S.O.S. - UsbFix - Dossier « Quarantaine » de 731 Mo de fichiers WINDOWS !

[Doriarella]

Bonjour El Desaparecido,

Me voici de retour pour te demander de venir à mon secours.


Hier, j‚ai eu besoin de mon vieux PC Acer que je n‚avais pas ouvert depuis 1 an car il est plein à craquer, sur le disque C de 43,9 Go il ne me reste plus que 6 Go de libre !

Donc, voulant faire de la place en recherchant les dossiers inutiles, j‚ai découvert dans le disque Acer (C) un dossier UsbFix contenant un dossier Quarantine » créé le 29 mai 2012 faisant 731 Mo dont un dossier appelé WINDOWS » qui contient un dossier system32 » qui contient un dossier autorun » qui contient les dossiers suivants :
- ACER (3,78 Mo)
- APP (211 Mo)
- Book (88,1 Mo)
- Drivers (424 Mo)
- HowToCD1 (635 Ko)
- HowToCD2 (621 Ko)
- HowToUse (641 Ko)
Et les fichiers suivants :
- acer.ico.vir
- Autorun.exe.vir
- AUTORUN.INF.vir
- CheckFiles.exe.vir

Avec tous ces fichiers en moins, je me demande comment le PC peut fonctionner !

Que dois-je faire maintenant, jeter tout le dossier UsbFiX et tout son contenu ou essayer de remettre (je ne sais pas comment) tous les dossiers et fichiers qui sont en quarantaine à leur place ?

J‚ai retrouvé le rapport de Recherche » en date du 29 mai 2012, que voici:

############################## | UsbFix 7.044 | [Recherche]

Utilisateur: DORIA (Administrateur) # ACER-3FAFADAADF [ ]
Mis à jour le 21/04/2011 par TeamXscript
Lancé à 07:43:22 | 29/05/2012
Site Web:
Submit your sample:
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Turion(tm) 64 X2 Mobile Technology TL-50
CPU 2: AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Désactivé /!\
Antivirus: BitDefender Antivirus 14.0.30.357 [(!) Disabled | Updated]
Antivirus: Norton AntiVirus 2006 2005 [Enabled | Updated]
Firewall: Norton Internet Worm Protection 2006 [Enabled]
Firewall: BitDefender Pare-feu 14.0.30.357 [Enabled]
RAM -> 894 Mo
C:\ (%systemdrive%) -> Disque fixe # 44 Go (5 Go libre(s) - 12%) [ACER] # FAT32
D:\ -> Disque fixe # 44 Go (12 Go libre(s) - 27%) [ACERDATA] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 972 Mo (378 Mo libre(s) - 39%) [] # FAT

################## | à‰léments infectieux |

Présent! C:\WINDOWS\system32\autorun
Présent! C:\WINDOWS\system32\Autorun.ini
Présent! C:\system32

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |


Et le rapport de Suppression » en date du 29 mai 2012, que voilà :

############################## | UsbFix 7.044 | [Suppression]

Utilisateur: DORIA (Administrateur) # ACER-3FAFADAADF [ ]
Mis à jour le 21/04/2011 par TeamXscript
Lancé à 07:53:31 | 29/05/2012
Site Web:
Submit your sample:
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Turion(tm) 64 X2 Mobile Technology TL-50
CPU 2: AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Désactivé /!\
Antivirus: BitDefender Antivirus 14.0.30.357 [(!) Disabled | Updated]
Antivirus: Norton AntiVirus 2006 2005 [Enabled | Updated]
Firewall: Norton Internet Worm Protection 2006 [Enabled]
Firewall: BitDefender Pare-feu 14.0.30.357 [Enabled]
RAM -> 894 Mo
C:\ (%systemdrive%) -> Disque fixe # 44 Go (5 Go libre(s) - 12%) [ACER] # FAT32
D:\ -> Disque fixe # 44 Go (12 Go libre(s) - 27%) [ACERDATA] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 972 Mo (378 Mo libre(s) - 39%) [] # FAT

################## | à‰léments infectieux |


Supprimé! C:\WINDOWS\system32\autorun
Supprimé! C:\WINDOWS\system32\Autorun.ini
Supprimé! C:\system32

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[12/05/2006 - 11:46:02 | D ] C:\i386
[10/08/2004 - 20:00:00 | D ] C:\VALUEADD
[10/08/2004 - 20:00:00 | D ] C:\dotnetfx
[15/11/2004 - 13:27:50 | D ] C:\CMPNENTS
[14/12/2007 - 01:48:32 | N | 0] C:\AdobeDebug.txt
[09/01/2010 - 03:04:20 | N | 9764] C:\CLDMA.LOG
[23/02/2006 - 11:38:08 | D ] C:\Sysinfo
[23/02/2006 - 11:38:08 | D ] C:\Book
[12/05/2006 - 11:46:00 | D ] C:\WINDOWS
[21/06/2006 - 11:35:44 | D ] C:\Documents and Settings
[21/06/2006 - 11:44:02 | D ] C:\Program Files
[21/06/2006 - 11:50:20 | SHD ] C:\System Volume Information
[21/06/2006 - 12:13:14 | D ] C:\MyWorks
[21/06/2006 - 12:20:30 | D ] C:\Acer
[10/08/2004 - 20:00:00 | N | 4952] C:\Bootfont.bin
[13/09/2008 - 00:48:20 | N | 252240] C:\ntldr
[10/08/2004 - 20:00:00 | RASH | 47564] C:\NTDETECT.COM
[21/06/2006 - 11:45:36 | N | 0] C:\CONFIG.SYS
[21/06/2006 - 12:16:46 | N | 50] C:\AUTOEXEC.BAT
[21/06/2006 - 11:45:36 | N | 0] C:\IO.SYS
[21/06/2006 - 11:45:36 | N | 0] C:\MSDOS.SYS
[29/10/2006 - 09:24:06 | N | 559] C:\RHDSetup.log
[18/04/2011 - 05:55:50 | RASH | 221] C:\boot.ini
[21/06/2006 - 15:23:06 | N | 80] C:\Preload.aaa
[29/05/2012 - 06:58:22 | ASH | 1409286144] C:\pagefile.sys
[08/05/2010 - 03:11:50 | N | 184] C:\drwtsn32.log
[11/11/1999 - 00:17:54 | N | 49] C:\MCE.TAG
[27/01/2008 - 00:17:06 | D ] C:\WTablet
[13/12/2009 - 20:15:20 | N | 16] C:\asdict.dat
[29/05/2012 - 06:58:24 | ASH | 937603072] C:\hiberfil.sys
[28/02/2012 - 04:56:38 | RASHD ] C:\Autorun.inf
[26/03/2010 - 03:57:46 | RHD ] C:\MSOCache
[07/11/2007 - 08:00:40 | N | 843] C:\install.ini
[10/02/2009 - 01:44:16 | D ] C:\05105777376a7c77d97c96830986
[15/10/2010 - 01:35:38 | D ] C:\divx
[15/05/2012 - 06:19:08 | N | 293884] C:\bdlog.txt
[21/03/2011 - 04:27:32 | D ] C:\_OTL
[07/11/2007 - 08:00:40 | N | 1110] C:\globdata.ini
[07/11/2007 - 08:12:28 | N | 232960] C:\VC_RED.MSI
[07/11/2007 - 08:03:18 | N | 562688] C:\install.exe
[03/12/2009 - 00:45:08 | ASH | 3072] C:\Thumbs.db
[07/11/2007 - 08:03:18 | N | 75792] C:\install.res.2052.dll
[07/11/2007 - 08:03:18 | N | 76304] C:\install.res.1028.dll
[11/05/2011 - 01:39:10 | D ] C:\UsbFix
[04/11/2006 - 01:52:20 | SHD ] C:\Recycled
[26/11/2006 - 01:52:38 | N | 6] C:\ISACER.ID
[07/11/2007 - 08:03:18 | N | 96272] C:\install.res.1031.dll
[07/11/2007 - 08:03:18 | N | 96272] C:\install.res.3082.dll
[07/11/2007 - 08:03:18 | N | 97296] C:\install.res.1036.dll
[07/11/2007 - 08:03:18 | N | 95248] C:\install.res.1040.dll
[07/11/2007 - 08:03:18 | N | 81424] C:\install.res.1041.dll
[07/11/2007 - 08:03:18 | N | 79888] C:\install.res.1042.dll
[07/11/2007 - 08:03:18 | N | 91152] C:\install.res.1033.dll
[29/05/2012 - 07:53:24 | N | 1266] C:\UsbFix.txt
[01/07/2011 - 01:27:14 | N | 262144] C:\ntuser.dat
[20/05/2011 - 01:14:48 | N | 314] C:\ZHPExportRegistry-20-05-2011-01-14-47.txt
[16/05/2011 - 00:28:10 | N | 512] C:\PhysicalDisk0_MBR.bin
[13/07/2011 - 01:51:18 | N | 1024] C:\ntuser.dat.LOG
[28/02/2012 - 06:01:58 | N | 1543] C:\Rapport UsbFix clef EMTEC vide.txt
[23/12/2006 - 15:50:20 | D ] C:\téléchargements
[14/10/2010 - 06:36:12 | N | 244] C:\sqmnoopt00.sqm
[14/03/2011 - 04:02:50 | N | 232] C:\sqmdata00.sqm
[30/11/2010 - 22:09:04 | N | 244] C:\sqmnoopt01.sqm
[23/04/2011 - 04:23:12 | N | 232] C:\sqmdata01.sqm
[08/01/2011 - 05:27:36 | N | 244] C:\sqmnoopt02.sqm
[14/07/2010 - 03:02:52 | N | 232] C:\sqmdata02.sqm
[14/03/2011 - 04:02:48 | N | 244] C:\sqmnoopt03.sqm
[14/07/2010 - 06:55:32 | N | 232] C:\sqmdata03.sqm
[23/04/2011 - 04:23:12 | N | 244] C:\sqmnoopt04.sqm
[14/07/2010 - 17:19:26 | N | 232] C:\sqmdata04.sqm
[14/07/2010 - 03:02:52 | N | 244] C:\sqmnoopt05.sqm
[17/07/2010 - 05:35:34 | N | 232] C:\sqmdata05.sqm
[14/07/2010 - 06:55:32 | N | 244] C:\sqmnoopt06.sqm
[17/07/2010 - 18:17:46 | N | 232] C:\sqmdata06.sqm
[14/07/2010 - 17:19:26 | N | 244] C:\sqmnoopt07.sqm
[19/07/2010 - 05:23:04 | N | 232] C:\sqmdata07.sqm
[17/07/2010 - 05:35:34 | N | 244] C:\sqmnoopt08.sqm
[22/07/2010 - 05:42:46 | N | 232] C:\sqmdata08.sqm
[17/07/2010 - 18:17:46 | N | 244] C:\sqmnoopt09.sqm
[24/07/2010 - 02:40:08 | N | 232] C:\sqmdata09.sqm
[19/07/2010 - 05:23:04 | N | 244] C:\sqmnoopt10.sqm
[24/07/2010 - 03:35:24 | N | 232] C:\sqmdata10.sqm
[22/07/2010 - 05:42:46 | N | 244] C:\sqmnoopt11.sqm
[24/07/2010 - 06:43:48 | N | 232] C:\sqmdata11.sqm
[24/07/2010 - 02:40:08 | N | 244] C:\sqmnoopt12.sqm
[25/07/2010 - 02:43:36 | N | 232] C:\sqmdata12.sqm
[24/07/2010 - 03:35:24 | N | 244] C:\sqmnoopt13.sqm
[25/07/2010 - 04:47:48 | N | 232] C:\sqmdata13.sqm
[24/07/2010 - 06:43:48 | N | 244] C:\sqmnoopt14.sqm
[25/07/2010 - 06:58:58 | N | 232] C:\sqmdata14.sqm
[25/07/2010 - 02:43:36 | N | 244] C:\sqmnoopt15.sqm
[26/07/2010 - 07:27:38 | N | 232] C:\sqmdata15.sqm
[25/07/2010 - 04:47:48 | N | 244] C:\sqmnoopt16.sqm
[23/08/2010 - 07:23:36 | N | 232] C:\sqmdata16.sqm
[25/07/2010 - 06:58:58 | N | 244] C:\sqmnoopt17.sqm
[14/10/2010 - 06:36:14 | N | 232] C:\sqmdata17.sqm
[26/07/2010 - 07:27:38 | N | 244] C:\sqmnoopt18.sqm
[30/11/2010 - 22:09:04 | N | 232] C:\sqmdata18.sqm
[23/08/2010 - 07:23:36 | N | 244] C:\sqmnoopt19.sqm
[08/01/2011 - 05:27:36 | N | 232] C:\sqmdata19.sqm
[14/03/2007 - 14:22:52 | N | 5047] C:\bdoe.log
[03/03/2007 - 00:57:52 | D ] C:\emme
[10/06/2007 - 05:22:20 | N | 48596] C:\GPinstall.log
[24/05/2001 - 12:59:30 | N | 162304] C:\UNWISE.EXE
[16/06/2007 - 03:28:56 | N | 1090] C:\INSTALL.LOG
[05/09/2007 - 01:59:54 | D ] C:\wincmd
[18/05/2011 - 06:36:30 | N | 128522] C:\ZHPExportRegistry-18-05-2011-06-36-28.txt
[12/10/2007 - 02:52:04 | D ] C:\audiograbber
[28/09/2007 - 23:37:08 | HD ] C:\Config.Msi
[25/11/2007 - 17:38:40 | D ] C:\assembly
[22/05/2010 - 05:45:36 | D ] D:\FOUND.000
[08/07/2011 - 15:57:18 | D ] D:\HATCHI
[29/10/2006 - 09:22:52 | SHD ] D:\System Volume Information
[20/02/2010 - 05:56:28 | D ] D:\KNOCK
[17/03/2010 - 00:01:22 | D ] D:\Les 3 Royaumes
[09/03/2010 - 02:58:06 | D ] D:\La famille SURICATE
[10/07/2008 - 03:07:40 | D ] D:\BERTRAND TAVERNIER raconte Noblesse Oblige
[04/11/2006 - 01:52:20 | SHD ] D:\Recycled
[10/07/2008 - 02:46:22 | D ] D:\BERTRAND TAVERNIER raconte Tueurs de dames et les Studios Ealing
[28/02/2012 - 04:57:00 | RASHD ] D:\Autorun.inf
[13/02/2010 - 00:07:46 | D ] D:\DHARAMSALA by Tshering Wangdu
[13/04/2009 - 14:09:36 | D ] D:\DVD avec menu DHARAMSALA by Al Terego
[03/08/2011 - 06:07:00 | D ] D:\L'HOMME LOUP
[27/03/2010 - 02:23:04 | D ] D:\THE CAPO'S - 1966
[06/09/2010 - 06:26:08 | D ] D:\JT M6 - Jean MENTRE
[29/06/2010 - 06:31:44 | D ] D:\DHARAMSALA (5 versions)
[04/05/2011 - 06:42:12 | D ] D:\9c99e5f03550ce57e9f3384d0f
[27/03/2012 - 00:46:52 | D ] D:\avi & mov
[13/11/2010 - 01:43:30 | D ] D:\USB DISK (F) 4,68 Go
[04/05/2011 - 06:42:44 | D ] D:\8885d87ed5282797d5
[13/11/2010 - 01:46:36 | D ] D:\Jah Rastafari AIFF
[03/09/2011 - 01:39:24 | D ] D:\DVD DHARAM (6 versions)
[28/02/2012 - 05:40:00 | D ] D:\Jaquettes CD & DVD - EMTEC(F)
[28/02/2012 - 09:50:48 | D ] D:\Bob MARLEY - Live at the Rainbow - June 1977 WAV
[16/03/2012 - 05:16:42 | D ] D:\Fric-Frac (1939) film de Maurice Lehmann - avi DivX
[01/01/1601 - 02:00:00 | D ] F:\DCIM
[31/01/2011 - 01:14:22 | D ] F:\.Trashes
[31/01/2011 - 01:14:22 | N | 4096] F:\._.Trashes
[08/03/2011 - 23:03:22 | N | 6148] F:\.DS_Store
[28/05/2011 - 18:59:50 | RASHD ] F:\Autorun.inf

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ACER-3FAFADAADF.zip

Merci de votre contribution.

################## | E.O.F |

A l‚époque ces 3 éléments infectieux supprimés n‚avaient pas attiré mon attention.

J‚ai aussi retrouvé le fichier zip C:\UsbFix_Upload_Me_ACER-3FAFADAADF.zip dont il est écrit dans le rapport qu‚il faut l‚envoyer, mais il fait 597 Mo et je ne sais pas à qui l‚envoyer.

J‚ai fait hier, suite à cette découverte, une recherche avec la dernière version d‚UsbFix et voilà le rapport :

############################## | UsbFix V 7.144 | [Recherche]

Utilisateur: DORIA (Administrateur) # ACER-3FAFADAADF
Mis à jour le 08/10/2013 par El Desaparecido - Team SosVirus
Lancé à 07:26:37 | 25/10/2013

Site Web:
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact:

PC: Acer (Navarro)
CPU: AMD Turion(tm) 64 X2 Mobile Technology TL-50
RAM -> [Total : 894 | Free : 382]
Bios: Acer
Boot: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 44 Go (6 Go libre(s) - 13%) [ACER] # FAT32
D:\ -> Disque fixe # 44 Go (3 Go libre(s) - 7%) [ACERDATA] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 7 Go (7 Go libre(s) - 88%) [USB DISK] # FAT32

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (ID 620 |ParentID 4)
C:\WINDOWS\system32\csrss.exe (ID 676 |ParentID 620)
C:\WINDOWS\system32\winlogon.exe (ID 704 |ParentID 620)
C:\WINDOWS\system32\services.exe (ID 748 |ParentID 704)
C:\WINDOWS\system32\lsass.exe (ID 760 |ParentID 704)
C:\WINDOWS\system32\Ati2evxx.exe (ID 924 |ParentID 748)
C:\WINDOWS\system32\svchost.exe (ID 944 |ParentID 748)
C:\WINDOWS\system32\svchost.exe (ID 1036 |ParentID 748)
C:\WINDOWS\System32\svchost.exe (ID 1112 |ParentID 748)
C:\WINDOWS\system32\svchost.exe (ID 1152 |ParentID 748)
C:\WINDOWS\system32\Ati2evxx.exe (ID 1184 |ParentID 704)
C:\WINDOWS\system32\svchost.exe (ID 1388 |ParentID 748)
C:\WINDOWS\system32\svchost.exe (ID 1424 |ParentID 748)
C:\WINDOWS\Explorer.EXE (ID 1816 |ParentID 1776)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID 1848 |ParentID 748)
C:\WINDOWS\system32\spoolsv.exe (ID 372 |ParentID 748)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID 1992 |ParentID 1816)
C:\WINDOWS\RTHDCPL.EXE (ID 208 |ParentID 1816)
C:\PROGRA~1\LAUNCH~1\LManager.exe (ID 384 |ParentID 1816)
C:\WINDOWS\system32\svchost.exe (ID 1100 |ParentID 748)
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe (ID 1048 |ParentID 1816)
C:\WINDOWS\ehome\ehtray.exe (ID 488 |ParentID 1816)
C:\Program Files\BroadJump\Client Foundation\CFD.exe (ID 516 |ParentID 1816)
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe (ID 524 |ParentID 748)
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe (ID 380 |ParentID 1816)
C:\WINDOWS\eHome\ehmsas.exe (ID 996 |ParentID 944)
C:\Program Files\HP Wireless Adapter\HPWLAN.exe (ID 992 |ParentID 1816)
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe (ID 1204 |ParentID 1816)
C:\PROGRA~1\RETROS~1\RETROS~1.5\RetroExpress.exe (ID 1140 |ParentID 1816)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID 1376 |ParentID 1816)
C:\WINDOWS\system32\ctfmon.exe (ID 1536 |ParentID 1816)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (ID 1780 |ParentID 1816)
C:\Program Files\HDD Health\hddhealth.exe (ID 1548 |ParentID 1816)
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe (ID 1756 |ParentID 1816)
C:\Program Files\HP Wireless Printer Adapter\ConnectMgr.exe (ID 1976 |ParentID 1816)
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe (ID 1980 |ParentID 748)
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (ID 2104 |ParentID 1816)
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe (ID 2120 |ParentID 1676)
C:\Program Files\Bonjour\mDNSResponder.exe (ID 2168 |ParentID 748)
C:\WINDOWS\eHome\ehRecvr.exe (ID 2436 |ParentID 748)
C:\WINDOWS\eHome\ehSched.exe (ID 2520 |ParentID 748)
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (ID 2696 |ParentID 748)
C:\PROGRA~1\RETROS~1\RETROS~1.5\retrorun.exe (ID 3096 |ParentID 748)
C:\WINDOWS\system32\svchost.exe (ID 3292 |ParentID 748)
C:\WINDOWS\system32\svchost.exe (ID 3312 |ParentID 748)
C:\WINDOWS\system32\Tablet.exe (ID 3336 |ParentID 748)
C:\WINDOWS\ehome\mcrdsvc.exe (ID 3508 |ParentID 748)
C:\WINDOWS\system32\WTablet\TabUserW.exe (ID 3564 |ParentID 3336)
C:\WINDOWS\system32\Tablet.exe (ID 3656 |ParentID 3336)
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (ID 268 |ParentID 2104)
C:\WINDOWS\system32\wbem\wmiprvse.exe (ID 3156 |ParentID 944)
C:\WINDOWS\system32\wbem\wmiapsrv.exe (ID 1556 |ParentID 748)
C:\WINDOWS\system32\dllhost.exe (ID 2240 |ParentID 748)
C:\WINDOWS\System32\alg.exe (ID 3912 |ParentID 748)
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe (ID 1604 |ParentID 380)
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe (ID 3384 |ParentID 380)
C:\WINDOWS\system32\wscntfy.exe (ID 3032 |ParentID 1112)
C:\PROGRA~1\RETROS~1\RETROS~1.5\retrospect.exe (ID 636 |ParentID 3096)
C:\UsbFix\Go.exe (ID 3504 |ParentID 2456)
C:\WINDOWS\system32\wbem\wmiprvse.exe (ID 888 |ParentID 944)

################## | Regedit Run |

HKLM\SOFTWARE | Run : [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [RTHDCPL] - RTHDCPL.EXE
HKLM\SOFTWARE | Run : [PHIME2002ASync] - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
HKLM\SOFTWARE | Run : [PHIME2002A] - C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
HKLM\SOFTWARE | Run : [MSPY2002] - C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
HKLM\SOFTWARE | Run : [LManager] - C:\PROGRA~1\LAUNCH~1\LManager.exe
HKLM\SOFTWARE | Run : [IMJPMIG8.1] - "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
HKLM\SOFTWARE | Run : [eRecoveryService] - C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
HKLM\SOFTWARE | Run : [ehTray] - C:\WINDOWS\ehome\ehtray.exe
HKLM\SOFTWARE | Run : [BJCFD] - C:\Program Files\BroadJump\Client Foundation\CFD.exe
HKLM\SOFTWARE | Run : [AzMixerSel] - C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
HKLM\SOFTWARE | Run : [ATICCC] - "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
HKLM\SOFTWARE | Run : [Alcmtr] - ALCMTR.EXE
HKLM\SOFTWARE | Run : [Acer ePresentation HPD] - C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
HKLM\SOFTWARE | Run : [HPWireless] - "C:\Program Files\HP Wireless Adapter\HPWLAN.exe"
HKLM\SOFTWARE | Run : [HP Software Update] - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
HKLM\SOFTWARE | Run : [RetroExpress] - C:\PROGRA~1\RETROS~1\RETROS~1.5\RetroExpress.exe /h
HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-905660674-2167030778-1823705820-1005\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-905660674-2167030778-1823705820-1005\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-905660674-2167030778-1823705820-1005\SOFTWARE | Run : [HDDHealth] - C:\Program Files\HDD Health\hddhealth.exe -wl
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\SOFTWARE | Run : [DWQueuedReporting] - "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
HKU\S-1-5-18\SOFTWARE | RunOnce : [{91120000-002F-0000-0000-0000000FF1CE}] - C:\WINDOWS\system32\cmd.exe /C del "C:\Documents and Settings\All Users\Application Data\Microsoft Help\Rgstrtn.lck" /Q /A:H

################## | à‰léments infectieux |

Présent! C:\Recycled\Dc8.exe

################## | Registre |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | - https://www.sosvirus.net |

Que me conseilles-tu de faire maintenant ?

Je sais très bien que le plus simple serait de réinstaller tout le PC mais j‚ai dedans un logiciel auquel je tiens beaucoup et je n‚ai plus le CD d‚installation et on ne le trouve plus dans le commerce.

Merci d‚avance pour ton aide

[El Desaparecido]

Hello ,

Effectivement c'est un faux positif, il sera retiré

appelé WINDOWS » qui contient un dossier system32 » qui contient un dossier autorun » qui contient les dossiers suivants :
- ACER (3,78 Mo)
- APP (211 Mo)
- Book (88,1 Mo)
- Drivers (424 Mo)
- HowToCD1 (635 Ko)
- HowToCD2 (621 Ko)
- HowToUse (641 Ko)
Et les fichiers suivants :
- acer.ico.vir
- Autorun.exe.vir
- AUTORUN.INF.vir
- CheckFiles.exe.vir

Fais ceci :

• Appuies simultanément sur les touches Windows et R
• Une fenêtre va s'ouvrir, tape control folders
• Clique sur OK
  
  
• Clique sur Affichage
• Séléctionne "Afficher les fichiers, dossiers ou lecteurs cachés"
• Décoche la case "Masquer les fichiers protégés du système d'exploitation"
• Décoche la case "Masquer les extensions dont le type est connu"
  Note : Une fenêtre va s'ouvrir, clique sur Oui
• Clique sur Ok
  
  

Dans ce dossier autorun, suprime toutes les extensions .vir (avec le point) que tu vois en renommant les fichiers style tu as :
Autorun.exe.vir , le fichier deviendra Autorun.exe

Déplace ensuite le dossier autorun dans le dossier c:\Windows\System32 comme ceci :

Clic droit sur le dossier autorun situé dans la quarantaine usbfix, va dans le dossier c:\Windows\System32 , fais clic droit sur un espace vide et collé.

[Evasion60]

Bonjour Doriarella

Pour faire de la place sur ton disque dur, déjà tu peux supprimer tous les "Outils de désinfection", et rapports + quarantine
Nettoyer tous les fichiers temporaires de Windows XP
Désinstaller proprement les logiciels que tu ne te sers plus
Graver sur support optique CD/CDV photos, vidéos, docs perso importants

- Fichiers temporaires =>

• Télécharge (de Pierre13) sur ton Bureau et pas ailleurs !.
• Lance SFTGC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Clique sur GO
  
  
  
  Note : A la fin un rapport va s'ouvrir
• Une fois le scan terminé rends toi sur le bureau, le fichier SFT.txt à été créé.
• Héberge le rapport SFT.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

- Outils + quarantines +rapports =>
Téléchargez => DelFix de xplode et enregistrez DelFix sur votre bureau.
Cliquez sur Delfix pour le lancer.
Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"



Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier
Le rapport ressemblera à ceci....

# DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Patrick - PORTABLE

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\PhysicalDisk0_MBR.bin

~ Purge de la restauration système ...

Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

Nouveau point de restauration créé !
########## - EOF - ##########

Vous pouvez maintenant l'enregistrer et poster son contenu.


Bonne réception

[Evasion60]

Re

Flute, grillé par El Desaparecido mdr
Suis ses conseils avant

[Doriarella]

Bonjour Evasion60, hello El Desaparecido,

Du coup, je ne sais plus lequel de vous deux me prend en charge pour cette affaire !

J‚ai fait hier, suite à cette découverte, une recherche avec la dernière version d‚UsbFix et voilà le rapport :

############################## | UsbFix V 7.144 | [Recherche]

Utilisateur: DORIA (Administrateur) # ACER-3FAFADAADF
Mis à jour le 08/10/2013 par El Desaparecido - Team SosVirus
Lancé à 07:26:37 | 25/10/2013

Site Web:
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact:


################## | à‰léments infectieux |

Présent! C:\Recycled\Dc8.exe

################## | Registre |

J'attire votre attention sur ce nouvel élément infectieux trouvé hier avec UsbFix dont j'ai joint le rapport en dernier.

Est-ce dangereux ce C:\Recycled\Dc8.exe ?

Ce matin, avant d'éteindre le PC j'avais vidé les dossiers temporaires avec l'outil Windows alors il ne doit plus en rester beaucoup !

J'attends votre avis sur ce C:\Recycled\Dc8.exe

A bientôt

[El Desaparecido]

J'attends votre avis sur ce C:\Recycled\Dc8.exe

Non c'est un fichier qui est dans ta corbeille, vide la

Tu as fait ce que je t'ai expliqué pour le dossier autorun ?

[Evasion60]

Re Doria

################## | à‰léments infectieux |
Présent! C:\Recycled\Dc8.exe

Comme précisé par El Desaparecido, c'est ta corbeille !

[Doriarella]

Hello El Desaparecido !

Merci pour ta réponse concernant le C:\Recycled\Dc8.exe », j‚ai donc vidé la corbeille.

N‚ayant pas été chez moi de la journée, je n‚ai pas pu faire ce long travail de suppression des extensions .vir car cela fait en tout 1214 fichiers à rectifier cachés dans 154 Dossiers !

De plus, j‚ai besoin d‚une précision importante avant de déplacer le dossier autorun » dans le dossier C:\Windows\System32 :

1 - Le dossier autorun » contient des sous-dossiers qui contiennent eux-mêmes des sous-dossiers, PUISQU‚IL CONTIENT A LUI SEUL 154 DOSSIERS, donc je dois déplacer le dossier autorun » tel quel avec ses sous-dossiers, sans sortir les fichiers des sous-dossiers ?

2 - En plus, à côté du gros dossier autorun » j‚ai un fichier Autorun.ini.vir » de 55 Ko, j‚en fais quoi de ce fichier (une fois l‚extension .vir enlevé, bien sur) ?

3 - J‚espère que de remettre les fichiers ne va pas causer de panne au PC qui fonctionne très bien ?

4 - Peux-tu me dire si en cas de problème après avoir remis les 1214 fichiers à leur place, je pourrais rétablir la situation actuelle (la quarantaine avec tous les fichiers) en faisant une restauration du système ?

5 - Aussi, dans ce fameux dossier UsbFix », j‚ai dans le dossier Quarantaine », en plus du dossier WINDOWS » qui contient le gros dossier autorun » j‚ai un petit dossier system32 » qui contient uniquement un fichier nommé Tablet.dat.vir ». Quand on enlève l‚extension .vir, c‚est un Clip vidéo MPEG de 1 Ko du 07/07/2011 et je vois que dans le disque (C), j‚ai un déjà un petit dossier System32 » qui contient déjà uniquement un fichier nommé Tablet.dat », qui est un Clip vidéo MPEG de 1 Ko du 08/12/2012. Donc celui-là à dà» se recréer tout seul ?

Faut-il que je rétablisse le dossier system32 » qui contient le fichier nommé Tablet.dat.vir », Clip vidéo du 07/07/2011 puisqu‚un autre plus récent semble déjà l‚avoir remplacer ?

Je préfère attendre tes réponses à mes 5 questions avant d‚effectuer la procédure de déplacement du dossier autorun » dans le dossier C:\Windows\System32

Merci d‚avance pour ton aide et à bientôt

[El Desaparecido]

4 - Peux-tu me dire si en cas de problème après avoir remis les 1214 fichiers à leur place, je pourrais rétablir la situation actuelle (la quarantaine avec tous les fichiers) en faisant une restauration du système ?

Non , la restauration système ne prendra pas ça en compte.

J'ai regardé sur la toile et ce dossier n'est pas utile, c'est un style de dossier temporaire que ton PC à laissé lors de sa première installation.
La preuve, ton PC fonctionne très bien sans

Le mieux que tu es à faire est de suivre les instructions de Evasion60 ici : https://www.sosvirus.net/usbfix-dossier- ... tml#p12916 : SFTGC.exe + Delfix

[Doriarella]

Re : El Desaparecido

Je viens seulement de trouver ta réponse en allant sur le forum car j‚avais pourtant demandé d‚être avertie si une réponse est postée mais ça ne fonctionne pas pour ce sujet là apparemment.

Donc, ce matin j‚avais déjà fait le tiers du travail (enlever les extensions .vir) sur mes 1214 fichiers !

C‚est formidable, ces petits fichiers tout gris reprennent vie et deviennent des pdf, des setup, des icônes….

Mais maintenant je vois que tu me dis que ça ne sert à rien de remettre en place le dossier autorun » ?

Ca faisait un an que je n‚avais pas utilisé ce PC mais je me souviens quand même avoir eu des messages d‚erreur parce qu‚il manquait quelque chose, c‚était peut-être suite à ça ?

En tout cas, grâce à un setup que j‚ai trouvé dans le dossier j‚ai pu en l‚installant, relancer Acer ePower Management » qui ne fonctionnait plus et maintenant refonctionne partiellement.Donc, c‚est peut-être quand même utile de le remettre en place ce dossier autorun » sauf bien sà»r si le PC court un risque ?

Mais si je fais ce que tu m‚avais indiqué de faire à l‚origine, est-ce que ça peut planter le PC ?

Dans le cas o๠tu me réponds que le PC ne risque rien, afin qu‚il n‚y ait pas d‚erreur, je viens de vérifier et je n‚ai pas de dossier C:\Windows\System32 mais j‚ai bien un dossier C:\WINDOWS\system32

Il fait 2,11 Go et contient entre autre :

Dossiers : config, drivers, ras, spool, wins, dhcp, ShellExt, …
Fichiers : mscories.dll, xmllite.dll, wpd_ci.dll, wdfmgr.exe, …

S‚agit-il bien de celui là ?

Et donc, je te repose ma question :

Hello El Desaparecido !

1 - Le dossier autorun » contient des sous-dossiers qui contiennent eux-mêmes des sous-dossiers, PUISQU‚IL CONTIENT A LUI SEUL 154 DOSSIERS, donc je dois déplacer le dossier autorun » tel quel avec ses sous-dossiers, sans sortir les fichiers des sous-dossiers ?

1 - Je dois déplacer le dossier autorun » tel quel avec ses sous-dossiers, sans sortir les fichiers des sous-dossiers ?

Parmi ces fichiers il y en a un qui s‚appelle ikernel.ex_.vir et donc si j‚enlève l‚extension .vir, ça devient ikernel.ex_ est-ce que ça existe ce type d‚extension ou faut-il mettre .exe au lieu de .ex_

J‚ai hâte d‚avoir tes réponses pour continuer mon travail !

A bientôt