Rapport USB Fix

[Marin de Jenlis]

Je pense que mes périphériques USB sont infectés par un virus, voici le rapport, quelqu'un peut m'aider svp ?
USBFix

Code: Tout sélectionner

############################## | UsbFix V 7.126 | [Recherche]

Utilisateur: X (Administrateur) # X-PC
Mis à jour le 13/05/2013 par El Desaparecido
Lancé à 19:05:47 | 21/05/2013

Site Web: https://www.sosvirus.net/
Upload Malware: https://upload.sosvirus.net/
Contact: contact@sosvirus.net

PC: Dell Inc. (OptiPlex GX620 ) (X86-based PC)
CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz (2992)
RAM -> [Total : 2046 | Free : 1141]
BIOS: Phoenix ROM BIOS PLUS Version 1.10 A01
BOOT: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16576

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 931 Go (873 Go libre(s) - 94%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (480 Mo libre(s) - 26%) [BLACKBERRY] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (408)
C:\Windows\system32\wininit.exe (468)
C:\Windows\system32\csrss.exe (476)
C:\Windows\system32\services.exe (524)
C:\Windows\system32\lsass.exe (540)
C:\Windows\system32\lsm.exe (548)
C:\Windows\system32\winlogon.exe (596)
C:\Windows\system32\svchost.exe (740)
C:\Windows\system32\svchost.exe (840)
C:\Windows\System32\svchost.exe (908)
C:\Windows\System32\svchost.exe (988)
C:\Windows\system32\svchost.exe (1048)
C:\Windows\system32\svchost.exe (1100)
C:\Windows\system32\svchost.exe (1360)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1452)
C:\Windows\system32\svchost.exe (1676)
C:\Windows\system32\svchost.exe (1516)
C:\Windows\system32\svchost.exe (2408)
C:\Windows\System32\svchost.exe (3176)
C:\Windows\system32\Dwm.exe (3732)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (2824)
C:\Windows\system32\wbem\wmiprvse.exe (1228)
C:\Windows\System32\svchost.exe (2784)
C:\Windows\System32\rundll32.exe (3640)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (5628)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (3072)
C:\Program Files\Windows Media Player\wmpnetwk.exe (4520)
C:\Windows\system32\SearchIndexer.exe (5168)
C:\Windows\System32\spoolsv.exe (3356)
C:\Windows\System32\rundll32.exe (2580)
C:\Windows\Explorer.exe (3632)
C:\Windows\system32\DllHost.exe (3912)
C:\Windows\System32\WUDFHost.exe (1264)
C:\Windows\System32\WScript.exe (5488)
C:\Program Files\Search Results Toolbar\Datamngr\DatamngrCoordinator.exe (4220)
C:\Program Files\Search Results Toolbar\Datamngr\DatamngrUI.exe (700)
C:\Program Files\Mozilla Firefox\firefox.exe (4800)
C:\UsbFix\Go.exe (2668)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [DATAMNGR] - C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~2.EXE
HKLM\SOFTWARE | Run : [Facebook.vbs] - "C:\Users\X\AppData\Local\Temp\Facebook.vbs"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [Google Update] - "C:\Users\X\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [Facebook.vbs] - "C:\Users\X\AppData\Local\Temp\Facebook.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-18\SOFTWARE | RunOnce : [SPReview] - "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"https://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

################## | à‰léments infectieux |

Présent! E:\.brains.lnk
Présent! E:\._.Trashes.lnk
Présent! E:\644177_455865484506960_833428961_n.jpg.lnk
Présent! E:\Trailer ~ Noces d'Or au Mont Saint-Michel.mp4.lnk
Présent! E:\BlackBerry.lnk
Présent! E:\LEPOINT.lnk
Présent! E:\tunein.lnk
Présent! E:\.Trashes.lnk
Présent! E:\.fseventsd.lnk
Présent! E:\.Spotlight-V100.lnk
Présent! C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook.vbs
Présent! C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk
Présent! C:\Users\X\AppData\Local\Temp\Facebook.vbs
Présent! E:\Facebook.vbs

################## | Registre |

Présent! HKCU|njq8
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Facebook.vbs
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Facebook.vbs

################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://sosvirus.net |

[Evasion60]

Bonsoir Marin de Jenlis , bienvenue sur SoSVirus

Relance USBFix
Clique sur le bouton " Suppression "
Poste son rapport

A te lire

[Marin de Jenlis]

Bonjour @evasion60 !! Merci de m'aider
Voici donc le rapport après "suppression"

Code: Tout sélectionner

############################## | UsbFix V 7.126 | [Suppression]

Utilisateur: X (Administrateur) # X-PC
Mis à jour le 13/05/2013 par El Desaparecido
Lancé à 15:27:48 | 22/05/2013

Site Web: https://www.sosvirus.net/
Upload Malware: https://upload.sosvirus.net/
Contact: contact@sosvirus.net

PC: Dell Inc. (OptiPlex GX620 ) (X86-based PC)
CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz (2992)
RAM -> [Total : 2046 | Free : 1171]
BIOS: Phoenix ROM BIOS PLUS Version 1.10 A01
BOOT: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16576

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 931 Go (875 Go libre(s) - 94%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (480 Mo libre(s) - 26%) [BLACKBERRY] # FAT

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [DATAMNGR] - C:\PROGRA~1\SEARCH~1\Datamngr\DATAMN~2.EXE
HKLM\SOFTWARE | Run : [Facebook.vbs] - "C:\Users\X\AppData\Local\Temp\Facebook.vbs"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [Google Update] - "C:\Users\X\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [Facebook.vbs] - "C:\Users\X\AppData\Local\Temp\Facebook.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-18\SOFTWARE | RunOnce : [SPReview] - "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"https://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

################## | Processus Stoppés |

Stoppé! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1464)
Stoppé! C:\Windows\System32\spoolsv.exe (1596)
Stoppé! C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1796)
Stoppé! C:\Program Files\Search Results Toolbar\Datamngr\DatamngrCoordinator.exe (1852)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (1980)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (1456)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (3296)
Stoppé! C:\Windows\system32\SearchIndexer.exe (3368)
Stoppé! C:\Windows\system32\taskeng.exe (2704)
Stoppé! C:\Windows\system32\taskhost.exe (1304)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastUI.exe (3956)
Stoppé! C:\Program Files\Search Results Toolbar\Datamngr\DatamngrUI.exe (3752)
Stoppé! C:\Windows\System32\WScript.exe (1276)
Stoppé! C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (2896)
Stoppé! C:\Users\X\AppData\Local\Google\Update\GoogleUpdate.exe (2324)
Stoppé! C:\Users\X\AppData\Local\Google\Chrome\Application\chrome.exe (1840)
Stoppé! C:\Users\X\AppData\Local\Google\Chrome\Application\chrome.exe (3052)
Stoppé! C:\Users\X\AppData\Local\Google\Chrome\Application\chrome.exe (1928)
Stoppé! C:\Users\X\AppData\Local\Google\Chrome\Application\chrome.exe (1216)
Stoppé! C:\Users\X\AppData\Local\Google\Chrome\Application\chrome.exe (2924)
Stoppé! C:\Users\X\AppData\Local\Google\Chrome\Application\chrome.exe (2044)
Stoppé! C:\Windows\system32\DllHost.exe (4200)
Stoppé! C:\Windows\System32\WUDFHost.exe (5088)

################## | à‰léments infectieux |

Supprimé! E:\.brains.lnk
Supprimé! E:\._.Trashes.lnk
Supprimé! E:\644177_455865484506960_833428961_n.jpg.lnk
Supprimé! E:\Trailer ~ Noces d'Or au Mont Saint-Michel.mp4.lnk
Supprimé! E:\BlackBerry.lnk
Supprimé! E:\LEPOINT.lnk
Supprimé! E:\tunein.lnk
Supprimé! E:\.Trashes.lnk
Supprimé! E:\.fseventsd.lnk
Supprimé! E:\.Spotlight-V100.lnk
Supprimé! E:\Nouveau dossier.lnk
Supprimé! C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook.vbs
Supprimé! C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk
Supprimé! C:\Users\X\AppData\Local\Temp\Facebook.vbs
Supprimé! E:\Facebook.vbs

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU|njq8
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Facebook.vbs
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Facebook.vbs

################## | Mountpoints2 |


################## | Listing |

[21/04/2012 - 23:44:45 | SHD ] C:\$Recycle.Bin
[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat
[21/05/2013 - 18:54:13 | RASHD ] C:\Autorun.inf
[19/10/2011 - 15:29:26 | D ] C:\cd seven
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[19/10/2011 - 15:17:44 | D ] C:\dell
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[22/05/2013 - 15:10:09 | ASH | 1609150464] C:\hiberfil.sys
[22/05/2013 - 15:10:11 | ASH | 2145533952] C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[21/05/2013 - 18:58:40 | D ] C:\Program Files
[20/05/2013 - 15:39:25 | HD ] C:\ProgramData
[15/09/2011 - 14:17:21 | SHD ] C:\Recovery
[21/05/2013 - 18:00:34 | SHD ] C:\System Volume Information
[22/05/2013 - 15:30:16 | D ] C:\UsbFix
[21/05/2013 - 18:54:13 | N | 5259] C:\UsbFix [Clean 1] X-PC.txt
[22/05/2013 - 15:30:37 | A | 5755] C:\UsbFix [Clean 2] X-PC.txt
[21/05/2013 - 19:01:11 | N | 3258] C:\UsbFix [Listing 1 ] X-PC.txt
[21/05/2013 - 18:49:06 | N | 5036] C:\UsbFix [Scan 1] X-PC.txt
[21/05/2013 - 19:07:46 | N | 5084] C:\UsbFix [Scan 4] X-PC.txt
[19/10/2011 - 15:58:20 | D ] C:\Users
[24/03/2013 - 01:25:56 | D ] C:\Windows
[23/06/2012 - 16:08:08 | D ] E:\BlackBerry
[15/01/2013 - 21:07:34 | D ] E:\LEPOINT
[12/12/2012 - 17:24:22 | N | 2] E:\.brains
[15/01/2013 - 22:42:22 | D ] E:\tunein
[01/01/2013 - 02:11:56 | N | 4096] E:\._.Trashes
[01/01/2013 - 02:11:56 | HD ] E:\.Trashes
[01/01/2013 - 02:11:58 | D ] E:\.fseventsd
[01/01/2013 - 02:11:58 | D ] E:\.Spotlight-V100
[20/05/2013 - 20:52:40 | N | 39881] E:\644177_455865484506960_833428961_n.jpg
[21/05/2013 - 06:24:46 | N | 3060222] E:\Trailer ~ Noces d'Or au Mont Saint-Michel.mp4
[21/05/2013 - 19:11:24 | D ] E:\Nouveau dossier

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://sosvirus.net |

[Evasion60]

Bonjour

Ok, avec USBFix :bravo1:

Nous n'avons pas terminé !
Procédure à effectuer dans cet ordre =>
- MalwareBytes Anti Malwares avec la Séléction trouvée Supprimée
- AdwCleaner en mode Suppression
- ZHPDiag avec son rapport hébergé, comme demandé dans le tuto d'aide

/!\Pour les rapports de MalwareBytes Anti-Malware et AdwCleaner

Mettre le curseur de la souris sur le rapport ouvert
Appuyer simultanément sur les touches CTRL et A pour tout sélectionner ( surligné en bleu en général) et relâcher les touches
Appuyer simultanément sur les touches CTRL et C pour copier le contenu du rapport dans le presse-papier de Windows et relâcher les touches
Ouvrir une réponse dans votre sujet sur le forum ou en créer un, y pointer le curseur de la souris
Appuyer simultanément sur les touches CTRL et V pour coller le contenu du presse-papier
Envoyer la réponse et donner des détails précis sur la teneur des problèmes, comment et quand sont-ils apparus, etc...

/!\Pour le rapport de ZHPDiag, il faudra l'héberger sur Sosupload


1/
Télécharger => Malwarebytes Anti-malware
Sous Vista /Win7 / Win8 => clic droit, et exécuter en tant qu'administrateur.
Sous XP => double clic

Pendant l'installation Choisir la langue




Lancer MalwareBytes Anti-Malware

[resizeimg=50]https://www.sosvirus.net/design/antivirus/mbam11.jpg[/resizeimg]


Se rendre dans l'onglet Mise à jour du programme après son lancement
Faites la mise à jour






Une fois le programme relancé après mises à jour, dans l'onglet Recherche sur lequel s'ouvre ce dernier

Cocher Exécuter un examen rapide

Cliquer sur Rechercher






Lorsque le scan est terminé, après une dizaine de minutes selon les configurations, cliquer sur Afficher les résultats


Dans la nouvelle fenêtre, cocher tout et cliquer sur le bouton Supprimer la sélection






Poster un copier-coller du rapport qui s'ouvrira automatiquement
Il n'est pas nécessaire de l'héberger ce dernier étant relativement petit
Voir plus de cette aide


/2\

Télécharge => AdwCleaner de Xplode sur ton bureau

Lance l'outil en cliquant sur adwcleaner.exe
Sous Vista /Win7 / Win8 => clic droit, et exécuter en tant qu'administrateur.
Sous XP => double clic

Clique sur le bouton Recherche et si le rapport n'est pas vierge, clique sur le bouton Suppression



Poste le rapport qui s'ouvre en fin de nettoyage après avoir redémarré l'ordinateur
Il n'est pas nécessaire de l'héberger ce dernier étant relativement petit
Voir plus de cette aide

Il sera aussi enregistré sous

C:\AdwCleaner[S1].txt Si la fonction suppression a été nécessaire

C:\AdwCleaner[R1].txt Si la recherche n'a rien trouvé




/3\
Télécharger => ZHPDiag de Nicolas Coolman

Double-cliquer sur le fichier ZHPDiag2.exe pour installer l'outil
Sous Vista /Win7 / Win8 => clic droit, et exécuter en tant qu'administrateur
Sous XP => double clic
N'oublier pas de cocher la case qui permet de mettre un raccourci sur le Bureau
Accepter l'exécution du fichier et ne pas modifier les options par défaut








Sur le bureau seront créées trois icônes



Double-clic sur sur l'icône ZHPDiag comme sur l'image pour lancer l'outil

Avec Vista, Windows 7 et 8, clique sur OK sur la fenêtre suivante




Clique sur L'icône Loupe pour lancer le scan



Quand l'analyse sera terminée, la barre de progression sera à 100%



Ferme la fenêtre en cliquant sur la croix en haut à droite

Affichage du rapport

Le rapport sera enregistré sur le bureau



Nota=> Le rapport se trouve aussi ici C:\ZHP\ZHPDiag.txt




Remarque : Si le rapport est trop volumineux pour l'héberger de cette façon, passer par Sosupload
Aide: Clique ici

A te lire avec les trois rapports

[Marin de Jenlis]

Merci, donc j'ai fait comme vous me l'aviez dit, j'ai télécharger "Malwarebytes anti-malwares" etc mais après avoir sélectionné les deux fichiers infectieux et les avoir supprimés, un icône me disant qu'il fallait redémarrer le PC est apparue, j'ai cliqué sur oui et donc il a redémarré. Mais du coup après avoir redémarré, quand j'ai relancé la recherche d‚éléments infectieux, ils m'ont dit qu'il n'y avait rien et que tout était bon.. effectivement sur mon périphérique USB tout est OK, plus de raccourcis et j'ai tout récupéré !! Je ne peux donc plus continuer...
Voici quand même le rapport:

Code: Tout sélectionner

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
https://www.malwarebytes.org

Version de la base de données: v2013.05.22.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16576
X :: X-PC [administrateur]

Protection: Activé

22/05/2013 16:29:17
mbam-log-2013-05-22 (16-29-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 223498
Temps écoulé: 6 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[Evasion60]

Re

J'ai pas tout compris, sois plus explicite =>

plus de raccourcis et j'ai tout récupéré !! Je ne peux donc plus continuer...

Arrête // Redémarre le PC

Continue la suite avec AdwCleaner
Poste son rapport

[Marin de Jenlis]

Bonsoir, me revoilà , désolé pour mon absence !
Voila en fait mon pb c'est que sur mon téléphone portable que je branche avec un câble USB sur mon PC, des raccourcis se sont crées et je n'ai plus accès aux fichiers stocké dessus. Hier après avoir utilisé malwarebytes anti-malware, mes fichiers étaient revenus et les raccourcis avaient disparus.. (je m'était mal exprimés) donc tout était OK. mais un peu plus tard je branche un clé USB visiblement infectée en même temps que mon portable. Du coup mon portable est ré-infectée et me revoilà dans la galère....
j'ai recommencé les opérations mais rien n'est détectée par malwarebytes et USBfix bloque à 14%... siffle :faché15:

[Evasion60]

Bonsoir

Pour USBFix en mode Suppression
Redémarre en mode sans échec avec prise en charge du réseau
Relance la suppression
Poste son rapport

@+

[Marin de Jenlis]

Bonsoir,
Voila le rapport : :content32:
USBFix

Code: Tout sélectionner

############################## | UsbFix V 7.126 | [Suppression]

Utilisateur: X (Administrateur) # X-PC
Mis à jour le 13/05/2013 par El Desaparecido
Lancé à 21:18:49 | 24/05/2013

Site Web: https://www.sosvirus.net/
Upload Malware: https://upload.sosvirus.net/
Contact: contact@sosvirus.net

PC: Dell Inc. (OptiPlex GX620 ) (X86-based PC)
CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz (2992)
RAM -> [Total : 2046 | Free : 1629]
BIOS: Phoenix ROM BIOS PLUS Version 1.10 A01
BOOT: Fail-safe with network boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16576

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 931 Go (869 Go libre(s) - 93%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (53 Mo libre(s) - 3%) [BLACKBERRY] # FAT

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [Google Update] - "C:\Users\X\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-3862933100-3330345726-1716122809-1000\SOFTWARE | Run : [Facebook.vbs] - "C:\Users\X\AppData\Local\Temp\Facebook.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-18\SOFTWARE | RunOnce : [SPReview] - "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"https://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

################## | Processus Stoppés |

Stoppé! C:\Windows\Explorer.EXE (1328)
Stoppé! C:\Windows\system32\ctfmon.exe (1372)
Stoppé! C:\Windows\system32\DllHost.exe (1504)

################## | à‰léments infectieux |

Supprimé! E:\app_world.lnk
Supprimé! E:\BlackBerry.lnk
Supprimé! E:\documents.lnk
Supprimé! E:\music.lnk
Supprimé! E:\pictures.lnk
Supprimé! E:\ringtones.lnk
Supprimé! E:\videos.lnk
Supprimé! E:\voicenotes.lnk
Supprimé! E:\tunein.lnk
Supprimé! E:\LEPOINT.lnk
Supprimé! C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trzEA5E.tmp
Supprimé! C:\Users\X\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk
Supprimé! E:\Facebook.vbs

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU|njq8
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Facebook.vbs

################## | Mountpoints2 |


################## | Listing |

[21/04/2012 - 23:44:45 | SHD ] C:\$Recycle.Bin
[22/05/2013 - 18:13:56 | N | 7032] C:\AdwCleaner[R1].txt
[22/05/2013 - 18:15:00 | N | 6788] C:\AdwCleaner[S1].txt
[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat
[22/05/2013 - 15:30:37 | RASHD ] C:\Autorun.inf
[19/10/2011 - 15:29:26 | D ] C:\cd seven
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[19/10/2011 - 15:17:44 | D ] C:\dell
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[24/05/2013 - 21:13:40 | ASH | 1609150464] C:\hiberfil.sys
[24/05/2013 - 21:13:40 | ASH | 2145533952] C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[22/05/2013 - 16:12:31 | D ] C:\Program Files
[22/05/2013 - 18:14:26 | HD ] C:\ProgramData
[15/09/2011 - 14:17:21 | SHD ] C:\Recovery
[21/05/2013 - 18:00:34 | SHD ] C:\System Volume Information
[24/05/2013 - 21:21:06 | D ] C:\UsbFix
[23/05/2013 - 21:15:14 | N | 3561] C:\UsbFix [Clean 1] X-PC.txt
[23/05/2013 - 21:49:12 | N | 3257] C:\UsbFix [Clean 2] X-PC.txt
[24/05/2013 - 21:21:26 | A | 4094] C:\UsbFix [Clean 3] X-PC.txt
[23/05/2013 - 21:12:16 | N | 4894] C:\UsbFix [Scan 1] X-PC.txt
[19/10/2011 - 15:58:20 | D ] C:\Users
[24/05/2013 - 21:13:40 | D ] C:\Windows
[23/05/2013 - 21:19:34 | D ] E:\app_world
[23/05/2013 - 20:41:48 | D ] E:\BlackBerry
[23/05/2013 - 21:19:38 | D ] E:\documents
[23/05/2013 - 21:20:46 | D ] E:\music
[23/05/2013 - 21:40:14 | D ] E:\tunein
[23/05/2013 - 21:22:44 | D ] E:\pictures
[23/06/2012 - 16:08:08 | D ] E:\ringtones
[23/05/2013 - 21:22:50 | D ] E:\videos
[23/06/2012 - 16:08:08 | D ] E:\voicenotes
[23/05/2013 - 21:42:10 | D ] E:\LEPOINT

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://sosvirus.net |

[Evasion60]

Bonsoir

Ok, avec USBFix

Continue la suite / STP
- AdwCleaner en mode Suppression => Poste son rapport
- ZHPDiag, avec son rapport hébergé sur https://upload.sosvirus.net/

A demain :dodo10: