Clef usb infectée 2014-08-27T15:57:12+00:00

Dépannage Informatique : Clef usb infectée

  • Auteur
    Messages
  • hadia
    Participant
    Nombre d'articles : 4

    Bonjour à tous,

    Je viens de constater que ma clef est affectée après avoir fait l’erreur de l’avoir utilisée dans un cyber.
    J’ai téléchargé USBfix et effectué une recherche puis en m’a conseillé de me connecter sur le forum pour obtenir de l’aide.

    Je vous remercie d’avance de l’aide que vous pouvez m’accorder.

    Je vous explique la situation, les dossiers sur la clef sont en raccourci et certains fichiers sont introuvables :unhappy:

    Dans l’attente de votre retour.

  • guugues
    Participant
    Nombre d'articles : 572

    Hello et bienvenue ! 😉

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    Je vais te demander de me joindre le rapport généré par UsbFix. Celui-ci est présent à cet endroit :

    C:UsbFixLogUsbFix [Scan1] Nom_Du_PC.txt.

  • hadia
    Participant
    Nombre d'articles : 4

    Bonjour,

    Merci pour votre réponse.

    Voici le rapport:

    ############################## | UsbFix V 7.179 | [Recherche]

    Utilisateur: Hadiaratou (Administrateur) # HADIARATOU-PC
    Mis à jour le 27/08/2014 par El Desaparecido – SosVirus
    Lancé à 20:15:31 | 27/08/2014

    Site Web : http://www.usbfix.net/
    Changelog : http://www.usbfix.net/maj/
    Assistance : https://www.sosvirus.net/aide-nettoyage-pc/
    Upload Malware : https://www.sosvirus.net/upload_malware.php
    Contact : http://www.usbfix.net/contact/

    ################## | System information |

    MB: Acer (Aspire 5253G)
    CPU: AMD E-350 Processor
    RAM -> [Total : 7915 Mo | Free : 5303 Mo]
    Bios: Acer
    Boot: Normal boot

    OS: Microsoft™ Windows 7 Home Premium (6.1.7601 64-Bit) Service Pack 1
    WB: Internet Explorer : 11.00.9600.16428
    WB: Mozilla Firefox : 31.0

    ################## | Security Information |

    AV: AVG Internet Security 2014 [(!) Désactivé |A jour]
    AS: Windows Defender [(!) Désactivé |A jour]
    AS: AVG Internet Security 2014 [(!) Désactivé |A jour]
    FW: AVG Internet Security 2014 [Actif]
    FW: Windows Firewall [Actif]
    SC: Security Center [Actif]
    WU: Windows Update [Actif]

    ################## | Disk Information |

    C: (%SystemDrive%) -> Disque fixe # 581 Go (525 Go libre(s) – 90%) [Acer] # NTFS
    E: -> Disque amovible # 7 Go (7 Go libre(s) – 98%) [Lexar] # FAT32
    H: -> Disque amovible # 30 Go (9 Go libre(s) – 29%) [] # FAT32

    ################## | Autorun |

    H:408 11 et 1208.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Contact publipostage carte Total.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:._.Trashes.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:mail + mdp.txt.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:CAS ARCHIVERT F4.gan.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Mail déménagement.pst.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:PROCEDURE DEMMENAGEMENT (2).docx.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:SECTORISATION NHC @nestlehomecare.xlsx.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:bookmarks-2014-04-19.json.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:~$Présentation1.pptx.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Présentation1.pptx.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Modèle constat.docx.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Frais_generaux.ppt.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:attestation d’hebergement.doc.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Fichiers de travail.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Calendrier.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:.Trashes.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:.Spotlight-V100.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:.fseventsd.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:musique.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:videos.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:dwhelper.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Office 2007 FR + Key.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:dossier.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Pictures.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Downloads.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:bureau de hadia.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Fiche1 Création d’un fichier contact région.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:19 MAI 2014.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:20 MAI 2014.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:21 et 22 Mai.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:23 Mai.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:30 mai.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:6 juin.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Finalité 1.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:Semaine du 14 au 22.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:bureau actuelle.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)
    H:230714.lnk -> H:Facebook.vbs – (MD5: 9C182FBCEF07678693565072E35C2111136FF23C)

