Virus errorlog.txt
Résolu/Fermé
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
-
2 déc. 2018 à 12:09
toyoyo59 Messages postés 11 Date d'inscription dimanche 2 décembre 2018 Statut Membre Dernière intervention 8 décembre 2018 - 8 déc. 2018 à 16:04
toyoyo59 Messages postés 11 Date d'inscription dimanche 2 décembre 2018 Statut Membre Dernière intervention 8 décembre 2018 - 8 déc. 2018 à 16:04
A voir également:
- Virus errorlog.txt
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
2 déc. 2018 à 12:25
2 déc. 2018 à 12:25
Salut,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
Brancher toutes les clefs USB et autres périphériques amovibles.
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
CreateRestorePoint:
CloseProcesses:
Task: {06428241-5261-46F8-BC00-7BA71335B6C3} - System32\Tasks\Skype => C:\Users\yoyo\AppData\Roaming\Colis-1.vbs
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [301880 2018-08-23] (Apple Inc.)
HKLM\...\Run: [J5MPQDHUQU] => wscript.exe //B C:\ProgramData\J5MPQDHUQU.vbs
HKLM\...\Run: [mweoQpDxhU] => wscript.exe //B C:\Users\yoyo\AppData\Roaming\mweoQpDxhU.vbs
HKLM\...\Run: [C11JV6TUJP] => wscript.exe //B C:\ProgramData\C11JV6TUJP.vbs
HKLM\...\Run: [XMCPELWFP2] => wscript.exe //B C:\ProgramData\XMCPELWFP2.vbs
HKLM\...\Run: [4C410TVL3D] => wscript.exe //B C:\ProgramData\4C410TVL3D.vbs
HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\...\MountPoints2: {4e86e48f-0eed-11e6-a713-806e6f6e6963} - D:\Run.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-01] ()
Startup: C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2018-11-09] ()
C:\Users\yoyo\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn
2018-11-04 16:33 - 2018-11-04 20:39 - 000965856 _____ (Woodside Energy Ltd) C:\ProgramData\91kama_signed.exe
2018-11-03 19:16 - 2018-11-03 19:16 - 000735744 ____H (Company name) C:\ProgramData\data91.exe
2018-11-06 02:43 - 2018-11-06 20:37 - 000671744 _____ (Company name) C:\ProgramData\k91.exe
2018-11-06 13:35 - 2018-11-06 13:35 - 000291328 _____ () C:\ProgramData\old91.exe
2018-11-07 18:45 - 2018-11-07 18:45 - 000291328 _____ () C:\ProgramData\SABL.exe
2018-11-06 19:42 - 2018-11-06 19:42 - 000958128 _____ (Smithfield Foods Inc) C:\ProgramData\si91.exe
2018-11-22 17:40 - 2018-11-22 17:40 - 003288448 _____ () C:\Users\yoyo\ZHPCleaner.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
Brancher toutes les clefs USB et autres périphériques amovibles.
- Télécharger Remediate VBS Worm
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 13:35
2 déc. 2018 à 13:35
tout dabord merci pour cette réponse quasi immédiate, c'est super sympa de votre part.
voici le texte affiché aprés la correction et redémarrage du pc :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 01.12.2018 01
Exécuté par yoyo (02-12-2018 13:21:08) Run:1
Exécuté depuis C:\Users\yoyo\Downloads
Profils chargés: yoyo (Profils disponibles: yoyo)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Task: {06428241-5261-46F8-BC00-7BA71335B6C3} - System32\Tasks\Skype => C:\Users\yoyo\AppData\Roaming\Colis-1.vbs
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [301880 2018-08-23] (Apple Inc.)
