Copy.exe, introuvable sur la clé, pc infecté ?

Dernière réponse : 5 Janvier 2010 18:45 dans Le monde de Windows

hugolinox

3 Janvier 2010 15:25:23

Bonjour à tous,

Bon alors avant que je vous explique mon problème, je vous previent vous allez tous HURLER GOOGLE EST TON AMI ou LE SUJET A DEJA ETE TRAITE 100 FOIS !
mais voila apres moult recherche sur le net et visité je ne serai-ce combien de forum datant de Mathusaleme, j'ai pas réussi a le résoudre.

Le soucis est que quand je branche ma clé sur mon pc, il me dit : windows ne trouve pas copy.exe, verifiez que vous avez entré le nom correctement...bla bla bla
Donc ceci étant une infection de notre cher copy.exe j'ai scanné avec antivir, S&D et j'ai rien trouvé. J'ai scanné le pc total, rien du tout.
J'ai essayé de trouver copy.exe sur la clé et ca ne trouve pas.
Quand je change de pc, le problème n'apparait plus, donc je me dit que le virus est surement sur mon pc et peut etre pas sur la clé.
J'ai essayé de telecharger "Tiros Anti-Autorun" et ca a détécté un virus. J'ai preferé pas aller plus loin.

J'ai vu un mec qui a la suite de rapport Hijack et usbfix reussissait a aider qqn. Si une bonne ame peut faire de meme ici...

J'en appelle donc a votre aide.

Est ce que le virus est sur mon pc ?
Comment le virer ?

merci a tous

Autres pages sur : copy exe introuvable cle infecte

| Etre averti des réponses
| Alerter

Répondre à hugolinox

Lassé par la pub ? Créez un compte

Meilleure solution

cosmido

Expert Windows

4 Janvier 2010 21:26:50

Suivez les procédures dans la séquence proposée.

USBFix - Suppression des infections.

Branchez tout vos périphériques USB externes,

• Lancez UsbFix sur votre bureau,
• Sélectionnez l'option 2 – Suppression ,

>> Le bureau disparaîtra et le pc redémarrera ,
>> Au redémarrage, UsbFix scannera votre pc, laisse le aller,

>> le rapport apparaîtra,

Postez le rapport ( C:\UsbFix.txt ).

Suite à la désinfection..
• Relancer UsbFix et sélectionnez 5 # Désinstaller.

_______________________________________________

Téléchargez Malwarebytes

• Lancez l'installation,
• Faites la [Mise à jours] de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Sauvegarder le rapport et appuyer sur [Supprimer la sélection],

>> Redémarrer si proposé..
► Postez le rapport Malwarebytes. (s'il y a détection)

Très utile/efficace en 2ième ligne de défense.
Aussitôt que l'antivirus de service signal quelque chose ou suite à un ralentissement suspect ..
Toujours précéder un scan d'une mise à jours.

_______________________________________________

Mises à jours Logiciels.
Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Faites les mise à jours proposées par Sumo Lite ou Secunia
• À vérifier aux 30jours.
_______________________________________________

Aucune infection que quelques lignes ou processus non-nécessaire au démarrage du PC.

Plusieurs des processus(processus des lignes 04 -) sont Décochables dans MSConfig -> [Démarrage].

Dans le cas où un objet-registre(processus des lignes 04 -) supprimé est utilisé +-fréquemment. Créer un raccourci sur le bureau, pour une utilisation au besoin !

Relancer HijackThis

• Appuyer sur

,
• Cocher

les lignes suivantes
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur

pour les supprimer.

À cocher.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Au choix - pour une utilisation occasionnelle, vous pouvez placer un raccourci sur le bureau.
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

À cocher.
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

Au choix - XP control panel for VIA Vinyl HD Audio Codecs from VIA Technologies Inc - such as the VT1708B"
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1

À cocher.
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Au choix - Advanced task management utility that picks up where the standard Windows Alt Tab switcher leaves off. It provides the same functionality, and adds visual styles to the dialog and also enhances it by displaying thumbnail preview of the application that will be switched to.
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')

Redémarrer votre PC pour que prennent effet ces suppressions.

_______________________________________________

Nettoyage des fichiers temporaires, Cookies..

