Discussion :

[Dyna17]

Bonjour

J'ai essayé le script programmé par kackoofr pour les virus raccourcis, en le copiant dans mon disque dur et l'exécutant, il me donnait le numéro de série de l'USB mais il ne supprime pas le virus!

une autre question, ou est ce qu'il est placé ce virus car j'ai formaté le flash disque sur un PC où je ne vois pas de raccourcis mais quand même dès que je place la clès dans mon pc de bureau il me rend tout en raccourcis éxécutables.


En fait après un certain moment j'ai une fenètre : Windows Script Host

qui me signale une erreur

Ligne 43
caract 1
erreur : permission refusé
cosde 800A0046
source erreur d'exécustion VBscipt


et par moment mon ordi s'éteint tout seul!!

A l'aide svp

et merci pour l'effort que vous avez fait en programmant ce script ça vient sûrement d'un grand esprit


Dyna

[hackoofr]

exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans votre prochaine réponse

[blue2]

En fait après un certain moment j'ai une fenètre : Windows Script Host
qui me signale une erreur
Ligne 43
caract 1
erreur : permission refusé
cosde 800A0046
source erreur d'exécustion VBscipt

Bloqué ! Peut-être parce qu'une protection (genre XP-antispy ou antivirus) désactive Windows Script Host.
PAr contre un .vbs qui cherche à être lancé, n'est certainement pas qu'une coïncidence. Une recherche d'infection devrait être faite.

.. ou est ce qu'il est placé ce virus car j'ai formaté le flash disque sur un PC où je ne vois pas de raccourcis mais quand même dès que je place la clès dans mon pc de bureau il me rend tout en raccourcis éxécutables.

Peut-être une modif d'un CLSID qui référence le support ?

En tout cas. RogueKiller qui commence à toucher un peu à tout, dont l'option [Racc. RAZ] pourrait être utile. Et/ou USBFix peut-être plus spécialisé avec les problèmes de supports USB "impliquant entre autre les modif de rép. ou en raccourci etc." Devraient être utile pour participer à fixer le problème.

En plus de lister les processus chargés "proposé par hackoofr". Ils rapporteraient tout ce qu'ils y a de fichiers/rép. suspects, ainsi que de modifications appliquées au registre, pour des fonctions de Windows, susceptibles d'avoir été détournées au profit de l'infection.

[hackoofr]

Bloqué ! Peut-être parce qu'une protection (genre XP-antispy ou antivirus) désactive Windows Script Host.
PAr contre un .vbs qui cherche à être lancé, n'est certainement pas qu'une coïncidence. Une recherche d'infection devrait être faite.

Effectivement blue2 votre raisonnement est très probable car il reste des traces et des résidus de ce Virus voir même plusieurs catégories de virus qui résident encore dans la base de registre mais il a été bloqué par un Antivirus
Donc il faut aussi nettoyer la base de registre,mais il faut attendre que Dyna17 nous poste le rapport pour confirmer

[Dyna17]

Bonjour à vous deux

Je suis vraiemebnt désolée pour ce retard, j'ai droit à une grippe bien dûre

Voilà comme je suis une grande victime de l'informatique j'ai eu de problème pour rentrer ici et vous répondre. Je jongle entre trois ordinateurs +1. Deux portable perso et deux pc de bureau ( au travail )

Les résultats ne pas identique :

1) Pour l'ancien script shortcutremover.vbs j'ai réussis quand même à l'éxcuter sur un Portable Asus\Windows vista, il a bien supprimé les raccourcis du falsh disque mais dès que j'ai placé le flash disque dans mon autre portable PackBell Win7 j'ai vu encore une fois les raccourcis. L'asus ne voulait plus le supprimer comme la première fois.

2) Pour le nouveau script, il ne s'éxue pas sur l'Asus mais il fonctionne sur le packBell je vais vous mettre le rapport ci dessous, il s'éxécutait aussi sur le pc de bureau Win Xp au travail mais je n'ai pas copié le rapport et j'étais en arrêt maladie .

