Clé USB infectée – worm.win32.autorun ? 2013-06-21T14:55:00+00:00
14 sujets de 1 à 14 (sur un total de 14)
  • Auteur
    Messages
  • Now
    Nombre d'articles : 0

    Bonjour,

    Je dois avouer que je débarque un peu, je ne connais pas cet endroit et je me suis contentée de cliquer en haut à droite.

    L’anti-virus Kaspersky installé sur les ordinateurs de l’imprimerie à côté de chez moi m’a informée qu’une entité nommée “worm.win32.autorun” était présente sur ma clé USB. Si j’ai compris le message, ça a à voir avec un fichier “autorun.inf” que je ne trouve pas. J’ai demandé sur place à Kaspersky une analyse “complète” de ma clé USB, et il m’a annoncé qu’il ne trouvait rien.

    De retour sur mon poste habituel, j’ai téléchargé un petit programme nommé “anti-autorun.inf” (trouvé ici), qui n’a pas eu l’air de faire effet. Par la suite, j’ai téléchargé USBFix (le programme qui m’a amenée ici) et lancé une recherche : il trouve bien des choses qui ne lui plaisent pas, mais sur un autre lecteur que celui qui représente ma clé USB.
    (Ma clé est E:/ ; il trouve quelque chose sur F:/, qui est un lecteur CD virtuel de Daemon Tools).

    Spoiler for 1myqyn0w

    ############################## | UsbFix V 7.128 | [Recherche]

    Utilisateur: user (Administrateur) # PCPORTABLEPRET
    Mis à jour le 20/06/2013 par El Desaparecido
    Lancé à 16:30:34 | 21/06/2013

    Site Web: https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: forum-virus-securite/upload-malware-pour-analyse-t489.html
    Contact: contact@sosvirus.net

    PC: Dell Inc. (Latitude E5500 ) (X86-based PC)
    CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz (1994)
    RAM -> [Total : 2003 | Free : 937]
    BIOS: Phoenix ROM BIOS PLUS Version 1.10 A11
    BOOT: Normal boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 73 Go (24 Go libre(s) – 32%) [] # NTFS
    D: -> CD-ROM
    E: -> Disque amovible # 4 Go (858 Mo libre(s) – 23%) [ÉVAGORAS] # FAT32
    F: -> CD-ROM

    ################## | Processus Actif |

    C:WINDOWSSystem32smss.exe (828)
    C:WINDOWSsystem32winlogon.exe (904)
    C:WINDOWSsystem32services.exe (948)
    C:WINDOWSsystem32lsass.exe (960)
    C:WINDOWSsystem32svchost.exe (1132)
    C:WINDOWSSystem32svchost.exe (1240)
    C:WINDOWSSystem32svchost.exe (1552)
    C:WINDOWSSystem32svchost.exe (1632)
    C:WINDOWSsystem32svchost.exe (1004)
    C:Program FilesFichiers communsSymantec SharedccSvcHst.exe (5356)
    C:Program FilesSymantecSymantec Endpoint ProtectionSmc.exe (5016)
    C:Program FilesSymantecSymantec Endpoint ProtectionRtvscan.exe (4336)
    C:WINDOWSsystem32spoolsv.exe (6004)
    C:Program FilesFichiers communsAppleMobile Device SupportAppleMobileDeviceService.exe (5528)
    C:Program FilesSymantecSymantec Endpoint ProtectionSmcGui.exe (2624)
    C:WINDOWSsystem32taskmgr.exe (4512)
    C:Program FilesMozilla Firefoxfirefox.exe (2880)
    C:WINDOWSexplorer.exe (436)
    C:WINDOWSsystem32cmd.exe (5100)
    C:UsbFixGo.exe (3188)

