rapport zhp search

charp · le 2 octobre 2010

Salut,

je me suis sûrement mal exprimé, désolé. Mes récriminations n'étaient absolument pas dirigées contre toi et tes collègues bénévoles mais contre les vendeurs et bonimenteurs de l'industrie informatique.

Ca doit faire 5 ou 6 ans que zébulon m'aide et aide mes amis et parents. J'ai beaucoup appris grâce à vous et je peux aider avec mes petits moyens (pas jusqu'à répondre aux posts), pour certain de mes amis, je passe même pour un pro!!!

Donc, un grand merci et longue vie à zébulon.

charp

charp · le 2 octobre 2010

Salut,

par acquis de conscience, j'ai refait un usbfix avec ma clé branchée ce coup-ci. voilà le rapport.

Je l'ai analysée avec eset qui n'a rien trouvé.

Je ne comprends pas le rapport usbfix.

Merci, @ +

charp

############################## | UsbFix 7.027 | [Recherche]

Utilisateur: Isabelle (Administrateur) # ISABELLE-PC [Packard Bell EasyNote LJ75]

Mis à jour le 28/09/10 par El Desaparecido / C_XX

Lancé à 12:40:04 | 02/10/2010

Site Web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

Contact: FindyKill.Contact@gmail.com

CPU: Intel® Core i3 CPU M 330 @ 2.13GHz

CPU 2: Intel® Core i3 CPU M 330 @ 2.13GHz

Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #

Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\

RAM -> 3959 Mo

C:\ (%systemdrive%) -> Disque fixe # 584 Go (551 Go libre(s) - 94%) [Packard Bell] # NTFS

D:\ -> CD-ROM

E:\ -> Disque fixe # 298 Go (238 Go libre(s) - 80%) [iomega HDD] # NTFS

F:\ -> CD-ROM

G:\ -> Disque amovible # 2 Go (1 Go libre(s) - 71%) [EMTEC] # FAT

################## | Éléments infectieux |

Présent! F:\Autorun.inf

Présent! G:\Autorun.inf

################## | Registre |

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{d62c603d-cdf8-11df-9d33-705ab6cf7248}

Shell\AutoRun\Command = F:\LaunchU3.exe -a

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

charp · le 2 octobre 2010

Ouhlala....

Je pense que suite à cette opération, c-à-d, open config et usbfix, j'ai un petit soucis:

je clique sur démarrer, documents, et là la liste a doublé avec tous les fichiers genre ma musique en doublons donc: une icône de raccourci et un petit cadenas. Idem dans le dossier Isabelle, administratrice de l'ordi.

De plus, l'accès aux dossiers est refusé.

Et un peu partout dans les dossiers, des fichiers avec une roue crantée nommés desktop.ini

Keskisspass?

charp

Modifié le 2 octobre 2010 par charp

Apollo · le 2 octobre 2010

Bonjour,

je me suis sûrement mal exprimé, désolé. Mes récriminations n'étaient absolument pas dirigées contre toi et tes collègues bénévoles mais contre les vendeurs et bonimenteurs de l'industrie informatique.

Au temps pour moi, c'est moi qui ai mal interprété, désolé.

J'ignore ce qui a pu se passer avec usbfix, cela n'est pas normal et très inhabituel.

Fais une restauration système à hier si possible; ne vas pas trop loin quand-même; l'idéal serait de remonter un point qui date d'avant la dernière manip avec USBFix. Restauration système à une date antérieure – Windows 7 | Forum-Seven

Pour tes BHO, MBAM aurait dû s'en occuper d'après ce que m'a dit N.Coolman, mais j'ai un fichier de correction de registre pour les éliminer.

Je te le proposerai après ta restauration système.

@++

charp · le 2 octobre 2010

Ouf,

j'ai restauré à la date d'hier et tout est redevenu normal.

Merci, je n'aurais pas pensé à faire comme ça.

@ + pour la suite

charp

Apollo · le 2 octobre 2010

Re,

En fait tu n'aurais pas dû passer l'option 2 d'USBFIX, il n'y a pas d'infection; les autorun sont normaux sur les lecteurs, c'est juste qu'ils sont très dangereux s'il ne sont pas désactivés.

Il suffit donc d'appliquer "vaccination".

Gof, dans son sujet de la Bibliothèque et sur son blog propose un fichier reg pour neutraliser l'exécution automatique des supports amovibles.

http://forum.zebulon.fr/s ecuri s ation-de s -window s -face-aux-menace s -de s -peripherique s -amovi-b284-entry717.html

Tu vas télécharger le fichier de correction de registre pour éliminer les clés infectieuses.

Download Fix.reg from Sendspace.com - send big files the easy way Enregistre-le sur le bureau puis fais un clic droit/fusionner. Accepter la fusion dans le registre.

Il faut peut-être désactiver l'UAC pour le faire...

A propos de ces BHO, j'ai lu un autre sujet où MBAM les liquidait d'un coup; est-ce que tu avais fait l'analyse complète après mise à jour?

Tiens-moi au jus.

@++

charp · le 2 octobre 2010

Salut,

j'ai vacciné avec usbfix, je configure les autoruns très vite.

J'ai exécuté regfix.

J'ai fait une analyse complète avec eset, puis avec mbam. Aucun élément infectieux n'a été trouvé.

Aarrrgghhh, zhpsearch trouve encore des malwares, voir le rapport.

@ +

charp

Zeb Help Process v2.38.00 by Nicolas Coolman - Rapport Général du 02/10/2010 22:13:33

Rapport de ZHPSearch v1.20.1 par Nicolas Coolman

Enregistré le 02/10/2010 22:13:17

Platform : Windows 7 Home Premium

---\\ ZHPSearch, Recherche particulière de Clé, valeur ou donnée de BDR (RPR) (O70)

*** None ***

---\\ ZHPSearch, Outil de recherche d'infection de Base de Registres (O71)

O71 - BDRI:[hklm\software\classes\interface\{79fb5fc8-44b9-4af5-badd-cce547f953e5}]

O71 - BDRI:[hkcu\software\microsoft\windows\currentversion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]

Ligne traitée : 3/3

Apollo · le 2 octobre 2010

Re,

C'est pas croyable!

De plus, les cas identiques que j'ai lus sur le net, tous avaient une machine NEUVE! A croire que le pc n'est pas clean en sortant du magasin; serait pas une première dans l'histoire des pc...

Ils mériteraient un procès aux fesses tiens!

Ouvre le bloc note et copie/colle-y le contenu du cadre:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\software\classes\interface\{79fb5fc8-44b9-4af5-badd-cce547f953e5}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]

Enregistre le fichier sous le nom fixreg.reg et dans le champ "Type" choisis "tous les fichiers".

Mets-le sur le bureau, cela doit ressembler au Fix.reg que tu as téléchargé taleur. (sorte de cube)

Clic droit/fusionner. Accepter la fusion.

Reboote l'ordi.

Si ça revient, faudra aller dans le registre et éliminer ça manuellement mais je ne comprends pas que le Fix ne l'ait pas fait... :-?

Poste-moi le rapport de MBAM stp.

+++

charp · le 2 octobre 2010

Salut,

voici le rapport mbam, je m'occupe du reste et je reviens.

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4733

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

02/10/2010 22:01:21

mbam-log-2010-10-02 (22-01-21).txt

Type d'examen: Examen complet (C:\|E:\|G:\|)

Elément(s) analysé(s): 247884

Temps écoulé: 34 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):