Sujet Précédent Sujet Suivant

Virus ou Ver : Autorun-H sur clé USB

Fermé
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010 - 4 nov. 2008 à 14:58
 Utilisateur anonyme - 8 nov. 2008 à 12:18
Bonjour à tous,
D'abord pour faire simple je suis un simple utilisateur, pas complètement con donc je veux bien essayer si on m'explique
longtemps....
Je suis enseignant et j'ai accepté de lire des clés usb d'étudiants....oups d'accord je n'aurai pas dû. maintenant je me retrouve avec un message de Avast me disant qu'il y a un virus nommé Autorun-H. Il me propose une mise en quarantaine mais rien ni fait. Même si je le supprime il revient au galop....
J'ai suivi un fil de discussion de bissdebrazza, du vendredi 24 octobre 2008 à 15:42:34 et pour llequel dorgane a répondu avec efficacité. J'ai fait ce qu'il a proposé mais pour la solution je ne sais ce que je dois virer...
Donc voici ce que j'ai :

Venant de C:\Program Files\EsetOnlineScanner\log.txt :
# version=4
# OnlineScanner.ocx=1.0.0.56
# OnlineScannerDLLA.dll=1, 0, 0, 51
# OnlineScannerDLLW.dll=1, 0, 0, 51
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3581 (20081104)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.064 (20070717)
# EOSSerial=e34dc74e36d8f74faeacc588c142b5c2
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-11-04 10:52:35
# local_time=2008-11-04 11:52:35 (+0100, Paris, Madrid)
# country="France"
# osver=5.1.2600 NT Service Pack 3
# scanned=323067
# found=8
# scan_time=3657
C:\Op4s.exe multiple infiltrations (deleted) 00000000000000000000000000000000
C:\Op4s.exe »CAB »StafsMirc.exe Win32/Alman.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
C:\Op4s.exe »CAB »StafsMirc2.mrc IRC/Krisworm.A trojan (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
C:\Op4s.exe »CAB »StafsRun.exe Win32/HideWindow application (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\MHMQY2WM\Op4s[1].exe multiple infiltrations (deleted) 00000000000000000000000000000000
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\MHMQY2WM\Op4s[1].exe »CAB »StafsMirc.exe Win32/Alman.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\MHMQY2WM\Op4s[1].exe »CAB »StafsMirc2.mrc IRC/Krisworm.A trojan (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\MHMQY2WM\Op4s[1].exe »CAB »StafsRun.exe Win32/HideWindow application (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1361
Windows 5.1.2600 Service Pack 3

04/11/2008 14:40:57
mbam-log-2008-11-04 (14-40-48).txt

Type de recherche: Examen complet (C:\|D:\|E:\|H:\|I:\|)
Eléments examinés: 155262
Temps écoulé: 41 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx1c642131} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:08, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Thierry\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://eeepc.asus.com/global
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SuperHybridEngine.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
A voir également:

11 réponses

Réponse 1 / 11
Utilisateur anonyme
4 nov. 2008 à 15:09
Bonjour,
Pourrais-je avoir le rapport d'Avast ?

Fait ceci également ,


Télécharge UsbFix sur ton bureau.

● Lance l'installation avec les paramètres par "default"

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

● Double clic sur le raccourci UsbFix sur ton bureau

Le pc va redémarrer

● Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque ( C:\UsbFix.txt )


++
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 15:16
Merci d'abord pour ta réponse rapide.
Je viens de charger usbfix mais je ne devais pas fermer Logfile of Trend Micro HijackThis v2.0.2 donc si le pc redemarre pourrai je relancer ce dernier et avoir les mêmes infos....
Pour avast je l'ai desactivé pour l'instant car il ne pouvais rien faire et me mettais systématiquement Autorun.inf....
Merci Titus
0
Utilisateur anonyme > titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 15:19
Re,

Ne te préoccupe pas d'Hijackthis pour l'instant, il te suffit de suivre à la lettre ce que j'écris et tout ce passera bien ;)

A la fin de la désinfection, il faudra remettre Avast en service.

J'attends le rapport d'USBfix.

Merci.


