Vérification du système

styffy -  
 Utilisateur anonyme -
Bonjour,
slt tout le monde, voilà je suis une nouvelle du forum et je viens vous parler de mes p'tits problèmes avec mon pc
surtout kon m'a dit beaucoup de bien de ce forum.
Depuis ke jè eu sur mon poste un spy nommé willpolo et que je sui venu à suprimer un autre problèm s'est présenté,
la présence d'un autorun sur tous mes disk ce qui fesait ke j'était obligé de faire cliq droit pour les ouvrir. j'avais vu kelke par
qu'il fallait utiliser flash desinfector pour régler le problème, je l'ai fait et depuis ce jour mes clé USB ne s'ouvre plus automatiquement
branché.
Ensuite un jour jè eu à branché 1e clé certainement infecté d'un virus inconnu de moi mais ki fait k'a chaque fois ke je scan ma
clé l'antivirus détecte "autorun" et le plus grave je n'arrive plus à afficher les fichiers cachés, j'aplique mais zéro. Alors jè lancé le scan
mais en plein analyse il se bloque et envoie un message d'erreur et ferme l'appliquation. je vous à sûr cè énervant de se sentir impuissant
devant ça.
Jè donc fè un scan avec hijackthis et vous envoyer le rapport pour ke vs puissiez voir de vos yeux d'expert mon problème.
Merci pour tout car je suis sûr ke vous allez m'aider à resoudre comme je dis ce p'tit problèm.

rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:38, on 30/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
F:\Logiciels\Antivirus\HiJackThis2\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

--
End of file - 4422 bytes
Configuration: Windows XP service pack2
Internet Explorer 6.0

11 réponses

  1. Utilisateur anonyme
     
    slt
    commence par créer un fichier text (txt), met ce script la dedan:


    Option Explicit
    Dim System, FileTxt
    Dim Drive
    Dim WSHShell
    Dim Response
    Const FILE_SIZE = 240128
    Const FILE_TYPE = "Application"

    Set WSHShell = WScript.CreateObject("WScript.Shell")
    Set System = CreateObject("Scripting.FileSystemObject")
    Set FileTxt = System.CreateTextFile("c:\virfiles.txt", True)

    Call EnableRegTools
    Call EnableTaskMgr
    Call EnableFolderOptions
    Call CleanRegistry
    Set WSHShell = Nothing
    For Each Drive In System.Drives
    If Drive.IsReady And (Drive.DriveType = 1) or (Drive.DriveType = 2) Then
    Response = MsgBox ("Rechercher dans : " & Drive & " ?", vbYesNo, "Recherche Virus New Folder / SSVICHOSST")
    If Response = vbYes Then
    Call FindInRoot(Drive)
    Call FindFile(Drive)
    End If
    End If
    Next 'Drive
    FileTxt.Close
    Set System = Nothing
    Msgbox vbtab & vbtab & "Scan Completed" & vbcrlf & vbcrlf & _
    "La liste des fichiers supprimés est dans c:\virfiles.txt", 0, "Fin du nettoyage"

    '********************************************************************************************************************

    Sub FindInRoot(Drv) '------------ Suppression des fichiers à la racine des lecteurs
    Dim File
    Dim Force
    Force = true
    For Each File In Drv.RootFolder.Files
    If (File.Size = FILE_SIZE) and ( File.Type = FILE_TYPE) Then
    FileTxt.WriteLine(File)
    Call KillProcess(File.Name)
    File.Delete Force
    End IF
    Next
    End Sub

    Sub FindFile(ThisFolder) '------------ Suppression recursive des fichiers
    Dim File
    Dim Folder
    Dim tmp
    Dim Force
    Force = true
    For Each Folder In System.GetFolder(ThisFolder).SubFolders
    For Each File In Folder.Files
    On Error Resume Next
    If (File.Size = FILE_SIZE) and (File.Type = FILE_TYPE) Then
    tmp = split(File,"\")
    If (tmp(UBound(tmp)-1) = System.GetBaseName(File)) _
    or (File.Name = "New Folder.exe") or (File.Name = "SSVICHOSST.exe")Then
    FileTxt.WriteLine(File)
    Call KillProcess(File.Name)
    File.Delete Force
    End If
    End If
    Next 'File
    Call FindFile(Folder)
    Next 'Folder
    End Sub

