Virus Worm sur un disque dur (et peut-être sur un ordi)

[Bollywood]

Bonjour à tous,

 

je me permets de lancer un sujet concernant une infection qui touche mon matériel informatique.

Suite à une connexion de mon disque dur externe sur mon lieu de travail, ce dernier a été infecté par un virus. Je suis en train de faire une analyse à l'aide d'Avira, qui me confirme la présence d'un virus de type WORM. A peine 25% d'analyse et déjà 13 fichiers infectés ("Worm/Autorun", "Worm/Palevo, ...)

J'aurais aimé savoir comment éradiquer ce virus du disque dur, sans pour autant détériorer les autres fichiers contenus

Par ailleurs, j'attends la fin de l'analyse Avira lancée sur mon ordi perso, mais je pressens l'infection de celui-ci par le même virus...

 

Merci d'avance pour vos réponses et vos avis.

 

 

[Apollo]

Bonsoir,

 

Je vais faire cette désinfection parce que je te sens bien emm.. bêté. Ce sera ma dernière, tous forums confondus.

 

Tes supports ne sont donc pas vaccinés contre les infections USB? Quand antivir aura fini,

 

1)

 

• Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.

   

  Si vous ne savez pas comment faire, reportez-vous à cet article.

   

• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

 

• Double cliquez sur UsbFix.exe.
• Cliquez sur recherche.

 

 

• Laissez travailler l'outil.
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
• Tutoriel en images

 

---------

2)

• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.

   

  Si vous ne savez pas comment faire, reportez-vous à cet article.

   

• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

 

• Double cliquez sur UsbFix.exe.
• Cliquez sur Supression

 

 

• Laissez travailler l'outil.
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
• Tutoriel en images

 

 

3)

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

   

   

• Double-clique sur ZHPDiag.exe pour lancer l'installation
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

   

   

• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

   

   

• Double-clique sur ZHPDiag pour lancer l'exécution
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

   

   

• Clique sur Configurer.

   

   

• Clique sur le petit tournevis et clique sur TOUS.

   

  Décocher 045 et 061. Clic sur OK.

   

• Clique sur Rechercher pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
  Tu refermes ZHPDiag

   

   

• Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
  Ce rapport étant trop long pour le forum, héberge le :
  • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  • soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

 

ou http://dl.free.fr/

@++

[Bollywood]

Bonjour Apollo !

Merci pour ta réponse.

Avant d'aller plus loin, j'espère que tu reviendras sur ta décision ("Ce sera ma dernière, tous forums confondus").

Pour des gens comme moi, qui n'y connaissent pas grand chose en informatique, l'aide que des personnes comme toi peuvent apporter est de l'or en barre. J'imagine que ça doit te prendre du temps de te pencher sur les problèmes des autres, mais ça les aide vraiment beaucoup.

En tout cas, non, je n'ai pas vacciner mes périphériques contre d'éventuels virus. Je ne savais pas que c'était possible...

Voici pour commencer le rapport de usbFix. J'attends tes directives pour savoir si je dois passer à l'étape suivante (= SUPPRESSION avec usbFix)...

############################## | UsbFix V 7.134 | [Recherche]

Utilisateur: Jeff (Administrateur) # JEFF-HP

Mis à jour le 06/09/2013 par El Desaparecido

Lancé à 16:32:24 | 11/09/2013

Site Web: http://www.sosvirus.net/

Upload Malware: http://www.sosvirus.net/upload_malware.php

Contact: http://wwww.sosvirus.net/contact_eldesaparecido.php

PC: Hewlett-Packard (HP Pavilion dm1 Notebook PC ) (X86-based PC)

CPU: AMD E-350 Processor (1600)

RAM -> [Total : 3578 | Free : 2012]

BIOS: InsydeH2O Version CCB.03.60.43F.05

BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1

WB: Windows Internet Explorer 10.0.9200.16660

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

AV: Avira Desktop [(!) Disabled | Updated]

FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 447 Go (14 Go libre(s) - 3%) [] # NTFS

D:\ -> Disque fixe # 19 Go (2 Go libre(s) - 12%) [RECOVERY] # NTFS

E:\ -> Disque fixe # 99 Mo (91 Mo libre(s) - 92%) [HP_TOOLS] # FAT32

F:\ -> Disque amovible # 984 Mo (87 Mo libre(s) - 9%) [uDISK 2.0] # FAT

G:\ -> Disque fixe # 596 Go (48 Go libre(s) - 8%) [MEMUP 640GB] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (372)