++
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010 > Utilisateur anonyme
4 nov. 2008 à 15:49
Désolé pour la lenteur mais il a fallu que je m'y reprenne à plusieurs fois en effet Avast demandait que j'enlève les clés usb....
mais voilà le rapport


-------------- UsbFix V2.395 ---------------

* User : Thierry - EEEPC-TB
* Outils mis a jours le 03/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 15:43:33 le 04/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\Thierry\LOCALS~1\Temp\1.tmp\b2e.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur amovible

H: - Lecteur amovible

I: - Lecteur amovible


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
RTHDCPL REG_SZ RTHDCPL.EXE
SoundMan REG_SZ SOUNDMAN.EXE
AlcWzrd REG_SZ ALCWZRD.EXE
Alcmtr REG_SZ ALCMTR.EXE
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
ETDWare REG_SZ C:\Program Files\Elantech\ETDCtrl.exe
AsusTray REG_SZ C:\Program Files\EeePC\ACPI\AsTray.exe
AsusACPIServer REG_SZ C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
AsusEPCMonitor REG_SZ C:\Program Files\EeePC\ACPI\AsEPCMon.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
IntelliPoint REG_SZ "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
AlcoholAutomount REG_SZ "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
H/PC Connection Agent REG_SZ "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------


--------------- [ Listing des fichiers présents ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[07/07/2008 14:54][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[04/11/2008 15:14][--a------] C:\Op4s.exe
[15/08/2008 01:50][-rahs----] C:\boot.ini
[15/08/2008 01:50][-rahs----] C:\trace.ini
[19/10/2008 08:42][--a------] H:\inventor-pro-2008-keygen.exe

--------------- ! Fin du rapport ! ----------------

Qu'en penses tu ?
Titus
0
Réponse 2 / 11
Utilisateur anonyme
4 nov. 2008 à 16:05
Re,

J'en pense que l'outil de Cedric à trouvé le coupable :)

-------------------------------------------------------------------------------

● Télécharge OtmoveIt3 d'Old Timer Sur ton bureau.

● Double clique sur " OtmoveIt3.exe " pour le lancer.

● Copie/colle le texte suivant en gris dans la case de gauche " Paste Instructions for items to be moved " 

:processes
explorer.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"AlcWzrd"=-

:files
H:\inventor-pro-2008-keygen.exe 
C:\Op4s.exe 
C:\ALCWZRD.EXE

:Commands
[emptytemp]
[start explorer]



● Clique sur " MoveIt! "

● Copie tout ce qui est marqué dans la case de droite " Results "

● Colle tout sur le forum.

( Rapport situé ici aussi : C:\_OTMoveIt\MovedFiles )



++
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 16:11
Voilà qui est fait :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\\AlcWzrd deleted successfully.
========== FILES ==========
H:\inventor-pro-2008-keygen.exe moved successfully.
C:\Op4s.exe moved successfully.
File/Folder C:\ALCWZRD.EXE not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Thierry\LOCALS~1\Temp\etilqs_RXS7UqrWbZsr4cUdtnHc scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Thierry\LOCALS~1\Temp\WCESLog.log scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_550.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Thierry\Local Settings\Application Data\Mozilla\Firefox\Profiles\v8gkk55b.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Thierry\Local Settings\Application Data\Mozilla\Firefox\Profiles\v8gkk55b.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Thierry\Local Settings\Application Data\Mozilla\Firefox\Profiles\v8gkk55b.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Thierry\Local Settings\Application Data\Mozilla\Firefox\Profiles\v8gkk55b.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Thierry\Local Settings\Application Data\Mozilla\Firefox\Profiles\v8gkk55b.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Thierry\Local Settings\Application Data\Mozilla\Firefox\Profiles\v8gkk55b.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11042008_160953


Maintenant ?
Merci Titus
0
Réponse 3 / 11
Utilisateur anonyme
4 nov. 2008 à 16:14
Re,

Maintenant tu réactives Avast et tu me dit si il gueule encore.



Même si il ne détecte plus rien, la désinfection n'est cependant pas finie.


++
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 16:29
Bon a priori maintenant il n'y a plus rien sur les 3 clés usb car en reconnectant les clés une par une et en les scannant avec Avast il a trouvé Win32:Rootkit-gen sur 2 d'entres-elles qui n'étaient pas vides de fichiers mais en faisant une mise en quarantaine cela a semble t-il suffit...
Tu dis que la désinfection n'est pas terminée que faut-il faire alors ?
Merci Ttitus
0
Réponse 4 / 11
Utilisateur anonyme
4 nov. 2008 à 16:33
Re,

Quel nom de lecteur les clés ?

Un rapport d'Avast à me présenter ?