CCleaner version Slim : Téléchargement - & - Tutoriel.
• Installer et lancer CCleaner,
• Décochez la mise à jour automatique,
•.Lancez Ccleaner avec l'icône créé sur le bureau,

• Cliquez sur "Option" et -> "Avancé" et Décochez -> Effacer uniquement les fichiers temporaire .. de plus de 48 heures,

• Sélectionnez "Nettoyeur" et cliquez sur --> "Windows", allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du prefetch",

• Sélectionnez le bouton [Analyse].., lorsque complété,
• Cliquer sur [Nettoyage], jusqu’à ce que la fenêtre soit vide.

Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options --> Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du prefetch" dans Nettoyeur -->Windows

Utiliser CCleaner après chaque session sur le net et/ou avant de fermer le PC.
_______________________________________________

P.S.:
Vient de vérifier le téléchargement de ceci, et y avait pas de problème. A pour tâche de lister les fichiers et répertoires créés ou modifiés récents, des endroits sensibles à l'installation d'infections sur un PC.

UsbFix a du le désactiver / réactiver durant son scan !?

Restauration de ligne avec HijackThis.
Si cela était nécessaire.(pour les lignes 04).
• appuyer sur [View the list of backups],
• cocher la/les ligne(s) à restaurer et
• appuyer sur [Restore] à droite.

| Alerter

Répondre à cosmido

job31

Expert Windows

3 Janvier 2010 17:19:27

T'as reformaté ta clé ?

| Alerter

Répondre à job31

hugolinox

3 Janvier 2010 17:45:17

le problème c'est que j'ai plein de truc dessus en ce moment donc ca me gonffle un peu de devoir la reformater. Ce que je sais pas c'est si le virus peut etre contenu dans un des fichier (notament de a musique) ou bien si il est uniquement dans les dossiers cachés.

Si il est que dans les dossier caché, ca poserai un problème de passer l'ensemble du contenu, reformater pour ensuite remettre le contenu ? J'imagine que dans ce cas ca sert a rien. La clé sera de nouveau infectée ?

Sinon tu pense que c'est mon pc ou pas ? sachant que sur un autre pc le message d'erreur s'affiche pas.

| Alerter

Répondre à hugolinox

cosmido

Expert Windows

3 Janvier 2010 21:31:07

bonjour,

Telechargez UsbFix de C_XX & Chiquitine29,

Branchez tout vos périphériques USB externes,

Citation :

Avec Vista :
Lancez UsbFix par un clic-droit >> "Exécuter en tant qu'administrateur"

• Lancez UsbFix
• Sélectionnez l'option 1 – Recherche
>> Laisse le aller, le rapport apparaîtra,

Postez le rapport UsbFix.txt ( C:\UsbFix.txt ).

"Process.exe"; une composante de l'outil, est détecté par certains antivirus.
Il ne s'agit pas d'un virus, mais d'un module d’USBFix. Ignorez toute alerte.
______________________________________________________

Postez le rapport d'HijackThis

Télécharger sur votre bureau ceci.
• Modifier l'extension du fichier .TXT pour .EXE
• Double-cliquer sur ce fichier .EXE
• Au message >> appuyer sur une touche <<,
• Un rapport s'ouvrira à l'écran,

Postez ce rapport.

Si votre antivirus réagit au téléchargement/lancement de "ceci" : Autorisez le.

| Alerter

Répondre à cosmido

hugolinox

4 Janvier 2010 18:18:12

alors comme prévu, le rapport USB FIX :

############################## | UsbFix V6.070 |

User : Administrateur (Administrateurs) # 20B4533760B34AF
Update on 03/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:07:54 | 04/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