C:\Windows\system32\wininit.exe (440)

C:\Windows\system32\csrss.exe (452)

C:\Windows\system32\services.exe (496)

C:\Windows\system32\lsass.exe (516)

C:\Windows\system32\lsm.exe (524)

C:\Windows\system32\winlogon.exe (612)

C:\Windows\system32\svchost.exe (676)

C:\Windows\system32\svchost.exe (760)

C:\Windows\system32\atiesrxx.exe (808)

C:\Windows\System32\svchost.exe (892)

C:\Windows\System32\svchost.exe (932)

C:\Windows\system32\svchost.exe (976)

C:\Windows\system32\svchost.exe (1012)

C:\Program Files\IDT\WDM\STacSV.exe (1056)

C:\Windows\system32\Hpservice.exe (1328)

C:\Windows\system32\atieclxx.exe (1372)

C:\Windows\system32\svchost.exe (1400)

C:\Windows\system32\svchost.exe (1532)

C:\Windows\System32\spoolsv.exe (1624)

C:\Program Files\Avira\AntiVir Desktop\sched.exe (1660)

C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1752)

C:\Program Files\IDT\WDM\aestsrv.exe (1788)

C:\Program Files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe (1820)

C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1840)

C:\SwSetup\HPQWMM\QuickWeb\QW.SYS\config\DVMExportService.exe (1888)

C:\Windows\System32\ezSharedSvcHost.exe (1916)

C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe (1956)

C:\Program Files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe (1980)

C:\Program Files\Common Files\LightScribe\LSSrvc.exe (2024)

C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (112)

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (316)

C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe (512)

C:\Windows\system32\svchost.exe (576)

C:\Program Files\Tepfel\WebCakeDesktop.Updater.exe (1000)

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (1384)

C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (2068)

C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe (2116)

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2124)

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (2628)

C:\Windows\system32\taskhost.exe (2688)

C:\Windows\system32\Dwm.exe (2700)

C:\Windows\Explorer.EXE (2740)

C:\Program Files\IDT\WDM\sttray.exe (2956)

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2964)

C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe (2976)

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (3064)

C:\Program Files\Real\RealPlayer\Update\realsched.exe (3072)

C:\Program Files\Common Files\Java\Java Update\jusched.exe (3096)

C:\Program Files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe (3104)

C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe (3168)

C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE (3188)

C:\Program Files\Emotum\Mobile Broadband\Mobile.exe (3216)

C:\Program Files\Skype\Phone\Skype.exe (3224)

C:\Users\Jeff\AppData\Roaming\Tepfel\WebCakeDesktop.exe (3240)

C:\Windows\System32\rundll32.exe (3272)

C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (3304)

C:\Windows\system32\wbem\wmiprvse.exe (3440)

C:\Program Files\Microsoft Office\Office14\GROOVE.EXE (3540)

C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (3572)

C:\Windows\system32\taskeng.exe (3652)

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (2552)

C:\Program Files\Hewlett-Packard\Media\Webcam\YCMMirage.exe (3452)

C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe (3816)

C:\Windows\system32\SearchIndexer.exe (3424)

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (1936)

C:\Windows\system32\svchost.exe (2484)

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4736)

C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe (4764)

C:\Windows\system32\svchost.exe (5856)

C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (4208)

C:\Program Files\Hewlett-Packard\HP Support Framework\hpsa_service.exe (2852)

C:\Windows\System32\svchost.exe (2340)

C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe (5012)

C:\Program Files\Windows Media Player\wmpnetwk.exe (4192)

C:\Windows\system32\wbem\wmiprvse.exe (5700)

C:\Windows\system32\DllHost.exe (5844)

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (5716)

C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe (1668)

C:\Windows\System32\WUDFHost.exe (3292)

C:\Program Files\Avira\AntiVir Desktop\avcenter.exe (2144)

C:\Program Files\Google\Chrome\Application\chrome.exe (4880)

C:\Program Files\Google\Chrome\Application\chrome.exe (4344)

C:\Program Files\Google\Chrome\Application\chrome.exe (1776)

C:\Program Files\Google\Chrome\Application\chrome.exe (4628)

C:\Program Files\Google\Chrome\Application\chrome.exe (172)

C:\Program Files\Mozilla Firefox\firefox.exe (6912)