+
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 16:38
Pour les clés c'est E: H: et I:
Pour le rapport d'avast voilà ce que j'ai trouvé :

01/09/2008 17:16:53 SYSTEM 1580 Sign of "Win32:Trojan-gen {Other}" has been found in "Mail\Entrant\<Subj: Your Flight Ticket Online N0377399>\ticket_983992.zip\ticket_983992.exe" file.
03/09/2008 14:03:07 SYSTEM 1724 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
05/09/2008 12:41:42 SYSTEM 1724 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
08/09/2008 15:26:25 SYSTEM 1268 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
08/09/2008 15:34:11 SYSTEM 1420 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
10/09/2008 09:01:49 SYSTEM 1412 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
10/09/2008 17:06:33 SYSTEM 1412 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
11/09/2008 08:42:29 SYSTEM 1392 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
13/09/2008 19:13:04 ˜ 1364 Function setifaceUpdatePackages() has failed. Return code is 0xC0000142, dwRes is C0000142.
15/09/2008 09:06:41 SYSTEM 1424 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
22/09/2008 07:18:56 SYSTEM 1172 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\Thierry\Mes documents\Travail GIM prof\CAO\CRACK INVENTOR\inventor 8 crack.exe" file.
24/09/2008 10:58:32 SYSTEM 1396 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
24/09/2008 17:32:09 SYSTEM 1396 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
25/09/2008 09:01:27 SYSTEM 1396 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
10/10/2008 10:24:14 SYSTEM 1184 Function setifaceUpdatePackages() has failed. Return code is 0x20000011, dwRes is 20000011.
14/10/2008 13:58:18 SYSTEM 1436 Function setifaceUpdatePackages() has failed. Return code is 0x20000011, dwRes is 20000011.
14/10/2008 14:02:48 SYSTEM 1436 Sign of "Win32:Trojan-gen {Other}" has been found in "Mail\Entrant\<Subj: Security Update for OS Microsoft Windows>\KB045027.exe" file.
16/10/2008 11:41:45 SYSTEM 1448 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
17/10/2008 09:23:09 SYSTEM 1292 Function setifaceUpdatePackages() has failed. Return code is 0x20000011, dwRes is 20000011.
28/10/2008 14:14:33 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe" file.
28/10/2008 14:16:32 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\run32dll.exe" file.
28/10/2008 22:28:03 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\run32dll.exe" file.
28/10/2008 22:45:22 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Partie supérieure des Dossiers personnels\Éléments envoyés\pour Inventor\inventor 8 crack.exe" file.
28/10/2008 22:47:00 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Racine (pour la recherche)\Tous les messages\pour Inventor\inventor 8 crack.exe" file.
28/10/2008 22:53:51 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe" file.
28/10/2008 23:06:05 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Program Files\Alwil Software\Avast4\DATA\moved\unp264152889.tmp.vir" file.
28/10/2008 23:19:53 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe" file.
29/10/2008 00:48:04 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\System Volume Information\_restore{9308199C-7FF4-4840-A577-7D106F5BB1A3}\RP9\A0001074.exe" file.
29/10/2008 06:21:08 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\run32dll.exe" file.
29/10/2008 06:41:01 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\run32dll.exe" file.
29/10/2008 06:41:02 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\run32dll.exe" file.
29/10/2008 09:38:24 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\Thierry\Mes documents\Perso\archive Outlook TB.pst\Dossiers d'archivage\Partie supérieure des Dossiers personnels\Éléments envoyés\pour Inventor\inventor 8 crack.exe" file.
29/10/2008 09:45:11 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\Thierry\Mes documents\Perso\archive Outlook TB.pst\Dossiers d'archivage\Racine (pour la recherche)\Tous les messages\pour Inventor\inventor 8 crack.exe" file.
29/10/2008 09:51:38 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\Thierry\Mes documents\Perso\backup TB.pst\Dossiers personnels\Partie supérieure des Dossiers personnels\Éléments envoyés\pour Inventor\inventor 8 crack.exe" file.
29/10/2008 09:53:57 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\Thierry\Mes documents\Perso\backup TB.pst\Dossiers personnels\Racine (pour la recherche)\Tous les messages\pour Inventor\inventor 8 crack.exe" file.
