[Résolu] Vérole en provenance d'une clé usb .... Trop fort

Rappel du premier message :

Salut les gens,
Je sais que ca fait un moment que je suis pas venu mais trop de problèmes à gérer....
Enfin je suivais quand même voir si il y avait pas de souci.
Toujours est il que je viens vous voir en tant que simple user.
Ma moitié a branché la clé USB de sa maman pour recuperer un fichier et résultat:

J'ai la belle icone du bouclier rouge de windows qui apparait en bas à droite sur ma barre des taches et toutes les 5min. j'ai une fenetre qui s'ouvre (enfin qui se remet au premier plan je peux pas la fermer) avec ecrit:

Security center alert et une belle description (bidon?) de je ne sais combien d'infections diverse.
Si vous voulez je fais une copie écran.

Pouvez vous m'aider s'il vous plait???
En vous remerciant
A Plus

Salut.

ZHP ne montre pas le fichier en question. Supprimé ou caché ?

On va déjà fixer une ligne néfaste comme ceci :

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------

O64 - Services: CurCS - SSHNAS (SSHNAS) - LEGACY_SSHNAS

----------------------------------------------------------

• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

=================================

Puis, on va demander à SEAF de vérifier pour nous le fichier caché. Peut-être en saurons-nous un peu plus: :

Télécharge SEAF.exe de C_XX :

http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Double clique sur SEAF.exe .

Une fenêtre "cmd" va s'ouvrir .

Tape [moreinfo],gdjif dans cette fenêtre et tape ensuite sur Entrée.

Patiente pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copie/colle ce rapport.

Un tuto si besoin : http://forum.pcastuces.com/sf___recherche_fichier_et_registre-f31s48.htm

++

ZHPFix v1.12.23 by Nicolas Coolman - Rapport de suppression du 21/12/2009 12:59:13
Fichier d'export Registre : C:\ZHPExportRegistry-21-12-2009-12-59-13.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - SSHNAS (SSHNAS) - LEGACY_SSHNAS => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan

Decidemment, il se cache bien ....

1. ========================= SEAF 1.0.0.6 - C_XX | 13:00:45,95
2.
3. Valeur(s) recherchée(s):
4.
5. gdjif
6.
7. (!) --- Informations supplémentaires
8.
9. ========================= Fichier(s)/Dossier(s):
10.
11. Aucun fichier/Dossier trouvé.
12.
13. ========================= Registre:
14.
15.
16.
17. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
18. "000"="gdjif.exe"
19.
20. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
21. "001"="gdjif"
22.
23. [HKEY_USERS\S-1-5-21-1801674531-515967899-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603]
24. "000"="gdjif.exe"
25.
26. [HKEY_USERS\S-1-5-21-1801674531-515967899-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603]
27. "001"="gdjif"
28.
29.
30. ========================= E.O.F | 13:02:56,56

Salut Moloch.

Bon, cela montre que le fichier a été soit supprimé par ton AV, soit par MBAM, je ne sais pas. En tout cas, il ne semble plus présent.

Peux-tu me poster un rapport HijackThis ?

Encore des soucis visibles avec le pc ?

++

Ben écoute nan ca a l'air d'aller, je te poste le HiJack This plus tard

Et voilà le HJT ...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:26:54, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Razer\Lycosa\razerhid.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\Razer\Lycosa\razertra.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Razer\DeathAdder\razertra.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe"
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCsoft Launcher] C:\Program Files\NCSoft\Launcher\NCLauncher.exe /Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B69B26BB-12B8-4964-A3C6-649E0AEBFF77}: NameServer = 192.168.1.1
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 5879 bytes

Ok, ben ça m'a l'air tout bon.

Tu pourras passer Toolscleaner pour supprimer les outils :

Nettoyage des outils:

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

Toolscleaner

Clique sur Recherche et laisse le scan se terminer.

Clique sur Suppression pour finaliser.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

=========================

Supprime ce qui reste, je pense que Toolscleaner ne prend pas en charge SEAF !

++

Voilà le rapport...

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\moloch\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\moloch\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\moloch\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\moloch\Bureau\Rsit.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\moloch\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\moloch\Bureau\OTM.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\moloch\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\moloch\Bureau\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!

Parfait;

N'oublie pas de purger ta restauration. C'est très important, si jamais tu dois revenir en arrière dans quelques temps.

Supprimer les anciens points de restauration:

Clique droit sur "Poste de travail".
Clique sur "Propriétés".
Clique sur l'onglet "Restauration du système".
Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
Redémarre le pc.

Clique droit sur "Poste de travail".
Clique sur "Propriétés".
Clique sur l'onglet "Restauration du système".
Redécoche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".

Les points sont supprimés.

Création d'un nouveau point:

Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système".
Clique sur "Restauration du système".
Dans la nouvelle fenêtre, coche la case "Créer un point de restauration".
Clique sur "Suivant".
Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection Bibou")
Clique sur "Créer" et le point de restauration se créé automatiquement.

=============

Pour une navigation plus sûre et plus rapide:

Addon à ajouter à firefox pour le sécuriser:

Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
Explications/Demo ici : http://www.mywot.com/fr/demo

+ ceux-ci: http://www.malekal.com/securiser_Firefox.php

=============

Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : http://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

=============

Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! )

++

C'est bon pour moi aussi alors, merci beaucoup rico, bon réveillon, joyeux noel !!!!!!

Joyeux Noël à tous les deux

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par MP en précisant la raison et le lien vers ce sujet. Ceci ne s'applique qu'à Moloch. Pour les autres, créez votre propre sujet svp.