C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe (7160)

C:\Windows\system32\SearchProtocolHost.exe (7384)

C:\Windows\system32\SearchFilterHost.exe (7420)

C:\Windows\System32\svchost.exe (7652)

C:\Program Files\Google\Chrome\Application\chrome.exe (7812)

C:\UsbFix\Go.exe (8180)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [startCCC] - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

HKLM\SOFTWARE | Run : [sysTrayApp] - C:\Program Files\IDT\WDM\sttray.exe

HKLM\SOFTWARE | Run : [synTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

HKLM\SOFTWARE | Run : [smartMenu] - C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe /background

HKLM\SOFTWARE | Run : [Easybits Recovery] - C:\Program Files\EasyBits For Kids\ezRecover.exe

HKLM\SOFTWARE | Run : [HPWirelessAssistant] - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe /hidden

HKLM\SOFTWARE | Run : [bCSSync] - "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

HKLM\SOFTWARE | Run : [] -

HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

HKLM\SOFTWARE | Run : [TkBellExe] - "c:\program files\real\realplayer\Update\realsched.exe" -osboot

HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

HKLM\SOFTWARE | Run : [sunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

HKLM\SOFTWARE | Run : [HP Quick Launch] - C:\Program Files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe

HKLM\SOFTWARE | RunOnce : [] -

HKU\S-1-5-19\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-20\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [LightScribe Control Panel] - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [OfficeSyncProcess] - "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [Emotum Mobile Broadband] - C:\Program Files\Emotum\Mobile Broadband\Mobile.exe

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [WebCake Desktop] - "C:\Users\Jeff\AppData\Roaming\Tepfel\WebCakeDesktop.exe"

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [NTRedirect] - C:\Windows\system32\rundll32.exe "C:\Users\Jeff\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run

HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Éléments infectieux |

Présent! D:\desktop.ini

Présent! F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

Présent! G:\Thumbs.db

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1c0116f-d012-11e0-a0c2-68b599e1f856}

Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{f7b3f364-d00e-11e0-9f84-68b599e1f856}

Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{f7b3f3a2-d00e-11e0-9f84-68b599e1f856}

Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fe6e1f12-0d50-11e1-9015-68b599e1f856}

Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fe6e1f3a-0d50-11e1-9015-68b599e1f856}

Shell\AutoRun\Command = E:\AutoRun.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.sosvirus.net |

Modifié le 11 septembre 2013 par Bollywood

[Apollo]

Bonsoir,

 

 

Je ne savais pas que c'était possible...

Voici pour commencer le rapport de usbFix. J'attends tes directives pour savoir si je dois passer à l'étape suivante (= SUPPRESSION avec usbFix)...

 

Oui c'est possible, c'est dans ce but aussi qu'USBFIX a été développé, d'ailleurs repris (imité) par Panda...

Passe à le seconde option (suppression) d'USBFIX, qui va désinfecter et vacciner les supports externes de même que tes disques durs.

@+tard.

PS, je ne pense pas revenir sur ma décision, mûrement réfléchie; je donne de mon temps libre (j'en ai assez va), bénévolement mais ça n'empêche pas certains de m'envoyer quelques insultes quand je déconseille les cracks, P2P et autres. (la pire a été de me comparer à un collabo!) Moi j'estime que c'est mon devoir de déconseiller ces merdes.

Il en est aussi, qui, si je ne parviens pas à nettoyer à fond leur machine (rare), me traitent d'incompétent! quand ce ne sont pas des pros de quartier qui font payer leurs clients après s'être servis de notre travail bénévole. Je les sens à des Km ces gens qui viennent pour "une cousine, un voisin, un grand-père è tutti quanti...." Mon œil, oui!

Je n'admets pas cela et jamais cela n'arrivera! Je ne suis quand-même pas tombé de la dernière pluie, et ne suis pas un imbécile patenté. Je ne suis pas un pro mais un internaute bien informé, grâce à un modèle ou deux et à la communauté de helpers de qui j'ai beaucoup appris depuis pas loin de 7 ou 8 ans.

Il y a pas mal de conseillers, meilleurs que moi, et Zébulon n'en manquera pas.

@++

 

[Bollywood]

Salut,

 

je comprends mieux ta décision. C'est dingue ce que certaines personnes sont débiles ! C'est fou que ça puisse aller jusque là parfois.