C:\ -> Disque fixe local # 29,99 Go (9,05 Go free) # NTFS
D:\ -> Disque fixe local # 435,76 Go (384,94 Go free) [Nouveau nom] # NTFS
E:\ -> Disque CD-ROM # 13,87 Mo (0 Mo free) [AVI Converter] # CDFS
H:\ -> Disque amovible # 1,91 Go (313,06 Mo free) [UDISK 2.0] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 616
C:\WINDOWS\system32\csrss.exe 768
C:\WINDOWS\system32\winlogon.exe 848
C:\WINDOWS\system32\services.exe 908
C:\WINDOWS\system32\lsass.exe 920
C:\WINDOWS\system32\Ati2evxx.exe 1116
C:\WINDOWS\system32\svchost.exe 1136
C:\WINDOWS\system32\svchost.exe 1228
C:\WINDOWS\System32\svchost.exe 1332
C:\WINDOWS\system32\svchost.exe 1512
C:\WINDOWS\system32\Ati2evxx.exe 1584
C:\WINDOWS\system32\ZoneLabs\vsmon.exe 1696
C:\WINDOWS\Explorer.EXE 1928
C:\WINDOWS\system32\spoolsv.exe 472
C:\Program Files\Avira\AntiVir Desktop\sched.exe 516
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1272
C:\WINDOWS\system32\svchost.exe 1320
C:\WINDOWS\System32\alg.exe 824
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 868
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe 1848
C:\WINDOWS\FixCamera.exe 1664
C:\WINDOWS\tsnp2std.exe 1300
C:\WINDOWS\vsnp2std.exe 1876
C:\WINDOWS\system32\ctfmon.exe 2104
C:\Program Files\Mozilla Firefox\firefox.exe 2860
C:\WINDOWS\system32\wuauclt.exe 2348
C:\WINDOWS\system32\wbem\wmiprvse.exe 3692

################## | Elements infectieux |

H:\autorun.inf

################## | Registre |

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{287387d9-7a03-11de-a2ad-002354355b5e}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\..\..\Explorer\MountPoints2\{6764963c-657d-11de-8bb4-000000000000}
Shell\AutoRun\command =Portable applications\PStart.exe

HKCU\..\..\Explorer\MountPoints2\{6c0c20f6-673d-11de-8bd8-002354355b5e}
Shell\AutoRun\command =F:\LaunchU3.exe -a

################## | Cracks > Keygens > Serials |

.....
inutile selon moi =)

################## | ! Fin du rapport # UsbFix V6.070 ! |

Juste une petite question en passant, pk il me dis que mon antivirus est "disable" alors qu'il est activé ?

Ensuite, le Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:27, on 04/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\hijackthi\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ;Tag&rename
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDDF60D0-D832-4550-9E44-22C8B9A3AFF9}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4952 bytes

Pour le "telechargez ceci", la page est introuvable. Donc je sais aps si c indispendable mais moi ca a pas marché.

En passant, si dans le Hijack vous trouvez qq petits truc a virer en plus, faite moi signe.

Voila merci d'avance

| Alerter

Répondre à hugolinox

hugolinox

5 Janvier 2010 17:37:52

Alors voila pour USBfix :

############################ | UsbFix V6.070 |

User : Administrateur (Administrateurs) # 20B4533760B34AF
Update on 03/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:12:33 | 05/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

C:\ -> Disque fixe local # 29,99 Go (9,03 Go free) # NTFS
D:\ -> Disque fixe local # 435,76 Go (384,94 Go free) [Nouveau nom] # NTFS
E:\ -> Disque CD-ROM # 13,87 Mo (0 Mo free) [AVI Converter] # CDFS
H:\ -> Disque amovible # 1,91 Go (313,06 Mo free) [UDISK 2.0] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 616
C:\WINDOWS\system32\csrss.exe 756
C:\WINDOWS\system32\winlogon.exe 836
C:\WINDOWS\system32\services.exe 896
C:\WINDOWS\system32\lsass.exe 908
C:\WINDOWS\system32\Ati2evxx.exe 1104
C:\WINDOWS\system32\svchost.exe 1124
C:\WINDOWS\system32\svchost.exe 1216
C:\WINDOWS\System32\svchost.exe 1320
C:\WINDOWS\system32\svchost.exe 1500
C:\WINDOWS\system32\ZoneLabs\vsmon.exe 1552
C:\WINDOWS\system32\logonui.exe 1560
C:\WINDOWS\system32\Ati2evxx.exe 1592
C:\WINDOWS\Explorer.EXE 1912
C:\WINDOWS\system32\spoolsv.exe 356
C:\Program Files\Avira\AntiVir Desktop\sched.exe 428
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1400
C:\WINDOWS\system32\svchost.exe 1468
C:\WINDOWS\system32\wuauclt.exe 212
C:\WINDOWS\System32\alg.exe 596
C:\WINDOWS\system32\wbem\wmiprvse.exe 760

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-861567501-1788223648-1801674531-500
Supprimé ! D:\Recycler\S-1-5-21-861567501-1788223648-1801674531-500
Supprimé ! H:\autorun.inf

