Salut.
A chaque fois que je branche une clé USB sur un PC, un virus est détecté (VBS) (peu importe la clé USB, j’ai même essayé avec une toute neuve n’ayant pas encore été utilisé !!)
Sur les différentes clé USB apparaît une image JPEG du nom de Winfile qu’il est impossible de supprime!!.
Qu’est ce vous en penser ?
Merci.
Bonjour,
Consulte je te prie la procédure préliminaire du forum.
Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonjour.Envoyé par yoda1234
Voici la piece jointe:
Salut,
c'est pas vraiment les rapports demandés par yoda1234...
Télécharge et installe >UsbFix< de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC : clé USB, disque dur externe,etc
susceptible d'avoir été infectés mais sans les ouvrir
- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 1 ( Recherche )
- Laisse travailler l'outil.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )
Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus (AntiVir, Dr.Web,
Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus,mais d'un utilitaire destiné à mettre fin à des processus.
J’ai téléchargé ATF-Cleaner d'Atribune mais impossible de l’exécuter !!
Pour celui-ci, je n’ai pas pu le télécharger.
A+
tente de le télécharger ici:
http://www.sendspace.com/file/pv3553
Merci,la c’est bon.
Toujours tes sources de données externes branchées à ton PC
# Double clique sur le raccourci UsbFix présent sur ton Bureau
# choisis l'option 2 ( Suppression )
# Ton bureau va disparaitre et le pc redémarrera,c'est normal.
# Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
# A la fin poste le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Ensuite tu peux changer d'antivirus,>>>>AntiVir<<<< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.Si tu changes d'av ce qui est souhaitable
désinstalle avast avant l'installation d'AntiVir. Configure-le comme sur le tuto puis fais un scan.
S'il détecte un problème poste le rapport.
Merci beaucoup b marlow, apparemment mes clé USB ne sème plus la panique.
Voici les rapports :
A+
ne télécharge plus ce programme il est piégé Speed-Downloading
il contient un adware. n plus c'est la copie d'un programme que tu peux télécharger
et qui lui est tout à fait innocent http://www.freedownloadmanager.org/download.htm
il est en français, très bon gestionnaire de téléchargement.
Se méfier des programmes piégés.
tu trouveras dans ce sujet comment poster un rapport RSIT, applique la procédure et poste
les rapports pour contrôle.
Oui je l’ai supprimé tout à l’heure.
Je n’ai eu qu’un seul fichier!! : pas de info.txt (tous comme lors de mon premier rapport)?
Ps:Merci pour le site
Télécharge >>OTM<< (de Old_Timer) sur ton Bureau
Double-clique sur OTM.exe pour le lancer.
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone puis choisir Coller.Code:FS :Reg [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\System32\40.scr"=- "C:\WINDOWS\System32\23.scr"=- "C:\WINDOWS\System32\58.scr"=- "C:\WINDOWS\System32\14.scr"=- "C:\WINDOWS\System32\54.scr"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SweetIM"=- :Files C:\Program Files\SweetIM C:\Documents and Settings\All Users\Application Data\SweetIM C:\WINDOWS\System32\40.scr C:\WINDOWS\System32\23.scr C:\WINDOWS\System32\58.scr C:\WINDOWS\System32\14.scr C:\WINDOWS\System32\54.scr :Commands [purity] [emptytemp] [Reboot]
Cliquer sur le bouton rouge Moveit!
Fermer OTMoveIt3
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_*** ***.log
NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.
J’ai essayé à deux reprises : aprés avoir cliquer sur moveit le bureau disparaît,’j’ai laissé tourner pendant une vingtaine de minute mais rien ne se passe !!!
Dernière modification par yoda1234 ; 24/06/2009 à 22h45. Motif: Suppression citation inutile
redémarre ton ordi après la manip même si tu n'as pas de message de reboot
de la par de OTM.
Oui, c’est ce que j’ai fait.
Le problème c’est qu’il n y a pas de rapport...
Tu avais commencé ton sujet en utilisant Combofix, nous allons l'utiliser en lieu et place de OTM.
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.Code:Registry:: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\System32\40.scr"=- "C:\WINDOWS\System32\23.scr"=- "C:\WINDOWS\System32\58.scr"=- "C:\WINDOWS\System32\14.scr"=- "C:\WINDOWS\System32\54.scr"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SweetIM"=- Folder:: C:\Program Files\SweetIM C:\Documents and Settings\All Users\Application Data\SweetIM File:: C:\WINDOWS\System32\40.scr C:\WINDOWS\System32\23.scr C:\WINDOWS\System32\58.scr C:\WINDOWS\System32\14.scr C:\WINDOWS\System32\54.scr
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.
Non, non ce n’est pas le cas, mais bon j’ai pu le trouver en fouinant sur le forum.
Voici le rapport.
De bonnes nouvelles ?
si tu as déjà utilisé ComboFix, pour t'en souvenir vois le rapport qu'il y a en message 3 (plus haut)
Affiche les fichiers cachés:
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher « Afficher les dossiers et fichiers cachés »,
- décocher « Masquer les extensions des fichiers dont le type est connu ».
- décocher « Masquer les fichiers protégés du système d'exploitation (recommandé) »
« appliquer » et « ok » .
Supprime ce dossier en gras:
c:\documents and settings\Administrateur\Applic ation Data\EoRezo
à savoir sur Eorezo et d'autres logiciels à pubs http://b.marlow.free.fr/programmes_pieges_.html
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU) sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt
On finira avec un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :
Poste le rapport final après l'avoir enregistré en html.
Impossible de supprimer cette sensu d’Eorezo (accès refusé).
Je n’ai pas pu joindre le rapport du Bitdefender : on me dit que le fichier est non valide, mais aucun virus n’a été trouvé.
...
PS:Est-ce que je peux utiliser (seul) en toute quiétude les nettoyeurs et Anti-malwares se trouvant sur ton site ?
oui tu peux utiliser tous les tools que tu vois sur le site ainsi que les prochains.
le seul tool à manipuler avec précaution c'est Killbox car c'est un outil spécial
"élimination de fichiers récalcitrant".
Ok.
Et bien un grand grand merci pour ton aide et ton investissement b marlow
