Virus clé USB - fichiers et dossiers changés en raccourcis

Virus clé USB - fichiers et dossiers changés en raccourcis#13690

par Yoh - jeu. 31 oct. 2013 13:02

- jeu. 31 oct. 2013 13:02 #13690

############################## | UsbFix V 7.147 | [Recherche]

Utilisateur: Yoh # Sark (Administrateur) # YOHRIE
Mis à jour le 30/10/2013 par El Desaparecido - Team SosVirus
Lancé à 12:40:51 | 31/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact: https://www.usbfix.net/contact/

PC: Hewlett-Packard (18D4)
CPU: AMD E2-1800 APU with Radeon(tm) HD Graphics
RAM -> [Total : 3674 | Free : 2394]
Bios: Insyde
Boot: Normal boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit)
WB: Windows Internet Explorer : 10.0.9200.16688
WB: Mozilla Firefox : 25.0

SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AV: avast! Antivirus [Enabled | Updated]
AS: Windows Defender : 4.3.0215.0
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 278 Go (225 Go libre(s) - 81%) [] # NTFS
D:\ -> Disque fixe # 19 Go (2 Go libre(s) - 12%) [RECOVERY] # NTFS
E:\ -> Disque amovible # 31 Go (28 Go libre(s) - 91%) [MACHINNOIR] # FAT32
F:\ -> Disque amovible # 7 Go (2 Go libre(s) - 21%) [] # FAT32
G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 98%) [] # NTFS

################## | Référence de comparaison MD5 |

Md5 : 01c034d0effbf218689f6f4678af63cc -> C:\Users\sarkl_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Md5 : DENIED -> C:\Users\SARKL_~1\AppData\Local\Temp\updat.vbs
Md5 : 01c034d0effbf218689f6f4678af63cc -> E:\updat.vbs
Md5 : 01c034d0effbf218689f6f4678af63cc -> F:\updat.vbs
Md5 : 01c034d0effbf218689f6f4678af63cc -> G:\updat.vbs

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 512 |ParentID: 504)
C:\Windows\system32\wininit.exe (ID: 612 |ParentID: 504)
C:\Windows\system32\services.exe (ID: 684 |ParentID: 612)
C:\Windows\system32\lsass.exe (ID: 700 |ParentID: 612)
C:\Windows\system32\svchost.exe (ID: 804 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 876 |ParentID: 684)
C:\Windows\system32\atiesrxx.exe (ID: 940 |ParentID: 684)
C:\Windows\System32\svchost.exe (ID: 976 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 420 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 916 |ParentID: 684)
C:\Windows\System32\svchost.exe (ID: 1072 |ParentID: 684)
C:\Program Files\IDT\WDM\STacSV64.exe (ID: 1108 |ParentID: 684)
C:\Windows\system32\Hpservice.exe (ID: 1272 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 1356 |ParentID: 684)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1468 |ParentID: 684)
C:\Windows\System32\spoolsv.exe (ID: 1632 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 1680 |ParentID: 684)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1792 |ParentID: 684)
C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe (ID: 1904 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 1944 |ParentID: 684)
C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe (ID: 1968 |ParentID: 684)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 1400 |ParentID: 684)
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe (ID: 1700 |ParentID: 684)
C:\Windows\system32\dashost.exe (ID: 120 |ParentID: 1072)
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe (ID: 2144 |ParentID: 684)
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe (ID: 2004 |ParentID: 684)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3160 |ParentID: 804)
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe (ID: 3328 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 3476 |ParentID: 684)
C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BsHelpCS.exe (ID: 3652 |ParentID: 684)
C:\Windows\system32\SearchIndexer.exe (ID: 3704 |ParentID: 684)
C:\Windows\system32\svchost.exe (ID: 3884 |ParentID: 684)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 4916 |ParentID: 804)
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe (ID: 5016 |ParentID: 684)
C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe (ID: 2808 |ParentID: 684)
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (ID: 4064 |ParentID: 684)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (ID: 1120 |ParentID: 684)
C:\Windows\system32\csrss.exe (ID: 2732 |ParentID: 212)
C:\Windows\System32\WinLogon.exe (ID: 2284 |ParentID: 212)
C:\Windows\System32\dwm.exe (ID: 920 |ParentID: 2284)
C:\Windows\system32\atieclxx.exe (ID: 3132 |ParentID: 940)
C:\Windows\system32\taskhostex.exe (ID: 2444 |ParentID: 684)
C:\Windows\Explorer.EXE (ID: 3408 |ParentID: 1516)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 4736 |ParentID: 684)
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4206.722_x64__8wekyb3d8bbwe\LiveComm.exe (ID: 4104 |ParentID: 804)
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (ID: 2456 |ParentID: 1320)
C:\Windows\System32\RuntimeBroker.exe (ID: 2776 |ParentID: 804)
C:\Program Files\IDT\WDM\sttray64.exe (ID: 484 |ParentID: 3408)
C:\Windows\System32\wscript.exe (ID: 3060 |ParentID: 3408)
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe (ID: 1452 |ParentID: 3108)
C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe (ID: 2460 |ParentID: 684)
C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe (ID: 2516 |ParentID: 3108)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 2812 |ParentID: 3108)
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe (ID: 4992 |ParentID: 3108)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ID: 2112 |ParentID: 2744)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ID: 2188 |ParentID: 2112)
C:\Windows\splwow64.exe (ID: 4020 |ParentID: 1868)
C:\Windows\system32\SearchProtocolHost.exe (ID: 4812 |ParentID: 3704)
C:\Windows\system32\SearchFilterHost.exe (ID: 5392 |ParentID: 3704)
C:\UsbFix\Go.exe (ID: 2044 |ParentID: 3536)
C:\Windows\System32\WUDFHost.exe (ID: 4984 |ParentID: 1072)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (ID: 788 |ParentID: 420)

