Sujet Précédent Sujet Suivant

Vérification du système

Fermé
styffy - 30 nov. 2007 à 23:12
 Utilisateur anonyme - 9 déc. 2007 à 22:23
Bonjour,
slt tout le monde, voilà je suis une nouvelle du forum et je viens vous parler de mes p'tits problèmes avec mon pc
surtout kon m'a dit beaucoup de bien de ce forum.
Depuis ke jè eu sur mon poste un spy nommé willpolo et que je sui venu à suprimer un autre problèm s'est présenté,
la présence d'un autorun sur tous mes disk ce qui fesait ke j'était obligé de faire cliq droit pour les ouvrir. j'avais vu kelke par
qu'il fallait utiliser flash desinfector pour régler le problème, je l'ai fait et depuis ce jour mes clé USB ne s'ouvre plus automatiquement
branché.
Ensuite un jour jè eu à branché 1e clé certainement infecté d'un virus inconnu de moi mais ki fait k'a chaque fois ke je scan ma
clé l'antivirus détecte "autorun" et le plus grave je n'arrive plus à afficher les fichiers cachés, j'aplique mais zéro. Alors jè lancé le scan
mais en plein analyse il se bloque et envoie un message d'erreur et ferme l'appliquation. je vous à sûr cè énervant de se sentir impuissant
devant ça.
Jè donc fè un scan avec hijackthis et vous envoyer le rapport pour ke vs puissiez voir de vos yeux d'expert mon problème.
Merci pour tout car je suis sûr ke vous allez m'aider à resoudre comme je dis ce p'tit problèm.


rapport:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:38, on 30/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
F:\Logiciels\Antivirus\HiJackThis2\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

11 réponses

Réponse 1 / 11
Utilisateur anonyme
30 nov. 2007 à 23:40
slt
commence par créer un fichier text (txt), met ce script la dedan:



Option Explicit
Dim System, FileTxt
Dim Drive
Dim WSHShell
Dim Response
Const FILE_SIZE = 240128
Const FILE_TYPE = "Application"

Set WSHShell = WScript.CreateObject("WScript.Shell")
Set System = CreateObject("Scripting.FileSystemObject")
Set FileTxt = System.CreateTextFile("c:\virfiles.txt", True)

Call EnableRegTools
Call EnableTaskMgr
Call EnableFolderOptions
Call CleanRegistry
Set WSHShell = Nothing
For Each Drive In System.Drives
If Drive.IsReady And (Drive.DriveType = 1) or (Drive.DriveType = 2) Then
Response = MsgBox ("Rechercher dans : " & Drive & " ?", vbYesNo, "Recherche Virus New Folder / SSVICHOSST")
If Response = vbYes Then
Call FindInRoot(Drive)
Call FindFile(Drive)
End If
End If
Next 'Drive
FileTxt.Close
Set System = Nothing
Msgbox vbtab & vbtab & "Scan Completed" & vbcrlf & vbcrlf & _
"La liste des fichiers supprimés est dans c:\virfiles.txt", 0, "Fin du nettoyage"

'********************************************************************************************************************

Sub FindInRoot(Drv) '------------ Suppression des fichiers à la racine des lecteurs
Dim File
Dim Force
Force = true
For Each File In Drv.RootFolder.Files
If (File.Size = FILE_SIZE) and ( File.Type = FILE_TYPE) Then
FileTxt.WriteLine(File)
Call KillProcess(File.Name)
File.Delete Force
End IF
Next
End Sub

Sub FindFile(ThisFolder) '------------ Suppression recursive des fichiers
Dim File
Dim Folder
Dim tmp
Dim Force
Force = true
For Each Folder In System.GetFolder(ThisFolder).SubFolders
For Each File In Folder.Files
On Error Resume Next
If (File.Size = FILE_SIZE) and (File.Type = FILE_TYPE) Then
tmp = split(File,"\")
If (tmp(UBound(tmp)-1) = System.GetBaseName(File)) _
or (File.Name = "New Folder.exe") or (File.Name = "SSVICHOSST.exe")Then
FileTxt.WriteLine(File)
Call KillProcess(File.Name)
File.Delete Force
End If
End If
Next 'File
Call FindFile(Folder)
Next 'Folder
End Sub

Sub EnableRegTools '------------ (re)activer l'accès à la base des registres
Dim key1, key2, k1, k2, ItemType
ItemType = "REG_DWORD"
key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
WSHShell.RegWrite key1, 0, ItemType
WSHShell.RegWrite key2, 0, ItemType
End Sub

