VirTool:Win32/DelfInject.gen!BH sur clef USB

[wilow31fr]

Bonjour

Un dossier caché nommé LIMUN sur la racine de ma clé usb contient un fichier 'svrsh.exe' détécté commé VirTool:Win32/DelfInject.gen!BH. Ce fichier est vérouillé et rend la clé usb en lecture seule. La clé de registre correspondante à ma clé est aussi vérouillée et donc je n'arrive pas à la supprimer.

J'aurais pu simplement me débarasser de cette clé usb et prendre une autre mais c'est toujours l'occasion d'apprendre quelque chose alors merci d'avance à celui qui veut bien me donner un coup de main et me guider pour la désinfecter.

[Apollo]

Bonjour,

 

Tu as des choses importantes sur cette clé? As-tu essayé de la formater (pas en format rapide)?

 

Pour en savoir plus sur ton système et établir un diagnostic:

 

 

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

[*]Clique sur Configurer.

[*]Clique sur le petit tournevis et clique sur TOUS.

Décocher 045 et 061. Clic sur OK.

[*]Clique sur Rechercher pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
Tu refermes ZHPDiag

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

@++

[wilow31fr]

Bonjour Apollo

 

Oui j'ai essayé de formater et aussi de changer les droits sur la clé .. j'ai aussi essayé sous xp alternatif live de Hiren's BootCD mais j'ai pas réussi...

Voici le lien ZHPDiag.txt

http://cjoint.com/?CHnpduT6PJr

Merci à toi.

[Apollo]

Tu as utilisé USBFix, poste le rapport stp.

 

MBAM aussi si analyse faite récemment. Dans "autres outils" de MBAM, il y a File Assassin; tente de supprimer le fichier incriminé avec cet outil.

 

Pas étonnant que tu infectes ta machine avec tous les cracks et keygen,

 

1)

Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si besoin.

Sous XP, double cliquer sur le fichier.
Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport est sur le bureau (SFT.txt)

Héberger sur http://cjoint.com pour ne pas planter le sujet.

--------------

2)

ZHPFix :

 

• Ferme toutes les applications ouvertes

   

   

• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

   

   

• Copie les lignes ci-dessous dans la fenêtre

D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Camtasia Studio 8.0.4\Camtasia Studio 8.0.4\camtasia\Camtasia Studio 8.0.4.exe  
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Camtasia Studio 8.0.4\Camtasia Studio 8.0.4\camtasia\Keygen\keygen.exe   
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Torrent downloaded from AhaShare.com.txt  
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Torrent Downloaded From ExtraTorrent.com.txt   
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Camtasia Studio 8.0.4\Camtasia Studio 8.0.4\camtasia\Camtasia Studio 8.0.4.exe  
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Camtasia Studio 8.0.4\Camtasia Studio 8.0.4\camtasia\Keygen\keygen.exe   
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Torrent downloaded from AhaShare.com.txt   
D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Torrent Downloaded From ExtraTorrent.com.txt   
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:YSearchProtection  
Firewallraz
  

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)

   

  Clique sur le bouton GO pour lancer le nettoyage

 

 

• Valide par Oui la désinstallation des programmes si demandé

   

   

• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

   

   

• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

[wilow31fr]

Re

Oui j'avais fait un scan avec USBFix hier donc voici le lien pour ce rapport:

http://cjoint.com/?CHnqgCAXap3

 

et le rapport MBAM est clean :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.08.04.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Walid :: WALID-PC [administrateur]

12/08/2013 17:58:43
mbam-log-2013-08-12 (17-58-43).txt

Type d'examen: Examen personnalisé (D:\|)
Options d'examen activées: Système de fichiers | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: Mémoire | Démarrage | Registre | Heuristique/Extra | P2P
Elément(s) analysé(s): 1001
Temps écoulé: 1 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

 

Je n'ai pas File Assassin dans la dernière version de MBAM puis le fichier en question n'est pas visible quand on parcourt le dossier malgré que j'ai mis les options d'affichage pour afficher les fichiers et dossiers systèmes ...etc

Pour le Keygen de Camtasia ce n'est qu'un dossier archive des anciens téléchargements d'un ancien DD, jamais utilisé sur ce pc mais c'est vrai que c'est sur la machine,

voici le rapport SFTGC:
http://cjoint.com/?CHnqjk3HtWs

 

et enfin le ZHPFixReport:
******
Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre :
Run by Walid at 13/08/2013 16:02:04
High Elevated Privileges : OK
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Camtasia Studio 8.0.4\Camtasia Studio 8.0.4\camtasia\Camtasia Studio 8.0.4.exe
SUPPRIME Memory Process: D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Camtasia Studio 8.0.4\Camtasia Studio 8.0.4\camtasia\Keygen\keygen.exe
SUPPRIME Memory Process: D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Torrent downloaded from AhaShare.com.txt
SUPPRIME Memory Process: D:\Sauv_old\Downloads\Camtasia Studio 8.0.4 Build 1060 + Keygen\Torrent Downloaded From ExtraTorrent.com.txt