HKLM\...\Run: [J5MPQDHUQU] => wscript.exe //B C:\ProgramData\J5MPQDHUQU.vbs
HKLM\...\Run: [mweoQpDxhU] => wscript.exe //B C:\Users\yoyo\AppData\Roaming\mweoQpDxhU.vbs
HKLM\...\Run: [C11JV6TUJP] => wscript.exe //B C:\ProgramData\C11JV6TUJP.vbs
HKLM\...\Run: [XMCPELWFP2] => wscript.exe //B C:\ProgramData\XMCPELWFP2.vbs
HKLM\...\Run: [4C410TVL3D] => wscript.exe //B C:\ProgramData\4C410TVL3D.vbs
HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\...\MountPoints2: {4e86e48f-0eed-11e6-a713-806e6f6e6963} - D:\Run.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-01] ()
Startup: C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2018-11-09] ()
C:\Users\yoyo\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn
2018-11-04 16:33 - 2018-11-04 20:39 - 000965856 _____ (Woodside Energy Ltd) C:\ProgramData\91kama_signed.exe
2018-11-03 19:16 - 2018-11-03 19:16 - 000735744 ____H (Company name) C:\ProgramData\data91.exe
2018-11-06 02:43 - 2018-11-06 20:37 - 000671744 _____ (Company name) C:\ProgramData\k91.exe
2018-11-06 13:35 - 2018-11-06 13:35 - 000291328 _____ () C:\ProgramData\old91.exe
2018-11-07 18:45 - 2018-11-07 18:45 - 000291328 _____ () C:\ProgramData\SABL.exe
2018-11-06 19:42 - 2018-11-06 19:42 - 000958128 _____ (Smithfield Foods Inc) C:\ProgramData\si91.exe
2018-11-22 17:40 - 2018-11-22 17:40 - 003288448 _____ () C:\Users\yoyo\ZHPCleaner.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{06428241-5261-46F8-BC00-7BA71335B6C3}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06428241-5261-46F8-BC00-7BA71335B6C3}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Skype => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\J5MPQDHUQU" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\mweoQpDxhU" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\C11JV6TUJP" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\XMCPELWFP2" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\4C410TVL3D" => supprimé(es) avec succès
HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e86e48f-0eed-11e6-a713-806e6f6e6963} => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{4e86e48f-0eed-11e6-a713-806e6f6e6963} => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
Impossible de déplacer "C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled" => Planifié pour déplacement au redémarrage.
C:\Users\yoyo\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn => déplacé(es) avec succès
C:\ProgramData\91kama_signed.exe => déplacé(es) avec succès
C:\ProgramData\data91.exe => déplacé(es) avec succès
C:\ProgramData\k91.exe => déplacé(es) avec succès
C:\ProgramData\old91.exe => déplacé(es) avec succès
C:\ProgramData\SABL.exe => déplacé(es) avec succès
C:\ProgramData\si91.exe => déplacé(es) avec succès
C:\Users\yoyo\ZHPCleaner.exe => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8727522 B
Java, Flash, Steam htmlcache => 1154 B
Windows/system/drivers => 3609 B
Edge => 0 B
Chrome => 146092 B
Firefox => 188819312 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58575910 B
systemprofile32 => 12639966 B
LocalService => 66228 B
NetworkService => 66228 B
yoyo => 4360814 B
RecycleBin => 0 B
EmptyTemp: => 268.8 MB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 02-12-2018 13:25:56)
C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled => a été déplacé(e) avec succès
voici le texte affiché aprés la correction et redémarrage du pc :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 01.12.2018 01
Exécuté par yoyo (02-12-2018 13:21:08) Run:1
Exécuté depuis C:\Users\yoyo\Downloads
Profils chargés: yoyo (Profils disponibles: yoyo)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Task: {06428241-5261-46F8-BC00-7BA71335B6C3} - System32\Tasks\Skype => C:\Users\yoyo\AppData\Roaming\Colis-1.vbs
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [301880 2018-08-23] (Apple Inc.)
