Virus créant des raccourcis

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Virus créant des raccourcis

Messagepar hakim » 16 Fév 2013 11:35

Bonjour à tous les membres du forum et merci d'avance pour l'attention que vous accordez à mon sujet .
Mon PC est infecté par un virus qui transforme mes fichiers en raccourcis.
Lorsque je branche n'importe quel disque amovible, tous les fichiers qu'il contient deviennent cachés et leurs raccourcis se créent ! La source est donc mon pc portable !
J'ai fais un scan de mes disques durs avec mon anitivirus, qui est à jour , mais il ne detecte rien !!!
Merci d'avance pour votre aide.
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar nardino » 17 Fév 2013 10:05

Bonjour

Pour faire un premier diagnostic, applique cette procédure :
Image AdwCleanerV2 de Xplode sur ton bureau

Image Lance l'outil en cliquant sur AdwCleanerV2.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
Image Clique sur le bouton Suppression

Image

Un message t'informe que toutes les applications vont être fermées, valide par OK pour continuer.

Image

Une fois le scan terminé, une fenêtre d'informations va s'ouvrir. Lis bien son contenu.

Image

Le pc va redémarrer. Valide par OK

Image

Image Poste le rapport qui s'ouvre après le redémarrage de l'ordinateur.
Il sera enregistré sous C:\AdwCleaner[S1].txt

Image

Image Malwarebytes Anti-Malware

Image Double-clique sur le fichier mbam-setup-1.65.1.1000.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées :
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware
La troisième est optionnelle pour découvrir la version commerciale pendant un mois.
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image Exécuter un examen rapide, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Image ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur le lien.

ImageUne fois téléchargé, clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Laisse coché Installer une icône sur le bureau quand cela te sera proposé.

Image Lance ZHPDiag en cliquant sur l'icône ZHPDiag affichée sur le bureau
Image

Sous Vista, Windows 7 et Windows 8, clique sur OK sur la fenêtre suivante
Image

Image Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous
3 : Clique sur L'icône Loupe pour lancer le scan

Image

Sous Vista , Windows 7 et 8, avec le contrôle des comptes d'utilisateur activé, le programme va redémarrer avec l'élévation automatique des privilèges. Recommence les trois opérations ci-dessus.
Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%.

Image

Image

4 : Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau.

Image

Image Tu l'héberges sur Cjoint en cochant 21 jours dans la ligne Et pour quelle durée ?
Tu me communiques le lien obtenu dans ta réponse.
Explications pour Cjoint

Deux tutos si nécessaire.
ZHPDiag
Cjoint

Si besoin est, nous ferons appel à d'autres outils.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Virus créant des raccourcis

Messagepar hakim » 17 Fév 2013 13:33

Merci tout d'abord pour votre réponse .
Voici le rapport obtenu en utlisant adwcleaner.
NB: le lien que vous m'avez donné est celui du adwcleaner0 et non pas adwcleanerV2 , mais je l'ai utilisé.


# AdwCleaner v2.112 - Rapport créé le 17/02/2013 à 13:20:30
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 8 Pro with Media Center (32 bits)
# Nom d'utilisateur : hakim - PC-HAKIM
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\hakim\Desktop\adwcleaner0.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\hakim\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfloeibahpfkdblkhkmjmfiipeodnlhd
Dossier Supprimé : C:\Users\hakim\AppData\LocalLow\Conduit

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Ask.com.tmp
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\jfloeibahpfkdblkhkmjmfiipeodnlhd
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jfloeibahpfkdblkhkmjmfiipeodnlhd

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16453

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\hakim\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [354 octets] - [17/02/2013 13:19:34]
AdwCleaner[S2].txt - [1343 octets] - [17/02/2013 13:20:30]

########## EOF - C:\AdwCleaner[S2].txt - [1403 octets] ##########
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar hakim » 17 Fév 2013 13:53

Rapport du Malwarebytes :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.17.02

Windows 8 x86 NTFS
Internet Explorer 10.0.9200.16484
hakim :: PC-HAKIM [administrateur]

Protection: Activé

17/02/2013 13:41:28
mbam-log-2013-02-17 (13-41-28).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 203104
Temps écoulé: 9 minute(s), 24 seconde(s)

Processus mémoire détecté(s): 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 628 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Suppression au redémarrage.

(fin)
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar hakim » 17 Fév 2013 14:00

Pour le ZHPDiag , windows bloque l'instalation !! Comment faire ?
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar nardino » 17 Fév 2013 17:39

Bonjour,
Essaie en mode sans échec.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Virus créant des raccourcis

Messagepar hakim » 23 Fév 2013 17:04

Désolé pour le retard, j'étais en voyage et j'ai laissé mon pc !!
Voici le lien pour le rapport de ZHp Diag
http://cjoint.com/data/0Bxq7hfccBi.htm
J'ai 2 petites questions en fait ,
Mon pc est il maintenant désinfecté ?
Comment faire pour ne pas avoir ce virus encore une fois au cas ou j'insere une clé qui est infectée , surtout que j'utilise windows 8 et celui ouvre automatiquement les disques amovibles une fois qu'ils sont insérés ?
Merci
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar nardino » 23 Fév 2013 17:36

Bonjour,
Image
Télécharge et installe UsbFix de El Desaparecido & C_XX

Image Désactive provisoirement l'UAC
-Vista
-Sept
Branche clé USB, disque dur externe.

Image Clic droit sur l'icône UsbFix sur ton bureau et Exécuter en tant qu'administrateur.

Image

Choisis l’option en gras
Recherche - Suppression - Listing - Vacciner - Désinstaller - Otions - Quitter

Image

Image A la fin du scan, poste le rapport UsbFix.txt qui va s'ouvrir.
Il sera enregistré ici : C:\UsbFix.txt

Remarque.
"Process.exe", un composant de l’outil, est détecté par certains antivirus comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
Cet utilitaire pourrait arrêter des logiciels de sécurité d’où l’alerte émise par ces antivirus.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Virus créant des raccourcis

Messagepar hakim » 23 Fév 2013 18:54

Usb FIx s'est bloqué à 14% pendant plus que 20 min, j'ai donc annulé la suppression !! Est-ce normal ??
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar nardino » 23 Fév 2013 21:16

Bonsoir,
Relance-le par le bouton Recherche et poste le rapport.
Au besoin en mode sans échec.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Virus créant des raccourcis

Messagepar hakim » 23 Fév 2013 22:20

Voici le rapport obtenu avec Usb Fix :

############################## | UsbFix V 7.109 | [Recherche]

Utilisateur: hakim (Administrateur) # PC-HAKIM
Mis à jour le 22/02/2013 par El Desaparecido
Lancé à 21:15:23 | 23/02/2013

Site Web: http://sosvirus.org/index.php
Contact: contact@sosvirus.org

PC: Hewlett-Packard (HP Pavilion dv6 Notebook PC) (X86-based PC)
CPU: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz (1600)
RAM -> [Total : 3006 | Free : 1346]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows 8 Professionnel avec Media Center (6.2.9200 32-Bit) #
WB: Windows Internet Explorer 9.10.9200.16484

SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AV: Windows Defender [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 78 Go (37 Go libre(s) - 48%) [] # NTFS
D:\ -> Disque fixe # 34 Go (12 Go libre(s) - 37%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [] # NTFS
I:\ -> Disque amovible # 4 Go (4 Go libre(s) - 99%) [] # NTFS
J:\ -> Disque fixe # 466 Go (47 Go libre(s) - 10%) [] # NTFS
K:\ -> Disque fixe # 298 Go (6 Go libre(s) - 2%) [MEMUP 320GB] # NTFS

