[Résolu] Form1, Windows Vista.

Bonjour,

Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur UsbFix pour l'exécuter.

Choisis l'option 1 (Recherche).

Laisse travailler l'outil.

Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Kaspersky, etc.) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

############################## | UsbFix V6.100 |

User : SPM (Administrateurs) # ORDI
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:17:24 | 19/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 221,73 Go (89,68 Go free) # NTFS
D:\ -> Disque fixe local # 11,16 Go (1,84 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 596,16 Go (264,58 Go free) # NTFS

################## | Elements infectieux |

C:\Windows\System32\msfun80.exe
C:\Windows\System32\msime82.exe
C:\autorun.inf
C:\fun.xls.exe
C:\fun.xls.exe
D:\autorun.inf
D:\fun.xls.exe
D:\fun.xls.exe
I:\autorun.inf
I:\fun.xls.exe
I:\fun.xls.exe

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsServer"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.2"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\Auto\command =G:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\I
shell\Auto\command =I:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\{0ab665c1-4194-11de-806c-00235a1e5721}
shell\Auto\command =I:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\{262d3ed7-04b9-11df-99b3-00235a1e5721}
shell\AutoRun\command =F:\Install.exe

HKCU\..\..\Explorer\MountPoints2\{3e8bd336-efc5-11de-88bc-00f1d000f1d0}
shell\Auto\command =H:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\{5126138e-a453-11de-89f4-00235a1e5721}
shell\Auto\command =H:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\{84e50b0b-0bcd-11df-b0e1-00235a1e5721}
shell\Auto\command =G:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\{a2e794d7-1bb5-11df-a0c8-00f1d000f1d0}
shell\Auto\command =G:\fun.xls.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\fun.xls.exe

HKCU\..\..\Explorer\MountPoints2\{a897a4eb-09be-11de-abe0-00235a1e5721}
shell\AutoRun\command =M:\.\setup.exe AUTORUN=1

HKCU\..\..\Explorer\MountPoints2\{b1611e1c-ae6f-11de-83cb-00235a1e5721}
shell\AutoRun\command =F:\AutoRunCardDetector.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.100 ! |






Voici le rapport.
Merci pour l'aide.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur UsbFix présent sur ton Bureau pour le lancer.

Choisis l'option 2 (Suppression).

Ton Bureau disparaîtra et le PC redémarrera.

Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

J'ai plusieurs disque dur externe, mais malheureusement qu'un seul port usb disponible.
Si je répète l'opération sur mes disques dur, le résultat sera de même ?

Dans tous les cas, voici le rapport,

############################## | UsbFix V6.100 |

User : SPM (Administrateurs) # ORDI
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:36:35 | 19/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 221,73 Go (89,8 Go free) # NTFS
D:\ -> Disque fixe local # 11,16 Go (1,84 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 596,16 Go (264,58 Go free) # NTFS

################## | Elements infectieux |

Supprimé ! C:\Windows\System32\msfun80.exe
Supprimé ! C:\Windows\System32\msime82.exe
C:\autorun.inf -> fichier appelé : "C:\fun.xls.exe" ( Présent ! )
Supprimé ! C:\fun.xls.exe
Supprimé ! C:\autorun.inf
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2779214486-2532354739-3023366861-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-1001
Supprimé ! C:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-501
D:\autorun.inf -> fichier appelé : "D:\fun.xls.exe" ( Présent ! )
Supprimé ! D:\fun.xls.exe
Supprimé ! D:\autorun.inf
Supprimé ! D:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-1001
Supprimé ! D:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-501
I:\autorun.inf -> fichier appelé : "I:\fun.xls.exe" ( Présent ! )
Supprimé ! I:\fun.xls.exe
Supprimé ! I:\autorun.inf
Supprimé ! I:\$Recycle.Bin\S-1-5-21-2467878222-3001499646-2487185639-1000
Supprimé ! I:\$Recycle.Bin\S-1-5-21-977440590-255290138-1803529434-1000