HKLM\...\Run: [J5MPQDHUQU] => wscript.exe //B C:\ProgramData\J5MPQDHUQU.vbs
HKLM\...\Run: [mweoQpDxhU] => wscript.exe //B C:\Users\yoyo\AppData\Roaming\mweoQpDxhU.vbs
HKLM\...\Run: [C11JV6TUJP] => wscript.exe //B C:\ProgramData\C11JV6TUJP.vbs
HKLM\...\Run: [XMCPELWFP2] => wscript.exe //B C:\ProgramData\XMCPELWFP2.vbs
HKLM\...\Run: [4C410TVL3D] => wscript.exe //B C:\ProgramData\4C410TVL3D.vbs
HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\...\MountPoints2: {4e86e48f-0eed-11e6-a713-806e6f6e6963} - D:\Run.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-01] ()
Startup: C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2018-11-09] ()
C:\Users\yoyo\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn
2018-11-04 16:33 - 2018-11-04 20:39 - 000965856 _____ (Woodside Energy Ltd) C:\ProgramData\91kama_signed.exe
2018-11-03 19:16 - 2018-11-03 19:16 - 000735744 ____H (Company name) C:\ProgramData\data91.exe
2018-11-06 02:43 - 2018-11-06 20:37 - 000671744 _____ (Company name) C:\ProgramData\k91.exe
2018-11-06 13:35 - 2018-11-06 13:35 - 000291328 _____ () C:\ProgramData\old91.exe
2018-11-07 18:45 - 2018-11-07 18:45 - 000291328 _____ () C:\ProgramData\SABL.exe
2018-11-06 19:42 - 2018-11-06 19:42 - 000958128 _____ (Smithfield Foods Inc) C:\ProgramData\si91.exe
2018-11-22 17:40 - 2018-11-22 17:40 - 003288448 _____ () C:\Users\yoyo\ZHPCleaner.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{06428241-5261-46F8-BC00-7BA71335B6C3}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06428241-5261-46F8-BC00-7BA71335B6C3}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Skype => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\J5MPQDHUQU" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\mweoQpDxhU" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\C11JV6TUJP" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\XMCPELWFP2" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\4C410TVL3D" => supprimé(es) avec succès
HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e86e48f-0eed-11e6-a713-806e6f6e6963} => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{4e86e48f-0eed-11e6-a713-806e6f6e6963} => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
Impossible de déplacer "C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled" => Planifié pour déplacement au redémarrage.
C:\Users\yoyo\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn => déplacé(es) avec succès
C:\ProgramData\91kama_signed.exe => déplacé(es) avec succès
C:\ProgramData\data91.exe => déplacé(es) avec succès
C:\ProgramData\k91.exe => déplacé(es) avec succès
C:\ProgramData\old91.exe => déplacé(es) avec succès
C:\ProgramData\SABL.exe => déplacé(es) avec succès
C:\ProgramData\si91.exe => déplacé(es) avec succès
C:\Users\yoyo\ZHPCleaner.exe => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2646273469-1045369524-1488059629-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8727522 B
Java, Flash, Steam htmlcache => 1154 B
Windows/system/drivers => 3609 B
Edge => 0 B
Chrome => 146092 B
Firefox => 188819312 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 58575910 B
systemprofile32 => 12639966 B
LocalService => 66228 B
NetworkService => 66228 B
yoyo => 4360814 B
RecycleBin => 0 B
EmptyTemp: => 268.8 MB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 02-12-2018 13:25:56)
C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled => a été déplacé(e) avec succès
Fin de Fixlog 13:25:56
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 13:40
2 déc. 2018 à 13:40
j'ai téléchargé marmiton.
je vais l'installer.
pour remediate worms vbs je l'avait déjà testé mais je ne parvenais pas à corriger ce problème, ça ne marche peut-être que pour les clefs usb a désinfecter??
je vais l'installer.
pour remediate worms vbs je l'avait déjà testé mais je ne parvenais pas à corriger ce problème, ça ne marche peut-être que pour les clefs usb a désinfecter??
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 13:49
2 déc. 2018 à 13:49
voici le fichier obtenu aprs un scan avec remediate worms vbs :
( j'ai tapé la lettre A au départ ).
Rem-VBSworm v8.0
=========== - General info:
Running under: yoyo on profile: C:\Users\yoyo
Computer name: YOYO-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
AVG Antivirus
Executed on: 02/12/2018 @ 13:46:47,54
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Ancien disque
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
=========== - Disinfection info:
Op‚ration r‚ussieÿ: le processus "rundll32.exe" de PID 3320 a ‚t‚ arrˆt‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
Shortcut: "C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Alertes de surveillance de l'encre - HP Deskjet 2050 J510 series.lnk"
----------------------------------------------------------------
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=====================================================
Scan finished at: 13:47:18,16
Send this log only if requested by a helper.
=====================================================
Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
( j'ai tapé la lettre A au départ ).
Rem-VBSworm v8.0
=========== - General info:
Running under: yoyo on profile: C:\Users\yoyo
Computer name: YOYO-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
AVG Antivirus
Executed on: 02/12/2018 @ 13:46:47,54
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Ancien disque
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
=========== - Disinfection info:
Op‚ration r‚ussieÿ: le processus "rundll32.exe" de PID 3320 a ‚t‚ arrˆt‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
Shortcut: "C:\Users\yoyo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Alertes de surveillance de l'encre - HP Deskjet 2050 J510 series.lnk"
----------------------------------------------------------------
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=====================================================
Scan finished at: 13:47:18,16
Send this log only if requested by a helper.