 

Bon, pour mon affaire, j'ai essayé par 2 fois de lancer l'étape SUPPRESSION de usbFix. Et par 2 fois, mon ordi a planté en beauté.

Je vais réessayer demain et t'en dirai plus (si ça fonctionne).

 

Bonne soirée à toi.

[Apollo]

Fais-le en mode sans échec, ça passe parfois mieux.

 

http://www.vista-xp.fr/forum/topic93.html

 

Bonne fin de soirée.

 

@++

[Bollywood]

Salut Apollo !

 

Effectivement, ça fonctionne bien mieux en mode sans échec.

 

Voici le résultat de la "suppression" de usbFix :

 

############################## | UsbFix V 7.134 | [suppression]

Utilisateur: Jeff (Administrateur) # JEFF-HP

Mis à jour le 06/09/2013 par El Desaparecido

Lancé à 13:32:32 | 12/09/2013

Site Web: http://www.sosvirus.net/

Upload Malware: http://www.sosvirus.net/upload_malware.php

Contact: http://wwww.sosvirus.net/contact_eldesaparecido.php

PC: Hewlett-Packard (HP Pavilion dm1 Notebook PC ) (X86-based PC)

CPU: AMD E-350 Processor (1596)

RAM -> [Total : 3578 | Free : 2757]

BIOS: InsydeH2O Version CCB.03.60.43F.05

BOOT: Fail-safe boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1

WB: Windows Internet Explorer 10.0.9200.16660

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

AV: Avira Desktop [Enabled | Updated]

FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 447 Go (14 Go libre(s) - 3%) [] # NTFS

D:\ -> Disque fixe # 19 Go (2 Go libre(s) - 12%) [RECOVERY] # NTFS

E:\ -> Disque fixe # 99 Mo (91 Mo libre(s) - 92%) [HP_TOOLS] # FAT32

F:\ -> Disque amovible # 984 Mo (473 Mo libre(s) - 48%) [uDISK 2.0] # FAT

G:\ -> Disque fixe # 596 Go (48 Go libre(s) - 8%) [MEMUP 640GB] # FAT32

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [startCCC] - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

HKLM\SOFTWARE | Run : [sysTrayApp] - C:\Program Files\IDT\WDM\sttray.exe

HKLM\SOFTWARE | Run : [synTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

HKLM\SOFTWARE | Run : [smartMenu] - C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe /background

HKLM\SOFTWARE | Run : [Easybits Recovery] - C:\Program Files\EasyBits For Kids\ezRecover.exe

HKLM\SOFTWARE | Run : [HPWirelessAssistant] - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe /hidden

HKLM\SOFTWARE | Run : [bCSSync] - "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

HKLM\SOFTWARE | Run : [] -

HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

HKLM\SOFTWARE | Run : [TkBellExe] - "c:\program files\real\realplayer\Update\realsched.exe" -osboot

HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

HKLM\SOFTWARE | Run : [sunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

HKLM\SOFTWARE | Run : [HP Quick Launch] - C:\Program Files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe

HKLM\SOFTWARE | RunOnce : [] -

HKU\S-1-5-19\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-20\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [LightScribe Control Panel] - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [OfficeSyncProcess] - "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [Emotum Mobile Broadband] - C:\Program Files\Emotum\Mobile Broadband\Mobile.exe

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [WebCake Desktop] - "C:\Users\Jeff\AppData\Roaming\Tepfel\WebCakeDesktop.exe"

HKU\S-1-5-21-3030510141-3671831767-110472126-1001\SOFTWARE | Run : [NTRedirect] - C:\Windows\system32\rundll32.exe "C:\Users\Jeff\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run

HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Processus Stoppés |

Stoppé! C:\Windows\Explorer.EXE (1056)

Stoppé! C:\Windows\system32\ctfmon.exe (1104)

Stoppé! C:\Windows\helppane.exe (1224)

Stoppé! C:\Windows\system32\DllHost.exe (1312)

################## | Éléments infectieux |

Supprimé! F:\otok/blagojin.exe

Supprimé! D:\desktop.ini

Supprimé! F:\autorun.inf

Supprimé! F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

Supprimé! G:\Thumbs.db

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f1c0116f-d012-11e0-a0c2-68b599e1f856}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f7b3f364-d00e-11e0-9f84-68b599e1f856}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f7b3f3a2-d00e-11e0-9f84-68b599e1f856}