################## | Registre |

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{287387d9-7a03-11de-a2ad-002354355b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6764963c-657d-11de-8bb4-000000000000}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6c0c20f6-673d-11de-8bd8-002354355b5e}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[30/06/2009 14:45|--a------|0] C:\AUTOEXEC.BAT
[30/06/2009 14:45|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[30/06/2009 14:45|-rahs----|0] C:\IO.SYS
[30/06/2009 14:45|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[30/06/2009 13:17|--ah-----|46] C:\splash.idx
[05/01/2010 18:14|--a------|2702] C:\UsbFix.txt
[22/09/2008 14:54|--ah-----|5632] C:\version
[30/06/2009 16:36|-rahs----|211] D:\boot.ini
[24/08/2008 00:53|-rahs----|4952] D:\Bootfont.bin
[24/08/2008 00:53|-rahs----|47564] D:\NTDETECT.COM
[24/08/2008 00:53|-rahs----|252240] D:\ntldr
[20/03/2009 06:49|-r-------|101761] E:\AVI Converter Quick User Guide.pdf
[20/03/2009 03:44|-r-------|14072966] E:\AVI Converter Setup.exe
[29/08/2008 00:41|--ah-----|4096] H:\._.Trashes
[15/12/2009 17:12|--ah-----|15364] H:\.DS_Store
[26/12/2009 20:14|--a------|296] H:\WMPInfo.xml
[25/10/2009 14:25|--ah-----|368] H:\._le_danseur_solitaire.mov
[24/04/2009 10:22|--ah-----|4096] H:\._Fiches_pratiques
[23/12/2008 19:53|--ah-----|82] H:\._Fixe 03.dv
[25/10/2009 15:06|--ah-----|368] H:\._militaire_hippie.mov
[11/09/2009 12:17|--ah-----|4096] H:\._.TemporaryItems
[01/09/2009 15:39|--ah-----|16] H:\.vbt5
[23/12/2008 20:51|--ah-----|82] H:\._Fixe 03.jpg
[06/04/2009 15:51|--ah-----|522461] H:\._Bruitages
[29/12/2008 11:15|--ah-----|82] H:\._Composition 1.mov
[21/09/2009 12:15|--ah-----|4096] H:\._Typo
[29/12/2008 11:22|--ah-----|82] H:\._photosCs2.aep
[25/10/2009 18:51|--ah-----|368] H:\._seq16-17n‚en68.mov
[30/10/2009 00:25|--a------|97620585] H:\dossier prod film2.psd
[05/04/2009 16:12|--ah-----|7886] H:\._-montage l‚o wei.avb
[26/11/2009 16:06|--ah-----|4096] H:\._Electro premix 01.aif
[30/09/2009 12:35|--ah-----|4096] H:\._Proposition de devis.doc
[08/12/2009 15:48|--ah-----|82] H:\._essai kaleido.mov
[30/09/2009 12:35|--ah-----|4096] H:\._00-DocsFreelance
[07/03/2007 19:27|--a------|9593318] H:\04 Im Not.mp3
[17/11/2009 13:21|--ah-----|4096] H:\._DANCing MACHINE.doc
[06/08/2009 11:21|--a------|21315994] H:\01 Piste 01.aif
[17/12/2009 18:26|--ah-----|4096] H:\._01 Piste 01.aif
[15/12/2009 17:41|--ah-----|4096] H:\._10 Love Will Tear Us Apart.mp3

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_20B4533760B34AF.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.070 ! |

voila voila =)

C bon maintenant ? Je peux relancer ma clé en toute sécurité ?

| Alerter

Répondre à hugolinox

cosmido

Expert Windows

5 Janvier 2010 18:10:09

Pour les supports USB c'est correct.

► Postez le rapport Malwarebytes.
..Accessible dans [Rapports/Log]

► Relancer hijackthis et poster un nouveau rapport.

► De bien, serait de poster le rapport du fameux ceci (RapGen.exe).
Je viens de changer l'hébergeur -> pas besoin de le renommer etc.
• Qu'un double-clique..
Oui c'est home made, mais ça fait la job..

| Alerter

Répondre à cosmido

hugolinox

5 Janvier 2010 18:20:01

malware, aucune infection.

le "ceci"
Microsoft Windows XP [version 5.1.2600]
'
------------------------------------------------------
Nombre total d'octets libres : 9707958272

Nombre total d'octets : 32201936896

Nombre total d'octets libres disponibles : 9707958272

------------------------------------------------------
'
'
'
Fic/Rép Cr
'
------------------------------------
Répertoire C:\
------------------------------------
05/01/2010 19:16 415 rapport_11.txt
05/01/2010 19:16 0 rapport_01.txt
05/01/2010 18:38 <REP> RECYCLER
05/01/2010 18:30 5095 UsbFix.txt
05/01/2010 18:15 <REP> UsbFix
05/01/2010 18:14 <REP> autorun.inf
05/01/2010 18:12 3488731136 hiberfil.sys
------------------------------------
Répertoire \AppData
------------------------------------
01/01/2010 17:03 <REP> Malwarebytes
01/09/2009 11:41 <REP> Auslogics
02/08/2009 10:36 <REP> dvdcss
22/07/2009 19:12 <REP> vlc
18/07/2009 16:40 <REP> Nero
------------------------------------
Répertoire \Temp
------------------------------------
05/01/2010 19:16 <REP> ..
05/01/2010 19:16 <REP> 17.tmp
05/01/2010 19:16 <REP> .
05/01/2010 19:16 0 etilqs_v9m5coKKEiIrQVmxOcXg
05/01/2010 19:04 <REP> MessengerCache
05/01/2010 18:31 114688 ~DF4A2.tmp
05/01/2010 18:15 <REP> WPDNSE
02/01/2010 16:28 334001 sept2005-cor-ses-lv1.pdf
12/12/2009 15:54 134199 U3Launcher.log
09/12/2009 12:40 <REP> {79144CC2-54BC-4674-9B40-0AC24872676A}
08/12/2009 20:46 46021 TFR33.tmp
08/12/2009 20:46 10225 TFR30.tmp
08/12/2009 20:46 35574 TFR29.tmp
08/12/2009 20:46 67994 TFR24.tmp
08/12/2009 20:46 32204 TFR20.tmp
08/12/2009 20:46 26241 TFR1C.tmp
08/12/2009 20:46 67560 TFR1B.tmp
08/12/2009 20:46 49200 TFR18.tmp
08/12/2009 20:46 27777 TFR16.tmp
07/12/2009 21:06 <REP> testnsis
27/11/2009 19:58 560640 ~tmp001.tmp
26/11/2009 19:36 243712 ~4F.tmp
24/11/2009 17:24 44032 ~48.tmp
17/11/2009 20:23 81 dw.log
10/11/2009 19:47 243712 ~27.tmp
10/11/2009 19:39 243712 ~95.tmp
01/11/2009 22:28 23427 TFRCB.tmp
01/11/2009 22:28 23262 TFRC9.tmp
01/11/2009 22:28 62753 TFRC5.tmp
01/11/2009 22:28 67994 TFRC1.tmp
01/11/2009 22:28 21122 TFRC0.tmp
01/11/2009 22:28 27777 TFRBD.tmp
01/11/2009 22:28 67560 TFRBB.tmp
01/11/2009 22:28 46021 TFRBA.tmp
19/10/2009 18:32 98304 ~DF34CC.tmp
04/10/2009 14:08 221184 Cli4D.tmp
04/10/2009 14:08 <REP> isp32.tmp
18/09/2009 20:01 65536 drm_dialogs.dll
18/09/2009 18:01 1743 {35CB6715-41F8-4F99-8881-6FC75BF054B0}.mif
10/09/2009 18:29 72192 ~e5.0001
07/09/2009 18:43 28672 DW28.tmp
07/09/2009 18:43 49152 DW26.tmp
07/09/2009 18:43 473920 ins2.tmp
31/08/2009 12:47 <REP> nro.log
12/08/2009 17:57 36278112 wlsetup-cvr.exe
27/07/2009 21:14 35656 DDHZR3PT.htm
27/07/2009 21:14 48879 V8DBGNFJ.htm
21/07/2009 21:21 <REP> {673D7347-6A25-4A00-9CD4-671F77A0577C}
21/07/2009 21:21 <REP> {20B2D490-F8D9-4C68-9057-831BD2969F48}
21/07/2009 20:56 16384 ~DFE68E.tmp
21/07/2009 18:28 12304 etilqs_yJdsPvAN6de8oy8UW02G
21/07/2009 18:22 24600 etilqs_DSEPVwe9p8S98mxcZwaq
21/07/2009 18:13 24600 etilqs_DiDleneSA4CvDsBpjGgH
21/07/2009 11:26 221184 Cli31.tmp
21/07/2009 11:26 <REP> isp16.tmp
21/07/2009 11:25 16384 ~DF107F.tmp
21/07/2009 10:58 98304 ~DF7E5A.tmp
21/07/2009 10:58 <REP> 072109115622
21/07/2009 10:57 71680 GLB25.tmp
21/07/2009 10:56 71680 GLB15.tmp
21/07/2009 10:43 12854 dd_vcredistUI4428.txt
21/07/2009 10:43 520262 dd_vcredistMSI4428.txt
20/07/2009 23:10 32768 ~DFD588.tmp
15/01/2008 09:49 259584 TW_autoskip.exe
31/08/2007 04:12 460248 _isD9.exe
19/06/2007 09:32 920856 wvc1dmo.exe
07/10/2005 10:13 4085904 wmfdist.exe
54 fichier(s) 46844435 octets
13 R‚p(s) 9707937792 octets libres
------------------------------------
Répertoire C:\Program Files
------------------------------------
01/01/2010 17:03 <REP> Malwarebytes' Anti-Malware
26/12/2009 18:27 <REP> AVIConverter
07/12/2009 21:06 <REP> ma-config.com
02/12/2009 15:27 <REP> Steam
06/11/2009 18:17 <REP> Microsoft
------------------------------------
Répertoire \windows\
------------------------------------
05/01/2010 18:04 0 0.log
14/12/2009 21:41 <REP> $NtUninstallKB970430$
14/12/2009 21:41 <REP> $NtUninstallKB974318$
14/12/2009 21:41 <REP> $NtUninstallKB973904$
14/12/2009 21:40 <REP> $NtUninstallKB974392$
14/12/2009 21:40 <REP> $NtUninstallKB971737$
03/12/2009 19:19 <REP> $NtUninstallKB976098-v2$
03/12/2009 19:19 <REP> $NtUninstallKB973687$
13/11/2009 21:49 <REP> $NtUninstallKB958869$
13/11/2009 21:49 <REP> $NtUninstallKB969059$
------------------------------------
Répertoire \windows\prefetch
------------------------------------
03/07/2009 16:37 124278 Layout.ini
30/06/2009 14:54 958402 NTOSBOOT-B00DFAAD.pf
30/06/2009 14:53 <REP> ..
30/06/2009 14:53 <REP> .
2 fichier(s) 1082680 octets
2 R‚p(s) 9707909120 octets libres
------------------------------------
Répertoire \windows\sytem32\
------------------------------------
07/11/2009 12:04 215920 muweb.dll
07/11/2009 12:04 18288 mucltui.dll.mui
07/11/2009 12:04 274288 mucltui.dll
13/09/2009 20:26 <REP> XPSViewer
13/09/2009 20:26 <REP> en-US
13/09/2009 20:25 117760 prntvpt.dll
13/09/2009 20:25 575488 xpsshhdr.dll
13/09/2009 20:25 1676288 xpssvcs.dll
26/07/2009 17:48 5632 ptpusb.dll
26/07/2009 17:48 159232 ptpusd.dll
26/07/2009 16:44 48448 sirenacm.dll
21/07/2009 21:21 54784 vfwwdm32.dll
21/07/2009 21:20 151552 rsnp2std.dll
21/07/2009 21:20 73728 vsnp2std.dll
21/07/2009 21:20 77824 csnp2std.dll
21/07/2009 10:57 4212 zllictbl.dat
21/07/2009 10:57 17808 imslsp_install_loc040c.dll
21/07/2009 10:57 21904 imsinstall_loc040c.dll
21/07/2009 10:57 54672 vsutil_loc040c.dll
21/07/2009 10:57 11264 SpOrder.dll
------------------------------------
Répertoire \windows\sytem32\drivers
------------------------------------
01/01/2010 17:03 38224 mbamswissarmy.sys
01/01/2010 17:03 19160 mbam.sys
26/07/2009 17:48 15104 usbscan.sys
21/07/2009 21:20 25472 sncamd.sys
21/07/2009 21:20 12212864 snp2sxp.sys
21/07/2009 11:21 142052 fidbox.idx
21/07/2009 11:21 11886624 fidbox.dat
21/07/2009 10:57 127768 klif.sys
21/07/2009 10:45 22360 avgntmgr.sys
21/07/2009 10:45 45416 avgntdd.sys
'
'
'
Fic/Rép Md