################## | Regedit Run |

HKLM\SOFTWARE | Run : [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\SOFTWARE | Run : [BtTray] - "C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BtTray.exe"
HKLM\SOFTWARE | Run : [HP Quick Launch] - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
HKLM\SOFTWARE | Run : [HP CoolSense] - C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe -byrunkey
HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [SDTray] - "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
HKLM\SOFTWARE\wow6432Node | Run : [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\SOFTWARE\wow6432Node | Run : [BtTray] - "C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BtTray.exe"
HKLM\SOFTWARE\wow6432Node | Run : [HP Quick Launch] - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
HKLM\SOFTWARE\wow6432Node | Run : [HP CoolSense] - C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe -byrunkey
HKLM\SOFTWARE\wow6432Node | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [SDTray] - "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-21-396851991-46305949-3940267121-1002\SOFTWARE | Run : [updat] - wscript.exe //B "C:\Users\SARKL_~1\AppData\Local\Temp\updat.vbs"

################## | Recherche générique |

Présent! E:\updat.vbs
Présent! F:\updat.vbs
Présent! G:\updat.vbs
Présent! C:\Users\SARKL_~1\AppData\Local\Temp\updat.vbs
Présent! C:\Users\sarkl_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Présent! E:\Imeji.lnk
Présent! E:\Chose -.lnk
Présent! E:\Chose~.lnk
Présent! E:\CV.lnk
Présent! E:\Kaka reta.lnk
Présent! E:\Seimei e no watashi no tegami.lnk
Présent! E:\Kontesuto ya sonohoka no essei.lnk
Présent! E:\Bideo.lnk
Présent! E:\Zumen.lnk
Présent! E:\Wanpîsu.lnk
Présent! E:\Ongaku.lnk
Présent! F:\20131015094234.lnk
Présent! F:\DSC04899.lnk
Présent! F:\20131015092331.lnk
Présent! F:\20131015093008.lnk
Présent! F:\Saison 4 VOST.lnk
Présent! F:\Breaking Bad [Saison 2 COMPLETE FRENCH].lnk
Présent! G:\Slender - The Arrival.lnk

################## | Comparaison MD5 |

Présent! Md5 : 01C034D0EFFBF218689F6F4678AF63CC -> C:\Users\sarkl_000\AppData\Local\Temp\updat.vbs
Présent! Md5 : 01C034D0EFFBF218689F6F4678AF63CC -> C:\Users\sarkl_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Présent! Md5 : 01C034D0EFFBF218689F6F4678AF63CC -> E:\updat.vbs
Présent! Md5 : 01C034D0EFFBF218689F6F4678AF63CC -> F:\updat.vbs
Présent! Md5 : 01C034D0EFFBF218689F6F4678AF63CC -> G:\updat.vbs