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsServer"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.2"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\I\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0ab665c1-4194-11de-806c-00235a1e5721}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{262d3ed7-04b9-11df-99b3-00235a1e5721}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3e8bd336-efc5-11de-88bc-00f1d000f1d0}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5126138e-a453-11de-89f4-00235a1e5721}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{84e50b0b-0bcd-11df-b0e1-00235a1e5721}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a2e794d7-1bb5-11df-a0c8-00f1d000f1d0}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a897a4eb-09be-11de-abe0-00235a1e5721}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b1611e1c-ae6f-11de-83cb-00235a1e5721}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[10/06/2009 19:33|-rahs----|0] C:\IO.SYS
[10/06/2009 19:33|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[19/03/2010 20:42|--a------|3692] C:\UsbFix.txt
[03/03/2009 17:04|---hs----|13] D:\BLOCK.RIN
[04/10/2006 00:02|---hs----|438328] D:\bootmgr
[12/09/2008 19:00|---hs----|1199] D:\Desktop.ini
[10/09/2002 17:14|---hs----|8134] D:\Folder.htt
[19/03/2010 20:36|--ahs----|196] D:\MASTER.LOG
[12/09/2008 18:17|---hs----|381873] D:\protect.arabic
[15/09/2008 16:57|---hs----|182624] D:\protect.bulgarian
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese hong kong
[16/09/2002 15:37|---hs----|181916] D:\protect.chinese simplified
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese traditional
[27/04/2006 17:19|---hs----|181865] D:\protect.czech
[03/11/2005 16:21|---hs----|181726] D:\protect.danish
[10/09/2002 14:56|---hs----|181605] D:\protect.dutch
[10/09/2002 14:50|---hs----|181651] D:\protect.ed
[22/11/2004 16:28|---hs----|181648] D:\protect.english
[03/11/2005 16:20|---hs----|181673] D:\protect.finnish
[03/11/2005 16:19|---hs----|181736] D:\protect.french
[03/11/2005 16:18|---hs----|181669] D:\protect.german
[23/11/2005 16:56|---hs----|182689] D:\protect.greek
[23/01/2006 10:18|---hs----|182605] D:\protect.hebrew
[28/08/2007 15:58|---hs----|181696] D:\protect.hungarian
[03/11/2005 16:17|---hs----|181554] D:\protect.italian
[19/06/2007 16:22|---hs----|182351] D:\protect.japanese
[24/11/2005 12:24|---hs----|218295] D:\protect.korean
[03/11/2005 16:15|---hs----|181578] D:\protect.norwegian
[25/04/2006 15:44|---hs----|181789] D:\protect.polish
[03/11/2005 16:13|---hs----|181624] D:\protect.portuguese
[27/10/2005 20:24|---hs----|181882] D:\protect.portuguese brazilian
[15/09/2008 16:57|---hs----|181735] D:\protect.romanian
[28/06/2004 09:52|---hs----|211936] D:\protect.russian
[04/07/2007 12:46|---hs----|181954] D:\protect.slovak
[03/11/2005 16:11|---hs----|181586] D:\protect.spanish
[10/09/2002 15:15|---hs----|181602] D:\protect.swedish
[12/08/2003 11:37|---hs----|181783] D:\protect.turkish

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_Ordi.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.100 ! |

Me revoici.
J'ai refais un test avec MBAM, qui m'a trouvé 2 infections qu'il a réussi à supprimer.
Je n'ai absolument plus rien sur mon ordi.
(Excuse-moi pour l'initiative, je n'aime pas dépendre trop et exploiter les gens.)

Voici le rapport avec 0 infections.

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3885
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

19/03/2010 21:24:06
mbam-log-2010-03-19 (21-24-06).txt

Type de recherche: Examen rapide
Eléments examinés: 125444
Temps écoulé: 4 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Je vais maintenant essayer de voir avec mes 2autres disques dur si il y a un problème.

Je fais signe si c'est le cas. Merci.


Edit :
Par "méfiance" je préfère demandé,

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

Je crains quelque chose, ou pas ?...

--> Refais plusieurs scans dans ce cas-là, ce serait bête qu'il reste une infection sur un disque dur externe et que ça réinfecte le PC.

On ne s'est pas encore occupé du virus Form1.

Scan fais, tout supprimé.
2 de mes disques dur atteint sur 3, c'était fort.
Pour ce qui est du "Form1", je pense l'avoir éradiqué lui aussi.
J'ai lu sur ce même forum qu'il fallait supprimer des trucs Java, remettre à jour etc, pareil pour adobe reader, et depuis : Plus rien.
J'ai même redémarré le pc au cas où, aucune trace..
Peut-il encore se cacher non loin, ou est-il toujours présent ?
Dans tous les cas, MBAM ne détecte maintenant absolument plus rien.
De même pour UsbFix.

Je reste tout de même à l'affût.
As-tu besoin du résultat d'un quelconque scan pour vérifier les traces de ce Form1 ?
A l'heure actuelle, tu es ma lumière !

Relance UsbFix et choisis l'option 6 pour le désinstaller.

Télécharge OTL (de OldTimer) sur ton Bureau.

Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.

Coche également les cases à côté de LOP Check et Purity Check.

Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :

Clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.

Clique sur Ouvrir.

Clique sur Cliquez ici pour déposer le fichier.

Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.

Copie-colle ce lien dans ta réponse.

OLT.txt,
http://www.cijoint.fr/cjlink.php?file=cj201003/cijsyWKL...

Extras.txt,
http://www.cijoint.fr/cjlink.php?file=cj201003/cijqAMVI...

Relance MBAM, va dans Quarantaine et supprime tout.

Tu n'as pas d'antivirus ?

Tout ce qui était en quarantaine : Supprimé.

Pour ce qui est des antivirus, je trouve très souvent que ça ne sert pas à "grand chose", même si je dois abuser.
Ca ne m'a que très rarement aidé, et j'ai donc souvent dû utiliser des tas de logiciel et faire des aller-retour dans le mode sans echec.
De plus, ce pc est celui de mon frère. Vista et moi...
'Bref, je n'aurais bientôt plus à me soucier de tout ça : Je passe sous Mac d'ici peu.

Mais là, je sentais que le pc d'mon frère avait besoin d'un sérieux coup !


Suis-je donc débarrassé ?
Voici le dernier rapport BMAM,


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3885
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

20/03/2010 11:47:00
mbam-log-2010-03-20 (11-47-00).txt

Type de recherche: Examen rapide
Eléments examinés: 115628
Temps écoulé: 3 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

1/

Télécharge OTC sur ton Bureau.

Clique droit sur OTC et choisis Exécuter en tant qu'administrateur.

Clique sur CleanUp! puis clique sur Yes à la fenêtre Confirm.

Redémarre ton PC comme demandé.


2/

Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).

Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....

Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


==Problème résolu ?==

--> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :

Clique, dans ton premier message, sur le bouton Editer .

Ajoute la mention [Résolu] devant le titre.

Clique ensuite sur Valider votre message.


Sois plus vigilant(e) sur Internet  

Tout fait !
Je te remercie Destrio5.