3)Mon quatrième Pc au travail, je n'ai presque pas le temps d'éxéuter il s'éteint tous les 10 minutes...


Je sais que je suis une catastrophe pour vous mais désoléee ....


[COLOR="rgb(255, 0, 255)"] --RAPPORT D EXECUTION DE ListProcessCmdLine.VBS ----[/COLOR]

% ASUS Windows Vista
---------------

Windows Script Host :

Ligne : 10
caract: 1
Erreur: permission refusée
Code : 800A0046
sOURCE / Erreur d'excéxution MS VBS


[COLOR="rgb(255, 0, 255)"]
% PACK-BELL Windows 7
---------------[/COLOR]

BIOS DELL - 1

Nom de l'ordinateur : DYNA-PC
Fabriquant: Packard Bell
Modèle : EasyNote TM98

Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk0\Partition1
Version 6.1.7600
Service Pack 0.0
Dossier de Windows: C:\Windows

**************Liste des Processus en cours d'exécution le 25/09/2012 à 00:00:27 sur Le PC DYNA-PC connecté en tant que DYNA**************
********************************************************************************
Numéro PID = 0
Nom du Processus = System Idle Process
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4
Nom du Processus = System
Ligne de Commande =
****************************************************************************************************
Numéro PID = 348
Nom du Processus = smss.exe
Ligne de Commande = \SystemRoot\System32\smss.exe
****************************************************************************************************
Numéro PID = 432
Nom du Processus = csrss.exe
Ligne de Commande = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
****************************************************************************************************
Numéro PID = 480
Nom du Processus = wininit.exe
Ligne de Commande = wininit.exe
****************************************************************************************************
Numéro PID = 496
Nom du Processus = csrss.exe
Ligne de Commande = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
****************************************************************************************************
Numéro PID = 536
Nom du Processus = services.exe
Ligne de Commande = C:\Windows\system32\services.exe
****************************************************************************************************
Numéro PID = 560
Nom du Processus = winlogon.exe
Ligne de Commande = winlogon.exe
****************************************************************************************************
Numéro PID = 568
Nom du Processus = lsass.exe
Ligne de Commande = C:\Windows\system32\lsass.exe
****************************************************************************************************
Numéro PID = 576
Nom du Processus = lsm.exe
Ligne de Commande = C:\Windows\system32\lsm.exe
****************************************************************************************************
Numéro PID = 700
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k DcomLaunch
****************************************************************************************************
Numéro PID = 788
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k RPCSS
****************************************************************************************************
Numéro PID = 872
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
****************************************************************************************************
Numéro PID = 912
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
****************************************************************************************************
Numéro PID = 952
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k netsvcs
****************************************************************************************************
Numéro PID = 1132
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k LocalService
****************************************************************************************************
Numéro PID = 1264
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k NetworkService
****************************************************************************************************
Numéro PID = 1336
Nom du Processus = AvastSvc.exe
Ligne de Commande = "C:\Program Files\AVAST Software\Avast\AvastSvc.exe"
****************************************************************************************************
Numéro PID = 1504
Nom du Processus = spoolsv.exe
Ligne de Commande = C:\Windows\System32\spoolsv.exe
****************************************************************************************************
Numéro PID = 1536
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
****************************************************************************************************
Numéro PID = 1828
Nom du Processus = WLIDSVC.EXE
Ligne de Commande = "C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE"
****************************************************************************************************
Numéro PID = 1964
Nom du Processus = WLIDSVCM.EXE
Ligne de Commande = WLIDSvcM.exe 1828
****************************************************************************************************
Numéro PID = 2404