    ################## | Regedit Run |

    F2 – HKLM..Winlogon : [Shell] explorer.exe
    F2 – [x64] HKLM..Winlogon : [Shell] explorer.exe
    F2 – HKLM..Winlogon : [Userinit] userinit.exe
    F2 – [x64] HKLM..Winlogon : [Userinit] C:Windowssystem32userinit.exe,
    04 – HKLM..Run : [SuiteTray] “C:Program Files (x86)EgisTec MyWinLockerSuitex86SuiteTray.exe”
    04 – HKLM..Run : [EgisTecPMMUpdate] “C:Program Files (x86)EgisTec IPSPmmUpdate.exe”
    04 – HKLM..Run : [EgisUpdate] “C:Program Files (x86)EgisTec IPSEgisUpdate.exe” -d
    04 – HKLM..Run : [Norton Online Backup] C:Program Files (x86)SymantecNorton Online BackupNOBuClient.exe
    04 – HKLM..Run : [BackupManagerTray] “C:Program Files (x86)NTIAcer Backup ManagerBackupManagerTray.exe” -h -k
    04 – HKLM..Run : [LManager] C:Program Files (x86)Launch ManagerLManager.exe
    04 – HKLM..Run : [StartCCC] “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    04 – HKLM..Run : [MDS_Menu] “C:Program Files (x86)Acerclear.fiMediaEspressoMUITransferMUIStartMenu.exe” “C:Program Files (x86)Acerclear.fiMediaEspresso” UpdateWithCreateOnce “SoftwareCyberLinkMediaEspresso6.1”
    04 – HKLM..Run : [ArcadeMovieService] “C:Program Files (x86)Acerclear.fiMovieclear.fiMovieService.exe”
    04 – HKLM..Run : [AVG_UI] “C:Program Files (x86)AVGAVG2014avgui.exe” /TRAYONLY
    04 – HKLM..Run : [Adobe ARM] “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
    04 – [x64] HKLM..Run : [Acer ePower Management] C:Program FilesAcerAcer ePower ManagementePowerTray.exe
    04 – [x64] HKLM..Run : [SynTPEnh] %ProgramFiles%SynapticsSynTPSynTPEnh.exe
    04 – [x64] HKLM..Run : [Zune Launcher] “C:Program FilesZuneZuneLauncher.exe”
    04 – HKUS-1-5-19..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-20..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-19..RunOnce : [mctadmin] C:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-19..RunOnce : [IsMyWinLockerReboot] msiexec.exe /qn /x{voidguid}
    04 – HKUS-1-5-20..RunOnce : [mctadmin] C:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-20..RunOnce : [IsMyWinLockerReboot] msiexec.exe /qn /x{voidguid}
    04 – HKUS-1-5-18..RunOnce : [IsMyWinLockerReboot] msiexec.exe /qn /x{voidguid}
    04 – HKUS-1-5-18..RunOnce : [SPReview] “C:WindowsSystem32SPReviewSPReview.exe” /sp:1 /errorfwlink:”http://go.microsoft.com/fwlink/?LinkID=122915″ /build:7601

    ################## | Recherche générique |

    Présent! H:Facebook.vbs
    Présent! E:SecureII.lnk
    Présent! E:__MACOSX.lnk
    Présent! E:work.lnk
    Présent! E:Tenue.lnk
    Présent! E:cours.lnk
    Présent! E:clef usb.lnk
    Présent! E:Travaux.lnk
    Présent! E:DDS Fiche de situation.lnk
    Présent! E:.Trashes.lnk
    Présent! E:.Spotlight-V100.lnk
    Présent! E:Cas saissac.lnk
    Présent! E:.fseventsd.lnk
    Présent! H:408 11 et 1208.lnk
    Présent! H:Contact publipostage carte Total.lnk
    Présent! H:._.Trashes.lnk
    Présent! H:mail + mdp.txt.lnk
    Présent! H:CAS ARCHIVERT F4.gan.lnk
    Présent! H:Mail déménagement.pst.lnk
    Présent! H:PROCEDURE DEMMENAGEMENT (2).docx.lnk
    Présent! H:SECTORISATION NHC @nestlehomecare.xlsx.lnk
    Présent! H:bookmarks-2014-04-19.json.lnk
    Présent! H:~$Présentation1.pptx.lnk
    Présent! H:Présentation1.pptx.lnk
    Présent! H:Modèle constat.docx.lnk
    Présent! H:Frais_generaux.ppt.lnk
    Présent! H:attestation d’hebergement.doc.lnk
    Présent! H:Fichiers de travail.lnk
    Présent! H:Calendrier.lnk
    Présent! H:.Trashes.lnk
    Présent! H:.Spotlight-V100.lnk
    Présent! H:.fseventsd.lnk
    Présent! H:musique.lnk
    Présent! H:videos.lnk
    Présent! H:dwhelper.lnk
    Présent! H:Office 2007 FR + Key.lnk
    Présent! H:dossier.lnk
    Présent! H:Pictures.lnk
    Présent! H:Downloads.lnk
    Présent! H:bureau de hadia.lnk
    Présent! H:Fiche1 Création d’un fichier contact région.lnk
    Présent! H:19 MAI 2014.lnk
    Présent! H:20 MAI 2014.lnk
    Présent! H:21 et 22 Mai.lnk
    Présent! H:23 Mai.lnk
    Présent! H:30 mai.lnk
    Présent! H:6 juin.lnk
    Présent! H:Finalité 1.lnk
    Présent! H:Semaine du 14 au 22.lnk
    Présent! H:bureau actuelle.lnk
    Présent! H:230714.lnk
    Présent! E:Autorun.inf

