supprimer jwgkvsq.vmx

[yannlerabbit]

Bonjour,

 

USBfix trouve ce fichier jwgkvsq.vmx :

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 

le rapport usbfix est joint

j'ai fais tonne d'analyses avec différents antivirus (avast, norton, avira) en prenant soin de n'avoir qu'un seul antivirus installé à chaque fois sur l'ordi lors des scans : Rien de détecté, pas de soucis.

J'ai fais tourner également malwarebytes antimalware et CCleaner, pas de problème.

J'ai formaté mes clés usb et disques durs ext.

Il n'y a donc plus que [/download/telecharger-34066197-usbfix USBFIX] qui trouve le fichier jwgkvsq.vmx

J'ai mis ci joins les rapports USBFIX et findykill FyK.

Je ne sais pas si je peux supprimer le fichier manuellement, il se trouve sur le lecteur C, en recherche manuelle, je ne peux pas aller plus loin que le fichier RunDLL32.EXE

Quelqu'un peut m'aider ?

 

merci !!!

 

 

 

rapport USBFIX :############################## | UsbFix 7.045 | [Recherche]

 

Mis à jour le 15/05/2011 par TeamXscript

Lancé à 13:35:14 | 22/06/2011

Site Web: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: AMD Turion 64 Mobile Technology ML-30

Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2

Internet Explorer 7.0.5730.13

 

Pare-feu Windows: Activé

Antivirus: avast! Antivirus 5.0.100664421 [Enabled | (!) Outdated]

RAM -> 958 Mo

C:\ (%systemdrive%) -> Disque fixe # 45 Go (19 Go libre(s) - 43%) [ACER] # FAT32

D:\ -> Disque fixe # 45 Go (15 Go libre(s) - 33%) [ACERDATA] # FAT32

E:\ -> CD-ROM

 

################## | Éléments infectieux |

 

 

Présent! C:\WINDOWS\system32\autorun

Présent! C:\WINDOWS\system32\Autorun.ini

Présent! C:\Documents and Settings\Andréa\gif.exe

Présent! C:\WINDOWS\antiv.exe

 

################## | Registre |

 

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\##NEUFBOX#DONNEES

Shell\Auto\Command = Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

 

HKCU\.\.\.\.\Explorer\MountPoints2\{0726f8e8-15bf-11de-bdcf-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{104e0032-230c-11df-beec-00c09fa05d7c}

Shell\AutoRun\Command = F:\Autorun.exe /run

Shell\Shell00\Command = F:\Autorun.exe /run

Shell\Shell01\Command = F:\Autorun.exe /action

Shell\Shell02\Command = F:\Autorun.exe /uninstall

 

HKCU\.\.\.\.\Explorer\MountPoints2\{16c6bc08-0e89-11de-bdc8-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{1dcda900-a824-11de-be62-000e9bcd6bf0}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{2153ab40-3e54-11de-bde7-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{26505c80-922c-11dd-bd7b-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{28b217ac-e024-11dd-bda1-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{30f354ea-1ac9-11df-bedf-00c09fa05d7c}

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL drive\usbchk.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{379d3354-e04a-11db-bc7d-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{66617a76-f245-11dd-bdb0-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{6b440ace-ae67-11dd-bd8f-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{8673b98e-dac7-11dd-bda0-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{880d0c30-bce6-11de-be7b-00c09fa05d7c}

Shell\Auto\Command = Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

 

HKCU\.\.\.\.\Explorer\MountPoints2\{8c6d8bcc-8dd4-11e0-bf62-00c09fa05d7c}

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 

HKCU\.\.\.\.\Explorer\MountPoints2\{cd0cf16e-2bc6-11dc-bcbf-00038a000015}

Shell\AutoRun\Command = F:\ReadMe.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{df0b355c-5709-11db-bc2e-00038a000015}

Shell\Auto\Command = Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{e26560a4-6e1e-11de-be21-000e9bcd6bf0}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{f1226468-ce26-11dd-bd9d-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

HKCU\.\.\.\.\Explorer\MountPoints2\{f122646a-ce26-11dd-bd9d-00038a000015}

Shell\Auto\Command = F:\Start.exe

Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

 

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

 

################## | E.O.F |

 

 

 

 

 

 

 

RAPPORT [/download/telecharger-34066196-findykill fYk] :

 

############################## | FindyKill V5.053 |

 

# User : Andréa (Administrateurs) # ACER-6281EFDEF1

# Update on 23/10/2010 by El Desaparecido

# Start at: 09:00:49 | 21/06/2011

# Website : http://www.teamxscript.org/

# Contact : eldesaparecido@teamxscript.org

 

# AMD Turion 64 Mobile Technology ML-30

# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2

# Internet Explorer 7.0.5730.13

# Windows Firewall Status : Enabled

# AV : AntiVir Desktop 10.0.1.58 [ Enabled | Updated ]

# AV : Norton AntiVirus 2005 2005 [ Enabled | (!) Outdated ]

# FW : Norton Internet Worm Protection[ Enabled ]2005

 

# C:\ # Disque fixe local # 44,99 Go (20,83 Go free) [ACER] # FAT32

# D:\ # Disque fixe local # 45,21 Go (14,88 Go free) [ACERDATA] # FAT32

# E:\ # Disque CD-ROM

# F:\ # Disque amovible # 971,97 Mo (971,96 Mo free) [KINGSTON] # FAT32

# G:\ # Disque fixe local # 14,92 Go (14,92 Go free) [uSB DISK] # FAT32

# H:\ # Disque amovible # 971,97 Mo (971,96 Mo free) [KINGSTON] # FAT32

 

################## | Processus infectieux stoppés |

 

 

################## | Eléments infectieux |

 

 

################## | Reference Bagle MD5 ... |

 

 

################## | MD5 ... |

 

 

################## | Bagle Trace ... |

 

 

################## | Crack .... |

 

 

################## | Registre |

 

[HKCR\ed2k]

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

# Mode sans echec : OK

 

# Ndisuio ( NDIS User Mode ) -> Start = 3 ( Good = 3 | Bad = 4 )

 

# Ip6Fw ( IPv6 Windows Firewall Driver ) -> Start = 3 ( Good = 2 | Bad = 4 )

 

# SharedAccess ( Windows Firewall - Internet Connection Sharing ) -> Start = 2 ( Good = 2 | Bad = 4 )

 

# (!) wuauserv ( Windows Update ) -> Start = 4 ( Good = 2 | Bad = 4 )

 

# wscsvc ( Windows Security Center ) -> Start = 2 ( Good = 2 | Bad = 4 )

 

 

################## | ! Fin du rapport # FindyKill V5.053 ! |

 

 

 

 

 

<config>Windows XP / Firefox 3.5.19</config>

[pear]

Bonsoir,

 

Relancez Usbfix option 2.

[yannlerabbit]

Hello

j'ai ensuite fais suppression (menu usbfix)

 

voici le nouveau rapport usbfix "Recherche" : apparement pas d'éléments infectieux, es ce que je suis sauvé ??? Merci

 

 

 

############################## | UsbFix 7.045 | [Recherche]

 

 

Mis à jour le 15/05/2011 par TeamXscript

Lancé à 19:40:25 | 27/06/2011

Site Web: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

 

CPU: AMD Turion 64 Mobile Technology ML-30

Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2

Internet Explorer 7.0.5730.13

 

Pare-feu Windows: Activé

Antivirus: avast! Antivirus 5.0.100664421 [Enabled | Updated]

RAM -> 958 Mo

C:\ (%systemdrive%) -> Disque fixe # 45 Go (17 Go libre(s) - 37%) [ACER] # FAT32

D:\ -> Disque fixe # 45 Go (15 Go libre(s) - 33%) [ACERDATA] # FAT32

E:\ -> CD-ROM

 

################## | Éléments infectieux |

 

 

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

 

################## | E.O.F |

[pear]

Pas si vite!

Une vérification s'impose:

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

"HonorAutorunSetting"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

"HonorAutorunSetting"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

 

Télécharger klwk.zip de Kaspersky

(il est recommandé d'Enregistrer l'outil sur un CDROM pour éviter les problématiques d'infection par écriture d'un fichier "autorun.inf" malicieux, soit dans un répertoire séparé, soit sur un media amovible type clef USB)

* Décompresser klwk.zip dans le dossier où vous l'avez enregistré

* Lancer le fichier exécutable klwk.com

sans paramètre : l'outil scannera alors la mémoire et arrêtera les processus du virus

avec le paramètre /s l'outil analysera tous les disques durs à la recherche des copies du virus disséminées sur le système à des fins de lancement automatique du virus au démarrage du PC.

* Attendre la fin de l'exécution de klwk.com

Modifié le 28 juin 2011 par pear