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
****************************************************************************************************
Numéro PID = 2512
Nom du Processus = mbamservice.exe
Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe"
****************************************************************************************************
Numéro PID = 2572
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\System32\svchost.exe -k secsvcs
****************************************************************************************************
Numéro PID = 2616
Nom du Processus = SearchIndexer.exe
Ligne de Commande = C:\Windows\system32\SearchIndexer.exe /Embedding
****************************************************************************************************
Numéro PID = 3276
Nom du Processus = dwm.exe
Ligne de Commande = "C:\Windows\system32\Dwm.exe"
****************************************************************************************************
Numéro PID = 3300
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\Explorer.EXE
****************************************************************************************************
Numéro PID = 3316
Nom du Processus = taskhost.exe
Ligne de Commande = "taskhost.exe"
****************************************************************************************************
Numéro PID = 3476
Nom du Processus = VideoWebCamera.exe
Ligne de Commande = "C:\Program Files\VideoWebCamera\VideoWebCamera.exe" -a
****************************************************************************************************
Numéro PID = 3508
Nom du Processus = PLFSetI.exe
Ligne de Commande = "C:\Windows\PLFSetI.exe"
****************************************************************************************************
Numéro PID = 3544
Nom du Processus = acrotray.exe
Ligne de Commande = "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe"
****************************************************************************************************
Numéro PID = 3572
Nom du Processus = AvastUI.exe
Ligne de Commande = "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
****************************************************************************************************
Numéro PID = 3580
Nom du Processus = mbamgui.exe
Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
****************************************************************************************************
Numéro PID = 3588
Nom du Processus = jusched.exe
Ligne de Commande = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
****************************************************************************************************
Numéro PID = 3596
Nom du Processus = sidebar.exe
Ligne de Commande = "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
****************************************************************************************************
Numéro PID = 3880
Nom du Processus = Little transparency.exe
Ligne de Commande = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Little transparency.exe"
****************************************************************************************************
Numéro PID = 3888
Nom du Processus = SSScheduler.exe
Ligne de Commande = "C:\Program Files\McAfee Security Scan\3.0.207\SSScheduler.exe"
****************************************************************************************************
Numéro PID = 3896
Nom du Processus = RocketDock.exe
Ligne de Commande = "C:\Program Files\RocketDock\RocketDock.exe"
****************************************************************************************************
Numéro PID = 3928
Nom du Processus = wuauclt.exe
Ligne de Commande = "C:\Windows\system32\wuauclt.exe"
****************************************************************************************************
Numéro PID = 2200
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
****************************************************************************************************
Numéro PID = 2932
Nom du Processus = wmpnetwk.exe
Ligne de Commande = "C:\Program Files\Windows Media Player\wmpnetwk.exe"
****************************************************************************************************
Numéro PID = 1404
Nom du Processus = jucheck.exe
Ligne de Commande = "C:\Program Files\Common Files\Java\Java Update\jucheck.exe" -auto -scheduled -critical
****************************************************************************************************
Numéro PID = 3456
Nom du Processus = svchost.exe
Ligne de Commande = C:\Windows\system32\svchost.exe -k imgsvc
****************************************************************************************************
Numéro PID = 5724
Nom du Processus = agcp.exe
Ligne de Commande = agcp.exe 4692 844
****************************************************************************************************
Numéro PID = 2896
Nom du Processus = YahooMessenger.exe
Ligne de Commande = "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" /CookieProxy