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fe6e1f3a-0d50-11e1-9015-68b599e1f856}

################## | Listing |

[13/08/2011 - 17:33:58 | SHD ] C:\$Recycle.Bin

[05/02/2012 - 11:41:42 | N | 8322] C:\AdwCleaner[s1].txt

[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat

[15/12/2010 - 09:10:22 | SHD ] C:\boot

[14/07/2009 - 03:38:58 | RASH | 383562] C:\bootmgr

[12/09/2013 - 13:23:26 | D ] C:\Config.Msi

[10/06/2009 - 23:42:20 | N | 10] C:\config.sys

[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings

[25/10/2011 - 10:46:41 | D ] C:\Garmin

[10/08/2013 - 18:54:56 | D ] C:\Hewlett-Packard

[12/09/2013 - 13:28:57 | ASH | 2813775872] C:\hiberfil.sys

[24/03/2011 - 19:24:44 | D ] C:\HP

[25/10/2011 - 11:03:20 | D ] C:\install

[18/08/2011 - 22:54:19 | N | 0] C:\IO.SYS

[18/08/2011 - 22:54:19 | N | 0] C:\MSDOS.SYS

[01/07/2011 - 23:08:22 | RHD ] C:\MSOCache

[12/09/2013 - 13:29:02 | ASH | 3751702528] C:\pagefile.sys

[14/07/2009 - 04:37:05 | D ] C:\PerfLogs

[02/02/2012 - 09:23:42 | N | 512] C:\PhysicalDisk0_MBR.bin

[01/09/2013 - 20:10:13 | D ] C:\Program Files

[17/08/2013 - 11:44:22 | HD ] C:\ProgramData

[01/07/2011 - 09:15:31 | SHD ] C:\Recovery

[25/08/2013 - 11:57:57 | D ] C:\SwSetup

[11/09/2013 - 14:25:09 | SHD ] C:\System Volume Information

[01/07/2011 - 09:15:38 | D ] C:\SYSTEM.SAV

[12/09/2013 - 13:42:47 | D ] C:\UsbFix

[11/09/2013 - 20:53:26 | N | 8012] C:\UsbFix [Clean 1] JEFF-HP.txt

[11/09/2013 - 22:00:16 | N | 8061] C:\UsbFix [Clean 2] JEFF-HP.txt

[12/09/2013 - 13:43:20 | A | 6342] C:\UsbFix [Clean 3] JEFF-HP.txt

[11/09/2013 - 16:25:25 | N | 8539] C:\UsbFix [scan 1] JEFF-HP.txt

[11/09/2013 - 16:41:12 | N | 10144] C:\UsbFix [scan 3] JEFF-HP.txt

[11/09/2013 - 17:47:47 | N | 9533] C:\UsbFix [scan 4] JEFF-HP.txt

[01/07/2011 - 09:14:23 | D ] C:\Users

[12/09/2013 - 13:28:58 | D ] C:\Windows

[02/02/2012 - 09:23:46 | D ] C:\ZHP

[01/07/2011 - 09:20:43 | SHD ] D:\$RECYCLE.BIN

[01/07/2011 - 09:20:38 | RASHD ] D:\boot

[14/07/2009 - 19:39:00 | RASH | 383562] D:\bootmgr

[01/07/2011 - 09:20:38 | D ] D:\FactoryUpdate

[01/07/2011 - 09:20:38 | D ] D:\hp

[13/07/2011 - 20:26:56 | N | 20] D:\HPSF_Rep.txt

[31/10/2012 - 22:45:11 | N | 8] D:\HP_WSD.dat

[01/07/2011 - 09:20:38 | RSHD ] D:\preload

[01/07/2011 - 09:20:38 | RSD ] D:\recovery

[01/07/2011 - 09:20:38 | D ] D:\RM_Reserve

[28/11/2011 - 00:01:31 | SHD ] D:\System Volume Information

[24/03/2011 - 18:33:26 | SHD ] E:\$RECYCLE.BIN

[31/10/2012 - 21:45:12 | N | 8] E:\HP_WSD.dat

[24/03/2011 - 18:03:46 | D ] E:\Hewlett-Packard

[13/07/2011 - 20:27:00 | N | 20] E:\HPSF_Rep.txt

[08/09/2013 - 23:27:06 | D ] F:\° Cours

[29/06/2011 - 08:03:46 | D ] F:\Traduction

[12/09/2013 - 08:03:14 | D ] F:\otok

