDOWS\RavMonE.exe qui sera appelé.
Voilà,  c'est la seule petite différence avec la manière dont se lance winlist.exe à l'ouverture d'un média infecté.  

L'épilogue ne sera pas pour aujourd'hui on dirait... Tant pis pour ma curiosité :-) ...

Bonne continuation et désinfection.

afideg · Answer

Bonsoir Moe,

Un grand merci pour ces commentaires et explications.
Ça me manque énormément.
Je travaille beaucoup par intuition et observation; je n'ai pas d'autre moyen.
J'ai ma pension, et je suis entouré d'hyperactifs qui ne laissent pas trop de place au partage.

Tant pis en effet pour l'absence de l'internaute.
J'ai pourtant insisté par MP ( pas de réponse).

Je ne sais pas en effet ce qui a été réellement  supprimé comme fichiers.
Peut-être l'internaute se contente-t-il de ceci : « Pour l'instant le fichier autorun.inf ne revient plus, mais comme j'ai encore tout ca dans la BDR, je me dis que ce n'est pas encore nickel... Du coup je n'ose pas redemarrer (j'ai peur que des trucs se remettent en place au redemarrage....) ; bien que la suite de son message laisse croire qu'elle est consciente des risques encourus si la désinfection n'est pas poursuivie.

Respectueusement.
Al.

moe · Answer

Salut afideg,

Intuition et observation... Ce sont déjà deux très bonnes qualités, voire des qualités essentielles pour un chasseur de gibier virtuel :-)
Demandes donc au tireur de pigeon d'argile du 34 :-) comment il faisait pour lever le lièvre avant hijackthis & co, lol !

Blague à part, aujourd'hui il y a en plus, de très performants outils de diagnostiques, largement de quoi te permettre d'affuter intuition, observations et assez de forums traitant du sujet pour développer et entretenir la connaissance des infections.

Quant aux autres moyens auquel tu fais allusion, chacun fait ce qu'il peut comme il peut avec les moyens dont il dispose, l'essentiel n'étant peut-être pas tellement une question de moyens mais de volonté sincère de partage des connaissances ou des expériences, et ce à tous les niveaux... sans aucunes ambiguïtés...
C'est plus facile aujourd'hui de trouver par exemple le code source d'un virus qu'un Changelog de Combofix accessible à tous, lol  cherchez l'erreur !!

Enfin bref, quoi qu'il en soit Cloel doit avoir ses priorités et impératifs, ou peut-être a t'elle déjà résolu son problème grace à d'autres aides en simultané...
Tant mieux pour elle si c'est le cas :-)

Bonne continuation Al.

afideg · Answer

Re,
Ok Moe,
Message codé décodé et compris.
Thanks.
à+..
Al.

cloel · Answer

Bonjour et desole de ce black out de quelques jours.

En fait je suis effectivement deborde et de ce fait la desinfection a du etre mise de cote (meme si je fais toujours attention a ne pas contaminer d'autres support.) 

Petite question, comme j'ai supprime le fichier winlist, comment te le telecharger ??? Il est toujours dans la corbeille, mais est il judicieux de le restaurer ? La, j'attends votre avis. 

Sinon je n'ai pas encore eu le temps de nettoyer la BDR.... mais j'espere m'y atteler ce WE. Tout dependra de ma charge de travail (car je bosse aussi le WE pour rattraper le retard....). Merci en tous cas de vos avis car a defaut d'etre totalement propre, mon PC a au moins pour l'instant un comportement normal, ce qui me permet de travailler normalement. 

J'espere donner des nouvelles d'ici peu.

afideg · Answer

Bonjour cloel,

Content que le PC soit utilisable.

« comme j'ai supprime le fichier winlist, comment te le telecharger ??? »
Laisse tomber ce détail. J'ai reçu suffisamment d'infos sur la nocivité de ce fichier.
Pour être précis, ce n'est pas chez moi que ce fichier aurait pu être dirigé, mais bien chez MAD qui a pour privilège de savoir décortiquer/décoder sa nocivité et apporter les corrections nécessaires aux programmes de désinfection ( en tout cas, de le faire savoir ).

Tu pourras donc vider la corbeille et nettoyer la BdR comme proposé. ( avec une sauvegarde préalable )

Je te propose une relecture de ceci ( merci Malekal_morte pour cette œuvre ):

Tu trouveras un explicatif sur la propagation de ces infections sur ces liens :
< http://forum.malekal.com/ftopic3350.php > Le fichier autorun.inf
< http://forum.malekal.com/ftopic3539.php > Infection sur disques amovibles

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, (pour cela il faut qu'ils soient branchés):

1°- SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

* Ouvre le poste de travail
* Clic sur le menu « outils » en haut à droite puis « options des dossiers »
* Dans la nouvelle fenêtre, clic sur l'onglet « Affichage » en haut
* Coche dans la liste "Afficher les fichiers cachés"
* Décoche "masquer les fichiers protégés du système d’exploitation (recommandée)"
* Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte, et valide.