****************************************************************************************************
Numéro PID = 1036
Nom du Processus = Ymsgr_tray.exe
Ligne de Commande = "C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe" "C:\Program Files\Yahoo!\Messenger\resources\fr-FR\
****************************************************************************************************
Numéro PID = 5776
Nom du Processus = Acrobat.exe
Ligne de Commande = "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe" "C:\Users\DYNA\Downloads\NYA_XXI_Chap 4.9La conservation du moment cinétique.pdf"
****************************************************************************************************
Numéro PID = 5396
Nom du Processus = FNPLicensingService.exe
Ligne de Commande = "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
****************************************************************************************************
Numéro PID = 3244
Nom du Processus = CTRL+ALT+N & CTRL+ALT+M.exe
Ligne de Commande = "C:\Users\Public\Desktop\Extra\Visuel\Bureau\CTRL+ALT+N & CTRL+ALT+M.exe"
****************************************************************************************************
Numéro PID = 3048
Nom du Processus = audiodg.exe
Ligne de Commande =
****************************************************************************************************
Numéro PID = 2384
Nom du Processus = taskeng.exe
Ligne de Commande = taskeng.exe {5A62C660-05CD-4D90-83F9-F9E8562B64F6}
****************************************************************************************************
Numéro PID = 5212
Nom du Processus = prevhost.exe
Ligne de Commande = C:\Windows\system32\prevhost.exe {914FEED8-267A-4BAA-B8AA-21E233792679} -Embedding
****************************************************************************************************
Numéro PID = 1248
Nom du Processus = prevhost.exe
Ligne de Commande = C:\Windows\system32\prevhost.exe {DC6EFB56-9CFA-464D-8880-44885D7DC193} -Embedding
****************************************************************************************************
Numéro PID = 5784
Nom du Processus = WINWORD.EXE
Ligne de Commande = C:\PROGRA~1\MICROS~3\Office12\WINWORD.EXE -Embedding
****************************************************************************************************
Numéro PID = 4376
Nom du Processus = SearchProtocolHost.exe
Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe107_ Global\UsGthrCtrlFltPipeMssGthrPipe107 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
****************************************************************************************************
Numéro PID = 3416
Nom du Processus = taskeng.exe
Ligne de Commande = taskeng.exe {2C7763E1-9A5E-4E10-B700-16BBF3DA7533}
****************************************************************************************************
Numéro PID = 2628
Nom du Processus = WUDFHost.exe
Ligne de Commande = "C:\Windows\system32\WUDFHost.exe" -HostGUID:{193a1820-d9ac-4997-8c55-be817523f6aa} -IoEventPortName:HostProcess-a858b23b-56bd-4fd6-85b9-e1b0b7ffbea8 -SystemEventPortName:HostProcess-b2960404-0569-4237-914a-a6af7e60fe9e -IoCancelEventPortName:HostProcess-0f3dbd7d-7785-4e96-a777-9f8f0b0d779f -NonStateChangingEventPortName:HostProcess-2b44727b-11f6-4165-9ecb-836d302e4a89 -ServiceSID:S-1-5-80-2652678385-582572993-1835434367-1344795993-749280709 -LifetimeId:8c0ecd61-c91e-44a7-9992-55a23f5b2a80
****************************************************************************************************
Numéro PID = 4448
Nom du Processus = mcuicnt.exe
Ligne de Commande = "C:\Program Files\McAfee Security Scan\3.0.207\McUicnt.exe" SecurityScanner.dll /auto /nosplash
****************************************************************************************************
Numéro PID = 5616
Nom du Processus = osk.exe
Ligne de Commande = "C:\Windows\System32\osk.exe"
****************************************************************************************************
Numéro PID = 3112
Nom du Processus = SearchFilterHost.exe
Ligne de Commande = "C:\Windows\system32\SearchFilterHost.exe" 0 516 520 528 65536 524
****************************************************************************************************
Numéro PID = 1308
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\DYNA\Documents\ListProcessCmdLine\ListProcessCmdLine.vbs"
****************************************************************************************************
Numéro PID = 3936
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = C:\Windows\system32\wbem\wmiprvse.exe
****************************************************************************************************
Numéro PID = 2784
Nom du Processus = avast.setup
Ligne de Commande = "C:\Program Files\AVAST Software\Avast\setup\avast.setup" /downloadpkgs /noreboot /updatevps /verysilent /session "0" /limitcpu
****************************************************************************************************
Il y a 64 Processus en cours d'exécution le 25/09/2012 à 00:00:27 sur Le PC DYNA-PC connecté en tant que DYNA