=====================================================
Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
2 déc. 2018 à 14:07
2 déc. 2018 à 14:07
( j'ai tapé la lettre A au départ ).
donc faire B comme indiqué.
donc faire B comme indiqué.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 15:06
2 déc. 2018 à 15:06
je n'ai pas de clef usb, dois je quand même faire le B ???
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
2 déc. 2018 à 16:36
2 déc. 2018 à 16:36
non mais ces infections se propagent par ces supports.
Donc tu en as utilisé une à un moment donné ?
ou tu as disque dur externe ?
Donc tu en as utilisé une à un moment donné ?
ou tu as disque dur externe ?
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 17:31
2 déc. 2018 à 17:31
J'ai reçu un mail de mon frère pour la réception d'un colis, il y avait un logiciel a télécharger pour suivre l'acheminement du colis, et ça s’appelait relais colis vbs, ou un truc comme ça, avec le vrai logo relais colis...
je pense que ça vient de là car j'ai commencé à avoir des soucis après ça.
par contre j'ai peut-être contaminé la clé usb de mon frère vu que je lui ai mis des fichiers mp3 pour sa voiture....
mais je n'ai pas cette clé sous la main :(
je pense que ça vient de là car j'ai commencé à avoir des soucis après ça.
par contre j'ai peut-être contaminé la clé usb de mon frère vu que je lui ai mis des fichiers mp3 pour sa voiture....
mais je n'ai pas cette clé sous la main :(
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
2 déc. 2018 à 18:20
2 déc. 2018 à 18:20
oui pour la clé de ton frère, donc faut le prévenir!
Sinon pour ton ordinateur, c'est terminé =)
Sinon pour ton ordinateur, c'est terminé =)
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 18:20
2 déc. 2018 à 18:20
Dans le doute je vais faire un scan de la cle usb de ma voiture même si en principe je ne l utilise quasi jamais...
je vais aussi en faire un sur mon i pod...
ma cle usb :
Rem-VBSworm v8.0
=========== - General info:
Running under: yoyo on profile: C:\Users\yoyo
Computer name: YOYO-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
AVG Antivirus
Executed on: 02/12/2018 @ 18:16:01,96
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Ancien disque
F: Disque amovible
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\HarddiskVolume8 FAT
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
SCSI\DISK&VEN_ATA&PROD_MAXTOR_STM325031\4&F58E17D&0&000000
SCSI\DISK&VEN_ATA&PROD_ST3500418AS\4&F58E17D&0&050000
USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\900071C0713D5595&0
USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.01\8&BC7C096&0&058F63646476&1
USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.03\8&BC7C096&0&058F63646476&3
USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\8&BC7C096&0&058F63646476&0
USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.02\8&BC7C096&0&058F63646476&2
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est 64C7-AFDD
R‚pertoire de F:\
06/05/2016 17:28 <REP> Indochine-La_Republique_Des_Meteors-2CD-FR-2009-OND
06/05/2016 17:29 <REP> U2 - Songs of Innocence (2014)
24/05/2016 20:41 <REP> renaud
08/09/2017 13:25 <REP> 13
31/10/2017 15:16 <REP> Calogero - Liberte cherie - WEB - MP3 - 320 KBPS - 2017
09/01/2018 19:10 <REP> Kyo - Dans la peau - 2017
29/03/2018 13:45 <REP> UPG
10/04/2018 14:59 <REP> U2 - Songs of experience
10/04/2018 14:59 <REP> U2 - 30 Years And I Still Can't Play Harmonica (2017) 320
06/09/2018 14:09 <REP> chantal goya
06/09/2018 14:10 <REP> Coldplay - The Best Songs (2016)
17/10/2018 14:57 <REP> Avril Lavigne - Goodbye Lullaby 320kbps 2011 by YannZ
16/11/2018 11:29 <REP> Game Of Death
16/11/2018 11:52 <REP> bande originale
0 fichier(s) 0 octets
15 R‚p(s) 28ÿ837ÿ101ÿ568 octets libres
USB drive disinfected and files unhidden!!
=====================================================
Scan finished at: 18:18:45,43
Send this log only if requested by a helper.
