Virus?

Résolu
cfs9999 Messages postés 262 Statut Membre -  
cfs9999 Messages postés 262 Statut Membre -
Bonsoir,

je n'arrive plus a ouvrir ma cle USB en double clique, en plus elle devrait etre vide alors que si j'utilise Freecommander je trouve 3 fichiers:
antihost.exe
autorun.inf
ln9.exe

alors c'est virus ou....quoi?

merci d'avance.
Configuration: Windows XP
Firefox 3.0.4

40 réponses

  • 1
  • 2
Résumé de la discussion

Une problématique fréquente concerne une clé USB qui ne s'ouvre plus en double-clique et qui présente des fichiers suspects (autorun.inf, antihost.exe, ln9.exe), suggérant une infection virale sous Windows XP. Des éléments évoquent des infections liées à autorun.inf et ln9.exe, et proposent des outils comme USBFix, ainsi que des vérifications du système et des processus via msconfig et RSIT. En pratique, certains recommandent de désinstaller puis réinstaller l'outil approprié, de vérifier les systèmes pour une éventuelle persistance (amvo/amva) et d'envisager un formatage de la clé lorsque le PC demeure infecté.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    ca
    antihost.exe

    ln9.exe

    ce sonr des mountpoints2 infectés et il sont surement aussi sur le DD

    faut le log RSIT
    2
  2. neor Messages postés 1119 Statut Membre 30
     
    autorun.inf peut etre un virus

    tu a un antivirus?
    0
  3. cfs9999 Messages postés 262 Statut Membre 52
     
    en fait j'avait avg mais je l'ai desinstalle il ya quelque jours suite a des probleme qu'il ma creer, mais bon ce fichier n'a

    jamais ete detecte comme virus ni par avg, avast ou kaspersky vu que je l'ai scane sur different PC, (ça fait un

    moment que je l'ai et j'ai apris a vivre avec) mais le fichier ln9.exe c'est la premiere fois que je le voix!!!
    0
  4. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    fais ceci mais je regarde demain

    Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
    http://images.malwareremoval.com/random/RSIT.exe
    Double-clique sur RSIT.exe afin de lancer RSIT.
    Clique Continue à l'écran Disclaimer.
    Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. neor Messages postés 1119 Statut Membre 30
     
    j'ai raison c'est ton autorun.ini

    http://site-naheulbeuk.com/

    tu peux aussi utiliser nod32 qui va le supprimer tout seul quand tu va connecte ta clef usb
    0
  7. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    tu peux aussi utiliser nod32 qui va le supprimer tout seul quand tu va connecte ta clef usb

    c'est faux!!!
    0
  8. neor Messages postés 1119 Statut Membre 30
     
    j'ai deja eu le cas avec un client qui voulais que je mette un truc sur ca clef usb

    nod32 l'a supprimer direct à la connexion
    0
  9. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    je veux bien te croire mais pas ça

    antihost.exe
    autorun.inf
    ln9.exe
    0
  10. neor Messages postés 1119 Statut Membre 30
     
    vu qu'il y a rien sur ta clef format la mais le pc est infecté
    0
  11. Fenn
     
    c'est pas amvo par hasard, j'ai le même probleme depuis 2 jours, sauf que je n'ai pas antihost.exe , par contre autorun.inf et ln9.exe ce sont répondu dans chaque dd comme la peste.

    vas dans msconfig, tu veras qu'il y a une application "amva" qui démarre, si ta ça il te reste plus qu'a télécharger un patch pour neutraliser ce virus(je le cherche).

    une fois que je trouverais le lien je vais te retransmettre.
    0
  12. Dan36
     
    Salut,

    Je n'y connais pas grand chose mais le autorun.ini c'est pas pour lancer la clé usb dès son insertion justement ?
    Je ne crois pas que ce soit un virus... ?

    A+
    0
    1. jamais203
       
      Tu l'as dit ! tu n'y connais pas grand chose...tu es comme moi tu apprend petit à petit.
      C'est un des moyens les plus utilisés pour répandre les virus, tu imagines bien qu'un virus (un bon) ne va pas te demander de le lancer toi même.
      Et pour lancer un programme automatiquement sur windows il y a une bonne cinquantaine de méthodes !
      on n'est pas sorti de l'auberge.
      0
  13. cfs9999 Messages postés 262 Statut Membre 52
     
    desole pour le retard, je ne pouvais me connecte, voila mon Log.
    en fait j'ai ahr.exe que je n'arrive pas a effacer et amvo.exe que j'ai efface mais qui apparait toujours dans les Log???