************************************************** Les éléments à démarrage automatique ****************************************
Nom: Welcome Center
Description: Welcome Center
Emplacement: HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\rundll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut
Utilisateur: AUTORITE NT\Système
****************************************************************************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
Utilisateur: AUTORITE NT\Système
****************************************************************************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
Utilisateur: AUTORITE NT\SERVICE LOCAL
****************************************************************************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
Utilisateur: AUTORITE NT\SERVICE RÉSEAU
****************************************************************************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
Utilisateur: DYNA-PC\DYNA
****************************************************************************************************
Nom: Skype
Description: Skype
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
Utilisateur: DYNA-PC\DYNA
****************************************************************************************************
Nom: Google Update
Description: Google Update
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Users\DYNA\AppData\Local\Google\Update\GoogleUpdate.exe" /c
Utilisateur: DYNA-PC\DYNA
****************************************************************************************************
Nom: Messenger (Yahoo!)
Description: Messenger (Yahoo!)
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
Utilisateur: DYNA-PC\DYNA
****************************************************************************************************
Nom: Rmgegv
Description: Rmgegv
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Users\DYNA\AppData\Roaming\Rmgegv.exe
Utilisateur: DYNA-PC\DYNA
****************************************************************************************************
Nom: Microsoft® Windows Service
Description: Microsoft® Windows Service
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Users\DYNA\K-37763-383-2847-00\winsrc.exe
Utilisateur: DYNA-PC\DYNA
****************************************************************************************************
Nom: Welcome Center
Description: Welcome Center
Emplacement: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\rundll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut
Utilisateur: .DEFAULT
****************************************************************************************************
Nom: Sidebar
Description: Sidebar
Emplacement: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
Utilisateur: .DEFAULT
****************************************************************************************************
Nom: Little transparency
Description: Little transparency
Emplacement: Common Startup
Commande: Little transparency.exe
Utilisateur: Public
****************************************************************************************************
Nom: McAfee Security Scan Plus
Description: McAfee Security Scan Plus
Emplacement: Common Startup
Commande: C:\PROGRA~1\MCAFEE~1\30937D~1.207\SSSCHE~1.EXE
Utilisateur: Public
****************************************************************************************************
Nom: RocketDock
Description: RocketDock
Emplacement: Common Startup
Commande: C:\PROGRA~1\ROCKET~1\ROCKET~1.EXE
Utilisateur: Public
****************************************************************************************************
Nom: VideoWebCamera
Description: VideoWebCamera
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\VideoWebCamera\VideoWebCamera.exe" -a
Utilisateur: Public
****************************************************************************************************
Nom: PLFSetI
Description: PLFSetI
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\PLFSetI.exe
Utilisateur: Public
****************************************************************************************************
Nom: Adobe Reader Speed Launcher
Description: Adobe Reader Speed Launcher
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Utilisateur: Public
****************************************************************************************************
Nom: Adobe Acrobat Speed Launcher
Description: Adobe Acrobat Speed Launcher
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
Utilisateur: Public
****************************************************************************************************
Nom:
Description:
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande:
Utilisateur: Public
****************************************************************************************************
Nom: Acrobat Assistant 8.0
Description: Acrobat Assistant 8.0
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
Utilisateur: Public
****************************************************************************************************
Nom: avast
Description: avast
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
Utilisateur: Public
****************************************************************************************************
Nom: Malwarebytes' Anti-Malware
Description: Malwarebytes' Anti-Malware
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
Utilisateur: Public
****************************************************************************************************
Nom: SunJavaUpdateSched
Description: SunJavaUpdateSched
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
Utilisateur: Public
****************************************************************************************************
Nom: bdinstaller
Description: bdinstaller
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Common Files\Bitdefender\setupinformation\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\setupinformation\setupdownloader.exe" /args:"/after_restart"
Utilisateur: Public
****************************************************************************************************

------

Effectivement blue2 votre raisonnement est très probable car il reste des traces et des résidus de ce Virus voir même plusieurs catégories de virus qui résident encore dans la base de registre mais il a été bloqué par un Antivirus
Donc il faut aussi nettoyer la base de registre,mais il faut attendre que Dyna17 nous poste le rapport pour confirmer

[hackoofr]

complétez le travail avec : AdwCleaner
AdwCleaner est un outil visant à supprimer :

• Les adware (programmes publicitaires)
• Les PUP/LPIs (programmes potentiellement indésirables)
• Les toolbar (barres d'outil greffées au navigateur)
• Les hijacker (détournement de la page de démarrage)

Adwcleaner dispose d'un mode recherche et d'un mode suppression.
Si vous avez fait le mode recherche il faut alors passer au mode Suppression
Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.



Pour le PC Asus qui tourne sous vista c'est sûrement une question de sécurité qui vient soit d'un Antivirus qui bloque le script, soit que le UAC est Activé et si c'est le cas, alors il faut le désactiver puis redémarrer le PC et ré-exécuter le script à nouveau

NB : Il faut bien préciser votre système d'exploitation ou vous exécutez le script car ça ne donne pas le même résultat et votre cas est la preuve

[Dyna17]

Bonsoir

ci dessous le resultat sur win 7 edition integral


# AdwCleaner v2.003 - Rapport créé le 28/09/2012 à 22:55:21
# Mis à jour le 23/09/2012 par Xplode
# Système d'exploitation : Windows Se7en Titan (32 bits)
# Nom d'utilisateur : DYNA - DYNA-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\DYNA\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\OApps

***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.startsearcher.com --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page Redirect Cache] = hxxp://www.startsearcher.com --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page Redirect Cache] = hxxp://www.startsearcher.com --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - blank] = hxxp://www.startsearcher.com/tab.php?src=blank --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - NavigationFailure] = hxxp://www.startsearcher.com/tab.php?src=navfail --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://www.startsearcher.com/tab.php?src=tab --> hxxp://www.google.com

-\\ Mozilla Firefox v3.6.2pre (fr)

Nom du profil : default
Fichier : C:\Users\DYNA\AppData\Roaming\Mozilla\Firefox\Profiles\6ge2sdu3.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v21.0.1180.89

Fichier : C:\Users\DYNA\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1740 octets] - [28/09/2012 13:12:26]
AdwCleaner[S2].txt - [2172 octets] - [28/09/2012 22:55:21]

########## EOF - C:\AdwCleaner[S2].txt - [2232 octets] ##########

complétez le travail avec : AdwCleaner
AdwCleaner est un outil visant à supprimer :

• Les adware (programmes publicitaires)
• Les PUP/LPIs (programmes potentiellement indésirables)
• Les toolbar (barres d'outil greffées au navigateur)
• Les hijacker (détournement de la page de démarrage)

Adwcleaner dispose d'un mode recherche et d'un mode suppression.
Si vous avez fait le mode recherche il faut alors passer au mode Suppression
Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.



Pour le PC Asus qui tourne sous vista c'est sûrement une question de sécurité qui vient soit d'un Antivirus qui bloque le script, soit que le UAC est Activé et si c'est le cas, alors il faut le désactiver puis redémarrer le PC et ré-exécuter le script à nouveau

NB : Il faut bien préciser votre système d'exploitation ou vous exécutez le script car ça ne donne pas le même résultat et votre cas est la preuve

[hackoofr]

on voit bien d'après ce dernier log posté qu'on est un peu soulagé de quelques parasites et j’espère aussi pour vous avec un bon rétablissement du côté santé après avoir attrapé le virus biologique "La Grippe"

Je suis entrain de développer une application "Vérificateur de Processus" pour vérifier en ligne dans Fichier.net, ProcessLibrary et Google les différents processus qui tournent sur un PC.
Donc le but de cette application est de vérifier si le processus est un malware ou bien un processus normal qui appartient au système.
On peut afficher le fichier exécutable qui est associé à ce processus dans l'explorateur.
On peut aussi terminer le processus douteux, voir même toutes les instances de ce processus.
ce programme est testé sur Windows XP SP2 et il est en version Bêta et il est en cours de développement, donc si vous rencontriez un bug sur Windows 7 c'est normal car c'est une version de test et il ne faut pas m'en vouloir trop
je pense aussi dans les prochaines mise à jour de cette application d'ajouter ceci:

• ShortcutRemover
• Inventaire du PC
• Désinfection et restauration de la base de registre modifié par un virus
• Usage du CPU en %
• Exécuter une ou plusieurs Commandes

Bon je crois que vous êtes la première à le tester sur Windows 7, donc juste vous copiez et collez le code dans le notepad et enregistrez-le sous le nom par exemple Verif-Process.hta

J'attends le résultat de votre test

[blue2]

Y a un .exe à un endroit qui ne devrait pas et qui de plus n'est pas référencé sur le net.
Ce qui est très suspect : C:\Users\DYNA\AppData\Roaming\Rmgegv.exe

[hackoofr]

Y a un .exe à un endroit qui ne devrait pas et qui de plus n'est pas référencé sur le net.
Ce qui est très suspect : C:\Users\DYNA\AppData\Roaming\Rmgegv.exe

Yep Je confirme Blue2, il faut donc le supprimer ainsi supprimer l'entrée de la clef de la base de registre.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Nom: Rmgegv
Description: Rmgegv
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Users\DYNA\AppData\Roaming\Rmgegv.exe

[Dyna17]

Bonjour à vous deux

Merci pour votre aide

Donc j'ai pu exécuter le shortcutremover aprés avoir lancé le programme SmitfraudFix.exe et depuis les vbs s'éxécutent sur le win7 et les fichiers raccourcis ont été supprimés sur trois flash disque. mais une journée après je retrouve les raccourcis dans les flashdisque malgrè que je n'ai pas inséré ces clés dans un autre ordi!!!!


Là j'ai essayé votre nouveau script il s'éxécute sans problème sur le seven et il me donne le un tableau où il y a les rubriques :

porcessus | propriétaire|PID| Memoire| Processus en ligne de commande | verifier dans fichier.net| Verifier dans library| vérif dans google| terminer un seul processus | terminer plusieurs processus|

mais quand je clique vérifer ou googler je n'aipas de réponse mais terminer les processes réagit!


donc voilà ce que ça donne votre script sur le seven,


j'espère être un bon testeur

à la prochaine



...

Yep Je confirme Blue2, il faut donc le supprimer ainsi supprimer l'entrée de la clef de la base de registre.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Nom: Rmgegv
Description: Rmgegv
Emplacement: HKU\S-1-5-21-393408279-3035101975-243717488-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Users\DYNA\AppData\Roaming\Rmgegv.exe

[hackoofr]

pour le test
Si tu arrives a "killer" le processus c'est très bien c'est un bon signe
Pour la vérification en ligne du processus c'est l'affaire du internet explorer
vérifier si votre Navigateur internet explorer marche correctement ou non ?
une autre chose est-ce-que tu arrives à ouvrir le fichier dans l'explorateur Windows quand tu cliques sur le lien ou il y a Processus en ligne de commande ?

[Dyna17]

Ah j'ai oublié de vous le dire la ligne Processus en ligne de commande fonctionne trés bien et me renvois à kl'explorateur windows sans problème.
Mon internet explorer fonctionne correctement mais le G chrome est mon navigateur par défaut.

J'ai une petite envie de vous dire un problème de démarrage qui me pèse j'ai peur que c'est trop!

pour le test
Si tu arrives a "killer" le processus c'est très bien c'est un bon signe
Pour la vérification en ligne du processus c'est l'affaire du internet explorer
vérifier si votre Navigateur internet explorer marche correctement ou non ?
une autre chose est-ce-que tu arrives à ouvrir le fichier dans l'explorateur Windows quand tu cliques sur le lien ou il y a Processus en ligne de commande ?

[hackoofr]

c'est quoi le problème de démarrage ?
expliquez-vous ! vous voulez dire que le démarrage de windows est trop lent

[hackoofr]

J'ai fait une mise à jour pour Vérificateur de Processus.hta

Description de la Mise à jour :
Remplacement des liens par des boutons pour la vérification en ligne des processus et avec ouverture dans le navigateur par défaut et non pas avec internet explorer.
Donc à tester

[blue2]

J'vais aussi proposer quelques procédures..

Dyna17,
À partir du moment où vous ferez les rapports. N’entreprennez plus aucune manip, comme SmitFraudFix qui n'est plus mis à jours depuis 2008 ou quoique ce soit d'autres.


Téléchargez sur le bureau ZHPDiag.exe (N. Coolman).
• Installer ZHPDiag.exe par un double-clique (Autoriser avec Vista /Seven).
..Plusieurs icônes seront créés sur le bureau, dont MBRCheck et ZHPFix.