Sub EnableTaskMgr '----------- (re)activer le gestionnaire de tâches
Dim key1, key2, k1, k2, ItemType
ItemType = "REG_DWORD"
key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
WSHShell.RegWrite key1, 0, ItemType
WSHShell.RegWrite key2, 0, ItemType
End Sub

Sub EnableFolderOptions '------------ (re)activer la fonction options des dossiers
Dim key1, key2, k1, k2, ItemType
ItemType = "REG_DWORD"
key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
WSHShell.RegWrite key1, 0, ItemType
WSHShell.RegWrite key2, 0, ItemType
End Sub

Sub KillProcess(Process) '------------ terminer un processus en memoire
Dim strComputer, objWMIService, colProcessList
Dim objProcess
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = '"&Process&"'")
For Each objProcess in colProcessList
On Error Resume Next
objProcess.Terminate()
Next
End Sub

Sub CleanRegistry '------------ supprimer les clés de registres infectées

Dim key1, key2
key1 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger"
key2 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"
On Error Resume Next
WSHShell.RegDelete key1
WSHShell.RegDelete key2
End Sub




'***************************************************fin de script


change son extension vers (vbs)
excute le.
il va commencer ç analyser tes partition, il travaille en arrière plan, à chaque fois clique sur oui pour passer à la partition suivante.
à la fin, il créera un fichier "c:\virfiles.txt", envoye moi le rapport.
vérifie l'affichage des fichiers caché.
0
Réponse 2 / 11
styffy Messages postés 5 Date d'inscription vendredi 30 novembre 2007 Statut Membre Dernière intervention 9 décembre 2007
1 déc. 2007 à 19:43
ok bien reçu je vais m'y mettre merci.
0
Réponse 3 / 11
styffy Messages postés 5 Date d'inscription vendredi 30 novembre 2007 Statut Membre Dernière intervention 9 décembre 2007
3 déc. 2007 à 10:41
je l'ai fais mais le script ne s'exécute pas il affiche un message d'erreur :
Erreur: variable non définie:'EnableRegTools'
code: 8004A01F4
Source: Erreur d'exécution Microsoft VBScript

Voilà donc j'attend ta reponse et j'espere que cette fois si ce sera la bonne, merci beaucoup "fahd_zboot"
0
Réponse 4 / 11
Utilisateur anonyme
3 déc. 2007 à 12:38
Réessaye avec ça
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Utilisateur anonyme
3 déc. 2007 à 12:41
'**************************************************************************************************
'**************************************************************************************************
'New Folder.exe remover v1.0 (09/05/2007)
'Ce script supprime le virus "New Folder" ou "SSVICHOSST"
' - Suppression des fichiers crées par le virus en testant :
' - La taille du fichier (240128 octets)
' - Le type du fichier (application = exe)
' - les noms communs ("New Folder.exe" et "SSVICHOSST.exe")
' - Le nom du fichier correspond au nom du répertoire parent
' - Nettoyage de la base de registres et activation des fonctionnalités désactivées par le virus
' - Scan tous les lecteurs fixes et amovibles
' - Crée un fichiers virfiles.txt dans "c:\" contenant la liste des fichiers supprimés
'**************************************************************************************************


Option Explicit
Dim System, FileTxt
Dim Drive
Dim WSHShell
Dim Response
Const FILE_SIZE = 240128
Const FILE_TYPE = "Application"

Set WSHShell = WScript.CreateObject("WScript.Shell")
Set System = CreateObject("Scripting.FileSystemObject")
Set FileTxt = System.CreateTextFile("c:\virfiles.txt", True)

Call EnableRegTools
Call EnableTaskMgr
Call EnableFolderOptions
Call CleanRegistry
Set WSHShell = Nothing
For Each Drive In System.Drives
If Drive.IsReady And (Drive.DriveType = 1) or (Drive.DriveType = 2) Then
Response = MsgBox ("Rechercher dans : " & Drive & " ?", vbYesNo, "Recherche Virus New Folder / SSVICHOSST")
If Response = vbYes Then
Call FindInRoot(Drive)
Call FindFile(Drive)
End If
End If
Next 'Drive
FileTxt.Close
Set System = Nothing
Msgbox vbtab & vbtab & "Scan Completed" & vbcrlf & vbcrlf & _
"La liste des fichiers supprimés est dans c:\virfiles.txt", 0, "Fin du nettoyage"

'********************************************************************************************************************