'
------------------------------------
Répertoire \AppData
------------------------------------
02/01/2010 20:06 <REP> vlc
02/01/2010 19:53 <REP> dvdcss
01/01/2010 17:03 <REP> ..
01/01/2010 17:03 <REP> .
01/01/2010 17:03 <REP> Malwarebytes
------------------------------------
Répertoire \windows\
------------------------------------
05/01/2010 19:16 <REP> Internet Logs
05/01/2010 18:49 <REP> Temp
05/01/2010 18:15 1818453 WindowsUpdate.log
05/01/2010 18:12 0 0.log
05/01/2010 18:12 159 wiadebug.log
05/01/2010 18:12 50 wiaservc.log
05/01/2010 18:12 2048 bootstat.dat
05/01/2010 18:11 32532 SchedLgU.Txt
05/01/2010 18:04 <REP> .
05/01/2010 18:04 <REP> ..
------------------------------------
Répertoire \windows\sytem32\
------------------------------------
05/01/2010 18:12 358382 vsconfig.xml
05/01/2010 18:12 <REP> CatRoot2
05/01/2010 18:12 79008 ativvaxx.cap
04/01/2010 18:47 2184 wpa.dbl
01/01/2010 17:03 <REP> drivers
15/12/2009 18:49 <REP> ..
15/12/2009 18:49 <REP> .
14/12/2009 21:41 <REP> dllcache
14/12/2009 21:41 <REP> fr-fr
09/12/2009 12:40 <REP> ReinstallBackups
09/12/2009 12:38 <REP> CatRoot
09/12/2009 12:31 <REP> config
09/12/2009 12:31 <REP> wbem
03/12/2009 19:19 215464 TZLog.log
02/12/2009 13:33 <REP> Restore
01/12/2009 21:06 25966024 mrt.exe
14/11/2009 19:20 75968 FNTCACHE.DAT
13/11/2009 21:51 438614 perfh009.dat
13/11/2009 21:51 82830 perfc00C.dat
13/11/2009 21:51 69790 perfc009.dat
------------------------------------
Répertoire \windows\sytem32\drivers
------------------------------------
05/01/2010 19:16 11886624 fidbox.dat
05/01/2010 18:11 142052 fidbox.idx
01/01/2010 17:03 <REP> ..
01/01/2010 17:03 <REP> .
30/12/2009 14:55 38224 mbamswissarmy.sys
30/12/2009 14:54 19160 mbam.sys
10/12/2009 22:12 56816 avgntflt.sys
07/12/2009 19:28 <REP> etc
20/10/2009 17:20 265728 http.sys
21/07/2009 10:54 28520 ssmdrv.sys

Je me demandais, c quel type d'infos ca ? Comment savoir si il y a qqch de confidentiel ou autre ?

et enfin hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:27, on 05/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Administrateur\Bureau\hijackthi\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ;Tag&rename
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDDF60D0-D832-4550-9E44-22C8B9A3AFF9}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4632 bytes

| Alerter

Répondre à hugolinox

cosmido

Expert Windows

5 Janvier 2010 18:34:46

Citation :

Comment savoir si il y a qqch de confidentiel ou autre ?

Fic/Rép Cr = que les plus récents Fichiers et répertoires créés,
Fic/Rép Md = que les plus récents Fichiers et répertoires modifiés,
Pour les mêmes répertoires qui sont entre ----------

Vous n'avez supprimé aucune des lignes 04 proposées.
Pas très grave, selon que vous ayez 500Mo ou 3Go.. de RAM

Vous ne devriez pas utiliser le compte Administrateur ou y mettre quoique ce soit.

| Alerter

Répondre à cosmido

hugolinox

5 Janvier 2010 18:45:42

Merci beaucoup de ton aide. je t'envoi un message en Pv a propos du compte admin

| Alerter

Répondre à hugolinox

Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Contenus similaires :

Tags :