=====================================================
Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
je vais aussi en faire un sur mon i pod...
ma cle usb :
Rem-VBSworm v8.0
=========== - General info:
Running under: yoyo on profile: C:\Users\yoyo
Computer name: YOYO-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
AVG Antivirus
Executed on: 02/12/2018 @ 18:16:01,96
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Ancien disque
F: Disque amovible
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\HarddiskVolume8 FAT
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
SCSI\DISK&VEN_ATA&PROD_MAXTOR_STM325031\4&F58E17D&0&000000
SCSI\DISK&VEN_ATA&PROD_ST3500418AS\4&F58E17D&0&050000
USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\900071C0713D5595&0
USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.01\8&BC7C096&0&058F63646476&1
USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.03\8&BC7C096&0&058F63646476&3
USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\8&BC7C096&0&058F63646476&0
USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.02\8&BC7C096&0&058F63646476&2
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est 64C7-AFDD
R‚pertoire de F:\
06/05/2016 17:28 <REP> Indochine-La_Republique_Des_Meteors-2CD-FR-2009-OND
06/05/2016 17:29 <REP> U2 - Songs of Innocence (2014)
24/05/2016 20:41 <REP> renaud
08/09/2017 13:25 <REP> 13
31/10/2017 15:16 <REP> Calogero - Liberte cherie - WEB - MP3 - 320 KBPS - 2017
09/01/2018 19:10 <REP> Kyo - Dans la peau - 2017
29/03/2018 13:45 <REP> UPG
10/04/2018 14:59 <REP> U2 - Songs of experience
10/04/2018 14:59 <REP> U2 - 30 Years And I Still Can't Play Harmonica (2017) 320
06/09/2018 14:09 <REP> chantal goya
06/09/2018 14:10 <REP> Coldplay - The Best Songs (2016)
17/10/2018 14:57 <REP> Avril Lavigne - Goodbye Lullaby 320kbps 2011 by YannZ
16/11/2018 11:29 <REP> Game Of Death
16/11/2018 11:52 <REP> bande originale
0 fichier(s) 0 octets
15 R‚p(s) 28ÿ837ÿ101ÿ568 octets libres
USB drive disinfected and files unhidden!!
=====================================================
Scan finished at: 18:18:45,43
Send this log only if requested by a helper.
=====================================================
Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
2 déc. 2018 à 18:22
2 déc. 2018 à 18:22
Elle semble correcte.
Préviens ton frère pour sa clé.
Préviens ton frère pour sa clé.
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 18:24
2 déc. 2018 à 18:24
et mon ipod :
Rem-VBSworm v8.0
=========== - General info:
Running under: yoyo on profile: C:\Users\yoyo
Computer name: YOYO-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
AVG Antivirus
Executed on: 02/12/2018 @ 18:23:35,46
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Ancien disque
F: Disque amovible IPOD DE YOY
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\HarddiskVolume9 FAT
=========== - Disinfection info:
=========== - USB drive info:
f: selected
USB Device ID:
SCSI\DISK&VEN_ATA&PROD_MAXTOR_STM325031\4&F58E17D&0&000000
SCSI\DISK&VEN_ATA&PROD_ST3500418AS\4&F58E17D&0&050000
USBSTOR\DISK&VEN_APPLE&PROD_IPOD&REV_1.70\000A27002407AE1F&0
USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.01\8&BC7C096&0&058F63646476&1
USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.03\8&BC7C096&0&058F63646476&3
USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\8&BC7C096&0&058F63646476&0
USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.02\8&BC7C096&0&058F63646476&2
Fichier supprim‚ - f:\AUTORUN.INF
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of f:
Le volume dans le lecteur F s'appelle IPOD DE YOY
Le num‚ro de s‚rie du volume est 3141-5926
R‚pertoire de F:\
01/11/2012 09:54 0 .metadata_never_index
02/11/2012 00:54 <REP> iPod_Control
02/11/2012 00:54 <REP> .Trashes
02/11/2012 00:54 <REP> .fseventsd
02/11/2012 00:54 4ÿ096 ._.Trashes
07/08/2013 09:46 <REP> Recordings
06/05/2014 18:12 2 .tclock
15/06/2014 23:10 <REP> Photos
08/09/2017 13:25 <REP> 13
22/11/2018 14:22 <REP> AUTORUN_.INF
4 fichier(s) 684ÿ425 octets
8 R‚p(s) 13ÿ238ÿ272ÿ000 octets libres
USB drive disinfected and files unhidden!!
=====================================================
Scan finished at: 18:23:59,77
Send this log only if requested by a helper.