[28/01/2010 - 09:40:10 | RSHD ] F:\RECYCLER

[27/12/2006 - 23:01:50 | N | 296] F:\WMPInfo.xml

[31/05/2011 - 16:07:58 | D ] F:\Classe pupitre

[08/09/2013 - 23:26:26 | D ] F:\Divers

[29/12/2012 - 21:57:52 | N | 4096] G:\._.Trashes

[21/08/2012 - 23:57:24 | D ] G:\Ulead Systems

[20/09/2010 - 16:05:56 | SHD ] G:\System Volume Information

[29/12/2012 - 21:57:52 | HD ] G:\.Trashes

[20/09/2010 - 18:13:30 | D ] G:\Recycled

[13/11/2010 - 14:52:20 | D ] G:\Ma musique

[28/11/2010 - 19:11:20 | D ] G:\Heroes (Saison 3)

[11/09/2012 - 02:55:00 | N | 3752441084] G:\Arte - La ville rêvée des Russes - 11-09-2012 03h10 1h45m.ts

[11/09/2012 - 02:55:00 | N | 11405596] G:\.Arte - La ville rêvée des Russes - 11-09-2012 03h10 1h45m.ts

[11/09/2012 - 17:32:06 | N | 31328696] G:\France 3 Nord-Pas-de-Calais - JT - 11-09-2012 19h25 38m.ts

[11/09/2012 - 17:32:06 | N | 95224] G:\.France 3 Nord-Pas-de-Calais - JT - 11-09-2012 19h25 38m.ts

[11/09/2012 - 17:49:08 | N | 278545876] G:\France 3 Nord-Pas-de-Calais - JT - 11-09-2012 19h33 30m.ts

[13/09/2012 - 22:30:00 | N | 2256605736] G:\Arte - Inondation ! - 13-09-2012 23h25 1h05m.ts

[09/02/2011 - 20:47:58 | D ] G:\Tour du monde

[11/09/2012 - 17:49:08 | N | 846644] G:\.France 3 Nord-Pas-de-Calais - JT - 11-09-2012 19h33 30m.ts

[11/09/2012 - 19:37:54 | N | 1827929264] G:\Arte - Nestlé et le business de l'eau en bouteille - 11-09-2012 20h47 1h42m.ts

[13/09/2012 - 22:30:00 | N | 6858984] G:\.Arte - Inondation ! - 13-09-2012 23h25 1h05m.ts

[13/02/2011 - 17:12:12 | SHD ] G:\$RECYCLE.BIN

[11/09/2012 - 19:37:54 | N | 5556016] G:\.Arte - Nestlé et le business de l'eau en bouteille - 11-09-2012 20h47 1h42m.ts

[29/12/2012 - 21:57:52 | D ] G:\.Spotlight-V100

[04/09/2010 - 18:46:20 | N | 4029923] G:\Outkast - Hey Ya!.mp3

[20/05/2013 - 20:27:20 | N | 23040] G:\~WRL3642.tmp

[14/09/2012 - 07:45:00 | N | 1981409080] G:\Arte - Les dessous du Danube - 14-09-2012 08h50 55m.ts

[14/09/2012 - 07:45:00 | N | 6022520] G:\.Arte - Les dessous du Danube - 14-09-2012 08h50 55m.ts

[16/09/2012 - 09:47:12 | N | 4294967295] G:\Arte - De l'Orient à l'Occident - 16-09-2012 09h45 2h15m.ts

[16/09/2012 - 10:00:00 | N | 13055128] G:\.Arte - De l'Orient à l'Occident - 16-09-2012 09h45 2h15m.ts

[05/10/2012 - 03:08:06 | N | 880023676] G:\Arte - De l'Orient à l'Occident - 05-10-2012 04h40 25m.ts

[03/03/2011 - 12:39:12 | D ] G:\FLORENCE

[17/09/2012 - 02:53:04 | N | 5955372] G:\.Arte - La ville en vert - 17-09-2012 03h55 55m.ts

[18/09/2012 - 23:23:48 | N | 3294517828] G:\France 2 - Chine, la révolution capitaliste - 18-09-2012 23h43 1h40m.ts

[18/09/2012 - 23:23:48 | N | 10013732] G:\.France 2 - Chine, la révolution capitaliste - 18-09-2012 23h43 1h40m.ts