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktop -> 1
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktopChanges -> 1
Présent! HKU\S-1-5-21-396851991-46305949-3940267121-1002\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKU\S-1-5-21-396851991-46305949-3940267121-1002\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKU\S-1-5-21-396851991-46305949-3940267121-1002\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKU\S-1-5-21-396851991-46305949-3940267121-1002\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKU\S-1-5-21-396851991-46305949-3940267121-1002\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13691

par Yoh - jeu. 31 oct. 2013 13:06

- jeu. 31 oct. 2013 13:06 #13691

Merci d'avance ><

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13692

par Destrio5 - jeu. 31 oct. 2013 13:08

- jeu. 31 oct. 2013 13:08 #13692

Bonjour,

Désinstalle Spybot.
Relance UsbFix et choisis l'option Suppression.

Note : si UsbFix bloque à 14%, démarrer en mode sans échec. (Voir >> ICI <<)
Copie-colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse.

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13695

par Yoh - jeu. 31 oct. 2013 13:34

- jeu. 31 oct. 2013 13:34 #13695

J'ai du le réinstaller, il avait disparu inopinément ._.
Voilà :

############################## | UsbFix V 7.147 | [Suppression]

Utilisateur: Yoh # Sark (Administrateur) # YOHRIE
Mis à jour le 30/10/2013 par El Desaparecido - Team SosVirus
Lancé à 13:22:22 | 31/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact: https://www.usbfix.net/contact/

PC: Hewlett-Packard (18D4)
CPU: AMD E2-1800 APU with Radeon(tm) HD Graphics
RAM -> [Total : 3674 | Free : 2580]
Bios: Insyde
Boot: Normal boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit)
WB: Windows Internet Explorer : 10.0.9200.16688
WB: Mozilla Firefox : 25.0

SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AV: avast! Antivirus [Enabled | Updated]
AS: Windows Defender : 4.3.0215.0
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 278 Go (225 Go libre(s) - 81%) [] # NTFS
D:\ -> Disque fixe # 19 Go (2 Go libre(s) - 12%) [RECOVERY] # NTFS
E:\ -> Disque amovible # 31 Go (28 Go libre(s) - 91%) [MACHINNOIR] # FAT32
F:\ -> Disque amovible # 7 Go (2 Go libre(s) - 21%) [] # FAT32
G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 98%) [] # NTFS

################## | Référence de comparaison MD5 |

Md5 : 01c034d0effbf218689f6f4678af63cc -> C:\Users\sarkl_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Md5 : DENIED -> C:\Users\SARKL_~1\AppData\Local\Temp\updat.vbs
Md5 : 01c034d0effbf218689f6f4678af63cc -> E:\updat.vbs
Md5 : 01c034d0effbf218689f6f4678af63cc -> F:\updat.vbs
Md5 : 01c034d0effbf218689f6f4678af63cc -> G:\updat.vbs

################## | Processus Stoppés |

Stoppé! C:\Windows\system32\atiesrxx.exe (ID: 940 |ParentID: 688)
Stoppé! C:\Windows\system32\atieclxx.exe (ID: 1072 |ParentID: 940)
Stoppé! C:\Program Files\IDT\WDM\STacSV64.exe (ID: 1180 |ParentID: 688)
Stoppé! C:\Windows\system32\Hpservice.exe (ID: 1308 |ParentID: 688)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1524 |ParentID: 688)
Stoppé! C:\Windows\System32\spoolsv.exe (ID: 1740 |ParentID: 688)
Stoppé! C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1936 |ParentID: 688)
Stoppé! C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe (ID: 1996 |ParentID: 688)
Stoppé! C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BlueSoleilCS.exe (ID: 1156 |ParentID: 688)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (ID: 1456 |ParentID: 688)
Stoppé! C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe (ID: 1860 |ParentID: 688)
Stoppé! C:\Windows\system32\dashost.exe (ID: 1856 |ParentID: 1104)
Stoppé! C:\Windows\system32\taskhostex.exe (ID: 2508 |ParentID: 688)
Stoppé! C:\Windows\Explorer.EXE (ID: 2612 |ParentID: 2568)
Stoppé! C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BsHelpCS.exe (ID: 2124 |ParentID: 688)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 3488 |ParentID: 688)
Stoppé! C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (ID: 3676 |ParentID: 3512)
Stoppé! C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe (ID: 3724 |ParentID: 688)
Stoppé! C:\Windows\system32\SearchIndexer.exe (ID: 3964 |ParentID: 688)
Stoppé! C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4206.722_x64__8wekyb3d8bbwe\LiveComm.exe (ID: 4012 |ParentID: 800)
Stoppé! C:\Windows\System32\WUDFHost.exe (ID: 3208 |ParentID: 1104)
Stoppé! C:\Program Files\IDT\WDM\sttray64.exe (ID: 4092 |ParentID: 2612)
Stoppé! C:\Windows\System32\wscript.exe (ID: 4028 |ParentID: 2612)
Stoppé! C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe (ID: 2416 |ParentID: 3716)
Stoppé! C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe (ID: 504 |ParentID: 3716)
Stoppé! C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe (ID: 4176 |ParentID: 688)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 4184 |ParentID: 3716)
Stoppé! C:\Windows\System32\RuntimeBroker.exe (ID: 4336 |ParentID: 800)
Stoppé! C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ID: 4876 |ParentID: 3880)
Stoppé! C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ID: 4248 |ParentID: 4876)
Stoppé! C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe (ID: 4724 |ParentID: 688)
Stoppé! C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (ID: 3252 |ParentID: 688)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 4964 |ParentID: 688)
Stoppé! C:\Program Files\Internet Explorer\iexplore.exe (ID: 3108 |ParentID: 2612)
Stoppé! C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE (ID: 3528 |ParentID: 3108)
Stoppé! C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe (ID: 2544 |ParentID: 800)
Stoppé! C:\Windows\system32\taskeng.exe (ID: 3152 |ParentID: 268)
Stoppé! C:\Windows\system32\SearchProtocolHost.exe (ID: 3024 |ParentID: 3964)
Stoppé! C:\Windows\system32\SearchFilterHost.exe (ID: 4060 |ParentID: 3964)

################## | Regedit Run |

HKLM\SOFTWARE | Run : [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\SOFTWARE | Run : [BtTray] - "C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BtTray.exe"
HKLM\SOFTWARE | Run : [HP Quick Launch] - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
HKLM\SOFTWARE | Run : [HP CoolSense] - C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe -byrunkey
HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\SOFTWARE\wow6432Node | Run : [BtTray] - "C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BtTray.exe"
HKLM\SOFTWARE\wow6432Node | Run : [HP Quick Launch] - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
HKLM\SOFTWARE\wow6432Node | Run : [HP CoolSense] - C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe -byrunkey
HKLM\SOFTWARE\wow6432Node | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-21-396851991-46305949-3940267121-1002\SOFTWARE | Run : [updat] - wscript.exe //B "C:\Users\SARKL_~1\AppData\Local\Temp\updat.vbs"

################## | Recherche générique |

Supprimé! E:\updat.vbs
Supprimé! F:\updat.vbs
Supprimé! G:\updat.vbs
Supprimé! C:\Users\SARKL_~1\AppData\Local\Temp\updat.vbs
Supprimé! C:\Users\sarkl_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Supprimé! E:\Imeji.lnk
Supprimé! E:\Chose -.lnk
Supprimé! E:\Chose~.lnk
Supprimé! E:\CV.lnk
Supprimé! E:\Kaka reta.lnk
Supprimé! E:\Seimei e no watashi no tegami.lnk
Supprimé! E:\Kontesuto ya sonohoka no essei.lnk
Supprimé! E:\Bideo.lnk
Supprimé! E:\Zumen.lnk
Supprimé! E:\Wanpîsu.lnk
Supprimé! E:\Ongaku.lnk
Supprimé! F:\20131015094234.lnk
Supprimé! F:\DSC04899.lnk
Supprimé! F:\20131015092331.lnk
Supprimé! F:\20131015093008.lnk
Supprimé! F:\Saison 4 VOST.lnk
Supprimé! F:\Breaking Bad [Saison 2 COMPLETE FRENCH].lnk
Supprimé! G:\Slender - The Arrival.lnk

(!) Fichiers temporaires supprimés.
################## | Comparaison MD5 |

################## | Registre |

Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktop -> 0
Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktopChanges -> 0
Supprimé! HKU\S-1-5-21-396851991-46305949-3940267121-1002\Software\Microsoft\Windows\CurrentVersion\Run|updat

################## | Listing |

[25/12/2012 - 09:30:12 | SHD ] C:\$Recycle.Bin
[04/08/2012 - 00:21:36 | SHD ] C:\Boot
[26/07/2012 - 04:44:30 | RASH | 398156] C:\bootmgr
[02/06/2012 - 15:30:55 | N | 1] C:\BOOTNXT
[04/08/2012 - 00:21:37 | RASH | 8192] C:\BOOTSECT.BAK
[26/07/2012 - 08:22:08 | SHD ] C:\Documents and Settings
[31/10/2013 - 13:13:03 | ASH | 3082186752] C:\hiberfil.sys
[25/12/2012 - 09:36:52 | D ] C:\HP
[03/08/2012 - 23:39:51 | D ] C:\inetpub
[25/12/2012 - 09:48:37 | RHD ] C:\MSOCache
[31/10/2013 - 13:13:05 | ASH | 3892314112] C:\pagefile.sys
[26/07/2012 - 08:33:46 | D ] C:\PerfLogs
[17/03/2013 - 15:18:19 | D ] C:\Program Files
[30/10/2013 - 22:09:02 | D ] C:\Program Files (x86)
[30/10/2013 - 17:09:21 | HD ] C:\ProgramData
[04/01/2013 - 13:27:36 | D ] C:\sources
[31/10/2013 - 13:13:05 | ASH | 268435456] C:\swapfile.sys
[27/02/2013 - 16:52:32 | D ] C:\SWSetup
[30/10/2013 - 14:56:49 | SHD ] C:\System Volume Information
[25/12/2012 - 09:28:34 | D ] C:\SYSTEM.SAV
[31/10/2013 - 13:27:46 | D ] C:\UsbFix
[31/10/2013 - 13:32:01 | A | 9044] C:\UsbFix [Clean 1] YOHRIE.txt
[25/12/2012 - 09:23:57 | RD ] C:\Users
[31/10/2013 - 13:12:08 | D ] C:\Windows
[25/12/2012 - 09:35:03 | SHD ] D:\$RECYCLE.BIN
[31/08/2012 - 16:28:16 | RSHD ] D:\boot
[26/07/2012 - 04:44:32 | RASH | 398156] D:\bootmgr
[26/07/2012 - 05:57:10 | N | 1350896] D:\bootmgr.efi
[31/08/2012 - 16:28:16 | D ] D:\EFI
[31/08/2012 - 16:28:16 | D ] D:\FactoryUpdate
[31/08/2012 - 16:28:16 | D ] D:\hp
[31/08/2012 - 16:28:20 | RSHD ] D:\preload
[31/08/2012 - 16:28:16 | RSD ] D:\recovery
[31/08/2012 - 16:28:16 | D ] D:\RM_Reserve
[31/03/2013 - 08:41:22 | SHD ] D:\System Volume Information
[30/10/2013 - 23:14:00 | D ] E:\Wanpîsu
[30/10/2013 - 22:40:06 | D ] E:\Imeji
[30/10/2013 - 22:37:54 | N | 394011] E:\Chose -.-.docx
[30/10/2013 - 22:22:54 | N | 380039] E:\Chose~.jpg
[30/10/2013 - 22:36:34 | N | 17126] E:\CV.docx
[30/10/2013 - 23:15:18 | D ] E:\Kaka reta
[30/10/2013 - 23:17:50 | D ] E:\Seimei e no watashi no tegami
[30/10/2013 - 23:17:28 | D ] E:\Kontesuto ya sonohoka no essei
[30/10/2013 - 17:04:26 | D ] E:\Bideo
[30/10/2013 - 22:16:34 | D ] E:\Zumen
[30/10/2013 - 22:30:04 | D ] E:\Ongaku
[14/12/2011 - 16:31:12 | D ] F:\Saison 4 VOST
[23/10/2013 - 14:04:44 | N | 575668224] F:\20131015094234.m2ts
[15/10/2013 - 08:22:44 | N | 2033004] F:\DSC04899.JPG
[23/10/2013 - 14:01:00 | N | 83951616] F:\20131015092331.m2ts
[23/10/2013 - 14:03:08 | N | 776011776] F:\20131015093008.m2ts
[13/10/2013 - 13:27:12 | D ] F:\Breaking Bad [Saison 2 COMPLETE FRENCH]
[26/03/2013 - 10:37:44 | N | 9949184] G:\Slender - The Arrival.exe

################## | Vaccin |

E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13697

par Destrio5 - jeu. 31 oct. 2013 13:42

- jeu. 31 oct. 2013 13:42 #13697

Télécharge ZHPDiag (de Nicolas Coolman) sur ton Bureau.
Installe le logiciel et lance ZHPDiag.
Clique sur Configurer puis sur la loupe la plus à droite Diagnostic avec légitimes.
A la fenêtre Voulez-vous un rapport full options ?, clique sur Oui et patiente le temps du scan.

Note : ne pas fermer le programme même s'il est indiqué qu'il ne répond plus.
Une fois le scan terminé, un rapport est créé sur le Bureau.
Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie-colle le lien fourni dans ta prochaine réponse.

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13701

par Yoh - jeu. 31 oct. 2013 14:03

- jeu. 31 oct. 2013 14:03 #13701

https://upload.sosvirus.net/log/SosUploa ... 6772f4.txt

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13710

par Yoh - jeu. 31 oct. 2013 15:02

- jeu. 31 oct. 2013 15:02 #13710

Ca a marché *o* merci beaucoup!

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#13714

par Destrio5 - jeu. 31 oct. 2013 15:29

- jeu. 31 oct. 2013 15:29 #13714

Copie tout le texte présent en vert ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

Script ZHPFix
SysRestore
O2 - BHO: (no name) [64Bits] - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
O3 - Toolbar: (no name) [64Bits] - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
[HKCU\Software\Safer Networking Limited]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Wow6432Node\Safer Networking Limited]
O61 - LFC: 30/10/2013 - 13:54:53 ---A- . (.Safer-Networking Ltd..) -- C:\Users\sarkl_000\Downloads\spybotsd-2.1.21-SR2.exe [37672592]
O43 - CFD: 31/10/2013 - 13:13:02 - [0,259] ----D C:\Program Files (x86)\Spybot - Search & Destroy 2
O43 - CFD: 30/10/2013 - 17:29:21 - [0,423] ----D C:\ProgramData\Spybot - Search & Destroy
O45 - LFCP:[MD5.FA8DB3D7D6729A6FB8E461077F0BBD3D] - 30/10/2013 - 17:07:55 ---A- - C:\Windows\Prefetch\SPYBOTSD-2.1.21-SR2.TMP-424F1455.pf
O45 - LFCP:[MD5.FC07ED6F563AFB10D6A41C22C8CD3FF7] - 30/10/2013 - 17:08:03 ---A- - C:\Windows\Prefetch\SPYBOTSD-2.1.21-SR2.TMP-CDE71C6D.pf
O69 - SBI: SearchScopes [HKCU] {2fa28606-de77-4029-af96-b231e3b8f827} - (Ask.com) - https://eu.ask.com
O69 - SBI: SearchScopes [HKCU] {D944BB61-2E34-4DBF-A683-47E505C587DC} - (eBay) - https://rover.ebay.com
O87 - FAEL: "TCP Query User{AC78D7C6-4EE9-4E4E-ADDF-C8B1C987CD82}C:\users\sarkl_000\appdata\local\temp\rar$exa0.849\terraria 1.1.2\terrariaserver.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\sarkl_000\appdata\local\temp\rar$exa0.849\terraria 1.1.2\terrariaserver.exe (.not file.)
O87 - FAEL: "UDP Query User{BA0DC147-2874-4315-BCE1-A2918F59164D}C:\users\sarkl_000\appdata\local\temp\rar$exa0.849\terraria 1.1.2\terrariaserver.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\sarkl_000\appdata\local\temp\rar$exa0.849\terraria 1.1.2\terrariaserver.exe (.not file.)
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}]
EmptyCLSID
EmptyFlash
EmptyTemp
Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
Clique sur le bouton "IMPORTER".
Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître.
Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
Une fois terminé, héberge le rapport ZHPFix.txt sur SosUpload et copie-colle le lien fourni dans ta prochaine réponse.

Re: Virus clé USB - fichiers et dossiers changés en raccourcis#15488

par Destrio5 - sam. 9 nov. 2013 16:53

- sam. 9 nov. 2013 16:53 #15488

Pas de nouvelle de ta part pour ZHPFix, je passe le sujet en résolu.

Bonne soirée.

Nouveaux Sujets

Hot topics

Top utilisateurs actif

buckhulk

billmaxime

guugues

Fish66

Victor

alainadam

El Magnifico

-Souris

Derniers likes