=====================================================
Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
Rem-VBSworm v8.0
=========== - General info:
Running under: yoyo on profile: C:\Users\yoyo
Computer name: YOYO-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
AVG Antivirus
Executed on: 02/12/2018 @ 18:23:35,46
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Ancien disque
F: Disque amovible IPOD DE YOY
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\HarddiskVolume9 FAT
=========== - Disinfection info:
=========== - USB drive info:
f: selected
USB Device ID:
SCSI\DISK&VEN_ATA&PROD_MAXTOR_STM325031\4&F58E17D&0&000000
SCSI\DISK&VEN_ATA&PROD_ST3500418AS\4&F58E17D&0&050000
USBSTOR\DISK&VEN_APPLE&PROD_IPOD&REV_1.70\000A27002407AE1F&0
USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.01\8&BC7C096&0&058F63646476&1
USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.03\8&BC7C096&0&058F63646476&3
USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\8&BC7C096&0&058F63646476&0
USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.02\8&BC7C096&0&058F63646476&2
Fichier supprim‚ - f:\AUTORUN.INF
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of f:
Le volume dans le lecteur F s'appelle IPOD DE YOY
Le num‚ro de s‚rie du volume est 3141-5926
R‚pertoire de F:\
01/11/2012 09:54 0 .metadata_never_index
02/11/2012 00:54 <REP> iPod_Control
02/11/2012 00:54 <REP> .Trashes
02/11/2012 00:54 <REP> .fseventsd
02/11/2012 00:54 4ÿ096 ._.Trashes
07/08/2013 09:46 <REP> Recordings
06/05/2014 18:12 2 .tclock
15/06/2014 23:10 <REP> Photos
08/09/2017 13:25 <REP> 13
22/11/2018 14:22 <REP> AUTORUN_.INF
4 fichier(s) 684ÿ425 octets
8 R‚p(s) 13ÿ238ÿ272ÿ000 octets libres
USB drive disinfected and files unhidden!!
=====================================================
Scan finished at: 18:23:59,77
Send this log only if requested by a helper.
=====================================================
Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 18:25
2 déc. 2018 à 18:25
je vous remercie beaucoup pour le temps que vous m'accordez, je ne sais pas si ces deux supports ont été contaminés, j'espere que non.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
2 déc. 2018 à 19:07
2 déc. 2018 à 19:07
Non c'est bon, elles ne le sont pas =)
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 20:20
2 déc. 2018 à 20:20
encore merci pour votre aide, je ne suis pas très calé en informatique mais si je peux vous aider un jour sur qqch à mon tour je le ferai :)
merci bcp
merci bcp
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
2 déc. 2018 à 21:10
2 déc. 2018 à 21:10
de rien :)
toyoyo59
Messages postés
11
Date d'inscription
dimanche 2 décembre 2018
Statut
Membre
Dernière intervention
8 décembre 2018
8 déc. 2018 à 16:04
8 déc. 2018 à 16:04
Bonjour, contre toute attente, j'ai de nouveau ce foutu msg bloc note error log qui s 'est relancé au démarrage de mon pc.
je pensait m'en être débarrassé, je n'ai inséré aucune clé usb depuis la derniere fois.
je n'y comprend rien.
j'ai refait un scan frst et j'ai renvoyé les fichiers sur malekal.
j suis dégouté.
voici les liens obtenus :
https://pjjoint.malekal.com/files.php?id=FRST_20181208_q7t8d12i7b8
https://pjjoint.malekal.com/files.php?id=20181208_s6f7r12x14v5
https://pjjoint.malekal.com/files.php?id=20181208_l11h7d12t11t6
je ne comprends pas pourquoi ce probléme est revenu :(
Pouvez vous m'aider??
je pensait m'en être débarrassé, je n'ai inséré aucune clé usb depuis la derniere fois.
je n'y comprend rien.
j'ai refait un scan frst et j'ai renvoyé les fichiers sur malekal.
j suis dégouté.
voici les liens obtenus :
https://pjjoint.malekal.com/files.php?id=FRST_20181208_q7t8d12i7b8
https://pjjoint.malekal.com/files.php?id=20181208_s6f7r12x14v5
https://pjjoint.malekal.com/files.php?id=20181208_l11h7d12t11t6
je ne comprends pas pourquoi ce probléme est revenu :(
Pouvez vous m'aider??