[29/09/2012 - 20:43:00 | N | 4154135608] G:\Arte - La ruée vers l'or - 29-09-2012 20h43 2h.ts

[29/09/2012 - 20:43:00 | N | 12626552] G:\.Arte - La ruée vers l'or - 29-09-2012 20h43 2h.ts

[23/09/2012 - 09:50:00 | N | 3947118280] G:\Arte - oqient occ 3 - 23-09-2012 09h55 1h55m.ts

[23/09/2012 - 09:50:00 | N | 11997320] G:\.Arte - oqient occ 3 - 23-09-2012 09h55 1h55m.ts

[25/09/2012 - 22:24:24 | N | 4294967295] G:\France 2 - Home, histoire d'un voyage - 25-09-2012 22h25 2h08m.ts

[25/09/2012 - 22:33:00 | N | 13055128] G:\.France 2 - Home, histoire d'un voyage - 25-09-2012 22h25 2h08m.ts

[26/09/2012 - 10:54:00 | N | 2573269552] G:\Arte - Jean Calvin, réforme et controverses - 26-09-2012 11h42 1h12m.ts

[11/05/2011 - 13:54:04 | D ] G:\Bouleversements XVIe siècle

[26/09/2012 - 10:54:00 | N | 7821488] G:\.Arte - Jean Calvin, réforme et controverses - 26-09-2012 11h42 1h12m.ts

[30/09/2012 - 21:12:00 | N | 2743953436] G:\France 5 - L'Algérie à l'épreuve du pouvoir, 1962-2012 - 30-09-2012 21h57 1h15m.ts

[30/09/2012 - 21:12:00 | N | 8340284] G:\.France 5 - L'Algérie à l'épreuve du pouvoir, 1962-2012 - 30-09-2012 21h57 1h15m.ts

[05/10/2012 - 03:08:06 | N | 2674844] G:\.Arte - De l'Orient à l'Occident - 05-10-2012 04h40 25m.ts

[16/10/2012 - 16:37:00 | N | 3609811688] G:\Arte - Les moissons du futur - 16-10-2012 16h52 1h45m.ts

[16/10/2012 - 16:37:00 | N | 10972072] G:\.Arte - Les moissons du futur - 16-10-2012 16h52 1h45m.ts

[29/12/2012 - 21:57:58 | N | 0] G:\.com.apple.timemachine.donotpresent

[29/12/2012 - 21:57:58 | N | 4096] G:\._.com.apple.timemachine.donotpresent

[10/09/2013 - 16:22:24 | D ] G:\otok

[01/12/2012 - 21:36:34 | N | 4068795640] G:\Arte - Le destin de Rome - 01-12-2012 20h42 2h.ts

[01/12/2012 - 21:36:32 | N | 12365600] G:\.Arte - Le destin de Rome - 01-12-2012 20h42 2h.ts

[05/01/2013 - 15:35:56 | N | 1467480064] G:\Le_Seigneur_Des_Anneaux_-2-_Les_Deux_Tours.avi

[10/06/2011 - 16:07:26 | D ] G:\Stage TICE

[26/12/2012 - 17:15:30 | N | 183492608] G:\13 -Le Retour du seigneur des anneaux des deux tours south park vf version française french.avi

[26/12/2012 - 18:24:24 | N | 1478969344] G:\Le seigneur des anneaux 2 - Les Deux Tours (2002).VERSION.LONGUE.avi

[26/12/2012 - 19:57:28 | N | 1583736832] G:\Le Seigneur des Anneaux 3 - Le Retour du Roi - Version Longue - French - Fantastique, Aventure.avi

[26/12/2012 - 18:48:44 | N | 1468020736] G:\Le.Seigneur.des.Anneaux.Les.Deux.Tours.2.TRUEFRENCH.DVDRip.Xvid-LcKtM.[emule-island.ru].avi