29/10/2008 10:13:03 Thierry 2616 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\Thierry\Mes documents\Travail GIM prof\CAO\CRACK INVENTOR\inventor 8 crack.exe" file.
29/10/2008 11:44:36 Thierry 2616 Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.
29/10/2008 12:09:00 Thierry 1392 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Thierry\run32dll.exe" file.
29/10/2008 14:52:32 Thierry 3716 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\boot.exe" file.
29/10/2008 22:23:38 Thierry 2900 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\boot.exe" file.
03/11/2008 14:04:53 Thierry 1916 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\boot.exe" file.
03/11/2008 15:00:54 Thierry 1248 Sign of "Win32:Agent-SWR [Drp]" has been found in "C:\WINDOWS\system32\StafsMirc.exe" file.
03/11/2008 19:58:35 Thierry 1248 Sign of "Unix:Malware-gen" has been found in "C:\WINDOWS\system32\StafsMirc2.mrc" file.
03/11/2008 19:58:43 Thierry 1248 Sign of "Unix:Malware-gen" has been found in "C:\WINDOWS\system32\StafsMirc2.mrc" file.
03/11/2008 20:05:58 Thierry 1248 Sign of "Unix:Malware-gen" has been found in "C:\WINDOWS\system32\StafsMirc2.mrc" file.
03/11/2008 20:06:06 Thierry 1248 Sign of "Unix:Malware-gen" has been found in "C:\WINDOWS\system32\StafsMirc2.mrc" file.
03/11/2008 20:07:43 Thierry 1248 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\StafsRun.exe" file.
03/11/2008 20:09:40 Thierry 1248 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\StafsRun.exe" file.
03/11/2008 20:10:15 Thierry 1248 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\StafsRun.exe" file.
03/11/2008 20:10:22 Thierry 1248 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\StafsRun.exe" file.
03/11/2008 20:26:10 Thierry 1248 Sign of "Win32:Agent-SWR [Drp]" has been found in "C:\WINDOWS\system32\StafsMirc.exe" file.
03/11/2008 20:26:14 Thierry 1248 Sign of "Unix:Malware-gen" has been found in "C:\WINDOWS\system32\StafsMirc2.mrc" file.
03/11/2008 20:26:17 Thierry 1248 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\StafsRun.exe" file.
03/11/2008 20:26:20 Thierry 1248 Sign of "Win32:Agent-SWR [Drp]" has been found in "C:\WINDOWS\system32\StafsMirc.exe" file.
03/11/2008 20:31:30 Thierry 2820 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "c:\system\s-1-5-21-1482476501-1644491937-682003330-1013\system.exe" file.
04/11/2008 06:51:16 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:51:40 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:51:56 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:52:17 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:52:32 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:52:54 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:53:10 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:53:26 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:53:43 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:54:00 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 06:56:58 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 07:53:33 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 07:53:51 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 07:54:16 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 07:54:33 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:19:43 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:20:07 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:20:22 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:20:37 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:20:58 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:21:13 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:21:29 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:21:43 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:22:00 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:22:16 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:39:08 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 08:58:54 SYSTEM 1200 Sign of "BV:AutoRun-H [Wrm]" has been found in "E:\autorun.inf" file.
04/11/2008 16:05:23 Thierry 3644 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe" file.
04/11/2008 16:23:19 Thierry 2776 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "H:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe" file.