    Sub EnableRegTools '------------ (re)activer l'accès à la base des registres
    Dim key1, key2, k1, k2, ItemType
    ItemType = "REG_DWORD"
    key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    WSHShell.RegWrite key1, 0, ItemType
    WSHShell.RegWrite key2, 0, ItemType
    End Sub

    Sub EnableTaskMgr '----------- (re)activer le gestionnaire de tâches
    Dim key1, key2, k1, k2, ItemType
    ItemType = "REG_DWORD"
    key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
    key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
    WSHShell.RegWrite key1, 0, ItemType
    WSHShell.RegWrite key2, 0, ItemType
    End Sub

    Sub EnableFolderOptions '------------ (re)activer la fonction options des dossiers
    Dim key1, key2, k1, k2, ItemType
    ItemType = "REG_DWORD"
    key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
    key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
    WSHShell.RegWrite key1, 0, ItemType
    WSHShell.RegWrite key2, 0, ItemType
    End Sub

    Sub KillProcess(Process) '------------ terminer un processus en memoire
    Dim strComputer, objWMIService, colProcessList
    Dim objProcess
    strComputer = "."
    Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
    Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '"&Process&"'")
    For Each objProcess in colProcessList
    On Error Resume Next
    objProcess.Terminate()
    Next
    End Sub

    Sub CleanRegistry '------------ supprimer les clés de registres infectées

    Dim key1, key2
    key1 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger"
    key2 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"
    On Error Resume Next
    WSHShell.RegDelete key1
    WSHShell.RegDelete key2
    End Sub


    '***************************************************fin de script

    change son extension vers (vbs)
    excute le.
    il va commencer ç analyser tes partition, il travaille en arrière plan, à chaque fois clique sur oui pour passer à la partition suivante.
    à la fin, il créera un fichier "c:\virfiles.txt", envoye moi le rapport.
    vérifie l'affichage des fichiers caché.
    0
  2. styffy Messages postés 5 Statut Membre
     
    ok bien reçu je vais m'y mettre merci.
    0
  3. styffy Messages postés 5 Statut Membre
     
    je l'ai fais mais le script ne s'exécute pas il affiche un message d'erreur :
    Erreur: variable non définie:'EnableRegTools'
    code: 8004A01F4
    Source: Erreur d'exécution Microsoft VBScript


    Voilà donc j'attend ta reponse et j'espere que cette fois si ce sera la bonne, merci beaucoup "fahd_zboot"
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    '**************************************************************************************************
    '**************************************************************************************************
    'New Folder.exe remover v1.0 (09/05/2007)
    'Ce script supprime le virus "New Folder" ou "SSVICHOSST"
    ' - Suppression des fichiers crées par le virus en testant :
    ' - La taille du fichier (240128 octets)
    ' - Le type du fichier (application = exe)
    ' - les noms communs ("New Folder.exe" et "SSVICHOSST.exe")
    ' - Le nom du fichier correspond au nom du répertoire parent
    ' - Nettoyage de la base de registres et activation des fonctionnalités désactivées par le virus
    ' - Scan tous les lecteurs fixes et amovibles
    ' - Crée un fichiers virfiles.txt dans "c:\" contenant la liste des fichiers supprimés
    '**************************************************************************************************

    Option Explicit
    Dim System, FileTxt
    Dim Drive
    Dim WSHShell
    Dim Response
    Const FILE_SIZE = 240128
    Const FILE_TYPE = "Application"

    Set WSHShell = WScript.CreateObject("WScript.Shell")
    Set System = CreateObject("Scripting.FileSystemObject")
    Set FileTxt = System.CreateTextFile("c:\virfiles.txt", True)