    ################## | El Desaparecido Section |

    HKLMSOFTWARE | Run : [IgfxTray] – C:WINDOWSsystem32igfxtray.exe
    HKLMSOFTWARE | Run : [HotKeysCmds] – C:WINDOWSsystem32hkcmd.exe
    HKLMSOFTWARE | Run : [Persistence] – C:WINDOWSsystem32igfxpers.exe
    HKLMSOFTWARE | Run : [Broadcom Wireless Manager UI] – C:WINDOWSsystem32WLTRAY.exe
    HKLMSOFTWARE | Run : [SysTrayApp] – %ProgramFiles%IDTWDMsttray.exe
    HKLMSOFTWARE | Run : [AESTFltr] – %SystemRoot%system32AESTFltr.exe /NoDlg
    HKLMSOFTWARE | Run : [Apoint] – C:Program FilesDellTPadApoint.exe
    HKLMSOFTWARE | Run : [ccApp] – “C:Program FilesFichiers communsSymantec SharedccApp.exe”
    HKLMSOFTWARE | Run : [APSDaemon] – “C:Program FilesFichiers communsAppleApple Application SupportAPSDaemon.exe”
    HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program FilesQuickTimeQTTask.exe” -atboottime
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesFichiers communsAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | Run : [Microsoft Works Update Detection] – C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe
    HKLMSOFTWARE | RunOnce : [] –
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [ctfmon.exe] – C:WINDOWSsystem32ctfmon.exe
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [DAEMON Tools Lite] – “C:Program FilesDAEMON Tools LiteDTLite.exe” -autorun

    ################## | Éléments infectieux |

    Présent! F:SETUP.EXE
    Présent! F:AUTORUN.INF
    Présent! F:Updates

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F | https://www.sosvirus.net” onclick=”window.open(this.href);return false; |[/spoiler:1myqyn0w]
    Par ailleurs, l’option “Vacciner” me renvoie une erreur :

    Erreur durant la vaccination! ( :Autorun.inf )

    L’option “Suppression” m’a annoncé qu’USBFix allait fermer tous les processus non-vitaux. Y compris explorer.exe apparemment, ce qui m’a mis froid dans le dos un instant (j’ai du mal à détacher mon ordinateur de son interface graphique). Puis, très longtemps, rien. Je m’ennuyais, alors j’ai appelé le gestionnaire des tâches puis explorer.exe, et je n’ai rien vu tourner qui ressemble à un processus “usbfix” ou “eldesaparecido”.

    Je me tourne à présent vers le forum : comment, s’il vous plaît, puis-je régler ce problème de worm.win32.autorun ? Est-il possible que ce message d’alerte de Kaspersky (je n’en ai pas de screen, désolée) ait concerné la clé USB de l’utilisateur précédent et que je sois très bête ?

    Merci beaucoup d’avance.

    Now

    PS : La station de travail sur laquelle je me trouve en ce moment est un prêt que je dois de toute manière formater et rendre lundi. Ce qui me préoccupe le plus, ce sont les données sur ma clé USB et la contamination éventuelle d’autres postes.

    PPS : C’est dans le log joint mais je le redis : je suis sous un Windows XP Service Pack 3.

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour,

    :welcome: Ici ;)

    Avant de commencer la désinfection de ton PC qui ne m’a pas l’air très grave ( ;) ) deux pitites consignes à respecter :
    [glow=red:2bbx55hk]~ Reviens tant que je ne dis pas que c'est fini
    ~ Tout les outils doivent être lancés/éxécutés depuis ton bureau ![/glow:2bbx55hk]

    Ok, USBFix à trouvé le soucis ;)

    Démarre en mode sans échec, si tu ne sais pas faire, une aide >> ici <<

    Puis fais ceci :

    • Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
    • Si votre antivirus affiche une alerte, ignorez-la et désactivez l’antivirus temporairement.
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Double cliquez sur UsbFix.exe.
    • Cliquez sur Supression

    • Laissez travailler l’outil.
    • À la fin du scan, un rapport va s’afficher, postez-le dans votre prochaine réponse sur le forum.
    • Le rapport est aussi sauvegardé à la racine du disque système ( C:UsbFix.txt ).
    • Tutoriel en images

    ++ ;)

    Now
    Nombre d'articles : 0

    Rebonjour,

    J’ai trouvé deux fichiers.txt : UsbFix [Clean 1] PCPORTABLEPRET et UsbFix [Clean 2] PCPORTABLEPRET. Le premier vient du scan que j’ai fait vers 16h et dont je ne pensais pas qu’il avait donné quelque chose :

    Spoiler for 3sqjpthy

    ############################## | UsbFix V 7.128 | [Suppression]

    Utilisateur: user (Administrateur) # PCPORTABLEPRET
    Mis à jour le 20/06/2013 par El Desaparecido
    Lancé à 15:51:35 | 21/06/2013

    Site Web: https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: forum-virus-securite/upload-malware-pour-analyse-t489.html
    Contact: contact@sosvirus.net

    PC: Dell Inc. (Latitude E5500 ) (X86-based PC)
    CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz (1994)
    RAM -> [Total : 2003 | Free : 303]
    BIOS: Phoenix ROM BIOS PLUS Version 1.10 A11
    BOOT: Normal boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 73 Go (22 Go libre(s) – 31%) [] # NTFS
    D: -> CD-ROM
    E: -> Disque amovible # 4 Go (858 Mo libre(s) – 23%) [ÉVAGORAS] # FAT32
    F: -> CD-ROM

    ################## | El Desaparecido Section |

    HKLMSOFTWARE | Run : [IgfxTray] – C:WINDOWSsystem32igfxtray.exe
    HKLMSOFTWARE | Run : [HotKeysCmds] – C:WINDOWSsystem32hkcmd.exe
    HKLMSOFTWARE | Run : [Persistence] – C:WINDOWSsystem32igfxpers.exe
    HKLMSOFTWARE | Run : [Broadcom Wireless Manager UI] – C:WINDOWSsystem32WLTRAY.exe
    HKLMSOFTWARE | Run : [SysTrayApp] – %ProgramFiles%IDTWDMsttray.exe
    HKLMSOFTWARE | Run : [AESTFltr] – %SystemRoot%system32AESTFltr.exe /NoDlg
    HKLMSOFTWARE | Run : [Apoint] – C:Program FilesDellTPadApoint.exe
    HKLMSOFTWARE | Run : [ccApp] – “C:Program FilesFichiers communsSymantec SharedccApp.exe”
    HKLMSOFTWARE | Run : [APSDaemon] – “C:Program FilesFichiers communsAppleApple Application SupportAPSDaemon.exe”
    HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program FilesQuickTimeQTTask.exe” -atboottime
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesFichiers communsAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | Run : [Microsoft Works Update Detection] – C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe
    HKLMSOFTWARE | RunOnce : [] –
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [ctfmon.exe] – C:WINDOWSsystem32ctfmon.exe
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [DAEMON Tools Lite] – “C:Program FilesDAEMON Tools LiteDTLite.exe” -autorun
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | RunOnce : [FlashPlayerUpdate] – C:WINDOWSsystem32MacromedFlashFlashUtil32_11_7_700_202_Plugin.exe -update plugin

    ################## | Processus Stoppés |

    Stoppé! C:Program FilesSymantecSymantec Endpoint ProtectionSmc.exe (1416)
    Stoppé! C:Program FilesFichiers communsSymantec SharedccSvcHst.exe (1888)
    Stoppé! C:WINDOWSSystem32WLTRYSVC.EXE (2044)
    Stoppé! C:WINDOWSSystem32bcmwltry.exe (132)
    Stoppé! C:WINDOWSsystem32spoolsv.exe (232)
    Stoppé! c:program filesidtwdmstacsv.exe (376)
    Stoppé! C:WINDOWSExplorer.EXE (724)
    Stoppé! C:WINDOWSsystem32igfxtray.exe (1732)
    Stoppé! C:WINDOWSsystem32hkcmd.exe (1744)
    Stoppé! C:WINDOWSsystem32igfxpers.exe (1756)
    Stoppé! C:WINDOWSsystem32WLTRAY.exe (1788)
    Stoppé! C:Program FilesIDTWDMsttray.exe (1816)
    Stoppé! C:WINDOWSsystem32AESTFltr.exe (1824)
    Stoppé! C:Program FilesDellTPadApoint.exe (1832)
    Stoppé! C:Program FilesFichiers communsSymantec SharedccApp.exe (1628)
    Stoppé! C:Program FilesDellTPadApMsgFwd.exe (548)
    Stoppé! C:Program FilesDellTPadHidFind.exe (1084)
    Stoppé! C:Program FilesDellTPadApntex.exe (1140)
    Stoppé! C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe (1292)
    Stoppé! C:WINDOWSsystem32ctfmon.exe (1304)
    Stoppé! C:Program FilesOpenOffice.org 3programsoffice.exe (2648)
    Stoppé! C:Program FilesOpenOffice.org 3programsoffice.bin (2656)
    Stoppé! C:Program FilesFichiers communsAppleMobile Device SupportAppleMobileDeviceService.exe (3160)
    Stoppé! C:Program FilesBonjourmDNSResponder.exe (3444)
    Stoppé! C:Program FilesSymantecSymantec Endpoint ProtectionSmcGui.exe (3748)
    Stoppé! c:Program FilesJavajre6binjqs.exe (3868)
    Stoppé! C:Program FilesSymantecSymantec Endpoint ProtectionRtvscan.exe (4028)
    Stoppé! C:WINDOWSsystem32wbemwmiapsrv.exe (3592)
    Stoppé! C:Program FilesMozilla Firefoxfirefox.exe (4216)
    Stoppé! C:Program FilesMozilla Firefoxplugin-container.exe (5608)
    Stoppé! C:Program FilesPrg ChrisAnti-Autorun.infAnti-Autorun.inf.exe (1016)
    Stoppé! C:Program FilesPrg ChrisAnti-Autorun.infAnti-Autorun.inf.exe (5288)
    Stoppé! C:WINDOWSsystem32sol.exe (2980)

    ################## | Éléments infectieux |

    Non supprimé ! F:SETUP.EXE
    Non supprimé ! F:AUTORUN.INF
    Non supprimé ! F:Updates

    (!) Fichiers temporaires supprimés.[/spoiler:3sqjpthy]Apparemment, il n’a pas supprimé les fichiers qu’il me signalait comme infectieux.

    Quant au second fichier, du scan de 17h et quelques :

    Spoiler for 3sqjpthy

    ############################## | UsbFix V 7.128 | [Suppression]

    Utilisateur: user (Administrateur) # PCPORTABLEPRET
    Mis à jour le 20/06/2013 par El Desaparecido
    Lancé à 17:19:07 | 21/06/2013

    Site Web: https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: forum-virus-securite/upload-malware-pour-analyse-t489.html
    Contact: contact@sosvirus.net

    PC: Dell Inc. (Latitude E5500 ) (X86-based PC)
    CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz (1995)
    RAM -> [Total : 2003 | Free : 1728]
    BIOS: Phoenix ROM BIOS PLUS Version 1.10 A11
    BOOT: Fail-safe boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 73 Go (23 Go libre(s) – 32%) [] # NTFS
    D: -> CD-ROM
    E: -> Disque amovible # 4 Go (858 Mo libre(s) – 23%) [ÉVAGORAS] # FAT32
    F: -> CD-ROM

    ################## | El Desaparecido Section |

    HKLMSOFTWARE | Run : [IgfxTray] – C:WINDOWSsystem32igfxtray.exe
    HKLMSOFTWARE | Run : [HotKeysCmds] – C:WINDOWSsystem32hkcmd.exe
    HKLMSOFTWARE | Run : [Persistence] – C:WINDOWSsystem32igfxpers.exe
    HKLMSOFTWARE | Run : [Broadcom Wireless Manager UI] – C:WINDOWSsystem32WLTRAY.exe
    HKLMSOFTWARE | Run : [SysTrayApp] – %ProgramFiles%IDTWDMsttray.exe
    HKLMSOFTWARE | Run : [AESTFltr] – %SystemRoot%system32AESTFltr.exe /NoDlg
    HKLMSOFTWARE | Run : [Apoint] – C:Program FilesDellTPadApoint.exe
    HKLMSOFTWARE | Run : [ccApp] – “C:Program FilesFichiers communsSymantec SharedccApp.exe”
    HKLMSOFTWARE | Run : [APSDaemon] – “C:Program FilesFichiers communsAppleApple Application SupportAPSDaemon.exe”
    HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program FilesQuickTimeQTTask.exe” -atboottime
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesFichiers communsAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | Run : [Microsoft Works Update Detection] – C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe
    HKLMSOFTWARE | RunOnce : [] –
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [ctfmon.exe] – C:WINDOWSsystem32ctfmon.exe
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [DAEMON Tools Lite] – “C:Program FilesDAEMON Tools LiteDTLite.exe” -autorun

    ################## | Processus Stoppés |

    Stoppé! C:Program FilesFichiers communsSymantec SharedccSvcHst.exe (612)
    Stoppé! C:Program FilesSymantecSymantec Endpoint ProtectionRtvscan.exe (732)
    Stoppé! C:WINDOWSExplorer.EXE (1064)

    ################## | Éléments infectieux |

    (!) Fichiers temporaires supprimés.[/spoiler:3sqjpthy]Je trouve tout ça très étonnant. Je pensais que le programme UsbFix plantait, puisqu’il ne redémarrait pas les processus qu’il avait fermés (je ne peux pas travailler sans explorer.exe, pour ma part) et qu’il n’affichait pas de rapport. Du coup, je ne sais pas si je dois être rassurée ou non.

    Merci beaucoup pour la marche à suivre.

    Now

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour,

    Tes rapports ne sont pas complets, les rapports ne se termine pas à fichiers temporaires … il y a des choses après, es ce toi qui les a coupés volontairement ?

    As tu bien branchées tes clés USB lors du scan en mode sans échec comme indiqué ?

    Fait ceci en mode normal stp :

    • Télécharges RogueKiller (de Tigzy) sur ton Bureau.
    • Lance RogueKiller, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Note : Attends que le PreScan ait fini.

    • Clique sur Scan.
    • Clique sur Supression
    • Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[0]¤D¤.txt à été créé.
    • Héberge le rapport RKreport[0]¤D¤.txt sur Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    ++ :hello:

    Now
    Nombre d'articles : 0

    Rebonjour,

    Tes rapports ne sont pas complets, les rapports ne se termine pas à fichiers temporaires … il y a des choses après, es ce toi qui les a coupés volontairement ?

    Oui. La seule rubrique que j’ai ôtée et qui n’était pas vide contenait la liste des dossiers et fichiers présents à la racine de chacun de mes lecteurs. Je ne voyais pas l’intérêt de donner ces informations ici. Le nom de certains fichiers contenait des informations privées, c’était plus rapide pour moi de tout supprimer que de faire du cas par cas.
    Désolée, j’aurais dû le préciser dans mon précédent message.
    Oh, la dernière ligne est peut-être intéressante :

    ################## | Vaccin |

    C’est vide dans les deux fichiers alors que j’avais droit à un

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    … dans le premier scan que j’ai fait.
    Mais je ne sais pas si ça signifie que l’ordinateur est finalement vacciné, ou si c’est le signe que la suppression ne s’est pas déroulée correctement comme je le crains.

    As tu bien branchées tes clés USB lors du scan en mode sans échec comme indiqué ?

    Oui. Mon unique clé USB apparaît ici : “E: -> Disque amovible # 4 Go (858 Mo libre(s) – 23%) [ÉVAGORAS] # FAT32”

    Voici le lien vers le CJoint : http://cjoint.com/13jn/CFvsaZ3Cgny_rkreport_0__d_06212013_175944.txt” onclick=”window.open(this.href);return false;

    Deux choses ont été détectées et bricolées par RogueKiller dans le registre. Mais je dois signaler que j’ai été touchée il y a peu par une variante de Babylon et que je n’ai passé qu’un coup de AdwCleaner dessus, il s’agit peut-être de traces de cette infection précédente.

    Merci beaucoup pour la marche à suivre.

    Now

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir,

    Ok, donc je vais préciser la chose, pour pas qu’il n’y est de soucis ;)
    Tout les rapports que je te demande doivent être complets et non tronqué, toutes les informations dans le rapport sont importantes, sinon je ne peux pas t’aider correctement.

    Ok, ceci :

    • Télécharge OTL (by OldTimer) sur ton bureau.
      ~ Comment Télécharger sur son Bureau ?

    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche les cases suivantes :
      • Tous les utilisateurs
      • Recherche Lop
      • Recherche Purity
      • Avec Analyses 64 bit Uniquement pour les systèmes en 64 bit

    • Copie et colle le Script dans le lien ci dessous dans la partie inférieure d’OTL “Personnalisation”

      [glow=red:1kd1zdod]~ Le Script à copier est[/glow:1kd1zdod] >> ici <<

    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

    Si tu as des questions je suis là ;)

    Anonyme
    Nombre d'articles : 0

    Rebonjour,

    Ok, donc je vais préciser la chose, pour pas qu’il n’y est de soucis ;)
    Tout les rapports que je te demande doivent être complets et non tronqué, toutes les informations dans le rapport sont importantes, sinon je ne peux pas t’aider correctement.

    Désolée.

    Voici le fichier OTL.txt :
    http://cjoint.com/13jn/CFvs7JYvDnd_otl.txt” onclick=”window.open(this.href);return false;

    Voici le fichier Extras.txt :
    http://cjoint.com/13jn/CFvte2YUMnZ_extras.txt” onclick=”window.open(this.href);return false;

    Je dois avouer que je n’arrive pas à les déchiffrer, je m’en remets à vous.

    Merci beaucoup pour la marche à suivre.

    Now

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir,

    J’ai pris connaissance de ton message (rassure toi), j’analyse le rapport qui est relativement long, je posterai au plus tard demain matin ;)

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour, :hello:

    Ok, on continue ! ;)

    • Copie les lignes ci dessous :
      :Commands
      [createrestorepoint]
      :OTL
      FF - prefs.js..extensions.enabledAddons: %7B20a82645-c095-46ed-80e3-08825760534b%7D:0.0.0
      FF - prefs.js..extensions.enabledAddons: jqs%40sun.com:1.0
      FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:21.0
      [2013/06/13 16:47:12 | 000,000,000 | ---D | C] -- C:Documents and SettingsuserApplication Dataigdhbblpcellaljokkpfhcjlagemhgjl
      [2013/06/13 16:45:53 | 000,827,392 | ---- | M] (Sien SA) -- C:Documents and SettingsuserApplication DataigdhbblpcellaljokkpfhcjlagemhgjlMinibarChrome.exe
      [4 C:WINDOWS*.tmp files -> C:WINDOWS*.tmp -> ]
      [1 C:WINDOWSSystem32*.tmp files -> C:WINDOWSSystem32*.tmp -> ]

      :Files
      ipconfig /flushdns /c

      :Commands
      [emptytemp]
      [createrestorepoint]

    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche les cases suivantes :
      • Tous les utilisateurs
      • Rapport minimal

    • Copie et colle le Script Helper dans la partie inférieure d’OTL “Personnalisation”
    • Clique sur Correction

    • OTL peut te demander de redémarrer, si c’est le cas fait le immédiatement !
    • Une fois le scan terminé 1 rapport va s’ouvrir OTL.log.
    • Copie et colle le contenu du rapport sur le forum.

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

    ++ ;)

    Now
    Nombre d'articles : 0

    Rebonjour,

    Voici.

    All processes killed
    ========== COMMANDS ==========
    Restore point Set: OTL Restore Point
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret C:WINDOWS*.tmp -> ]> in the current context!
    Error: Unable to interpret C:WINDOWSSystem32*.tmp -> ]> in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!
    Error: Unable to interpret in the current context!

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 4369 bytes
    ->Temporary Internet Files folder emptied: 109794 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 736488 bytes

    User: user
    ->Temp folder emptied: 301742620 bytes
    ->Temporary Internet Files folder emptied: 218158 bytes
    ->Java cache emptied: 4475342 bytes
    ->FireFox cache emptied: 161280882 bytes
    ->Apple Safari cache emptied: 14336 bytes
    ->Flash cache emptied: 9720 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%System32 .tmp files removed: 3072 bytes
    %systemroot%System32dllcache .tmp files removed: 0 bytes
    %systemroot%System32drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 50911 bytes
    %systemroot%system32configsystemprofileLocal SettingsTemp folder emptied: 176096190 bytes
    %systemroot%system32configsystemprofileLocal SettingsTemporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 159110 bytes

    Total Files Cleaned = 617,00 mb

    Restore point Set: OTL Restore Point

    OTL by OldTimer - Version 3.2.69.0 log created on 06232013_182349

    FilesFolders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...

    Merci beaucoup pour la marche à suivre.

    Juste une chose : je dois rendre cet ordinateur au prêt demain, ce qui comprend sa réinitialisation à l’aide d’un CD qui est censé effacer toute trace de mon passage sur le disque dur. J’ai l’impression qu’on est passé du diagnostic de la clé USB à celui de la machine, alors j’ai une question : est-ce qu’on peut raisonnablement supposer que la clé n’a rien ?

    Now

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir,

    Navré une erreur dans mon script n’a pas viré certaines choses, mais justes des traces donc rien de grave !

    On va vérifier parce que j’ai un gros doute d’après le dernier rapport, rien a été supprimé !

    Ceci :

    • Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
    • Si votre antivirus affiche une alerte, ignorez-la et désactivez l’antivirus temporairement.
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Double cliquez sur UsbFix.exe.
    • Cliquez sur recherche.

    • Laissez travailler l’outil.
    • À la fin du scan, un rapport va s’afficher, postez-le dans votre prochaine réponse sur le forum.
    • Le rapport est aussi sauvegardé à la racine du disque système ( C:UsbFix.txt ).
    • Tutoriel en images

    Ne t’inquiètes pas nous resterons à tes côtés tard dans la nuit si besoin, pour résoudre ton soucis !

    ++ ;)

    Now
    Nombre d'articles : 0

    Voici.

    ############################## | UsbFix V 7.128 | [Recherche]

    Utilisateur: user (Administrateur) # PCPORTABLEPRET
    Mis à jour le 20/06/2013 par El Desaparecido
    Lancé à 15:44:24 | 24/06/2013

    Site Web: https://www.sosvirus.net/
    Upload Malware: https://www.sosvirus.net/forum-virus-securite/upload-malware-pour-analyse-t489.html
    Contact: contact@sosvirus.net

    PC: Dell Inc. (Latitude E5500 ) (X86-based PC)
    CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz (1994)
    RAM -> [Total : 2003 | Free : 641]
    BIOS: Phoenix ROM BIOS PLUS Version 1.10 A11
    BOOT: Normal boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 73 Go (26 Go libre(s) - 36%) [] # NTFS
    D: -> CD-ROM
    E: -> Disque amovible # 4 Go (3 Go libre(s) - 78%) [ÉVAGORAS] # FAT32
    F: -> CD-ROM

    ################## | Processus Actif |

    C:WINDOWSSystem32smss.exe (828)
    C:WINDOWSsystem32winlogon.exe (904)
    C:WINDOWSsystem32services.exe (948)
    C:WINDOWSsystem32lsass.exe (960)
    C:WINDOWSsystem32svchost.exe (1136)
    C:WINDOWSSystem32svchost.exe (1272)
    C:Program FilesSymantecSymantec Endpoint ProtectionSmc.exe (1440)
    C:WINDOWSSystem32svchost.exe (1560)
    C:WINDOWSSystem32svchost.exe (1616)
    C:Program FilesFichiers communsSymantec SharedccSvcHst.exe (1912)
    C:WINDOWSSystem32WLTRYSVC.EXE (172)
    C:WINDOWSSystem32bcmwltry.exe (244)
    C:WINDOWSsystem32spoolsv.exe (400)
    c:program filesidtwdmstacsv.exe (512)
    C:WINDOWSExplorer.EXE (656)
    C:WINDOWSnotepad.exe (740)
    C:WINDOWSsystem32igfxtray.exe (1220)
    C:WINDOWSsystem32hkcmd.exe (1628)
    C:WINDOWSsystem32igfxpers.exe (1008)
    C:WINDOWSsystem32WLTRAY.exe (456)
    C:Program FilesIDTWDMsttray.exe (608)
    C:Program FilesFichiers communsAppleMobile Device SupportAppleMobileDeviceService.exe (1320)
    C:WINDOWSsystem32AESTFltr.exe (704)
    C:Program FilesDellTPadApoint.exe (712)
    C:Program FilesFichiers communsSymantec SharedccApp.exe (776)
    C:Program FilesBonjourmDNSResponder.exe (816)
    C:Program FilesDellTPadApMsgFwd.exe (2128)
    C:Program FilesDellTPadHidFind.exe (2168)
    C:Program FilesDellTPadApntex.exe (2180)
    C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe (2228)
    C:WINDOWSsystem32ctfmon.exe (2268)
    C:Program FilesPrg ChrisAnti-Autorun.infAnti-Autorun.inf.exe (2340)
    C:Program FilesOpenOffice.org 3programsoffice.exe (2368)
    C:Program FilesOpenOffice.org 3programsoffice.bin (2376)
    c:Program FilesJavajre6binjqs.exe (2528)
    C:Program FilesSymantecSymantec Endpoint ProtectionRtvscan.exe (2576)
    C:Program FilesSymantecSymantec Endpoint ProtectionSmcGui.exe (2908)
    C:Program FilesMozilla Firefoxfirefox.exe (3596)
    C:WINDOWSsystem32wbemwmiapsrv.exe (2656)
    C:WINDOWSsystem32svchost.exe (4016)
    C:Program FilesMicrosoft OfficeOffice12POWERPNT.EXE (2536)
    C:Program FilesMozilla Firefoxplugin-container.exe (1776)
    C:Program FilesMozilla Firefoxplugin-container.exe (3576)
    C:UsbFixGo.exe (2980)

    ################## | El Desaparecido Section |

    HKLMSOFTWARE | Run : [IgfxTray] - C:WINDOWSsystem32igfxtray.exe
    HKLMSOFTWARE | Run : [HotKeysCmds] - C:WINDOWSsystem32hkcmd.exe
    HKLMSOFTWARE | Run : [Persistence] - C:WINDOWSsystem32igfxpers.exe
    HKLMSOFTWARE | Run : [Broadcom Wireless Manager UI] - C:WINDOWSsystem32WLTRAY.exe
    HKLMSOFTWARE | Run : [SysTrayApp] - %ProgramFiles%IDTWDMsttray.exe
    HKLMSOFTWARE | Run : [AESTFltr] - %SystemRoot%system32AESTFltr.exe /NoDlg
    HKLMSOFTWARE | Run : [Apoint] - C:Program FilesDellTPadApoint.exe
    HKLMSOFTWARE | Run : [ccApp] - "C:Program FilesFichiers communsSymantec SharedccApp.exe"
    HKLMSOFTWARE | Run : [APSDaemon] - "C:Program FilesFichiers communsAppleApple Application SupportAPSDaemon.exe"
    HKLMSOFTWARE | Run : [QuickTime Task] - "C:Program FilesQuickTimeQTTask.exe" -atboottime
    HKLMSOFTWARE | Run : [Adobe ARM] - "C:Program FilesFichiers communsAdobeARM1.0AdobeARM.exe"
    HKLMSOFTWARE | Run : [Microsoft Works Update Detection] - C:Program FilesFichiers communsMicrosoft SharedWorks SharedWkUFind.exe
    HKLMSOFTWARE | RunOnce : [] -
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [ctfmon.exe] - C:WINDOWSsystem32ctfmon.exe
    HKUS-1-5-21-57989841-1563985344-1417001333-1004SOFTWARE | Run : [DAEMON Tools Lite] - "C:Program FilesDAEMON Tools LiteDTLite.exe" -autorun

    ################## | Éléments infectieux |


    ################## | Registre |


    ################## | Mountpoints2 |



    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F | https://www.sosvirus.net |

    Dois-je me fier à la rubrique “Éléments infectieux”, qui a le bon goût d’être vide ?

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour,

    Oui, parfaitement ;) As tu toujours des détectés avec l’antivirus de ton côté ?

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour,

    Plus de réponses, je considère le sujet comme Résolu ;)

14 sujets de 1 à 14 (sur un total de 14)
  • Vous devez être connecté pour répondre à ce sujet.