[04/03/2013 - 09:56:04 | D ] G:\7846cfb4034992695f

[10/01/2013 - 10:58:56 | N | 26600] G:\Demande Extrait Acte d'état civi.pdf

[04/03/2013 - 11:08:34 | D ] G:\f3d8a7f1fcd325ebf30c3652

[04/03/2013 - 18:31:38 | N | 64723] G:\Relevé CCP Banque pop 1 1 13.pdf

[11/03/2013 - 09:54:16 | D ] G:\00649bcb0d6f214718

[11/03/2013 - 12:56:52 | D ] G:\a077fcb200ff4b0f26

[24/02/2013 - 11:06:14 | N | 736360578] G:\Hotel Transylvanie.avi

[27/03/2013 - 22:00:12 | N | 734312872] G:\La ligne verte.avi

[28/03/2013 - 12:52:40 | D ] G:\6616dd0094cef78557590b9b8b7820

[21/08/2012 - 23:59:28 | D ] G:\Ulead VideoStudio 11

[06/05/2013 - 23:12:10 | N | 26564] G:\Stations GPL Lille La Rochelle.docx

[06/05/2013 - 17:12:24 | N | 27136] G:\Trajets intermédiaires La Rochelle Poitiers Magnac-Laval.doc

[19/05/2013 - 12:30:28 | D ] G:\Conférence 6 juin

[10/07/2013 - 20:32:20 | N | 42496] G:\Vélo Eté 2013.doc

[22/05/2013 - 17:29:48 | D ] G:\° Z Autres docs (transfert ordi)

[22/05/2013 - 18:11:26 | N | 162] G:\~$lo Eté 2013.doc

[16/08/2013 - 18:33:04 | D ] G:\RECUP ORDI FLO

[23/05/2013 - 10:49:12 | D ] G:\8e6e61bbf49386f362d9ea50af5830

[01/06/2013 - 09:44:50 | N | 5659136] G:\PPT J ROSTAND.ppt

[18/08/2012 - 22:43:18 | D ] G:\° Cours

[18/08/2012 - 22:46:00 | D ] G:\Doc Jeff Ordi

[18/08/2012 - 22:46:22 | D ] G:\Docs Flo Ordi

[05/09/2012 - 09:14:52 | D ] G:\Dexter

[12/09/2012 - 21:14:16 | D ] G:\Photos tour du monde

[14/09/2012 - 10:09:04 | D ] G:\Photo TDM pour Armentières

[28/09/2012 - 09:50:24 | N | 2341] G:\France 3 JT Globavelo.wlmp

[28/09/2012 - 09:52:52 | N | 52649232] G:\France 3 JT Globavelo.wmv

[18/10/2012 - 16:52:40 | D ] G:\° Images cours

[29/10/2012 - 13:06:58 | D ] G:\Pour danser

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.sosvirus.net |

J'attends ton avis avant de lancer la suite ZHP Diag...

Et puis, merci d'avance !!!!

[Apollo]

Bonjour,

 

Ok!

 

Lance ZHPDiag qui signalera sûrement une nouvelle version: installe-là puis fais l'opération de scan. L'installation doit se faire toutes autres appli fermées.

 

@++

Modifié le 12 septembre 2013 par Apollo

[Bollywood]

A y est !!!

 

Voici le lien Cjoint : http://cjoint.com/?3Impq65coll

 

Et j'y pense, sûrement un peu tard... J'ai aussi connecté mon DD externe contaminé à mon ordi de bureau. J'ai fait une recherche de virus via Avast qui est installé sur cet ordi, et rien apparemment. Mais peut-être faut-il lancer la même procédure pour cet ordi, histoire d'être sûr qu'il ne soit pas contaminé et pour le vacciner.

Si tu penses que c'est une bonne idée, est-ce que, à ton avis, je peux lancer toute la procédure d'un coup (l'analyse et la suppression d'usbFix, puis l'analyse de ZPHDiag) ?

 

A plus

[Apollo]

 

Si tu penses que c'est une bonne idée, est-ce que, à ton avis, je peux lancer toute la procédure d'un coup (l'analyse et la suppression d'usbFix, puis l'analyse de ZPHDiag) ?

Oui! Tous les supports amovibles doivent y passer, même ceux que tu achèterais à l'avenir.

 

Fais donc mais avant de refaire un nouveau ZHPDiag, tu feras ce qui suit:

 

1) Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

Site éditeur: http://thisisudax.org/

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera. Mettez-le à la corbeille et téléchargez la dernière version.

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

Poste le rapport généré à la fin de l'analyse.

NB: Le bureau disparaitra un instant, c'est normal.

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

------------------------------

2) Télécharge AdwCleaner par Xplode: http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

Enregistre-le sur le bureau (et pas ailleurs).

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Scanner et laisse travailler l'outil.

Cliquer sur Nettoyer, le bouton sera accessible.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

-------------------------

@++