################## | Processus Actif |

C:\WINDOWS\system32\csrss.exe (472)
C:\WINDOWS\system32\wininit.exe (572)
C:\WINDOWS\system32\csrss.exe (580)
C:\WINDOWS\system32\winlogon.exe (636)
C:\WINDOWS\system32\services.exe (660)
C:\WINDOWS\system32\lsass.exe (668)
C:\WINDOWS\system32\svchost.exe (784)
C:\WINDOWS\system32\svchost.exe (840)
C:\WINDOWS\System32\svchost.exe (888)
C:\WINDOWS\system32\dwm.exe (924)
C:\WINDOWS\system32\svchost.exe (956)
C:\WINDOWS\system32\svchost.exe (1016)
C:\WINDOWS\System32\svchost.exe (1068)
C:\Program Files\Classic Shell\ClassicShellService.exe (1188)
C:\WINDOWS\system32\Hpservice.exe (1208)
C:\WINDOWS\system32\svchost.exe (1252)
C:\WINDOWS\system32\svchost.exe (1280)
C:\WINDOWS\System32\spoolsv.exe (1860)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1968)
C:\Program Files\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe (2028)
C:\WINDOWS\system32\dashost.exe (432)
C:\ProgramData\DatacardService\HWDeviceService.exe (436)
C:\ProgramData\Internet Mobile+\OnlineUpdate\ouc.exe (972)
C:\ProgramData\Internet Mobile\OnlineUpdate\ouc.exe (1204)
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (912)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (1836)
C:\ProgramData\Modem HDM EC156\OnlineUpdate\ouc.exe (1944)
C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe (2000)
C:\WINDOWS\system32\svchost.exe (1416)
C:\WINDOWS\system32\svchost.exe (2064)
C:\Program Files\Windows Defender\MsMpEng.exe (2236)
C:\WINDOWS\system32\taskhostex.exe (2948)
C:\Program Files\Classic Shell\ClassicStartMenu.exe (3504)
C:\WINDOWS\system32\svchost.exe (3556)
C:\WINDOWS\Explorer.EXE (3724)
C:\WINDOWS\system32\svchost.exe (4080)
C:\ProgramData\DatacardService\DCSHelper.exe (2996)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (3736)
C:\WINDOWS\system32\SearchIndexer.exe (3932)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2692)
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (4448)
C:\Program Files\Adobe\Acrobat 10.0\Acrobat\acrotray.exe (4672)
C:\Program Files\Real\RealPlayer\Update\realsched.exe (5084)
C:\Program Files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (5356)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (5792)
C:\Program Files\Athan\Athan.exe (5872)
C:\Program Files\BitTorrent\BitTorrent.exe (6124)
C:\Program Files\DAEMON Tools Lite\DTLite.exe (5072)
C:\Users\hakim\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (5240)
C:\Program Files\Skype\Phone\Skype.exe (5480)
C:\WINDOWS\system32\wwahost.exe (5172)
C:\Windows\System32\RuntimeBroker.exe (4764)
C:\Windows\System32\WUDFHost.exe (3200)
C:\Program Files\Google\Chrome\Application\chrome.exe (4536)
C:\Program Files\Google\Chrome\Application\chrome.exe (7888)
C:\Program Files\Google\Chrome\Application\chrome.exe (3460)
C:\Program Files\Google\Chrome\Application\chrome.exe (5292)
C:\Program Files\Google\Chrome\Application\chrome.exe (2272)
C:\Program Files\Google\Chrome\Application\chrome.exe (4516)
C:\Program Files\Google\Chrome\Application\chrome.exe (3404)
C:\Program Files\Google\Chrome\Application\chrome.exe (4316)
C:\Program Files\Google\Chrome\Application\chrome.exe (6212)
C:\Program Files\Google\Chrome\Application\chrome.exe (140)
C:\Program Files\Google\Chrome\Application\chrome.exe (5280)
C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe (2296)
C:\Program Files\Google\Chrome\Application\chrome.exe (7132)
C:\Program Files\Google\Chrome\Application\chrome.exe (6576)
C:\Program Files\Google\Chrome\Application\chrome.exe (3028)
C:\Program Files\Google\Chrome\Application\chrome.exe (7456)
C:\Program Files\Google\Chrome\Application\chrome.exe (6768)
C:\Program Files\Google\Chrome\Application\chrome.exe (6648)
C:\Program Files\Google\Chrome\Application\chrome.exe (5464)
C:\Program Files\Windows Media Player\wmplayer.exe (7784)
\\?\C:\WINDOWS\system32\wbem\WMIADAP.EXE (5424)
C:\WINDOWS\system32\wbem\wmiprvse.exe (7736)
C:\UsbFix\Go.exe (7012)
C:\WINDOWS\system32\wbem\wmiprvse.exe (4700)

################## | Éléments infectieux |

Présent! D:\VulcainSetup.exe

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Serviecs.vbs

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\H
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{27bf9821-371d-11e2-afa0-c80aa9e92dde}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{27bf98d8-371d-11e2-afa0-c80aa9e92dde}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{27bf9aa9-371d-11e2-afa0-001e101fcb58}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{27bf9b97-371d-11e2-afa0-001e101fcb58}
Shell\AutoRun\Command = "J:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{27bf9d0c-371d-11e2-afa0-001e101fcb58}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{27bfa24b-371d-11e2-afa0-001e101fcb58}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{53b49304-6990-11e2-afb3-c80aa9e92dde}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{53b4a846-6990-11e2-afb3-001e101f5f2e}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{53b4b2c1-6990-11e2-afb3-001e101f5f2e}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{838fd13c-3c8f-11e2-afa5-c80aa9e92dde}
Shell\AutoRun\Command = "I:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{a94491e3-5d9f-11e2-afaf-c80aa9e92dde}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{ba5cb924-65eb-11e2-afb2-c80aa9e92dde}
Shell\AutoRun\Command = "J:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{cb9495ae-74ae-11e2-afba-c80aa9e92dde}
Shell\AutoRun\Command = "J:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{e06cdf2b-73e2-11e2-afba-c80aa9e92dde}
Shell\AutoRun\Command = "H:\AutoRun.exe"

HKCU\.\.\.\.\Explorer\MountPoints2\{e06ce90c-73e2-11e2-afba-c80aa9e92dde}
Shell\AutoRun\Command = "J:\AutoRun.exe"



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://sosvirus.org |
hakim
 
Messages: 7
Inscription: 16 Fév 2013 11:28

Re: Virus créant des raccourcis

Messagepar nardino » 23 Fév 2013 23:47

Bonsoir,
Branche tous tes disques et clés USB et relance UBFix par suppression avec les droits administrateurs.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
cron