• Ouvrer ZHPDiag en cliquant sur l’icône
• Lancer le diagnostique en cliquant, en haut à gauche, sur la Loupe
.. Lorsque le diagnostique sera complété, à ...................100%.
.. Une copie du rapport "ZHPDiag.txt" sera créé sur le bureau (et C:\ZHP\..).


Convertissez le rapport en page Web, sur le site »» Cjoint ««.
• Cliquez sur [Parcourir] et aller chercher le rapport sur le bureau.
• Ensuite, cliquer sur [Créer le lien Cjoint].
Et copier le lien http//...... dans un message.


Et aussi.

Téléchargez UsbFix (el Desaparecido).

• • Branchez tout vos périphériques USB externes, • •
• • Et désactiver les protection ; Antivirus etc. • •

• Lancez UsbFix par un double-clique.
• Sélectionnez l'option [Recherche].
.. Laisse le aller, le rapport apparaîtra.

Postez le rapport UsbFix.txt avec Cjoint (aussi dans C:\UsbFix.txt ).


P.S.
S’il y a une composante de l'outil qui est détectée par l’antivirus.
Il ne s'agit pas d'un virus, mais d'un module d’USBFix. Autorisez le !

[Dyna17]

Grand Bonjour à vous deux Blue2 et Hakoo


D'abords réponse à Hakoo si je m'absente c'est que le pc ne voulait pas redémarrer !!


%Pour le teste de votre script : il me renvois bien vers un check en ligne :

-Pour le premier check http://fichier.net/processus/System Reponse: Non found
-2eme check : il me revnvois à .processlibrary.com/fr/search/?q=System
-3eme check : renvois à google.com/search?q=System


Je réponds et je poste car l'ordi s'éteint tout seul dès qu'il chauffe


A toute

c'est quoi le problème de démarrage ?
expliquez-vous ! vous voulez dire que le démarrage de windows est trop lent

[blue2]

Le problème de redémarrage peut venir d'un accumulation de poussière. Ce qui est fréquent après +-2ans sans avoir dépoussiérer l'ordi. Windows redémarre le système pour protéger le processeur d'une surchauffe.
Rien qu'un utilisateur ne peut nettoyer de chez lui assez aisément.

Pour vérifier cela. Télécharger CPUID HWMonitor.
Après "au cas l'ordi redémarrait" fermer le navigateur.
Installer CPUID HWMonitor et rapporter la température du CPU.



Essayer autant que possible de faire les ZHPDiag etc en mode strandard.
Sinon faites les en mode sans échec (avec ou sans prise en charge du réseau).

[Dyna17]

Pour le démarrage c’est mieux de vous raconter toute l’histoire car je pense que c’est un problème de hardware

J’étais en voyage quand mon ordi est glissé est tombé d’une table à manger (hauteur) le disque dur était mort donc n’étant pas, j’ai du bricoler des solutions.

1-J’ai acheté un disque dur de 500 Ge WD au lieu du 320 que j’vais.
2-J’ai installé un Windows 7 de dépannage et j’ai dû télécharger des pilotes sur le net et c’est là je pense que j’ai attrapé les virus.
3-Quelques problèmes ont apparus :
-Pc chauffe rapidement, au début il ne s’éteignait pas mais là il s’éteint au bout de 30, 45 minutes
-batterie se décharge au bout de 30 minutes au lieu des 1h30 au moins avant la chute.
J’ai pensé que l’arrêt était à cause du matériel car quand je serrais le disque dur je pouvais démarrer après quelques tentatives. A la mise en veille prolongé je peux reprendre Windows sans problème mais à l’arrêt c’est avec ma chance.

Voilà c’est sûr j’aurais pu acheter un nouveau ordinateur mais sincèrement, j’en ai assez de ce genre de problèmes


Au prochain poste je vous réponds blue2

[blue2]

Oueng..,
Pour les lag à la fermeture, qui semble réglés. Si vous avez fermer l'ordi avec le on/off, au lieu de passer par le menu démarrer.. Possible que le registre soit un peu patraque.

Faites tout de même CPUID pour vérifier la température et les autres pour les infections.