Sub FindInRoot(Drv) '------------ Suppression des fichiers à la racine des lecteurs
Dim File
Dim Force
Force = true
For Each File In Drv.RootFolder.Files
If (File.Size = FILE_SIZE) and ( File.Type = FILE_TYPE) Then
FileTxt.WriteLine(File)
Call KillProcess(File.Name)
File.Delete Force
End IF
Next
End Sub

Sub FindFile(ThisFolder) '------------ Suppression recursive des fichiers
Dim File
Dim Folder
Dim tmp
Dim Force
Force = true
For Each Folder In System.GetFolder(ThisFolder).SubFolders
For Each File In Folder.Files
On Error Resume Next
If (File.Size = FILE_SIZE) and (File.Type = FILE_TYPE) Then
tmp = split(File,"\")
If (tmp(UBound(tmp)-1) = System.GetBaseName(File)) _
or (File.Name = "New Folder.exe") or (File.Name = "SSVICHOSST.exe")Then
FileTxt.WriteLine(File)
Call KillProcess(File.Name)
File.Delete Force
End If
End If
Next 'File
Call FindFile(Folder)
Next 'Folder
End Sub

Sub EnableRegTools '------------ (re)activer l'accès à la base des registres
Dim key1, key2, k1, k2, ItemType
ItemType = "REG_DWORD"
key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
WSHShell.RegWrite key1, 0, ItemType
WSHShell.RegWrite key2, 0, ItemType
End Sub

Sub EnableTaskMgr '----------- (re)activer le gestionnaire de tâches
Dim key1, key2, k1, k2, ItemType
ItemType = "REG_DWORD"
key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
WSHShell.RegWrite key1, 0, ItemType
WSHShell.RegWrite key2, 0, ItemType
End Sub

Sub EnableFolderOptions '------------ (re)activer la fonction options des dossiers
Dim key1, key2, k1, k2, ItemType
ItemType = "REG_DWORD"
key1 = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
key2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions"
WSHShell.RegWrite key1, 0, ItemType
WSHShell.RegWrite key2, 0, ItemType
End Sub

Sub KillProcess(Process) '------------ terminer un processus en memoire
Dim strComputer, objWMIService, colProcessList
Dim objProcess
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = '"&Process&"'")
For Each objProcess in colProcessList
On Error Resume Next
objProcess.Terminate()
Next
End Sub

Sub CleanRegistry '------------ supprimer les clés de registres infectées

Dim key1, key2
key1 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger"
key2 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"
On Error Resume Next
WSHShell.RegDelete key1
WSHShell.RegDelete key2
End Sub
0
Réponse 6 / 11
styffy Messages postés 5 Date d'inscription vendredi 30 novembre 2007 Statut Membre Dernière intervention 9 décembre 2007
3 déc. 2007 à 23:15
ok, bien reçu merci encore
0
Réponse 7 / 11
Utilisateur anonyme
4 déc. 2007 à 12:40
ça a marché?
0
Réponse 8 / 11
styffy Messages postés 5 Date d'inscription vendredi 30 novembre 2007 Statut Membre Dernière intervention 9 décembre 2007
4 déc. 2007 à 23:09
malheureusement ça encore échoué et un new message d'erreur s'affiche:
Ligne : 73
Caract.: 100
Erreur : Constante chaïne non terminée
Code: 800A0409
Source: Erreur de compilation Microsoft VBScript
Excuse moi pour ce silence j'étais débordé, donc j'attend tjrs ta solution merci pour ta persistence
0
Réponse 9 / 11
Utilisateur anonyme
5 déc. 2007 à 16:56
Essaye une analyse avec kaspersky
0
Réponse 10 / 11
styffy Messages postés 5 Date d'inscription vendredi 30 novembre 2007 Statut Membre Dernière intervention 9 décembre 2007
9 déc. 2007 à 21:43
jè essayé mais rien
0
Réponse 11 / 11
Utilisateur anonyme
9 déc. 2007 à 22:23
franchement je ne c pa koi t'dire, reposte ton problem dans le forum
dsl une autre foi,slt
0

Discussions similaires

Vérification de l’identité du serveur impossible sur IPHONE
Yo86170 -
Pappy -

20 réponses
processus inactif du systeme
edsurf64 -
mick8 -

29 réponses
Ipad - Wi fi - vérification de l'identité du serveur impossible
Lamayd -
Dan -

18 réponses
Erreur la zone de données passée à un appel système est insu
Vincent -
Panth33ra -

5 réponses
Code de vérification TikTok non demandé
bobonaparte1066 -
Amine -

22 réponses