========== Valeur(s) du Registre ==========
ABSENT [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:YSearchProtection
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Fichier(s) ==========
SUPPRIME File***: d:\sauv_old\downloads\camtasia studio 8.0.4 build 1060 + keygen\camtasia studio 8.0.4\camtasia studio 8.0.4\camtasia\camtasia studio 8.0.4.exe
SUPPRIME File***: d:\sauv_old\downloads\camtasia studio 8.0.4 build 1060 + keygen\camtasia studio 8.0.4\camtasia studio 8.0.4\camtasia\keygen\keygen.exe
SUPPRIME File***: d:\sauv_old\downloads\camtasia studio 8.0.4 build 1060 + keygen\torrent downloaded from ahashare.com.txt
SUPPRIME File***: d:\sauv_old\downloads\camtasia studio 8.0.4 build 1060 + keygen\torrent downloaded from extratorrent.com.txt
ABSENT Folder/File: d:\sauv_old\downloads\camtasia studio 8.0.4 build 1060 + keygen\torrent downloaded from ahashare.com.txt


========== Récapitulatif ==========
4 : Processus mémoire
3 : Valeur(s) du Registre
5 : Fichier(s)


End of clean in 00mn 11s

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix.txt - 13/08/2013 16:02:04 [2290]

[Apollo]

Re,

 

Je vois que c'est l'option recherche que tu as faite avec USBFix; tu devais et dois passer l'option suppression car le fameux dossier est visible.

 

Poste le rapport dès que c'est terminé. Cela peut être plus long dans ce mode et si ça calait, fais-la en mode sans échec.

 

@++

[wilow31fr]

Merci pour tes conseils

C'est fait en mode sans échec puisqu'en mode normal ça plante .. mais échec de la suppression du dossier qui nous intéresse, voici le rapport:

############################## | UsbFix V 7.129 | [suppression]

Utilisateur: Walid (Administrateur) # WALID-PC
Mis à jour le 24/06/2013 par El Desaparecido
Lancé à 17:16:19 | 13/08/2013

Site Web: http://sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload-malware-pour-analyse-t489.html
Contact: contact@sosvirus.net

PC: System manufacturer (System Product Name) (x64-based PC)
CPU: Intel® Core2 Quad CPU Q6600 @ 2.40GHz (2400)
RAM -> [Total : 4095 | Free : 3442]
BIOS: BIOS Date: 09/30/08 17:24:41 Ver: 08.00.12
BOOT: Fail-safe with network boot

OS: Microsoft Windows 7 Édition Intégrale (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16635

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Microsoft Security Essentials [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 302 Go (174 Go libre(s) - 58%) [] # NTFS
D:\ -> Disque fixe # 151 Go (23 Go libre(s) - 15%) [ATA] # NTFS
E:\ -> Disque amovible # 7 Go (7 Go libre(s) - 89%) [] # FAT32
F:\ -> Disque fixe # 2 Go (2 Go libre(s) - 100%) [FLASH] # FAT
G:\ -> Disque fixe # 163 Go (55 Go libre(s) - 34%) [Archive] # NTFS
H:\ -> CD-ROM
J:\ -> CD-ROM

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [soundMAXPnP] - C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
HKLM\SOFTWARE | Run : [Ai Nap] - "C:\Program Files (x86)\ASUS\Ai Suite\AiNap\AiNap.exe"
HKLM\SOFTWARE | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
HKLM\SOFTWARE | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
HKLM\SOFTWARE | Run : [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
HKLM\SOFTWARE | Run : [NeroCheck] - C:\Windows\system32\NeroCheck.exe
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\SOFTWARE | Run : [YSearchProtection] - "C:\Program Files (x86)\Yahoo!\Search Protection\SearchProtection.exe"
HKLM\SOFTWARE | Run : [TkBellExe] - "c:\program files (x86)\real\realplayer\Update\realsched.exe" -osboot
HKLM\SOFTWARE | Run : [QuickTime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
HKLM\SOFTWARE | Run : [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
HKLM\SOFTWARE | Run : [sunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE\wow6432Node | Run : [soundMAXPnP] - C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
HKLM\SOFTWARE\wow6432Node | Run : [Ai Nap] - "C:\Program Files (x86)\ASUS\Ai Suite\AiNap\AiNap.exe"
HKLM\SOFTWARE\wow6432Node | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
HKLM\SOFTWARE\wow6432Node | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
HKLM\SOFTWARE\wow6432Node | Run : [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
HKLM\SOFTWARE\wow6432Node | Run : [NeroCheck] - C:\Windows\system32\NeroCheck.exe
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\SOFTWARE\wow6432Node | Run : [YSearchProtection] - "C:\Program Files (x86)\Yahoo!\Search Protection\SearchProtection.exe"
HKLM\SOFTWARE\wow6432Node | Run : [TkBellExe] - "c:\program files (x86)\real\realplayer\Update\realsched.exe" -osboot
HKLM\SOFTWARE\wow6432Node | Run : [QuickTime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
HKLM\SOFTWARE\wow6432Node | Run : [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
HKLM\SOFTWARE\wow6432Node | Run : [sunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-21-4099478820-727456592-3254352093-1001\SOFTWARE | Run : [sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-4099478820-727456592-3254352093-1001\SOFTWARE | Run : [Rainlendar2] - C:\Program Files\Rainlendar2\Rainlendar2.exe
HKU\S-1-5-21-4099478820-727456592-3254352093-1001\SOFTWARE | Run : [DAEMON Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
HKU\S-1-5-21-4099478820-727456592-3254352093-1001\SOFTWARE | Run : [icq] - C:\Users\Walid\AppData\Roaming\ICQM\icq.exe -CU

################## | Processus Stoppés |

Stoppé! c:\Program Files\Microsoft Security Client\MsMpEng.exe (796)
Stoppé! C:\Windows\Explorer.EXE (1152)
Stoppé! C:\Windows\system32\ctfmon.exe (1380)
Stoppé! C:\Windows\system32\DllHost.exe (1848)

################## | Éléments infectieux |

Non supprimé ! E:\LIMUN
Non supprimé ! H:\autorun.inf

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

################## | Mountpoints2 |


################## | Listing |

[13/08/2013 - 12:57:31 | SHD ] C:\$RECYCLE.BIN
[13/07/2013 - 12:58:15 | N | 1229] C:\AdwCleaner[R5].txt
[31/05/2013 - 09:43:19 | D ] C:\AsusP5BDrivers
[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1028.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1031.txt
[07/11/2007 - 08:00:40 | N | 10134] C:\eula.1033.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1036.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1040.txt
[07/11/2007 - 08:00:40 | N | 118] C:\eula.1041.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1042.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.2052.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.3082.txt
[24/07/2013 - 20:07:25 | D ] C:\Games
[07/11/2007 - 08:00:40 | N | 1110] C:\globdata.ini
[06/08/2013 - 15:38:41 | D ] C:\Graphics
[13/08/2013 - 17:14:20 | ASH | 3220574208] C:\hiberfil.sys
[28/04/2013 - 17:22:39 | D ] C:\IDE
[07/11/2007 - 08:00:40 | N | 843] C:\install.ini
[07/11/2007 - 08:03:18 | N | 76304] C:\install.res.1028.dll
[07/11/2007 - 08:03:18 | N | 96272] C:\install.res.1031.dll
[07/11/2007 - 08:03:18 | N | 91152] C:\install.res.1033.dll
[07/11/2007 - 08:03:18 | N | 97296] C:\install.res.1036.dll
[07/11/2007 - 08:03:18 | N | 95248] C:\install.res.1040.dll
[07/11/2007 - 08:03:18 | N | 81424] C:\install.res.1041.dll
[07/11/2007 - 08:03:18 | N | 79888] C:\install.res.1042.dll
[07/11/2007 - 08:03:18 | N | 75792] C:\install.res.2052.dll
[07/11/2007 - 08:03:18 | N | 96272] C:\install.res.3082.dll
[28/04/2013 - 12:48:50 | D ] C:\Intel
[28/04/2013 - 17:21:05 | RD ] C:\MSOCache
[06/05/2013 - 21:41:14 | D ] C:\NST
[13/08/2013 - 17:14:30 | ASH | 4294103040] C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] C:\PerfLogs
[13/08/2013 - 14:58:59 | N | 512] C:\PhysicalDisk0_MBR.bin
[12/08/2013 - 23:35:12 | D ] C:\Program Files
[12/08/2013 - 22:37:16 | D ] C:\Program Files (x86)
[12/08/2013 - 17:44:12 | D ] C:\ProgramData
[12/08/2013 - 21:12:44 | D ] C:\Qoobox
[13/05/2013 - 03:18:30 | D ] C:\RaidTool
[28/04/2013 - 10:42:44 | D ] C:\Recovery
[13/08/2013 - 02:32:32 | SHD ] C:\System Volume Information
[13/08/2013 - 17:23:30 | D ] C:\UsbFix
[13/08/2013 - 17:23:43 | A | 7694] C:\UsbFix [Clean ] WALID-PC.txt
[12/08/2013 - 17:43:22 | N | 9499] C:\UsbFix [scan ] WALID-PC.txt
[28/04/2013 - 10:42:52 | D ] C:\Users
[07/11/2007 - 08:00:40 | N | 5686] C:\vcredist.bmp
[07/11/2007 - 08:09:22 | N | 1442522] C:\VC_RED.cab
[07/11/2007 - 08:12:28 | N | 232960] C:\VC_RED.MSI
[01/05/2013 - 13:45:13 | D ] C:\wamp
[13/08/2013 - 14:47:44 | D ] C:\Windows
[13/08/2013 - 16:02:04 | D ] C:\ZHP
[12/08/2013 - 22:25:42 | D ] C:\_OTM
[28/04/2013 - 10:43:25 | D ] D:\$RECYCLE.BIN
[28/03/2013 - 15:09:51 | N | 642972446] D:\.minecraft.7z
[11/02/2013 - 06:33:00 | D ] D:\mincraftappdataroaming
[28/04/2013 - 15:24:02 | D ] D:\Sauv_old
[01/03/2012 - 02:13:38 | N | 1484995] D:\shw.zip
[05/02/2013 - 02:59:13 | SHD ] D:\System Volume Information
[03/10/2012 - 18:34:00 | N | 12926976] D:\VMwareTools-darwin-5.0.1.iso
[20/04/2012 - 17:32:56 | RSHD ] E:\LIMUN
[05/08/2013 - 14:34:40 | D ] E:\STE SUBERVILLE - CAMPINGAZ
[05/08/2013 - 14:36:12 | D ] E:\LA CLE USB
[05/08/2013 - 04:04:40 | D ] E:\WALID
[12/02/2013 - 23:15:30 | N | 4096] F:\._.Trashes
[12/02/2013 - 23:15:30 | D ] F:\.Trashes
[12/02/2013 - 23:15:30 | D ] F:\.Spotlight-V100
[13/08/2013 - 02:05:48 | D ] F:\.fseventsd
[07/02/2013 - 23:51:08 | SHD ] F:\$RECYCLE.BIN
[17/04/2008 - 17:00:48 | N | 118] F:\autoexec.bat
[28/04/2013 - 10:43:27 | D ] G:\$RECYCLE.BIN
[15/05/2013 - 00:28:19 | D ] G:\A Conserver
[13/12/2012 - 02:15:10 | D ] G:\found.000
[08/01/2013 - 02:28:53 | D ] G:\found.001
[19/01/2013 - 05:36:10 | D ] G:\macRamy
[11/02/2013 - 01:51:44 | D ] G:\mincraftappdataroaming
[16/02/2012 - 12:07:56 | D ] G:\NetPartages
[18/01/2013 - 00:39:35 | D ] G:\RECYCLER
[09/09/2011 - 20:34:47 | SHD ] G:\System Volume Information
[05/04/2013 - 15:27:52 | D ] G:\Virtual Machines
[25/05/2011 - 12:32:15 | D ] H:\HBCD
[25/05/2011 - 12:33:22 | R | 25] H:\HBCD Menu.cmd
[25/05/2011 - 12:33:22 | R | 45094] H:\HBCD.txt
[25/05/2011 - 12:33:22 | R | 128] H:\autorun.inf
[25/05/2011 - 12:33:22 | R | 1089] H:\changes.txt

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://sosvirus.net |

[Apollo]

Laisse le ou les supports amovibles connectés.

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

http://oldtimer.geekstogo.com/OTM.exe

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  :Files
  E:\LIMUN
  H:\autorun.inf
   
  :commands
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

@++

 

[wilow31fr]

Re

C'est visiblement plus coriace que ce que je pensais .. voilà le rapport OTM :

All processes killed
Error: Unable to interpret <Go> in the current context!
========== FILES ==========
Folder move failed. E:\LIMUN scheduled to be moved on reboot.
File move failed. H:\autorun.inf scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 205276 bytes
->Flash cache emptied: 57472 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Walid
->Temp folder emptied: 1429 bytes
->Temporary Internet Files folder emptied: 11036060 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16283600 bytes
->Google Chrome cache emptied: 7054607 bytes
->Apple Safari cache emptied: 2337792 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 58171 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1654 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33298 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33298 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 35,00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 08132013_183630

Files moved on Reboot...
Folder move failed. E:\LIMUN scheduled to be moved on reboot.
File move failed. H:\autorun.inf scheduled to be moved on reboot.
C:\Users\Walid\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Walid\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

Registry entries deleted on Reboot...

[Apollo]

Tu l'as dit!

 

Tu as aussi utilisé ComboFix? Qui t'a demandé de le faire?

 

Poste le premier rapport obtenu stp.

 

@++