Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business



|||-  

clé usb inféctée

 

 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

clé usb inféctée

RÉSOLU
Prévenir les modérateurs en cas d'abus 
apc77fez
Invité
apc77fez
  1. Posté le 13/11/2013 à 14:44:12  
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

Je me suis rendu compte récemment que les fichiers et dossiers sur ma clé USB ont été transformés en raccourcis. J'ai fait une recherche google et j'ai tristement découvert que cela pourait être dû a une infection.

J'ai trouvé un tutoriel que je m'aprete à suivre, mais il est conseillé de poster un rapport de recherche.

le tuto en question : http://www.malekal.com/2010/11​/12/tutorial-usbfix/

J'ai plusieurs questions :

Le tutoriel cité est-il la bonne solution ?
Suis-je au bon endroit pour ce problème et pour poster le rapport ?


Je tiens à préciser que mes connaissances en informatiques sont assez réduites.

Merci d'avance !
Message édité par danakil le 25/11/2013 à 18:11:58
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 13/11/2013 à 15:10:04  
  1. Prévenir les modérateurs en cas d'abus
 
Salut apct9


* Télécharge UsbFix (de El Desaparecido et C_XX) sur le bureau ici :

http://www.usbfix.net/download​/usbfix/

gepetest Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche de l'outil. gepetest

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- (Vista/Seven- Clique droit sur le raccourci UsbFix présent sur ton bureau et choisi "exécuter en tant qu'administrateur".)
- Dans la nouvelle fenêtre, clique sur le bouton :

« Recherche »

gepetest Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\UsbFix.txt

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


@++ :)

(Publicité)
Invité
apc77fez
  1. Posté le 24/11/2013 à 11:46:22  
  1. Prévenir les modérateurs en cas d'abus
 
############################## | UsbFix V 7.152 | [recherche]

Utilisateur: Paul (Administrateur) # PAULOPC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 11:34:11 | 24/11/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload​_malware.php
Contact : http://www.usbfix.net/contact/

PC: Acer (JV50_MV )
CPU: Pentium(R) Dual-Core CPU T4300 @ 2.10GHz
RAM -> [total : 4025 | Free : 1928]
Bios: Phoenix Technologies LTD
Boot: Normal boot

OS: Microsoft Windows 7 Entreprise (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16521
WB: Google Chrome : 31.0.1650.57
WB: Mozilla Firefox : 24.0

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [enabled]
AV: AntiVir Desktop [enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [enabled]

C :\ (%systemdrive%) -> Disque fixe # 466 Go (94 Go libre(s) - 20%) [] # NTFS
D :\ -> CD-ROM
E :\ -> Disque amovible # 2 Go (2 Go libre(s) - 84%) [] # FAT
F :\ -> Disque amovible # 2 Go (45 Mo libre(s) - 2%) [] # FAT
G :\ -> CD-ROM

