1.exe 2014-04-20T09:07:48+00:00
  • Auteur
    Messages
  • Photo du profil de azmiazmi
    Participant
    Post count: 0

    ############################## | UsbFix V 7.169 | [Recherche]

    Utilisateur: optiplex620 (Administrateur) # GX620
    Mis à jour le 31/03/2014 par El Desaparecido – Team SosVirus
    Lancé à 10:30:30 | 20/04/2014

    Site Web : http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Changelog : http://www.usbfix.net/maj/” onclick=”window.open(this.href);return false;
    Support : forum-virus-securite.html
    Upload Malware : upload_malware.php
    Contact : http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: Dell Inc. (0H8052)
    CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
    RAM -> [Total : 1014 Mo| Free : 360 Mo]
    Bios: Dell Inc.
    Boot: Normal boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) Service Pack 3
    WB: Windows Internet Explorer : 8.0.6001.18702
    WB: Google Chrome : 34.0.1847.116

    SC: Security Center [Enabled]
    WU: Windows Update [Enabled]

    FW: Windows FireWall [Enabled]

    C: (%systemdrive%) -> Disque fixe # 74 Go (57 Go libre(s) – 77%) [] # NTFS
    D: -> CD-ROM

    ################## | Processus Actif |

    C:WINDOWSSystem32smss.exe (ID: 636 |ParentID: 4)
    C:WINDOWSsystem32winlogon.exe (ID: 708 |ParentID: 636)
    C:WINDOWSsystem32services.exe (ID: 752 |ParentID: 708)
    C:WINDOWSsystem32lsass.exe (ID: 764 |ParentID: 708)
    C:WINDOWSsystem32svchost.exe (ID: 932 |ParentID: 752)
    C:WINDOWSSystem32svchost.exe (ID: 1024 |ParentID: 752)
    C:DOCUME~1OPTIPL~1LOCALS~1Temp .exe (ID: 1500 |ParentID: 708)
    C:WINDOWSsystem32spoolsv.exe (ID: 1560 |ParentID: 752)
    C:WINDOWSExplorer.EXE (ID: 1584 |ParentID: 1492)
    C:WINDOWSsystem32hkcmd.exe (ID: 1928 |ParentID: 1584)
    C:WINDOWSsystem32igfxpers.exe (ID: 1936 |ParentID: 1584)
    C:Program FilesAnalog DevicesCoresmax4pnp.exe (ID: 1948 |ParentID: 1584)
    C:WINDOWSsystem32dlatfswctrl.exe (ID: 2028 |ParentID: 1584)
    C:WINDOWSsystem32LVCOMSX.EXE (ID: 228 |ParentID: 1584)
    C:Program FilesLogitechVideoLogiTray.exe (ID: 240 |ParentID: 1584)
    C:Program FilesHiYobinHiYo.exe (ID: 268 |ParentID: 1584)
    C:Program FilesFichiers communsRealUpdate_OBrealsched.exe (ID: 284 |ParentID: 1584)
    C:Program FilesHPHP Software UpdateHPWuSchd2.exe (ID: 304 |ParentID: 1584)
    C:WINDOWSsystem32wscript.exe (ID: 388 |ParentID: 1584)
    C:WINDOWSsystem32ctfmon.exe (ID: 396 |ParentID: 1584)
    C:Program FilesHPDigital Imagingbinhpqtra08.exe (ID: 580 |ParentID: 1584)
    C:Documents and SettingsAll UsersApplication DataDim@netOnlineUpdateouc.exe (ID: 880 |ParentID: 1736)
    C:Program FilesLogitechVideoFxSvr2.exe (ID: 1192 |ParentID: 932)
    C:WINDOWSsystem32svchost.exe (ID: 1204 |ParentID: 752)
    C:WINDOWSsystem32svchost.exe (ID: 1172 |ParentID: 752)
    C:Program FilesInternet ExplorerIEXPLORE.EXE (ID: 1344 |ParentID: 660)
    C:Documents and SettingsAll UsersApplication DataDatacardServiceHWDeviceService.exe (ID: 1368 |ParentID: 752)
    C:Documents and SettingsAll UsersApplication DataIBUpdaterServiceibsvc.exe (ID: 1488 |ParentID: 752)
    C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE (ID: 1844 |ParentID: 752)
    C:WINDOWSSystem32svchost.exe (ID: 1860 |ParentID: 752)
    C:Program FilesFichiers communsPC ToolssMonitorStartManSvc.exe (ID: 2056 |ParentID: 752)
    C:WINDOWSSystem32svchost.exe (ID: 2084 |ParentID: 752)
    C:WINDOWSsystem32svchost.exe (ID: 2216 |ParentID: 752)
    C:WINDOWSsystem32rundll32.exe (ID: 2288 |ParentID: 752)
    C:WINDOWSsystem32dfrgsvc.exe (ID: 2356 |ParentID: 752)
    C:WINDOWSsystem32wuauclt.exe (ID: 2464 |ParentID: 1024)
    C:Program FilesHPDigital ImagingbinhpqSTE08.exe (ID: 2012 |ParentID: 580)
    C:Program FilesHPDigital Imagingbinhpqbam08.exe (ID: 520 |ParentID: 932)
    C:Program FilesHPDigital Imagingbinhpqgpc01.exe (ID: 664 |ParentID: 932)
    C:Program FilesInternet Exploreriexplore.exe (ID: 556 |ParentID: 1584)
    C:WINDOWSsystem32wuauclt.exe (ID: 3640 |ParentID: 1024)
    C:Program FilesInternet Exploreriexplore.exe (ID: 1832 |ParentID: 556)
    C:Program FilesHPDigital ImagingSmart Web Printinghpswp_clipbook.exe (ID: 3524 |ParentID: 932)
    C:WINDOWSsystem32dfrgmst.exe (ID: 768 |ParentID: 3168)
    C:WINDOWSsystem32wbemwmiapsrv.exe (ID: 4080 |ParentID: 752)