* Ouvre le poste de travail
* Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier « autorun.inf » et des fichiers : « Adober.exe » ou « RavMonE.exe » ou « MS32DLL.DLL.VBS » ou « autorun.vbs »
* Si présents, supprime-les en faisant un "clic droit" puis "supprimer".
* Répétez l'opération sur tous les disques se trouvant dans le poste de travail
(pour cela il faut qu'ils soient branchés).

2°- Télécharge Flash_disinfector de sUBs < http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >
et execute-le , (pour cela il faut que les disques amovibles soient branchés) .
Si ton antivirus fait une alerte, désactive-le.
(Si tu trouves un rapport, poste-le).
Ensuite supprime ce programme ==> vers corbeille, et vide-la.

Bon boulot
Al.

moe · Answer

Salut Cloel, Afideg

Je me permet une dernière petite intrusion dans le message de cloel, car apparement pas mal de monde a du mal à interpréter comment visualiser le contenu d'un média infecté par un exécutable + autorun.inf, sans relancer l'infection.
J'espère que vous ne m'en voudrez pas afideg et cloel d'apporter deux/trois précisions même si cloel, tu ne devrais pas rencontrer ce problème durant tes manips, car tu sembles avoir déjà supprimé tous les *.exe infectés.

Afideg, je suppose que tu t'es basé sur ce lien pour adapter ta manip:
< http://forum.malekal.com/ftopic3350.php > Le fichier autorun.inf 

Très bonnes explications, sauf sur un point, la méthode d'ouverture du média quand tous les éléments infectieux sont présents qui ne s'applique qu'à l'exemple d'infection proposé et  n'est en aucun cas une généralité:
* Ouvre le poste de travail
* Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant. 
Si le clic droit > Ouvrir, fonctionne effectivement pour l'exemple cité par Malekal dans le lien (MS32DLL.dll.vbs), ce n'est du qu'à l'instruction particulière contenue dans le fichier autorun.inf pour automatiser le lancement de MS32DLL.dll.vbs.
Dans l'exemple d'infection proposé sur le lien, l'autorun.inf contient ceci:
[autorun]
shellexecute=wscript.exe MS32DLL.dll.vbs
La commande shellexecute qui appelle l'exécution du ver, ne s'exécute uniquement qu'au double-clic sur l'icône du disque et n'affecte pas le menu contextuel du clic droit du disque infecté, que ce soit: Ouvrir ou bien Explorer et qui restent tout deux utilisables sans relancer l'infection.
Dans ce cas bien précis, l'astuce proposé par Malekal est valable.

Par contre, dans le cas de winlist.exe ou RavMonE.exe, le clic droit > Ouvrir relancera l'infection si l'exécutable appelé est présent, car le contenu de l'autorun.inf différent de l'exemple précédent, cible malheureusement aussi le menu contextuel du clic droit du disque.
Donc pour adapter dans le cas d'une infection similaire, comment voir le contenu d'un disque sans la relancer, il faut d'abord avoir au préalable quelques infos ou très bien connaitre l'infection traité, avant de s'y attaquer "à la mano".

Par exemple pour XP, le listing de cette clé, via un copier/coller de son exportation au format *.txt : 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Permet d'avoir les infos necessaires.

Dans le cas de cloel, le rapport Combofix mentionne la modif de cette clé pour le média E:\ entre autre:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E]
AutoRun\command- winlist.exe
open\command- winlist.exe

ainsi que la recherche des exécutables dans le registre que tu avais demandé à cloel :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command

Dans cet exemple avec winlist.exe et en fonction de ce que révèle cette clé, on peut déduire que l'autorun.inf devait au minimum donner  ceci : 
[AutoRun]
shellexecute = winlist.exe
shell\open\command = winlist.exe 
Traduction:

shellexecute = winlist.exe
S'assure que quelque soit le média (CD, disque, clé...) sur lequel il se trouve, de l'exécution du fichier winlist.exe
Soit par double clic sur l'icône du périf, soit par le biais de exécution automatique.
La sous-clé:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\...\Shell\AutoRun\command 
Est crée et indique en plus du nom du fichier à exécuter, que le média est soumis à l'autorun. (Ce qui provoque dans le menu du clic droit, l'option: "Exécution automatique")


Shell\open\command = winlist.exe
S'assure que le fichier mentionné sera aussi exécuté lors du Clic droit > Ouvrir ainsi qu'en double cliquant sur l'icône du périf infecté
La sous-clé:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\...\Shell\open\command
Est crée et mentionne l'emplacement et le nom du fichier à exécuter.

La présence de "shell\explore\Command = winlist.exe" aurait indiqué que le Clic droit > Explorer était lui aussi ciblé pour exécuter le ver.
C'est assez rare que les trois manières d'ouvrir un disque soient vérolés, mais ça arrive...