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 3:23:03 PM, on 11/30/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\WLTRYSVC.EXE
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ahr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\GM4IE\gm4ie.exe
    C:\Program Files\Digital Line Detect\DLG.exe
    C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\Apoint\HidFind.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
    O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
    O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
    O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [antihost] C:\WINDOWS\system32\ahr.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [GM4IE] C:\Program Files\GM4IE\gm4ie.exe
    O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Digital Line Detect.lnk = ?
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
    O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O15 - Trusted Zone: www.698698698.info
    O15 - Trusted Zone: www.otherchance.com
    O15 - Trusted Zone: www.sgnappo.com
    O15 - Trusted Zone: www.whatsnew.name
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BD1E30BE-E77E-4ECA-8893-EE285E1C05CD}: NameServer = 192.168.0.1
    O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
    O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
    0
  14. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    bon,

    Télécharge UsbFix de Chiquitine1664 sur ton bureau

    --> Lance l'installation avec les paramêtres par défaut

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.

    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Le pc va redémarer

    -->Après redémarrage poste le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
    0
  15. cfs9999 Messages postés 262 Statut Membre 52
     
    voila le rapport:

    -------------- UsbFix V2.413.2 ---------------

    * User : med - RIFIM
    * Outils mis a jours le 29/11/2008 par Chiquitine29 et Chimay8
    * Recherche effectuée à 16:08:29 le 11/30/2008
    * Windows Xp - Internet Explorer 7.0.5730.13

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\WLTRYSVC.EXE
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\DOCUME~1\mhamed\LOCALS~1\Temp\1.tmp\b2e.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\WLTRAY.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\WINDOWS\system32\umonit.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\Apoint\HidFind.exe

    --------------- [ Informations lecteurs ] ----------------

    C: - Lecteur fixe

    F: - Lecteur amovible

    +- Contenu de l'autorun : C:\autorun.inf

    +- Contenu de l'autorun : F:\autorun.inf

    ;w0i1sq3aj2i1l5eJAADaiL04SSawoO4iwsld35j381ajqlK3w2ak342kw4k
    [AutoRun]
    ;24il4kwoKdd8wDf3K0a34prf6Kpk2lKDmD4rwok15eqLksLssAIk22f
    open=qquq.bat
    ;df4AD48r944ajD2sdoacw2i0AoL5d0d1kpq
    shell\open\Command=qquq.bat
    ;7328r3kl
    shell\open\Default=1
    ;4
    shell\explore\Command=qquq.bat
    ;w2Kl4owslawLwDoaa0371wA388Cwkaei2Zr0fklLr6eqA4qiw4kd

    --------------- [ Lecteur C ] ----------------

    C: - Lecteur fixe

    +- Listing des fichiers présents :

    [09/01/2007 08:22 PM][--a------] C:\AUTOEXEC.BAT
    [08/05/2004 12:00 PM][-rahs----] C:\NTDETECT.COM
    [05/04/2006 08:25 AM][-r-hs----] C:\igxv.cmd
    [11/22/2008 08:38 PM][-r-hs----] C:\ln9.exe
    [03/01/2008 03:58 PM][-rahs----] C:\boot.ini
    [07/25/2008 06:16 PM][d--------] C:\autorun.inf
    [11/30/2008 04:08 PM][--a------] C:\UsbFix.txt
    [08/19/2004 01:18 PM][--a------] C:\CONFIG.SYS
    [08/19/2004 01:18 PM][--a------] C:\hiberfil.sys
    [08/19/2004 01:18 PM][--a------] C:\IO.SYS
    [08/19/2004 01:18 PM][--a------] C:\MSDOS.SYS
    [08/19/2004 01:18 PM][--a------] C:\pagefile.sys

    --------------- [ Lecteur F ] ----------------

    F: - Lecteur amovible

    +- Listing des fichiers présents :

    [11/22/2008 08:38 PM][---------] F:\ln9.exe
    [11/22/2008 08:38 PM][---------] F:\antihost.exe
    [11/30/2008 04:06 PM][-r-hs----] F:\autorun.inf

    --------------- [ Registre / Startup ] ----------------

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    GM4IE=C:\Program Files\GM4IE\gm4ie.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Apoint=C:\Program Files\Apoint\Apoint.exe
    igfxtray=C:\WINDOWS\system32\igfxtray.exe
    igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
    igfxpers=C:\WINDOWS\system32\igfxpers.exe
    SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY.exe
    Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe
    UMonit=C:\WINDOWS\system32\umonit.exe
    Tray Temperature=C:\PROGRA~1\AWS\MiniBug.exe 1
    DownloadAccelerator="C:\Program Files\DAP\DAP.EXE" /STARTUP
    TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    antihost=C:\WINDOWS\system32\ahr.exe
    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    NoChange=1
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1
    <NO NAME>=

    --------------- [ Registre / Mountpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{246dc942-e47d-11db-ac4b-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3f8fe12c-1e7b-11dd-b0e7-0015c5ad1067}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3f8fe12c-1e7b-11dd-b0e7-0015c5ad1067}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3f8fe12c-1e7b-11dd-b0e7-0015c5ad1067}\Shell\open\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4151b608-cfde-11db-abfa-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{600db9c0-34a6-11dc-adb4-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{72a31f94-36ea-11dc-adbe-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{72a31f94-36ea-11dc-adbe-0016cf4ee263}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{72a31f94-36ea-11dc-adbe-0016cf4ee263}\Shell\open\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8e97ade6-3a23-11dc-adcc-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a23343da-c4ec-11db-abce-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b2b6f1bf-ce55-11db-abee-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b2b6f1bf-ce55-11db-abee-0016cf4ee263}\Shell\open\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c750c9a6-5ef8-11dd-b1ea-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c750c9a6-5ef8-11dd-b1ea-0016cf4ee263}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c750c9a6-5ef8-11dd-b1ea-0016cf4ee263}\Shell\open\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ebc4eb1b-9b08-11db-abb5-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2c21334-c067-11db-abcc-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2c21334-c067-11db-abcc-0016cf4ee263}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f2c21334-c067-11db-abcc-0016cf4ee263}\Shell\open\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbb33f32-af16-11db-abc5-0016cf4ee263}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbb33f32-af16-11db-abc5-0016cf4ee263}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fbb33f32-af16-11db-abc5-0016cf4ee263}\Shell\open\Command

    --------------- [ Nettoyage des disques ] ----------------

    Supprimé ! - [11/21/2008 07:14 PM][-r-hs----] C:\WINDOWS\system32\amvo0.dll
    F:\autorun.inf ~> fichier appelé : "F:\qquq.bat" ( absent ! )
    Echec de la supression !! - [11/30/2008 04:09 PM] C:\autorun.inf
    Echec de la supression !! - [11/30/2008 04:09 PM] C:\autorun.inf
    Supprimé ! - [11/30/2008 04:09 PM][d--------] C:\autorun.inf
    Supprimé ! - [11/30/2008 04:06 PM][-r-hs----] F:\autorun.inf
    Supprimé ! - [01/24/2007 02:52 PM][-rahs----] F:\antihost.exe

    --------------- [ Resumé ] ----------------

    -> /!\ Le resultat doit etre interprété par un spécialiste /!\

    [09/01/2007 08:22 PM][--a------] C:\AUTOEXEC.BAT
    [08/05/2004 12:00 PM][-rahs----] C:\NTDETECT.COM
    [05/04/2006 08:25 AM][-r-hs----] C:\igxv.cmd
    [11/22/2008 08:38 PM][-r-hs----] C:\ln9.exe
    [03/01/2008 03:58 PM][-rahs----] C:\boot.ini
    [11/22/2008 08:38 PM][---------] F:\ln9.exe

    --------------- ! Fin du rapport ! ----------------
    0
  16. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    tu m'as pas filé le log rsit comme je te l'avais demandé!! bien dommage car tu as encore une infections que usbfix n'a pas shooter

    Télécharge SmitFraudfix de S!Ri, balltrap34 et moe31
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip -
    en cas de problème avec le premier lien,
    mirroir: http://72.232.135.12/siri/SmitfraudFix.php

    voila à quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    une aide en vidéo (merci à balltrap34)
    http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

    Désactive les logiciels de protections(antivirus et antispyware)
    -- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
    -- Ouvre le dossier SmitfraudFix double-clique sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
    -- Choisis l'option 1 et appuie sur Entrée
    -- Réponds o (Oui) aux deux questions suivantes si elles sont posées
    -- Un rapport sera généré; sauvegarde le dans un dossier.
    -- Copie/colle le contenu du rapport ici
    0
  17. cfs9999 Messages postés 262 Statut Membre 52
     
    voila le rapport:

    SmitFraudFix v2.379

    Rapport fait à 16:48:33.14, 11/30/2008
    Executé à partir de C:\Documents and Settings\mhamed\Bureau\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows Xp
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\WLTRYSVC.EXE
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\WLTRAY.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\WINDOWS\system32\umonit.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\Apoint\HidFind.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mhamed

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mhamed\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mhamed\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mhamed\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.0.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD1E30BE-E77E-4ECA-8893-EE285E1C05CD}: NameServer=192.168.0.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD1E30BE-E77E-4ECA-8893-EE285E1C05CD}: NameServer=192.168.0.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{BD1E30BE-E77E-4ECA-8893-EE285E1C05CD}: NameServer=192.168.0.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  18. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    mmmm!

    désinstalle smifraud ainsi que usbfix stp

    ensuite retélécharge usbfix(nouvelle mise à jour!)

    Télécharge UsbFix de Chiquitine1664 sur ton bureau

    --> Lance l'installation avec les paramêtres par défaut

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.

    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Le pc va redémarer

    -->Après redémarrage poste le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
    Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
    0
  19. cfs9999 Messages postés 262 Statut Membre 52
     
    j'ai utilise le lien que tu m'a donne mais c'est la meme version de Usbfix que la precedente!!
    0
  20. cfs9999 Messages postés 262 Statut Membre 52
     
    j'arrive maintenant a ouvrir la cle Usb en double cliquant et je n'ai plus que ln9.exe.
    0
  21. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    j'ai utilise le lien que tu m'a donne mais c'est la meme version de Usbfix que la precedente!!

    c'est normal mais la MAJ est différente

    fais ce que je dis stp
    relance le
    0
  • 1
  • 2