Sujet Précédent Sujet Suivant

Semiantivirus.vbs

Fermé
renuka - 14 nov. 2008 à 19:54
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 15 nov. 2008 à 19:49
Bonjour,
En inde j'ai eu un virus dans ma clé usb en rentrant j'ai mis mes photos sur mon ordi et ensuite avira a trouvé :

The file 'C:\WINDOWS\system32\SemiAntiVirus.vbs'
contained a virus or unwanted program 'HTML/Rce.Gen' [virus]
Action(s) taken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.
An error has occurred and the file was not deleted. ErrorID: 26003.
The file could not be deleted!
Attempting to perform action using the ARK lib.
The file was moved to '4bf9b8b1.qua'!

The file 'C:\ARK3.tmp'
contained a virus or unwanted program 'HTML/Rce.Gen' [virus]
Action(s) taken:
An error has occurred and the file was not deleted. ErrorID: 26003.
The file could not be deleted!
Attempting to perform action using the ARK lib.
The file was moved to '4be6e948.qua'!

a plusieurs reprises j'ai ensuite dans le rapport :
Virus or unwanted program 'HTML/Rce.Gen [virus]'
detected in file 'L:\SemiAntiVirus.vbs.
Action performed: Delete file

maintenant avira ne trouve plusrien mais quand window démarre il me met un message d'erreur comme quoi le il ne trouve pas le script c:windows\system32\semiantivirus.vbs"
Je n'ai trouvé des renseignements sur ce virus que sur les blogs indiens et sans succès pour ne plus avoir cette fenêtre.
Ma clé USB ne se formate pas ou alors le virus reste malgré le formatage, elle ne marche plus.
Mon portable a subit également les mêmes dommages.

8 réponses

Réponse 1 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 nov. 2008 à 21:00
slt,


Telecharge UsbFix sur ton bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
0
renuka
14 nov. 2008 à 21:11
le pc n'a pas redémarré mais usbfix me propose nettoyage, vaccination, desinstaller, quitter.
0
renuka
14 nov. 2008 à 21:16
ma clé usb n'est plus reconnue
0
Réponse 2 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 nov. 2008 à 21:24
nettoyage
0
renuka
14 nov. 2008 à 21:55
voila le rapport


* User : HP_Propriétaire - RENUKADASI
* Outils mis a jours le 14/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 21:42:42 le 2008-11-14
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

G: - Lecteur fixe

H: - Lecteur amovible


+- Contenu de l'autorun : C:\autorun.inf



+- Contenu de l'autorun : D:\autorun.inf



+- Contenu de l'autorun : G:\autorun.inf



+- Contenu de l'autorun : H:\autorun.inf



--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows Defender REG_SZ "C:\Program Files\Windows Defender\MSASCui.exe" -hide
ISUSPM Startup REG_SZ C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
MMTray REG_SZ "C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
YSearchProtection REG_SZ "C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"
PS2 REG_SZ C:\WINDOWS\system32\ps2.exe
AGRSMMSG REG_SZ AGRSMMSG.exe
AlcxMonitor REG_SZ ALCXMNTR.EXE
ISTray REG_SZ "C:\Program Files\Spyware Doctor\pctsTray.exe"
adiras REG_SZ adiras.exe
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
ccApp REG_SZ "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
osCheck REG_SZ "C:\Program Files\Norton Internet Security\osCheck.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
YSearchProtection REG_SZ C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dfbf918a-4d8c-11dc-8f5e-001109f6c85d}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - [2008-11-14 21:51] C:\autorun.inf
Echec de la supression !! - [2008-11-14 21:51] C:\autorun.inf
Supprimé ! - [2008-11-14 21:51] C:\autorun.inf
Echec de la supression !! - [2008-03-18 22:05] D:\autorun.inf
Supprimé ! - [2004-11-30 13:01] D:\info.exe
Echec de la supression !! - [2008-03-18 22:05] D:\autorun.inf
Supprimé ! - [2008-03-18 22:05] D:\autorun.inf
Echec de la supression !! - [2008-11-14 21:51] G:\autorun.inf
Echec de la supression !! - [2008-11-14 21:51] G:\autorun.inf
Supprimé ! - [2008-11-14 21:51] G:\autorun.inf
Supprimé ! - [2008-11-07 17:06] H:\autorun.inf

--------------- [ Listing des fichiers présents ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[2004-11-23 22:21][--a------] C:\AUTOEXEC.BAT
[2004-08-05 13:00][-rahs----] C:\NTDETECT.COM
[2008-09-15 15:43][---hs----] C:\boot.ini
[2001-07-28 07:07][---hs----] D:\AUTOEXEC.BAT
[2001-07-28 07:07][---hs----] D:\install.bat
[2001-07-25 23:00][---hs----] D:\NTDETECT.COM
[2002-01-09 20:52][---hs----] D:\BOOT.INI
[2002-01-09 20:52][---hs----] D:\Desktop.ini
[2002-01-09 20:52][---hs----] D:\WINBOM.INI
[2008-11-01 06:09][-rahs----] H:\SemiAntiVirus.vbs

--------------- ! Fin du rapport ! ----------------
0
Réponse 3 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 nov. 2008 à 21:59
télécharge OTMoveIt
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.


:files
H:\SemiAntiVirus.vbs


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
0
renuka
14 nov. 2008 à 22:09
move it s'ouvre vide
0
Réponse 4 / 8
renuka
14 nov. 2008 à 22:14
H: est la carte de l'appareil photo
ma clé n'est plus reconnue du tout
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
renuka
14 nov. 2008 à 22:16
voici la réponse de moveit : Error: Unable to interpret <H:\SemiAntiVirus.vbs > in the current context!
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 nov. 2008 à 22:17
pour otmovit


tu as bien mis aussi :files dans la procedure et branché ta carte???
0
Réponse 6 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
14 nov. 2008 à 22:17
mets ta catre dans l'ordi car c'est elle qui est infectée


télécharge OTMoveIt
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.

IL FAUT BIEN METTRE :files dans la procedure


:files
H:\SemiAntiVirus.vbs


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_________________

puis

1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

3/


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
Réponse 7 / 8
renuka
14 nov. 2008 à 23:00
En effet j'avais oublié files
Avira est intervenu et a effacé les fichiers malware de la carte.
Ensuite j'ai eu l'indication votre ordinateur est sain.
Demain je ferais la suite.
Merci beaucoup pour votre aide ce forum est vraiment plus qu'utile.
Je crois que le message d'erreur qui apparait quand on redémarre est une trace de ce virus mais il n'est plus là
ENCORE MERCI
0
Réponse 8 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
15 nov. 2008 à 19:49
ok fais la suite

a plus
0