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 400 |ParentID: 388)
C:\Windows\system32\csrss.exe (ID: 452 |ParentID: 444)
C:\Windows\system32\wininit.ex​e (ID: 460 |ParentID: 388)
C:\Windows\system32\services.e​xe (ID: 512 |ParentID: 460)
C:\Windows\system32\winlogon.e​xe (ID: 536 |ParentID: 444)
C:\Windows\system32\lsass.exe (ID: 564 |ParentID: 460)
C:\Windows\system32\lsm.exe (ID: 572 |ParentID: 460)
C:\Windows\system32\svchost.ex​e (ID: 672 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 760 |ParentID: 512)
C:\Windows\System32\svchost.ex​e (ID: 848 |ParentID: 512)
C:\Windows\System32\svchost.ex​e (ID: 892 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 916 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 340 |ParentID: 512)
C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (ID: 836 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 1088 |ParentID: 512)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1216 |ParentID: 512)
C:\Windows\System32\spoolsv.ex​e (ID: 1352 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 1428 |ParentID: 512)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1564 |ParentID: 512)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceServi​ce.exe (ID: 1636 |ParentID: 512)
C:\Program Files\Bonjour\mDNSResponder.ex​e (ID: 1748 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 1776 |ParentID: 512)
C:\ProgramData\Skype\Toolbars\​Skype C2C Service\c2c_service.exe (ID: 1856 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 1956 |ParentID: 512)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2000 |ParentID: 512)
C:\Windows\system32\svchost.ex​e (ID: 1128 |ParentID: 512)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2092 |ParentID: 2000)
C:\Windows\system32\taskhost.e​xe (ID: 2896 |ParentID: 512)
C:\Windows\system32\Dwm.exe (ID: 2996 |ParentID: 892)
C:\Windows\Explorer.EXE (ID: 3028 |ParentID: 2940)
C:\Windows\System32\igfxtray.e​xe (ID: 2308 |ParentID: 3028)
C:\Windows\System32\hkcmd.exe (ID: 2876 |ParentID: 3028)
C:\Windows\system32\igfxsrvc.e​xe (ID: 2340 |ParentID: 672)
C:\Windows\system32\SearchInde​xer.exe (ID: 2360 |ParentID: 512)
C:\Windows\System32\igfxpers.e​xe (ID: 2804 |ParentID: 3028)
C:\Program Files\Logitech\SetPointP\SetPo​int.exe (ID: 2992 |ParentID: 3028)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 1548 |ParentID: 512)
C:\Windows\PLFSetI.exe (ID: 2836 |ParentID: 3028)
C:\Program Files (x86)\Skype\Phone\Skype.exe (ID: 1108 |ParentID: 3028)
C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe (ID: 944 |ParentID: 3028)
C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe (ID: 780 |ParentID: 3028)
C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.ex​e (ID: 2752 |ParentID: 3028)
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (ID: 3392 |ParentID: 3028)
C:\Windows\System32\StikyNot.e​xe (ID: 3424 |ParentID: 3028)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3432 |ParentID: 3028)
C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (ID: 3484 |ParentID: 3444)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3752 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3884 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3916 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3936 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3956 |ParentID: 3432)
C:\Program Files\McAfee Security Scan\3.8.130\SSScheduler.exe (ID: 4064 |ParentID: 3028)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 4268 |ParentID: 3444)
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.​EXE (ID: 4276 |ParentID: 2992)
C:\Users\Paul\AppData\Roaming\​Dropbox\bin\Dropbox.exe (ID: 4284 |ParentID: 3028)
C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (ID: 4316 |ParentID: 3444)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 4340 |ParentID: 3444)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (ID: 4348 |ParentID: 3444)
C:\Program Files\iPod\bin\iPodService.exe (ID: 4572 |ParentID: 512)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 2828 |ParentID: 3432)
C:\Windows\system32\svchost.ex​e (ID: 2032 |ParentID: 512)
C:\Windows\system32\wuauclt.ex​e (ID: 4852 |ParentID: 916)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3464 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 4472 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3352 |ParentID: 3432)
C:\Program Files (x86)\iTunes\iTunes.exe (ID: 4824 |ParentID: 3028)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceHelpe​r.exe (ID: 4816 |ParentID: 4824)
C:\Windows\system32\conhost.ex​e (ID: 2820 |ParentID: 452)
C:\Program Files (x86)\Common Files\Apple\Apple Application Support\distnoted.exe (ID: 1632 |ParentID: 4816)
C:\Windows\system32\conhost.ex​e (ID: 2272 |ParentID: 452)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3476 |ParentID: 3432)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 5180 |ParentID: 3432)
C:\Windows\SysWOW64\ctfmon.exe (ID: 1124 |ParentID: 4340)
C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 5188 |ParentID: 3432)
C:\Windows\system32\SearchProt​ocolHost.exe (ID: 2652 |ParentID: 2360)
C:\Windows\system32\SearchFilt​erHost.exe (ID: 4444 |ParentID: 2360)
C:\UsbFix\Go.exe (ID: 5772 |ParentID: 5140)
C:\Windows\system32\WUDFHost.e​xe (ID: 3832 |ParentID: 892)
C:\Windows\system32\wbem\wmipr​vse.exe (ID: 5000 |ParentID: 672)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [apsdaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE | Run : [adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe"
04 - HKLM\SOFTWARE | Run : [quicktime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
04 - HKLM\SOFTWARE | Run : [sunjavaupdatesched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE | Run : [cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized
04 - HKLM\SOFTWARE | Run : [avastui.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE | Run : [ituneshelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE | Run : - C:\Program Files\AVAST Software\Avast\setup\emupdate\​a0d8e2d6-643c-4426-9546-b55b01​388bf1.exe /check
04 - HKLM\SOFTWARE\wow6432Node | Run : [apsdaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [quicktime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
04 - HKLM\SOFTWARE\wow6432Node | Run : [sunjavaupdatesched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized
04 - HKLM\SOFTWARE\wow6432Node | Run : [avastui.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE\wow6432Node | Run : [ituneshelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : - C:\Program Files\AVAST Software\Avast\setup\emupdate\​a0d8e2d6-643c-4426-9546-b55b01​388bf1.exe /check
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [facebook Update] - "C:\Users\Paul\AppData\Local\F​acebook\Update\FacebookUpdate.​exe" /c /nocrashserver
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [skype] - "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [icloudservices] - C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [applephotostreams] - C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [com.apple.dav.bookmarks.daemon​] - C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.ex​e
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [daemon Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [mycutebuddy] - "C:\Program Files (x86)\My Cute Buddy\myCuteBuddy.exe" "file:///C:/Program Files (x86)/My Cute Buddy/Content/Cute Kitty/piticho.buddy" /m /u
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [restart_sticky_notes] - C:\Windows\System32\StikyNot.e​xe
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : - "C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe" --no-startup-window
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.e​xe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.e​xe

################## | Recherche générique |

Présent! E:\Nouveau dossier.lnk
Présent! F:\autorun.inf.lnk
Présent! C:\Users\Paul\AppData\Roaming\​Microsoft\Windows\Start Menu\Programs\Startup\FlashPla​yerPlug.lnk
Présent! E:\Facebook.vbs
Présent! F:\Facebook.vbs
Présent! F:\autorun.inf

################## | Référence de comparaison MD5 |

Md5 : 944FC5E789EE1F1FF037B934DD7258​15 -> E:\Facebook.vbs
Md5 : 944FC5E789EE1F1FF037B934DD7258​15 -> F:\Facebook.vbs

################## | Comparaison MD5 |

Présent! Md5 : 944FC5E789EE1F1FF037B934DD7258​15 -> E:\Facebook.vbs
Présent! Md5 : 944FC5E789EE1F1FF037B934DD7258​15 -> F:\Facebook.vbs

################## | Registre |

Présent! HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer|NoActiveDesktop -> 1
Présent! HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer|NoActiveDesktopChanges -> 1
Présent! HKCU\Software\Microsoft\Window​s\CurrentVersion\Explorer\Adva​nced|Start_ShowMyGames -> 0
Présent! HKCU\Software\Microsoft\Window​s\CurrentVersion\Explorer\Adva​nced|Start_ShowSetProgramAcces​sAndDefaults -> 0
Présent! HKCU|njq8

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

Invité
apc77fez
  1. Posté le 24/11/2013 à 11:50:59  
  1. Prévenir les modérateurs en cas d'abus
 
Désolé pour le retard de la réponse, je ne connais pas bien le forum et ne savais pas vraiment ou chercher les messages.

Et merci pour ton aide !

Invité
apc77fez
  1. Posté le 25/11/2013 à 17:45:59  
  1. Prévenir les modérateurs en cas d'abus
 
Alors j'ai suivi la procédure, mais j'ai deconecté les deux clé usb en question et maintenant, je n'ai plus accès a ce qu'il y avait dessus.

Autre petit question pour etre sûr : si je plug la carte memoire de mon appareil photo, il y a une risque d'infection ? (je vais attendre la reponse pour le faire ^^).

Merci !

(Publicité)
Invité
apc77fez
  1. Posté le 02/12/2013 à 16:12:55  
  1. Prévenir les modérateurs en cas d'abus
 
Salut,

J'ai posté le rapport, que faut-il faire ensuite ? J'aimerais bien en finir avec ce problème..

Merci d'avance !

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 02/12/2013 à 17:54:22  
  1. Prévenir les modérateurs en cas d'abus
 
Salut apct9 !

dédétraqué est absent en ce moment > Je prends en compte la suite de la désinfection. Je te poste ce soir un protocole.

Merci de ta patience.


---------------
Une Idéfix? ... Etre et durer.
Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 02/12/2013 à 18:42:56  
  1. Prévenir les modérateurs en cas d'abus
 
Effectue ceci.

http://img1.xooimage.com/files​/a/r/arrow-160d.gif Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir (tout ce que tu penses être infecté).

  • Double clic sur UsbFix.exe présent sur le bureau
  • Pour Vista et Seven fais un clic droit sur UsbFix.exe et Exécuter en tant qu’administrateur
  • Clique sur Suppression
  • Laisse travailler l'outil.
  • Poste ensuite le rapport UsbFix.txt qui apparaitra avec le bureau .
  • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )


---------------
Une Idéfix? ... Etre et durer.
(Publicité)
Invité
apc77fez
  1. Posté le 03/12/2013 à 17:20:52  
  1. Prévenir les modérateurs en cas d'abus
 
Salut Danakil !

Merci de prendre le relai ! J'ai juste une question : le fait de faire Suppression peut-il supprimer des fichiers de mes clés USB que je souhaite garder ?

Merci !

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 03/12/2013 à 18:54:07  
  1. Prévenir les modérateurs en cas d'abus
 
La suppression ne sera effective que sur les raccourcis crées par l'infection. Aucun dossier ou fichier ne sera supprimé.
Le but est de supprimer la 'déformation' dû au Malware sur l'accès à tes fichiers depuis le PC et sur la ou les clés USB.

Tu peux passer en mode [suppression] sans crainte.


---------------
Une Idéfix? ... Etre et durer.
Invité
apc77fez
  1. Posté le 03/12/2013 à 21:36:17  
  1. Prévenir les modérateurs en cas d'abus
 
############################## | UsbFix V 7.152 | [suppression]

Utilisateur: Paul (Administrateur) # PAULOPC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 21:19:53 | 03/12/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload​_malware.php
Contact : http://www.usbfix.net/contact/

PC: Acer (JV50_MV )
CPU: Pentium(R) Dual-Core CPU T4300 @ 2.10GHz
RAM -> [total : 4025 | Free : 1681]
Bios: Phoenix Technologies LTD
Boot: Normal boot

OS: Microsoft Windows 7 Entreprise (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16521
WB: Google Chrome : 31.0.1650.57
WB: Mozilla Firefox : 24.0

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [enabled]
AV: AntiVir Desktop [enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [enabled]

C :\ (%systemdrive%) -> Disque fixe # 466 Go (99 Go libre(s) - 21%) [] # NTFS
D :\ -> CD-ROM
E :\ -> Disque amovible # 2 Go (2 Go libre(s) - 84%) [] # FAT
F :\ -> Disque amovible # 2 Go (45 Mo libre(s) - 2%) [] # FAT
G :\ -> CD-ROM

################## | Processus Stoppés |

Stoppé! C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (ID: 836 |ParentID: 516)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1212 |ParentID: 516)
Stoppé! C:\Windows\System32\spoolsv.ex​e (ID: 1364 |ParentID: 516)
Stoppé! C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1596 |ParentID: 516)
Stoppé! C:\Windows\system32\taskhost.e​xe (ID: 1732 |ParentID: 516)
Stoppé! C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceServi​ce.exe (ID: 1800 |ParentID: 516)
Stoppé! C:\Windows\Explorer.EXE (ID: 1824 |ParentID: 1772)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.ex​e (ID: 2032 |ParentID: 516)
Stoppé! C:\ProgramData\Skype\Toolbars\​Skype C2C Service\c2c_service.exe (ID: 1228 |ParentID: 516)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 1076 |ParentID: 516)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2212 |ParentID: 1076)
Stoppé! C:\Windows\System32\igfxtray.e​xe (ID: 2288 |ParentID: 1824)
Stoppé! C:\Windows\System32\hkcmd.exe (ID: 2296 |ParentID: 1824)
Stoppé! C:\Windows\System32\igfxpers.e​xe (ID: 2316 |ParentID: 1824)
Stoppé! C:\Windows\system32\igfxsrvc.e​xe (ID: 2376 |ParentID: 668)
Stoppé! C:\Program Files\Logitech\SetPointP\SetPo​int.exe (ID: 2412 |ParentID: 1824)
Stoppé! C:\Windows\PLFSetI.exe (ID: 2592 |ParentID: 1824)
Stoppé! C:\Program Files (x86)\Skype\Phone\Skype.exe (ID: 2820 |ParentID: 1824)
Stoppé! C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe (ID: 2860 |ParentID: 1824)
Stoppé! C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe (ID: 2888 |ParentID: 1824)
Stoppé! C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.ex​e (ID: 2912 |ParentID: 1824)
Stoppé! C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (ID: 2940 |ParentID: 1824)
Stoppé! C:\Windows\system32\SearchInde​xer.exe (ID: 2996 |ParentID: 516)
Stoppé! C:\Windows\System32\StikyNot.e​xe (ID: 3052 |ParentID: 1824)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3064 |ParentID: 1824)
Stoppé! C:\Program Files\McAfee Security Scan\3.8.130\SSScheduler.exe (ID: 2832 |ParentID: 1824)
Stoppé! C:\Users\Paul\AppData\Roaming\​Dropbox\bin\Dropbox.exe (ID: 316 |ParentID: 1824)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 968 |ParentID: 516)
Stoppé! C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 3432 |ParentID: 2484)
Stoppé! C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (ID: 3484 |ParentID: 2484)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 3540 |ParentID: 2484)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3636 |ParentID: 3064)
Stoppé! C:\Program Files (x86)\iTunes\iTunesHelper.exe (ID: 3644 |ParentID: 2484)
Stoppé! C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.​EXE (ID: 3472 |ParentID: 2412)
Stoppé! C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (ID: 3108 |ParentID: 668)
Stoppé! C:\Program Files\iPod\bin\iPodService.exe (ID: 1464 |ParentID: 516)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3884 |ParentID: 3064)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 3944 |ParentID: 3064)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 2688 |ParentID: 3064)
Stoppé! C:\Windows\system32\wuauclt.ex​e (ID: 2480 |ParentID: 920)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 1256 |ParentID: 3064)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 708 |ParentID: 3064)
Stoppé! C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe (ID: 1432 |ParentID: 3064)
Stoppé! C:\Windows\system32\WUDFHost.e​xe (ID: 1964 |ParentID: 896)
Stoppé! C:\Windows\SysWOW64\ctfmon.exe (ID: 4840 |ParentID: 3540)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [apsdaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE | Run : [adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe"
04 - HKLM\SOFTWARE | Run : [quicktime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
04 - HKLM\SOFTWARE | Run : [sunjavaupdatesched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE | Run : [cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized
04 - HKLM\SOFTWARE | Run : [avastui.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE | Run : [ituneshelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE | Run : - C:\Program Files\AVAST Software\Avast\setup\emupdate\​a0d8e2d6-643c-4426-9546-b55b01​388bf1.exe /check
04 - HKLM\SOFTWARE\wow6432Node | Run : [apsdaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [quicktime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
04 - HKLM\SOFTWARE\wow6432Node | Run : [sunjavaupdatesched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [cisco AnyConnect Secure Mobility Agent for Windows] - "C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized
04 - HKLM\SOFTWARE\wow6432Node | Run : [avastui.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE\wow6432Node | Run : [ituneshelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : - C:\Program Files\AVAST Software\Avast\setup\emupdate\​a0d8e2d6-643c-4426-9546-b55b01​388bf1.exe /check
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [facebook Update] - "C:\Users\Paul\AppData\Local\F​acebook\Update\FacebookUpdate.​exe" /c /nocrashserver
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [skype] - "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [icloudservices] - C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [applephotostreams] - C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [com.apple.dav.bookmarks.daemon​] - C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.ex​e
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [daemon Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [mycutebuddy] - "C:\Program Files (x86)\My Cute Buddy\myCuteBuddy.exe" "file:///C:/Program Files (x86)/My Cute Buddy/Content/Cute Kitty/piticho.buddy" /m /u
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : [restart_sticky_notes] - C:\Windows\System32\StikyNot.e​xe
04 - HKU\S-1-5-21-2910369941-143020​543-389231712-1000\SOFTWARE | Run : - "C:\Program Files (x86)\Google\Chrome\Applicatio​n\chrome.exe" --no-startup-window
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.e​xe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.e​xe

################## | Recherche générique |

Supprimé! E:\Nouveau dossier.lnk
Supprimé! F:\autorun.inf.lnk
Supprimé! C:\Users\Paul\AppData\Roaming\​Microsoft\Windows\Start Menu\Programs\Startup\FlashPla​yerPlug.lnk
Supprimé! E:\Recycler\S-5-1-33-821311346​6-7434762067-633830637-8820\HZ​YAltpH.cpl
Supprimé! E:\Recycler\S-5-1-33-821311346​6-7434762067-633830637-8820
Supprimé! F:\Recycler\S-5-1-33-821311346​6-7434762067-633830637-8820\Ve​QeGCJF.cpl
Supprimé! F:\Recycler\S-5-1-33-821311346​6-7434762067-633830637-8820
Supprimé! F:\Facebook.vbs

(!) Fichiers temporaires supprimés.

################## | Référence de comparaison MD5 |

Md5 : 944FC5E789EE1F1FF037B934DD7258​15 -> F:\Facebook.vbs

################## | Comparaison MD5 |


################## | Registre |

Réparé ! HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer|NoActiveDesktop -> 0
Réparé ! HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer|NoActiveDesktopChanges -> 0
Réparé ! HKCU\Software\Microsoft\Window​s\CurrentVersion\Explorer\Adva​nced|Start_ShowMyGames -> 1
Réparé ! HKCU\Software\Microsoft\Window​s\CurrentVersion\Explorer\Adva​nced|Start_ShowSetProgramAcces​sAndDefaults -> 1
Supprimé! HKCU|njq8

################## | Listing |

[27/10/2013 - 20:18:38 | SHD ] C:\$Recycle.Bin
[20/04/2013 - 10:59:17 | D ] C:\40e7841c435a3b7aa5
[14/07/2009 - 06:08:56 | SHD ] C:\Documents and Settings
[19/10/2013 - 21:01:50 | N | 9] C:\END
[03/12/2013 - 12:23:43 | ASH | 3165327360] C:\hiberfil.sys
[26/08/2012 - 16:29:18 | D ] C:\Intel
[19/10/2013 - 21:07:26 | N | 1929] C:\logFileUI.txt
[02/09/2012 - 10:06:50 | D ] C:\MININT
[05/05/2013 - 17:11:36 | RHD ] C:\MSOCache
[19/09/2012 - 17:38:35 | D ] C:\Octave3.6.2MinGW
[05/05/2013 - 17:24:45 | D ] C:\Office crack
[03/12/2013 - 12:23:50 | ASH | 4220440576] C:\pagefile.sys
[14/07/2009 - 04:20:08 | D ] C:\PerfLogs
[15/11/2013 - 12:29:31 | D ] C:\Program Files
[03/12/2013 - 17:58:06 | D ] C:\Program Files (x86)
[15/11/2013 - 12:29:30 | HD ] C:\ProgramData
[20/10/2013 - 18:14:03 | D ] C:\Python27
[31/07/2012 - 15:59:37 | SHD ] C:\Recovery
[03/02/2013 - 01:15:43 | N | 202] C:\SetSearchAndHomepageInBrows​erLog.txt
[03/12/2013 - 17:01:39 | SHD ] C:\System Volume Information
[03/12/2013 - 21:31:33 | D ] C:\UsbFix
[03/12/2013 - 21:31:50 | A | 11717] C:\UsbFix [clean 1] PAULOPC.txt
[24/11/2013 - 11:43:56 | N | 12576] C:\UsbFix [scan 1] PAULOPC.txt
[26/08/2012 - 17:24:32 | RD ] C:\Users
[13/11/2013 - 14:48:02 | D ] C:\Windows
[09/11/2013 - 11:59:14 | D ] E:\Nouveau dossier
[21/11/2013 - 08:59:34 | D ] E:\ejercicio_211113
[25/11/2013 - 12:20:40 | D ] E:\RECYCLER
[13/10/2013 - 17:43:26 | D ] F:\IAMA
[21/10/2013 - 14:51:26 | D ] F:\DIMA
[03/10/2013 - 16:20:50 | D ] F:\TTA
[24/09/2013 - 11:54:46 | D ] F:\CAAA
[21/10/2013 - 14:52:22 | D ] F:\GDP
[29/10/2013 - 07:05:52 | D ] F:\Ismael AGUAS
[11/11/2013 - 09:57:24 | HD ] F:\RECYCLER

################## | Vaccin |

E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

(Publicité)
Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 04/12/2013 à 06:20:07  
  1. Prévenir les modérateurs en cas d'abus
 
Comment se comporte ta clé USB?


---------------
Une Idéfix? ... Etre et durer.
Invité
apc77fez
  1. Posté le 05/12/2013 à 00:11:21  
  1. Prévenir les modérateurs en cas d'abus
 
Bien ! Plus de trace de fichiers sous forme de raccourcis et plus de trace de fichier facebook.vsb ou autre trucs bizarres ! Merci beaucoup !

Il y a-t-il d'autres chose a faire pour terminer cette "desinfection" ?

Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 06/12/2013 à 09:18:36  
  1. Prévenir les modérateurs en cas d'abus
 
Oui et cela sera rapide.

Tu vas désinstaller tous les logiciels de nettoyage, rapports et inscriptions dans le Registre afin de retrouver un PC 'comme avant l'infection'.

Effectue ceci.

Télécharge DelFix de Xplode.
> Lance-le.
> A l'invite de commandes > Par défaut la case Supprimer les outils de désinfection est cochée > Valide l'action en cliquant sur le bouton Accepter.
> Patiente le temps des suppressions jusqu'à l'ouverture du rapport.
(Si les tools sont encore visibles > Rafraîchi l'écran à l'aide de la touche F5 > Sinon le prochain redémarrage fera disparaître les icônes).

Voilà ami apct9 nous avons terminés et je te remercie de ta patience sur des petits imprévues durant la désinfection de ton système.

Je te relâche sur la toile et te souhaites une bonne navigation sur le Web.

Je poste un [résolu] sur ton sujet.

> danakil
Message édité par danakil le 06/12/2013 à 09:19:51

---------------
Une Idéfix? ... Etre et durer.
(Publicité)
Invité
apc77fez
  1. Posté le 07/12/2013 à 20:29:03  
  1. Prévenir les modérateurs en cas d'abus
 
Bah merci pour votre aide et pas de souci pour les imprévus, c'est génial de trouver de l'aide si facilement !

Bonne continuation !

  1. Posté le 21/12/2013 à 03:41:11  
  1. Prévenir les modérateurs en cas d'abus
 
bonjour


AVIS aux lecteurs du sujet :

si vous aussi vous avez le même problème ou un autre , merci d'ouvrir un nouveau sujet dans le forum prévu à cet effet , à savoir sur ce lien :
http://forum.telecharger.01net [...] ujet-1.htm
vous serez pris en charge par un des helpers qualifiés du groupe sécurité

merci de vous inscrire , afin de mieux suivre les réponses qui vous seront données via ce lien :

http://forum.telecharger.01net [...] ption.html

un fois loggés vous pourrez suivre les réponses via ceci :
http://www.aht.li/2128743/Capt​ure.PNG

  1. Posté le 21/12/2013 à 03:41:18  
  1. Prévenir les modérateurs en cas d'abus
 
Ce sujet a été fermé par G3n-h@ckm@n

 Page :
1

Aller à :
 

Sujets relatifs
PC surement infectée Infectée?
PC infectée par virus TR /crypt XPACK.gen2 cle usb infectée
Plus de sujets relatifs à : clé usb inféctée