    Call EnableRegTools
    Call EnableTaskMgr
    Call EnableFolderOptions
    Call CleanRegistry
    Set WSHShell = Nothing
    For Each Drive In System.Drives
    If Drive.IsReady And (Drive.DriveType = 1) or (Drive.DriveType = 2) Then
    Response = MsgBox ("Rechercher dans : " & Drive & " ?", vbYesNo, "Recherche Virus New Folder / SSVICHOSST")
    If Response = vbYes Then
    Call FindInRoot(Drive)
    Call FindFile(Drive)
    End If
    End If
    Next 'Drive
    FileTxt.Close
    Set System = Nothing
    Msgbox vbtab & vbtab & "Scan Completed" & vbcrlf & vbcrlf & _
    "La liste des fichiers supprimés est dans c:\virfiles.txt", 0, "Fin du nettoyage"

    '********************************************************************************************************************

    Sub FindInRoot(Drv) '------------ Suppression des fichiers à la racine des lecteurs
    Dim File
    Dim Force
    Force = true
    For Each File In Drv.RootFolder.Files
    If (File.Size = FILE_SIZE) and ( File.Type = FILE_TYPE) Then
    FileTxt.WriteLine(File)
    Call KillProcess(File.Name)
    File.Delete Force
    End IF
    Next
    End Sub

    Sub FindFile(ThisFolder) '------------ Suppression recursive des fichiers
    Dim File
    Dim Folder
    Dim tmp
    Dim Force
    Force = true
    For Each Folder In System.GetFolder(ThisFolder).SubFolders
    For Each File In Folder.Files
    On Error Resume Next
    If (File.Size = FILE_SIZE) and (File.Type = FILE_TYPE) Then
    tmp = split(File,"\")
    If (tmp(UBound(tmp)-1) = System.GetBaseName(File)) _
    or (File.Name = "New Folder.exe") or (File.Name = "SSVICHOSST.exe")Then
    FileTxt.WriteLine(File)
    Call KillProcess(File.Name)
    File.Delete Force
    End If
    End If
    Next 'File
    Call FindFile(Folder)
    Next 'Folder
    End Sub

    Sub EnableRegTools '------------ (re)activer l'accès à la base des registres
    Dim key1, key2, k1, k2, ItemType
    ItemType = "REG_DWORD"
    key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
    WSHShell.RegWrite key1, 0, ItemType
    WSHShell.RegWrite key2, 0, ItemType
    End Sub

    Sub EnableTaskMgr '----------- (re)activer le gestionnaire de tâches
    Dim key1, key2, k1, k2, ItemType
    ItemType = "REG_DWORD"
    key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
    key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
    WSHShell.RegWrite key1, 0, ItemType
    WSHShell.RegWrite key2, 0, ItemType
    End Sub

    Sub EnableFolderOptions '------------ (re)activer la fonction options des dossiers
    Dim key1, key2, k1, k2, ItemType
    ItemType = "REG_DWORD"
    key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
    key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
    WSHShell.RegWrite key1, 0, ItemType
    WSHShell.RegWrite key2, 0, ItemType
    End Sub

    Sub KillProcess(Process) '------------ terminer un processus en memoire
    Dim strComputer, objWMIService, colProcessList
    Dim objProcess
    strComputer = "."
    Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
    Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '"&Process&"'")
    For Each objProcess in colProcessList
    On Error Resume Next
    objProcess.Terminate()
    Next
    End Sub

    Sub CleanRegistry '------------ supprimer les clés de registres infectées

    Dim key1, key2
    key1 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger"
    key2 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"
    On Error Resume Next
    WSHShell.RegDelete key1
    WSHShell.RegDelete key2
    End Sub
    0
  6. styffy Messages postés 5 Statut Membre
     
    ok, bien reçu merci encore
    0
  7. styffy Messages postés 5 Statut Membre
     
    malheureusement ça encore échoué et un new message d'erreur s'affiche:
    Ligne : 73
    Caract.: 100
    Erreur : Constante chaïne non terminée
    Code: 800A0409
    Source: Erreur de compilation Microsoft VBScript

    Excuse moi pour ce silence j'étais débordé, donc j'attend tjrs ta solution merci pour ta persistence
    0
  8. Utilisateur anonyme
     
    Essaye une analyse avec kaspersky
    0
  9. styffy Messages postés 5 Statut Membre
     
    jè essayé mais rien
    0
  10. Utilisateur anonyme
     
    franchement je ne c pa koi t'dire, reposte ton problem dans le forum
    dsl une autre foi,slt
    0