En fait tout çà pour dire que dans le registre on retrouve la majorité des actions contenues dans le fichier autorun.inf et ce pour chaque lecteur sur lequel il existe.
Donc en fonction de ces deux infos pour cloel, on sait qu'il n'y a que le clic droit > Explorer qui ne déclenchera pas une réinfection :-)

Voilà pour les petites précision que je voulais apporter et désolé pour la longueur du message lol.
Sinon côté BDR, cloel tu pourras aussi supprimer en plus des entrées de démarrage que t'indiquera afideg, les sous-clés "Shell" qui faisaient référence aux fichiers infectés:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell

Normalement, ces clés en plus de stocker  les paramètres des fichiers autorun.inf,  se réactualisent automatiquement si ce fichier est supprimé ou modifié, mais après reboot du pc seulement.
Du moins pour celles concernant les médias fixes, tel que ton DD ou partitions.
Si tu as bien rendu visible fichiers cachés et système et réussi à supprimer le fichier autorun.inf présent sur ton DD, clé USB etc...quelque unes  des sous-clés "Shell" auront déjà disparue de ta BDR.
Ne restera que celles concernant clé USB ou autre périfs externes s'ils n'étaient pas restés connectés au moment du reboot.

Bonne continuation et bon courage à cloel pour la dernière ligne droite :-)

a+

afideg · Answer

Re,
Bonsoir Moe,
Mes respects.
Je viens de trouver réponse à des mois de questionnements.
Je ne saurais pas non plus être court si je veux être précis et complet.
Et cerise sur ton gâteau, c'est très clairement énoncé.
Sois remercié.
Albert.

cloel · Answer

Bonjour,

Voici le rapport Kaspersky

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Sunday, July 01, 2007 14:18
 Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  1/07/2007
 Enregistrements dans la base antivirus Kaspersky : 356096
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: étendue
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\
	G:\

Statistiques de l'analyse:
	Total d'objets analysés: 61167
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 3 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 00:34:23

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\GIGABYTE\Application Data\Microsoft\Outlook\Outlook.srs	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Application Data\Microsoft\Templates\Normal.dot	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Desktop\Dear Customer.doc	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Desktop\New Folder\clean\clean\pskill.exe	Infecté : not-a-virus:RiskTool.Win32.PsKill.k	ignoré
C:\Documents and Settings\GIGABYTE\Desktop\New Folder\clean.zip/clean/pskill.exe	Infecté : not-a-virus:RiskTool.Win32.PsKill.k	ignoré
C:\Documents and Settings\GIGABYTE\Desktop\New Folder\clean.zip	ZIP: infecté - 1	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\History\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\History\History.IE5\MSHist012007070120070702\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~DF5E2C.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~DFBC12.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~DFC01C.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~DFD882.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~DFFDE7.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~WRC1979.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temp\~WRS0002.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\GIGABYTE
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Program Files\HP\hpcoretech\hpcmerr.log	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{50B74BAF-37EB-45FF-84B1-9A8E4E7DD770}\RP88\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\vknt.tmp	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré

Analyse terminée.



Ensuite, apres execuion de flash disinfector, il m'a cree un repertoire autorun.inf avec dedans un fchier .txt contenant :

This folder was created by Flash_Disinfector

C'est normal ca ?

Merci de vos avis.

afideg · Answer

Bonjour cloel,

Je ne sais plus quoi à ce jour.

Tu en es où là ?


1)- Pour Flash_Disinfector , je crois me souvenir que j'avais ajouté ceci à la procédure :
« (Si tu trouves un rapport, poste-le). 
Ensuite supprime ce programme ==> vers corbeille, et vide-la. »
RAPPEL : Pour ce faire, il faut que les disques amovibles soient branchés !


2)- As-tu exécuté le post # 10 ?

3)- KASPERSKY ON-LINE SCANNER REPORT  est bon et encourageant.
Aucun virus trouvé.


4)- Relance une recherche dans la base de registres "démarrer" > "exécuter" , taper  regedit  valider > "édition" > "recherche" , sur pied de : winlist.exe  et ensuite sur RavMonE.exe. 
Copie les clés en rapport avec, et poste-les ( rassemble le tout sur un bloc-notes, comme l'autre jour). 
N'oublie pas F3 pour compléter la recherche, jusqu'au message "fin de recherche".


Merci.
Bon dimanche.
Al.

afideg · Answer

Re,

Oui, je ne vois plus ce qui pourrait apporter un plus.
Je pense qu'on est venu à bout de cette saleté.
Elles sont de + en + vicieuses et cachées ( et en mutation perpétuelle ).

Tu peux supprimer les outils de désinfection utilisés.
Pas le courage d'en faire l'inventaire ==> fatigué.

Si tu as de nouveau des soucis, reviens quand tu veux sur ton topic.

Merci pour ce boulot instructif.
Bonne continuation.
Al.

Virus vietnamien 16/06

28 réponses

Votre réponse

Discussions similaires

Newsletters