A toi merci
Titus
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Utilisateur anonyme
4 nov. 2008 à 16:49
Re,

D'accord.

Fait ceci dans l'ordre :

Tu as 2 mails infectés qui datent du 1 septembre & du 14 octobre:

01/09/2008 17:16:53 SYSTEM 1580 Sign of "Win32:Trojan-gen {Other}" has been found in "Mail\Entrant\<Subj: Your Flight Ticket Online N0377399>\ticket_983992.zip\ticket_983992.exe" file.

14/10/2008 14:02:48 SYSTEM 1436 Sign of "Win32:Trojan-gen {Other}" has been found in "Mail\Entrant\<Subj: Security Update for OS Microsoft Windows>\KB045027.exe" file.

Supprimes-les si ce n'est pas encore fait.



Ensuite, "Crack inventor" je ne sais pas exactement ce que c'est ( même si je m'en doute ) , mais il va falloir le supprimer.

------------------------------------------------------------

Recommence OtmoveIt avec ceci : 

:processes
explorer.exe

:files
D:\Thierry\Mes documents\Travail GIM prof\CAO\CRACK INVENTOR
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe
C:\Documents and Settings\Thierry\run32dll.exe
C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Partie supérieure des Dossiers personnels\Éléments envoyés\pour Inventor\inventor 8 crack.exe
C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Racine (pour la recherche)\Tous les messages\pour Inventor\inventor 8 crack.exe
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe
C:\Program Files\Alwil Software\Avast4\DATA\moved\unp264152889.tmp.vir
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe
D:\System Volume Information\_restore{9308199C-7FF4-4840-A577-7D106F5BB1A3}\RP9\A0001074.exe
E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\boot.exe
C:\WINDOWS\system32\StafsMirc.exe
C:\WINDOWS\system32\StafsMirc2.mrc
C:\WINDOWS\system32\StafsRun.exe
E:\autorun.inf
E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe

:Commands
[start explorer]
[reboot]


------------------------------------------------------------




-Télécharge et installe MalwareByte's Anti-Malware :http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Mets le à jour
- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher
- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok
- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection
- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­­­­­







++
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 17:10
Merci beaucoup déjà mais là je suis ruiné depuis ce matin je n'arrête pas aussi si tu n'y vois pas d'inconvénient je te solliciterai demain matin car j'ai maintenant vraiment mal au crane.
Je n'avais plus les mails
J'ai viré le crack Inventor même si je sais qu'il n'est pas méchant car cela fait 3 ans que je l'ai et il est vraiment uniquement utile pour mes étudiants car nous avions de vieux micro et donc impossible d'utiliser la version officielle que nous avions acheté ....mais je l'ai viré quand même
Pour le scan je le lance et je te donne le rapport plus tard merci encore et à plus
Titus
0
Réponse 6 / 11
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
4 nov. 2008 à 19:46
Bon je m'y recolle ...je viens de faire travailler Malwarebytes' Anti-Malware
Voici le rapport de fin de scan :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1361
Windows 5.1.2600 Service Pack 3

04/11/2008 19:39:09
mbam-log-2008-11-04 (19-39-09).txt

Type de recherche: Examen complet (C:\|D:\|E:\|H:\|I:\|)
Eléments examinés: 152992
Temps écoulé: 45 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-21cx1c642131} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

J'espère que cela devrait aller sinon merci de me donner la suite des opérations avec un bon ccomprimé d'aspirine...
Titus
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
5 nov. 2008 à 15:51
Je réactualise mon post précédent pour lequel C_XX m'a bien aidé même certainement complètement dépanné mais il m'a demandé de lui envoyé un dernier rapport qui ce trouve juste au dessus et je voudrais savoir si vous le trouvez normal ou s'il y a encore un risque d'avoir un virus par l'intermédiaire de mes clés usb.
Bien cordialement votre
titus
0
Réponse 7 / 11
Utilisateur anonyme
5 nov. 2008 à 16:35
Bonjour,

Je suis de retour ;)

J'aimerais bien le rapport d'OtmoveIt3 s'il te plait .. qui doit apparaitre après avoir fait ceci : http://www.commentcamarche.net/faq/sujet 818 installation de programmes windows installer cleanup


++
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
6 nov. 2008 à 07:35
Bonjour,
me revoilà...aussi
J'ai lu le post que tu as mis en lien mais je ne vois pas le rapport avec Windows Installer Cleanup.
De plus pour avoir un rapport OtmoveIt3 il faut avoir des corrections à faire que j'ai fait (en fait celles que tu m'avais demandé de faire). J'ai du les poster dans les messages plus haut.
Merci de t'attarder sur mon cas...
Titus
0
Réponse 8 / 11
Utilisateur anonyme
6 nov. 2008 à 17:55
Bonjour,

Non non je t'ai demandé de faire ceci : 


Recommence OtmoveIt avec ceci :

:processes
explorer.exe

:files
D:\Thierry\Mes documents\Travail GIM prof\CAO\CRACK INVENTOR
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe
C:\Documents and Settings\Thierry\run32dll.exe
C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Partie supérieure des Dossiers personnels\Éléments envoyés\pour Inventor\inventor 8 crack.exe
C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Racine (pour la recherche)\Tous les messages\pour Inventor\inventor 8 crack.exe
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe
C:\Program Files\Alwil Software\Avast4\DATA\moved\unp264152889.tmp.vir
C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe
D:\System Volume Information\_restore{9308199C-7FF4-4840-A577-7D106F5BB1A3}\RP9\A0001074.exe
E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\boot.exe
C:\WINDOWS\system32\StafsMirc.exe
C:\WINDOWS\system32\StafsMirc2.mrc
C:\WINDOWS\system32\StafsRun.exe
E:\autorun.inf
E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe

:Commands
[start explorer]
[reboot]



Ou est le rapport ?
0
Réponse 9 / 11
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
7 nov. 2008 à 07:43
Le résultat donne :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder D:\Thierry\Mes documents\Travail GIM prof\CAO\CRACK INVENTOR not found.
File/Folder C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe not found.
File/Folder C:\Documents and Settings\Thierry\run32dll.exe not found.
File/Folder C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Partie supérieure des Dossiers personnels\Éléments envoyés\pour Inventor\inventor 8 crack.exe not found.
File/Folder C:\Documents and Settings\Thierry\Local Settings\Application Data\Microsoft\Outlook\archive.pst\Dossiers d'archivage\Racine (pour la recherche)\Tous les messages\pour Inventor\inventor 8 crack.exe not found.
File/Folder C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe not found.
File/Folder C:\Program Files\Alwil Software\Avast4\DATA\moved\unp264152889.tmp.vir not found.
File/Folder C:\Documents and Settings\Thierry\Local Settings\Temporary Internet Files\Content.IE5\GR9XFJQB\41[1].exe not found.
File/Folder D:\System Volume Information\_restore{9308199C-7FF4-4840-A577-7D106F5BB1A3}\R­P9\A0001074.exe not found.
File/Folder E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\bo­ot.exe not found.
File/Folder C:\WINDOWS\system32\StafsMirc.exe not found.
File/Folder C:\WINDOWS\system32\StafsMirc2.mrc not found.
File/Folder C:\WINDOWS\system32\StafsRun.exe not found.
File/Folder E:\autorun.inf not found.
File/Folder E:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\syst­em.exe not found.
========== COMMANDS ==========
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11072008_074121

Car je l'avais déjà fait il y a deux jours
Donc est ce cela que tu voulais
Titus
Merci
0
Réponse 10 / 11
Utilisateur anonyme
7 nov. 2008 à 15:25
Re!

Parfait.

Comment va le pc?

+
0
titus91490 Messages postés 19 Date d'inscription lundi 26 mai 2008 Statut Membre Dernière intervention 8 juin 2010
8 nov. 2008 à 09:03
Bonjour,
Je me doutais que tout allait bien car plus d'alerte et plus de lenteur. Je suis super content et je te remercie encore une fois. Je suis à l'étranger pour l'instant mais je rentre dimanche et je crois que le micro de mon épouse à le même problème donc je vous relancerai sur son problème mais avec les logiciels déjà téléchargés et une vague idée de la démarche je pense que le problème sera réglé très rapidement.
UN GRAND MERCI et à bientôt
Titus
0
Réponse 11 / 11
Utilisateur anonyme
8 nov. 2008 à 12:18
Bonjour,

Il faut nettoyer les outils & mettre à jour cependant.


→ Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

→ Double clique sur ToolsCleaner2.exe >
→ Clique sur .Recherche
→ puis sur Suppression quand la liste est trouvée.
→ Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : https://www.commentcamarche.net/list 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

*************************************************************

(!) Ta version d'Adobe Reader n'est pas à jour = Failles de sécurité

● Pour télécharger la dernière version d'Adobe Acrobat Reader , va sur ce site : https://get2.adobe.com/reader/otherversions/
● Clique sur " Télécharger dès maintenant " pour télécharger le fichier AdbeRd90_fr_FR.exe sur ton bureau.
● Ferme tout les programmes qui tournent encore.
● Maintenant , va dans " Ajout et suppression de programmes ou " Programmes et fonctionnalités " ( pour Vista ) et désinstalle les anciennes versions d'Adobe Reader.
● Exemple d'anciennes versions :

_ Adobe Reader 8.1.2
_ Adobe Reader 7.0

● Redémarre ton pc après la/les désinstallation(s)
● Maintenant double clique sur AdbeRd90_fr_FR.exe présent sur ton bureau pour lancer l'installation de la dernière version.

Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :

https://www.adobe.com/support/security/bulletins/apsb07-01.html

*************************************************************

● Télécharge JavaRa sur ton bureau.

● Dézipppe-le , clique sur " JavaRa.exe " , choisi le langage de ton choix et clique sur " Select ".

● Clique maintenant sur " Remove Older Versions "

● Télécharge la dernière version de Java ici.



+

0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses