Win32: Buzus-WG

[sonic123]

Bonjour,

 

Je ne sais pas d'ou vien ce virus (cela vien sûrement des PC de mon école, qui s'est introduit sur ma clef USB et qui s'est installé sur mon PC) mais j'ai chopé un "cheval de troie" nomé Buzus - WG

 

J'ai remarqué des trucs pas normal dans les disques durs!

 

 

Je ne sais pas supprimer les dossier "RECYCLER" et je ne sais ni ouvrir, ni supprimer les dossiers "system volume information"

 

J'ai fais une analyse avec mon anti-virus et c'est la qu'il a détecté les virus buzus qui étaient dans les dossiers "S-1-5-21-1606980848-2146033071-725345543-100..." qui étaient dans le dossier RECYCLER, ils ne fesaient pas grand choses mais ce n'est pas tout!

 

Une fois que j'ai branché mon lecteur MP4, un autre virus différent (je ne sais pas si c'est buzus) était dans la mémoire de ceci et il a réinitialié tous les utilisateurs!!! (favoris, bureau, profils firefox, TOUT sauf les raccourcis du menu démarer!) Dès que j'ai redémaré mon pc il indique "activation des paramètres personnel"! Tout s'est réinitialisé comme si je venais d'installer windows!!

 

J'ai fais un rapport avec HijackThis...

 

Il y avais encore quelques traces mais ils sont supprimés mais je ne voi toujour pas ce que les deux dossiers y font sur mes autres disques durs! (j'ai comparé avec mon vieu PC et il n'y a pas ces deux dossiés sur les disques durs!)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:06:35, on 06/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

D:\PROGRA~1\AVG8\avgwdsvc.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\PerfectDisk2008\PD91Agent.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\System32\svchost.exe

D:\PROGRA~1\AVG8\avgemc.exe

D:\Program Files\AVG8\avgcsrvx.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

D:\Program Files\Tortoise SVN\bin\TSVNCache.exe

C:\WINDOWS\system32\Fmctrl.EXE

C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe

D:\PROGRA~1\AVG8\avgtray.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe

C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe

D:\Program Files\AVG8\avgui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: <HTML><HEAD><TITLE>Yahoo!</TITLE>

O1 - Hosts: </HEAD><BODY BGCOLOR=white vlink=blue>

O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->

O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE --><center>

O1 - Hosts: <table width=675 cellpadding=0 cellspacing=2 border=0>

O1 - Hosts: <tr>

O1 - Hosts: <td width=1% valign=top><a href="http://www.yahoo.com"><img src=http://us.i1.yimg.com/us.yimg.com/i/yahoo.gif width=147 height=31 border=0 alt="Yahoo"></a></td>

O1 - Hosts: <td align=right><font face=arial size=-1><a href="/404/*http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com">Help</a></font><hr size=1 noshade></td>

O1 - Hosts: </tr>

O1 - Hosts: </table>

O1 - Hosts: <br>

O1 - Hosts: <table border=0 width=675 cellspacing=0 cellpadding=3>

O1 - Hosts: <tr>

O1 - Hosts: <td bgcolor=003399 colspan=2>

O1 - Hosts: <font face=Arial size=+1 color=white><b>Sorry, the page you requested was not found.</b></font>

O1 - Hosts: </td>

O1 - Hosts: </tr></table>

O1 - Hosts: <br>

O1 - Hosts: <table border=0 width=675 cellspacing=0 cellpadding=1>

O1 - Hosts: <tr>

O1 - Hosts: <td valign=top width=229 bgcolor=ffffff>

O1 - Hosts: <table width="100%" cellpadding=1 cellspacing=0 border=0 bgcolor=dcdcdc><tr>

O1 - Hosts: <td valign=top align=center><table width="100%" cellpadding=3 cellspacing=0 border=0 bgcolor=ffffff>

O1 - Hosts: <tr bgcolor=dcdcdc><td><font face=arial><b>Search Yahoo!</b></font></td></tr>

O1 - Hosts: <tr bgcolor=white><td valign=top align=center>

O1 - Hosts: <form action="http://search.yahoo.com/search">

O1 - Hosts: <input size="14" name="p" value=""> 

O1 - Hosts: <input type="SUBMIT" value="Search">

O1 - Hosts: <font face=arial size=-2> <a href="http://search.yahoo.com/search/options?p=">advanced search</a>  <a href="http://buzz.yahoo.com">most popular</a></font>

O1 - Hosts: </form></td></tr></table>

O1 - Hosts: <table width=100% border=0 cellspacing=0 cellpadding=3 bgcolor=ffffff>

O1 - Hosts: <tr bgcolor=ccccff><td>

O1 - Hosts: <FONT face=arial size=+1>Yahoo! Web Hosting</font>

O1 - Hosts: </td></tr>

O1 - Hosts: <tr><td>

O1 - Hosts: <a href=http://webhosting.yahoo.com/ps/wh/prod/><img align=left src=http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/j_advan48.gif width=48 height=48 border=0 alt="Yahoo! Web Hosting"></a>

O1 - Hosts: <font face=arial size=-1>Yahoo! Web Hosting has <a href="http://webhosting.yahoo.com/ps/wh/prod/">three affordable plans</a> to meet your needs - starting at just $11.95.

O1 - Hosts: </td></tr>

O1 - Hosts: <tr><td align=right>

O1 - Hosts: <b><font face=arial size=-1><a href=http://webhosting.yahoo.com/ps/wh/prod/>Learn more...</a></font></b>

O1 - Hosts: </td></tr>

O1 - Hosts: </table>

O1 - Hosts: </td></tr></table>

O1 - Hosts: </td>

O1 - Hosts: <td width=1> </td>

O1 - Hosts: <td valign=top align=center width=445>

O1 - Hosts: <script language="JavaScript" type="text/javascript"

O1 - Hosts: src="http://adserver.yahoo.com/a?f=76001284&p=geocities&l=MON&c=sr">

O1 - Hosts: </script>

O1 - Hosts: <noscript>

O1 - Hosts: <iframe

O1 - Hosts: src="http://adserver.yahoo.com/a?f=76001284&p=geocities&l=MON&c=sh&bg=ffffff"

O1 - Hosts: width=470 height=580 marginwidth=0 marginheight=0 hspace=0

O1 - Hosts: vspace=0 frameborder=0 scrolling=no>

O1 - Hosts: </iframe>

O1 - Hosts: </noscript>

O1 - Hosts: </td>

O1 - Hosts: </tr>

O1 - Hosts: </table>

O1 - Hosts: <br>

O1 - Hosts: <table cellpadding=0 cellspacing=0 border=0 width=675><tr><td bgcolor=a0b8c8>

O1 - Hosts: <table cellpadding=1 cellspacing=1 border=0 width="100%">

O1 - Hosts: <tr valign=top bgcolor=ffffff><td align=center>

O1 - Hosts: <font face=arial size=-2><A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://address.yahoo.com/">Address Book</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://alerts.yahoo.com/">Alerts</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://auctions.yahoo.com/">Auctions</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://billpay.yahoo.com/">Bill Pay</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://bookmarks.yahoo.com/">Bookmarks</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://briefcase.yahoo.com/">Briefcase</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://broadcast.yahoo.com/">Broadcast</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://calendar.yahoo.com/">Calendar</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://chat.yahoo.com/">Chat</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://classifieds.yahoo.com/">Classifieds</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://clubs.yahoo.com/">Clubs</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://companion.yahoo.com/">Companion</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://experts.yahoo.com/">Experts</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://games.yahoo.com/">Games</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://greetings.yahoo.com/">Greetings</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://geocities.yahoo.com/">Home Pages</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://invites.yahoo.com/">Invites</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://mail.yahoo.com/">Mail</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://maps.yahoo.com/">Maps</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://members.yahoo.com/">Member Directory</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://messenger.yahoo.com/">Messenger</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://my.yahoo.com/">My Yahoo!</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://news.yahoo.com/">News</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://paydirect.yahoo.com/">PayDirect</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://people.yahoo.com/">People Search</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://personals.yahoo.com/">Personals</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://photos.yahoo.com/">Photos</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://shopping.yahoo.com/">Shopping</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://sports.yahoo.com/">Sports</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://finance.yahoo.com/">Stock Quotes</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://tv.yahoo.com/">TV</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://travel.yahoo.com/">Travel</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://weather.yahoo.com/">Weather</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://www.yahooligans.com/">Yahooligans</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://yp.yahoo.com/">Yellow Pages</A> · <A

O1 - Hosts: href="http://rd.yahoo.com/footer/?http://docs.yahoo.com/docs/family/more.html">more...</A>

O1 - Hosts: </font></td></tr></table></td></tr></table>

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG8\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun

O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDrives\vsdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG8\avgtray.exe

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam\WebCam10.exe" /hide

O4 - HKLM\..\Run: [sMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - http://webserver.dyyno.com/tng/dyyno-client/DyynoCAB.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1231685079359

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1232632243718

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG8\avgwdsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - D:\Program Files\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - D:\Program Files\PerfectDisk2008\PD91Engine.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

 

--

End of file - 15237 bytes

[sonic123]

Ah oui et mon MP4 est devenu inaccessible et je ne peu plus y acceder!

 

J'ai fais un peu du ménage sur mon bureau, j'ai utilisé le systeme de réparation de mon MP4, mon MP4 est réparer mais il a encore réinitialisé mes utilisateurs!!

[Thanos]

salut

 

Pour ce qui est de ces deux dossiers qui sont habituellement cachés (il faut modifier les réglages de l'explorateur pour pouvoir les voir): c'est tout à fait normal

Tu retrouveras un dossier nommé RECYCLER (qui correspond à la corbeille Windows) ainsi qu'un dossier System Volume Information ( qui correspond au dossier où sont stockés les points de restauration système), dans tous les lecteurs.

 

Il ne faut donc pas tenter de les supprimer

 

AVG8 a donc trouvé des malwares dans ces dossiers ? est il parvenu à les supprimer ? On va faire une vérification avec ce programme que tu vas pouvoir conserver >>

 

Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

 

1°) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

Poste les 3 rapports stp.

[sonic123]

Je n'ai pas préscisé mais le dossier n'a pas l'icone de la cobeille (je vien de comparer avec mon vieu PC avec windows XP installé aussi) et ils ont l'icône de la corbeille or que l'autre PC infecté n'ont pas cette icône (ils ont l'icône normale d'un dossié et ce qui n'est pas normale!

 

Comparaison vieu PC avec PC infecté

 

Vieu PC non-infecté

 

PC infecté

 

En plus de cela dnas mon PC infecté je retrouve dans le dossier "RECYCLER" d'autres dossiés nommés

 

S-1-5-21-1606980848-2146033071-725345543-1003

S-1-5-21-1606980848-2146033071-725345543-1004

S-1-5-21-1606980848-2146033071-725345543-1005

 

...enfin il y a plusieurs de ce nom, ils sont dupliqués avec le même contenu (en fonction de ce qu'il y a dans la corbeille et il n'y a pas de ces fichiers S-1-5-21... dans mon vieu PC!), je sais supprimer plusieurs de ces dossiés mais pas le dernier e il me met ainsi "Impossible de supprimer: le fichier est en cours d'utilisation" quelques chose de ce genre, j'ai jeté un oeil dans la base de registre et ces fichier S-1-5-21-1606980848-2146033071-725345543-100... sont répendu un peu partout dans la base de registre!! (alors que sur mon veu PC il y en a pas!) Et il y a certain que je n'arrive pas a supprimer!

 

Et j'ai oublié de présciser, ce matin dès que mon père a fini son travail il a carrément formaté tout les disques durs et il y a toujours des traces!

 

Si j'ai le temps (ca m'étonnerais) j'éssaierais de télécharger Malwarebytes' Anti-Malware (MBAM)

 

Il va tenter de reformater mais tout cette fois et il éspère bien se débarrasser une bonne fois pour toute

 

EDIT:

 

Une fois quand on a transfèré des fichier sur le PC portable de ma mère avec la clef usb et qu'on était pas encore au courrent de cette inifection le virus s'est aussi propagé sur la base de registre et on retrouve le dossier "RECYCLED" avec une icone d'un simple dossier avec les dossier S-1-5-21-1606980848-2146033071-725345543-100... et il a aussi dédècté le cheval de troie buzus!

Modifié le 7 octobre 2009 par sonic123

[Mark]

Bonjour sonic123 ;

 

Thanos n'étant pas là en ce moment, je me permets de te poster ceci car je te sens un peu fébrile, face à tout ça... Ton père aussi, de toute évidence.

 

- Sur ma machine XP d'essais, "Recycler" a l'icône d'un dossier, pas celui d'une corbeille. Je ne me souviens plus si XP met celui-là par défaut ou non, mais y a pas de quoi s'inquiéter (ma machine est propre en ce moment, tu peux me croire ). Il est très simple de modifier l'icône (clic droit sur le dossier > Propriétés > onglet "Personnaliser" > bouton "Changer d'icône..."

 

- Les sous dossiers que tu y vois : normal. La Corbeille "cachée" contient les Corbeilles de tous les utilisateurs du PC, d'où ces sous dossiers étranges (ce sont des SID de comptes utilisateurs). Rien d'anormal de ce côté... Lorsque j'ouvre le dossier sur ma machine, j'y vois un sous dossier avec icône de Corbeille, avec nom du SID de mon compte (la série de chiffres "S-1-5-21-..."). Juste un compte sur le poste, donc 1 seul sous dossier.

 

- Ces infections par supports amovibles peuvent faire peur, je l'admets, mais elle se traitent assez aisément avec les bonnes techniques. Doux-doux avec les formatages...

 

Bonne continuation à vous deux

[sonic123]

Bon en attendant j'ai toujours un problème avec mon MP4, je ne sais pas si c'est buzus qui fait ça mais il est devenu illisible et je n'ose plus le connecter a un de mes PC (demain a l'école je ferais analyser mon MP4 avec leur anti-virus avast)

[Mark]

Bon c'est encore moi. Thanos va sûrement revenir avant demain, mais je poste au cas où...

 

Il ne fait pas brancher une clé ou lecteur MP3/4 vérolé sur une machine à l'école ; tu sais qu'il y a une infection dessus, alors faut pas... Le nettoyage du support amovible devra se faire chez toi. Et que dire d'Avast!... pas le meilleur pour ce type d'infection, donc tu pourrais vraisemblablement infecter le réseau. À ne pas faire..

 

@+

[sonic123]

Qu'est-ce que je vais en faire de mon MP4? Je ne vais pas le jetter quand m§eme au prix ou je l'ai eu en plus c'est un cadeau de noël dernier :,(

 

Et mon père n'arrête pas de s'acharner sur les dossiers recycler il me dit a chaque fois ("ce dossier n'y était ^pas au début gné gné gné, ce n'est pas normale qu'il soient sur ces disques durs gné gné gné...")

 

Mon père ne veu pas nous croire...

[Mark]

Oké écoute...

 

Pour papa, fais ceci :

1. Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
   
2. Double-clique sur le Poste de Travail
   
3. Du menu Outils, clique Options des dossiers...
   
4. De la nouvelle fenêtre, choisis l'onglet Affichage
   
5. Sous Fichiers et dossiers, décoche la case Afficher le contenu des dossiers système
   
6. Coche la case Masquer les fichiers protégés du système d'exploitation (recommandé)
   
7. Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
   

Voilà. Il ne verra plus le "Recycler", qui est un répertoire système et caché par défaut. Comme il se doit. S'il veut une capture de ma machine XP, je lui en fournirai une

 

Tom MP4 : patience... Thanos sera de retour et tu n'auras pas à le "jeter", fort probablement

 

@+

[Thanos]

salut,

 

Héhé, je vois que Mark a pris le relai

Pas grand chose à rajouter à son explication par rapport à ces dossier RECYCLER ainsi qu'à leur contenu ("S-1-5-21-...")

J'ai aussi un dossier "Recycler" sur mon XPSP3 qui a l'icône d'un dossier et qui contient une corbeille avec un numéro SID. Cette corbeille on la retrouve sur le Bureau mais sans cette série de chiffres (c'est la même avec le même contenu). Ceci dit, il existe effectivement une infection par support amovible qui prends ce nom (recycled).

A noter: fais gaffe si tu manipules la Base de Registre: une mauvaise manip est vite arrivée et après ca tu peux te retrouver avec un Windows qui ne fonctionne plus du tout....

 

On va voir ce qu'on peux faire pour ce MP4.... >>

 

Télécharge ce fichier REG ci-dessous: si le téléchargement ne se lance pas en cliquant dessus, fais un clic droit dessus, puis sélectionne "Enregistrer sous" et met le sur le Bureau. Double-clique sur le fichier obtenu et accepte la fusion dans le registre lorsque le message s'affiche. Redémarre le pc. L'intérêt de cette manipulation est de désactiver la fonction autorun de Windows qui est une plaie au niveau sécuritaire.

 

Autorun-off.reg => une fois sur le Bureau, le fichier doit ressembler à ca >>

 

Après avoir fais ceci, tu peux brancher ton MP4 à ton pc: ne double-clique pas sur son icône surtout!

Fais les scans du pc avec MBAM et RSIT dans l'ordre indiqué dans mon précédent message et poste les rapports stp.

Modifié le 8 octobre 2009 par Thanos