    ################## | Regedit Run |

    F2 – HKLM..Winlogon : [Shell] Explorer.exe
    F2 – [x64] HKLM..Winlogon : [Shell] Explorer.exe
    F2 – HKLM..Winlogon : [Userinit] C:WINDOWSsystem32userinit.exe,C:DOCUME~1OPTIPL~1LOCALS~1Temp .exe,C:Program FilesUXTpwnUOawpermoi.exe
    F2 – [x64] HKLM..Winlogon : [Userinit] C:WINDOWSsystem32userinit.exe,C:DOCUME~1OPTIPL~1LOCALS~1Temp .exe,C:Program FilesUXTpwnUOawpermoi.exe
    04 – HKCU..Run : [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
    04 – HKCU..Run : [swg] “C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe”
    04 – HKCU..Run : [Facebook Update] “C:Documents and Settingsoptiplex620Local SettingsApplication DataFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
    04 – HKCU..Run : [WinUsbDriver] wscript.exe //B “C:DOCUME~1OPTIPL~1LOCALS~1TempWinUsbDriver.vbs”
    04 – HKLM..Run : [IgfxTray] C:WINDOWSsystem32igfxtray.exe
    04 – HKLM..Run : [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
    04 – HKLM..Run : [Persistence] C:WINDOWSsystem32igfxpers.exe
    04 – HKLM..Run : [SoundMAXPnP] C:Program FilesAnalog DevicesCoresmax4pnp.exe
    04 – HKLM..Run : [Wah] C:Program FilesCommon FilesMdn2.exe
    04 – HKLM..Run : [IMJPMIG8.1] “C:WINDOWSIMEimjp8_1IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
    04 – HKLM..Run : [MSPY2002] C:WINDOWSsystem32IMEPINTLGNTImScInst.exe /SYNC
    04 – HKLM..Run : [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
    04 – HKLM..Run : [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
    04 – HKLM..Run : [dla] C:WINDOWSsystem32dlatfswctrl.exe
    04 – HKLM..Run : [UpdateManager] “C:Program FilesFichiers communsSonicUpdate Managersgtray.exe” /r
    04 – HKLM..Run : [LVCOMSX] C:WINDOWSsystem32LVCOMSX.EXE
    04 – HKLM..Run : [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe
    04 – HKLM..Run : [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe
    04 – HKLM..Run : [Hiyo] C:Program FilesHiYobinHiYo.exe /RunFromStartup
    04 – HKLM..Run : [TkBellExe] “C:Program FilesFichiers communsRealUpdate_OBrealsched.exe” -osboot
    04 – HKLM..Run : [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
    04 – HKLM..Run : [Adobe ARM] “C:Program FilesFichiers communsAdobeARM1.0AdobeARM.exe”
    04 – HKLM..Run : [WinUsbDriver] wscript.exe //B “C:DOCUME~1OPTIPL~1LOCALS~1TempWinUsbDriver.vbs”
    04 – HKLM..RunOnce : []
    04 – HKLMSoftwareMicrosoftWindows NTCurrentVersionTerminal ServerInstall..Run : []
    04 – HKLMSoftwareMicrosoftWindows NTCurrentVersionTerminal ServerInstall..RunOnce : []
    04 – HKUS-1-5-19..Run : [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
    04 – HKUS-1-5-20..Run : [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE
    04 – HKUS-1-5-21-1078081533-682003330-839522115-1003..Run : [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
    04 – HKUS-1-5-21-1078081533-682003330-839522115-1003..Run : [swg] “C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe”
    04 – HKUS-1-5-21-1078081533-682003330-839522115-1003..Run : [Facebook Update] “C:Documents and Settingsoptiplex620Local SettingsApplication DataFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
    04 – HKUS-1-5-21-1078081533-682003330-839522115-1003..Run : [WinUsbDriver] wscript.exe //B “C:DOCUME~1OPTIPL~1LOCALS~1TempWinUsbDriver.vbs”
    04 – HKUS-1-5-18..Run : [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE

    ################## | Recherche générique |

    Présent! C:Documents and Settingsoptiplex620Menu DémarrerProgrammesDémarrageawpermoi.exe
    Présent! C:DOCUME~1OPTIPL~1LOCALS~1TempWinUsbDriver.vbs
    Présent! C:DOCUME~1OPTIPL~1LOCALS~1Temp .exe
    Présent! C:Documents and Settingsoptiplex620Local SettingsTempWinUsbDriver.vbs
    Présent! C:Program FilesUXTpwnUOawpermoi.exe

    ################## | Registre |

    Présent! HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon|Userinit (C:WINDOWSsystem32userinit.exe,C:DOCUME~1OPTIPL~1LOCALS~1Temp .exe,C:Program FilesUXTpwnUOawpermoi.exe)
    Présent! [x64] HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon|Userinit (C:WINDOWSsystem32userinit.exe,C:DOCUME~1OPTIPL~1LOCALS~1Temp .exe,C:Program FilesUXTpwnUOawpermoi.exe)
    Présent! HKLMSoftwareWinUsbDriver
    Présent! [x64] HKLMSoftwareWinUsbDriver
    Présent! HKUS-1-5-21-1078081533-682003330-839522115-1003SoftwareMicrosoftWindowsCurrentVersionRun|WinUsbDriver
    Présent! [x64] HKLMSoftwareMicrosoftWindowsCurrentVersionRun|WinUsbDriver
    Présent! HKLMSoftwareMicrosoftWindowsCurrentVersionRun|WinUsbDriver
    Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|WinUsbDriver

    ################## | E.O.F | http://www.usbfix.net/” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

  • Photo du profil de guuguesguugues
    Participant
    Post count: 572

    Hello et bienvenue sur SOS ! ;)

    Un petit bonjour ne ferait pas de mal, tu ne crois pas ? ;)

    Il y a effectivement des infections. Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    1- UsbFix – Suppression :

    • Branche tous tes médias amovibles sur le PC (clés USB, disques durs externes …) sans les ouvrir.
    • Relance UsbFix.

    Sous Windows Vista/Seven/8, clique droit sur UsbFix puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Suppression puis laisse l’outil travailler :

    • Une fois la suppression terminée, un rapport s’ouvre automatiquement.
    • Ce rapport est sauvegardé ici : C:UsbFix [Clean2] Nom_Du_PC.txt.
    • Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

    2- OTL – Analyse :

    • Télécharge OTL sur ton bureau.
    • Ferme toutes les applications en cours, puis lance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
    • Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %SystemRoot%Installer* /s
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT
    • Puis colle-le sous la catégorie Personnalisation d’OTL.
    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s’ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
    • Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.


    Sont donc attendus les rapports de UsbFix et de OTL.

Le sujet ‘1.exe’ est fermé à de nouvelles réponses.