disque dur externe infecté que faire Réparation PC

[Tati]

Bonjour ,


je me suis reinscrte carj ai perdu mon mot de passe, mon pseudo etait amoud.
on s etait arreté lors de scan voici le fichier une fois lancé usbfix

merci pour votre aide

############################## | UsbFix V 7.151 | [Recherche]

Utilisateur: Fathia2 (Administrateur) # FATHIA2-PC
Mis à  jour le 19/11/2013 par El Desaparecido - Team SosVirus
Lancé à  01:01:29 | 21/04/2008

Site Web : https://www.usbfix.net
Forum : https://www.sosvirus.net/
Upload Malware : https://www.sosvirus.net/upload_malware.php
Contact : https://www.usbfix.net/contact/

PC: LENOVO (SPEEDY )
CPU: Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
RAM -> [Total : 3071 | Free : 2234]
Bios: LENOVO
Boot: Normal boot

OS: Microsoft Windows 7 à‰dition Intégrale (6.1.7600 32-Bit)
WB: Windows Internet Explorer : 8.0.7600.16385

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AS: Windows Defender [Enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 15 Go (4 Go libre(s) - 27%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 466 Go (230 Go libre(s) - 49%) [] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 344 |ParentID: 320)
C:\Windows\system32\wininit.exe (ID: 384 |ParentID: 320)
C:\Windows\system32\csrss.exe (ID: 392 |ParentID: 376)
C:\Windows\system32\winlogon.exe (ID: 432 |ParentID: 376)
C:\Windows\system32\services.exe (ID: 480 |ParentID: 384)
C:\Windows\system32\lsass.exe (ID: 488 |ParentID: 384)
C:\Windows\system32\lsm.exe (ID: 496 |ParentID: 384)
C:\Windows\system32\svchost.exe (ID: 604 |ParentID: 480)
C:\Windows\system32\svchost.exe (ID: 680 |ParentID: 480)
C:\Windows\System32\svchost.exe (ID: 768 |ParentID: 480)
C:\Windows\System32\svchost.exe (ID: 804 |ParentID: 480)
C:\Windows\system32\svchost.exe (ID: 828 |ParentID: 480)
C:\Windows\system32\svchost.exe (ID: 956 |ParentID: 480)
C:\Windows\system32\svchost.exe (ID: 1116 |ParentID: 480)
C:\Windows\System32\spoolsv.exe (ID: 1268 |ParentID: 480)
C:\Windows\system32\svchost.exe (ID: 1296 |ParentID: 480)
C:\Windows\system32\WUDFHost.exe (ID: 1848 |ParentID: 804)
C:\Windows\system32\taskhost.exe (ID: 1944 |ParentID: 480)
C:\Windows\system32\sppsvc.exe (ID: 620 |ParentID: 480)
C:\Windows\system32\userinit.exe (ID: 1336 |ParentID: 432)
C:\Windows\system32\Dwm.exe (ID: 1596 |ParentID: 804)
C:\Windows\Explorer.EXE (ID: 1388 |ParentID: 1336)
C:\Windows\system32\SearchIndexer.exe (ID: 1892 |ParentID: 480)
C:\UsbFix\Go.exe (ID: 2068 |ParentID: 396)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 2084 |ParentID: 480)
C:\Windows\system32\SearchProtocolHost.exe (ID: 2196 |ParentID: 1892)
C:\Windows\system32\SearchFilterHost.exe (ID: 2216 |ParentID: 1892)
C:\Windows\system32\svchost.exe (ID: 2308 |ParentID: 480)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2612 |ParentID: 604)

################## | Regedit Run |

04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! E:\$RECYCLE.BIN.lnk
Présent! E:\Alexeyeff.lnk
Présent! E:\ASUS Fathia.lnk
Présent! E:\Batman.Begins[2005]DVDrip.h264.[Eng]-phrax.lnk
Présent! E:\compte rendu.lnk
Présent! E:\Documents.lnk
Présent! E:\driver.lnk
Présent! E:\Fathia.lnk
Présent! E:\Guillaume.lnk
Présent! E:\Marguerite.lnk
Présent! E:\Microsoft.lnk
Présent! E:\Music.lnk
Présent! E:\New Folder.lnk
Présent! E:\Office_2010.lnk
Présent! E:\Passwords.lnk
Présent! E:\Pictures.lnk
Présent! E:\Procédure modifié.lnk
Présent! E:\Procédure OVH.lnk
Présent! E:\RECYCLER.lnk
Présent! E:\SOIREE IRLANDAISE.lnk
Présent! E:\SysPrep Win 7 - Mysysprep.lnk
Présent! E:\sysprep.lnk
Présent! E:\System Volume Information.lnk
Présent! E:\The.Chronicles.Of.Narnia.The.Voyage.Of.The.Dawn.Treader.FRENCH.BDRip.XviD-AYMO.lnk
Présent! E:\Video.lnk
Présent! E:\Vsphere.lnk
Présent! E:\x.exe
Présent! E:\xaooq.exe
Présent! E:\zcriay.exe
Présent! E:\zcriay.scr
Présent! E:\zcriayx.exe
Présent! E:\[www.Cpasbien.com] 21.Jump.Street.2012.FRENCH.BDRip.XviD.REPACK.1CD-ITOMA.lnk
Présent! E:\[www.Cpasbien.com] Lockout.FRENCH.UNRATED.BDRip.MD.XVID-FORYOU.lnk
Présent! E:\[www.Cpasbien.com] The.Dictator.2012.FRENCH.TS.MD.XViD-FORYOU.lnk
Présent! E:\nwmhvt.exe
Présent! E:\x.exe
Présent! E:\autorun.inf
Présent! E:\zdi.lnk
Présent! E:\zia.lnk
Présent! E:\zIi.lnk
Présent! E:\zOs.lnk
Présent! E:\zut.lnk
Présent! E:\zUw.lnk
Présent! E:\zvM.lnk
Présent! E:\zYT.lnk
Présent! E:\zZe.lnk
Présent! E:\zzz.dll

################## | Référence de comparaison MD5 |

Md5 : D563A2BC834E3F86020385BCFF9D50EE -> E:\zcriay.scr
Md5 : 4BABAC487947E63EB59DD9651A5CEA1D -> E:\x.exe

################## | Comparaison MD5 |

Présent! Md5 : 4BABAC487947E63EB59DD9651A5CEA1D -> E:\x.exe
Présent! Md5 : D563A2BC834E3F86020385BCFF9D50EE -> E:\zcriay.scr

################## | Registre |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |

[El Desaparecido]

Hello ,

Re donc

• Exécute UsbFix
• Choisi l'option Suppression
  
  Note : Si UsbFix bloque à  14%, éxécute UsbFix en mode sans échec. (Voir >> ICI <<)
  
  
• Copie et Colle le contenu du rapport qui apparaît à  la fin du scan dans ta réponse

[Tati]

j ai lancé prescan aussi
etj aiobtenu ceci

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | g3n-h@ckm@n | Saachaa | 3.1118.1 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

~ ¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 01:51:11

~ Update on 18/11/2013 | 18.00 by g3n-h@ckm@n
~ Evolution : https://security-helpzone.com/gen-hackma ... og/2013-2/
~ Pre_Script Infos : https://security-helpzone.com/gen-hackma ... re_script/
~ Pre_scan Feedbacks : https://security-helpzone.com/gen-hackma ... ours-bugs/

~ [Fathia2 (Administrator)] - [FATHIA2-PC]
~ SID = S-1-5-21-1447436994-609672689-3196038805-1000

~ System : Windows 7 Ultimate (32 bits) Ultimate
~ ProcessorNameString : Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
~ Identifier : x86 Family 6 Model 15 Stepping 13


~ Memory RAM = Total (MB) : 3145 | Free (MB) : 2537
~ Pagefile = Total (MB) : 6288 | Free (MB) : 5720
~ Virtual = Total (MB) : 2097 | Free (MB) : 1974

¤¤¤¤¤¤¤¤¤¤ | Boot's scripts


¤¤¤¤¤¤¤¤¤¤ | Drives

c:\-> [Fixed] | [] | Total : 14900 Mo | Free : 3970 Mo -> NTFS
e:\-> [Fixed] | [] | Total : 476940 Mo | Free : 235650 Mo -> NTFS

¤¤¤¤¤¤¤¤¤¤ | Windows Updates

Next search : 2008-04-21 04:05:40

~ Service Pack 1 not installed !!!


¤¤¤¤¤¤¤¤¤¤ | Sessions

~ C:\Windows\system32\config\systemprofile
~ C:\Windows\ServiceProfiles\LocalService
~ C:\Windows\ServiceProfiles\NetworkService
~ C:\Users\Fathia2

New restorepoint created

Standby deleted !

¤¤¤¤¤¤¤¤¤¤ | stopped Processes


(2868) -- WUDFHost.exe
(2876) -- rundll32.exe
(3332) -- wmpnetwk.exe
(3356) -- SearchIndexer.exe
(3596) -- spoolsv.exe
(3696) -- sppsvc.exe
(2188) -- explorer.exe
(1892) -- notepad.exe
(4088) -- iexplore.exe
(340) -- iexplore.exe
(3792) -- iexplore.exe
(3468) -- iexplore.exe

Boot : Normal


¤¤¤¤¤¤¤¤¤¤ | Winlogon User : OK !


¤¤¤¤¤¤¤¤¤¤ | Winlogon Machine : OK !


¤¤¤¤¤¤¤¤¤¤ | Associations

Repaired : [HKCR\Folder\shell\open\command] : %SystemRoot%\Explorer.exe -> C:\Windows\Explorer.exe


¤

Repaired : [HKLM\Software\Clients\StartMenuInternet\IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ | Registry

Repaired : [HKU\S-1-5-21-1447436994-609672689-3196038805-1000 | Desktop]|[Wallpaper] : -> C:\Users\Fathia2\AppData\Roaming\Microsoft\Wallpaper1.bmp
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKU\S-1-5-21-1447436994-609672689-3196038805-1000\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]| : 2 -> 0

¤¤¤¤¤¤¤¤¤¤ | Taskmgr and Registry Access



¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Control | Repair

Safeboot Keys are O.K

Alternate shell is OK !

¤

Safeboot Minimal Subkeys : O.K !

¤

Safeboot Network Subkeys : O.K !

¤¤¤¤¤¤¤¤¤¤ | IFEO


¤¤¤¤¤¤¤¤¤¤ | Mountpoints2



Contenu de E:\Autorun.inf :

;
[AutoRun]

;uaAjvVIRFj QJhDGsXnxSyXBrvgTbWabcmpUilwnQFPEwjcjndxloEfP

;NyoFE
sHelL\opEn\DEfaUlt=1

;vXqUyr
shell\Open\commAnd= nwmhvt.exe
;eFSyp
shell\ExPLoRe\CommAnd =nwmhvt.exe
;WYvgma lrENAGgvwg AuFU VfbK
opeN =nwmhvt.exe

;fPiMORvDgf SXkJ ymNWQlTVgDatCi
Shell\aUToPlAY\cOMMaNd = nwmhvt.exe
;klYqH

¤¤¤¤¤¤¤¤¤¤ | Windows

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\Boot]|[Shell] : SYS:Microsoft\Windows NT\CurrentVersion\Winlogon
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini]|[winlogon] : SYS:Microsoft\Windows NT\CurrentVersion\Winlogon

Winsrv : OK !


[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 0

[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[Programs] : com exe bat pif cmd

¤¤¤¤¤¤¤¤¤¤ | Security Center







¤¤¤¤¤¤¤¤¤¤ | Services Corrections


Repaired : [HKLM | Services\IKEEXT] : 3 -> 2
Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\Bits] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\SharedAccess] : 4 -> 2
Repaired : [HKLM | Services\WerSvc] : 3 -> 2

¤¤¤¤¤¤¤¤¤¤ | Internet Explorer

Repaired : [HKU\S-1-5-21-1447436994-609672689-3196038805-1000\Software\Microsoft\Internet Explorer\Main]|[Start Page] : https://go.microsoft.com/fwlink/?LinkId=69157 -> https://www.google.com/
Repaired : [HKU\S-1-5-21-1447436994-609672689-3196038805-1000\Software\Microsoft\Internet Explorer\Main]|[Search Page] : https://go.microsoft.com/fwlink/?LinkId=54896 -> https://www.microsoft.com/isapi/redir.dl ... r=iesearch

Browsers settings for Machine : OK

¤

Repaired : [HKU\S-1-5-21-1447436994-609672689-3196038805-1000\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 -> 1

¤¤¤¤¤¤¤¤¤¤ | Hosts

C:\Windows\System32\Drivers\etc\hosts : Cleaned

¤¤¤¤¤¤¤¤¤¤ | reparsepoint



¤¤¤¤¤¤¤¤¤¤ | Offsets detection

Possible Ramnit (bad offsets) : C:\Users\Fathia2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7E9AI1RJ\topic4399[1].html : 49443A20343932207C506172656E7449443A20333736293C6272202F3E433A5C57696E646F77735C73797374656D33325C737663686F73742E65786520284944
Possible Ramnit (bad offsets) : C:\Users\Fathia2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7UOQ3ZQD\virus-cree-des-raccourcis-sur-mes-disques-amovibles-t4720[1].html : 262334313B202D20433A5C57696E646F77735C53797374656D33325C737663686F73742E6578653C6272202F3E5352202D207C204175746F2031342F30372F32

¤¤¤¤¤¤¤¤¤¤ | Files | Folders | Registry


Removed : C:\$Recycle.bin\S-1-5-21-1447436994-609672689-3196038805-1000

Moved to quarantine successfully : C:\Users\Fathia2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7E9AI1RJ\topic4399[1].html
Moved to quarantine successfully : C:\Users\Fathia2\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7UOQ3ZQD\virus-cree-des-raccourcis-sur-mes-disques-amovibles-t4720[1].html

Moved to quarantine successfully : C:\Windows\assembly\tmp\

Prefetch -> Emptied




¤¤¤¤¤¤¤¤¤¤ | Hidden files

~ [Drive E:] : Hidden : 689 | Restored : 689
~ [Program Files] : Hidden : 2 | Restored : 2
~ [Users] : Hidden : 2 | Restored : 2
~ [Documents] : Hidden : 3 | Restored : 3
~ [Searches] : Hidden : 2 | Restored : 2
~ [Windows] : Hidden : 94 | Restored : 94
~ [Start Menu | Programs | Startup] : Hidden : 1 | Restored : 1
~ [AppData] : Hidden : 5 | Restored : 5


¤¤¤¤¤¤¤¤¤¤ | Listing Partition(s)

Disk: 0 Size=153G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 07-NTFS 100M Yes No 2,048 204,800
1 1 07-NTFS 15G No No 206,848 30,515,200

¤¤¤¤¤¤¤¤¤¤

[HKLM | Winlogon] | AutoRestartShell : 0 -> 1

End : 02:09:00


Standby Restored !
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ - 238

[El Desaparecido]

Ok pour Prescan, t'es infecté par VobFus, j'attend ton rapport UsbFix comme expliqué plus haut

[Tati]

Je fais le meme procedure mais j ai juste UsbFix [Scan 1] Fathia2-PC dans \C
merci d avance

[El Desaparecido]

Tu as relancé Usbfix, option suppression ?

[Tati]

ouij ai cliqué sur suppression et il y a votre site sosvirus qui s'affiche !!!

par contre tous mes dossiers sont revenus en etat normal youpi grand merci quant même.

[El Desaparecido]

ouij ai cliqué sur suppression et il y a votre site sosvirus qui s'affiche !!!

Là  tu clic sur non ...

[Tati]

############################## | UsbFix V 7.151 | [Suppression]

Utilisateur: Fathia2 (Administrateur) # FATHIA2-PC
Mis à  jour le 19/11/2013 par El Desaparecido - Team SosVirus
Lancé à  01:00:45 | 21/04/2008

Site Web : https://www.usbfix.net
Forum : https://www.sosvirus.net/
Upload Malware : https://www.sosvirus.net/upload_malware.php
Contact : https://www.usbfix.net/contact/

PC: LENOVO (SPEEDY )
CPU: Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
RAM -> [Total : 3071 | Free : 2319]
Bios: LENOVO
Boot: Normal boot

OS: Microsoft Windows 7 à‰dition Intégrale (6.1.7600 32-Bit)
WB: Windows Internet Explorer : 8.0.7600.16385

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AS: Windows Defender [Enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 15 Go (4 Go libre(s) - 27%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 466 Go (230 Go libre(s) - 49%) [] # NTFS

################## | Processus Stoppés |

Stoppé! C:\Windows\System32\spoolsv.exe (ID: 1328 |ParentID: 436)
Stoppé! C:\Windows\system32\WUDFHost.exe (ID: 1724 |ParentID: 828)
Stoppé! C:\Windows\Explorer.EXE (ID: 988 |ParentID: 324)
Stoppé! C:\Windows\system32\taskhost.exe (ID: 1816 |ParentID: 436)
Stoppé! C:\Windows\system32\SearchIndexer.exe (ID: 796 |ParentID: 436)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 912 |ParentID: 436)
Stoppé! C:\Windows\system32\sppsvc.exe (ID: 3860 |ParentID: 436)
Stoppé! C:\Users\Fathia2\alg.exe (ID: 3216 |ParentID: 300)
Stoppé! C:\Users\Fathia2\dauurov.exe (ID: 3360 |ParentID: 3216)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (ID: 772 |ParentID: 988)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (ID: 2724 |ParentID: 772)

################## | Regedit Run |

04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1447436994-609672689-3196038805-1000\SOFTWARE | Run : [dauurov] - C:\Users\Fathia2\dauurov.exe
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

[El Desaparecido]

Le rapport est incomplet