    ################## | Registre |

    ################## | UsbFix – Information |

    Info : Comment supprimer l’infection des raccourcis sur USB ? (Video)
    Info : L’infection des raccourcis USB, c’est quoi ?

    ################## | Hijack |

    Hijacked! [HD] E:SecureII
    Hijacked! [H] E:autorun.inf
    Hijacked! [HD] E:__MACOSX
    Hijacked! [HD] E:work
    Hijacked! [HD] E:Tenue
    Hijacked! [HD] E:cours
    Hijacked! [HD] E:clef usb
    Hijacked! [HD] E:Travaux
    Hijacked! [H] E:_disk_id.pod
    Hijacked! [HD] E:DDS Fiche de situation
    Hijacked! [H] E:MediaID.bin
    Hijacked! [H] E:Présentation1.pptx
    Hijacked! [HD] E:Cas saissac
    Hijacked! [H] E:CAS ARCHIVERT F4.gan
    Hijacked! [H] E:Définition .docx
    Hijacked! [H] E:Autodesk_SketchBook_Copic_Edition_Multilingual_WIN_32bit.exe
    Hijacked! [H] E:._Définition .docx
    Hijacked! [H] E:Fiche de communication n°2.docx
    Hijacked! [H] E:Collaborer avec le manager.docx
    Hijacked! [H] E:Fiche de communication n°1.docx
    Hijacked! [H] E:E6 Masque de saisie livret informatique 2.doc
    Hijacked! [H] E:Scanned-image.pdf
    Hijacked! [H] E:Scanned-image-1.pdf
    Hijacked! [H] E:Scanned-image-2.pdf
    Hijacked! [H] E:Scanned-image-3.pdf
    Hijacked! [H] E:Scanned-image-4.pdf
    Hijacked! [H] E:Scanned-image-5.pdf
    Hijacked! [H] E:Dove-Cote-d-Ivoire.jpg
    Hijacked! [H] E:tumblr_mqxkanXjyH1qdlh1io1_r1_400.gif
    Hijacked! [H] E:Finalité cas DECORA.doc
    Hijacked! [H] E:Finalité cas SAISSAC.doc
    Hijacked! [H] E:Scanned-image-6.pdf
    Hijacked! [H] E:Scanned-image-7.pdf
    Hijacked! [H] E:Scanned-image-8.pdf
    Hijacked! [H] E:Scanned-image-9.pdf
    Hijacked! [H] E:Scanned-image-10.pdf
    Hijacked! [H] E:Scanned-image-11.pdf
    Hijacked! [H] E:Scanned-image-12.pdf
    Hijacked! [H] E:Scanned-image-13.pdf
    Hijacked! [H] E:Scanned-image-14.pdf
    Hijacked! [H] E:Scanned-image-15.pdf
    Hijacked! [H] E:Scanned-image-16.pdf
    Hijacked! [H] E:Scanned-image-17.pdf
    Hijacked! [H] E:Scanned-image-18.pdf
    Hijacked! [H] E:lettre.rtf
    Hijacked! [H] E:lettre.odt
    Hijacked! [H] E:lettre(3)(1).pdf
    Hijacked! [H] E:lettre(4).pdf
    Hijacked! [H] E:Scanned-image-19.pdf
    Hijacked! [H] E:Scanned-image-20.pdf
    Hijacked! [H] E:Scanned-image-21.pdf
    Hijacked! [H] E:Capture 1.PNG
    Hijacked! [H] E:Capture2.PNG
    Hijacked! [H] E:102.tif
    Hijacked! [H] E:103.tif
    Hijacked! [H] E:ALLConverterPRO.exe
    Hijacked! [H] E:doxillionsetup.exe
    Hijacked! [HD] H:Fichiers de travail
    Hijacked! [HD] H:Calendrier
    Hijacked! [H] H:mail + mdp.txt
    Hijacked! [H] H:CAS ARCHIVERT F4.gan
    Hijacked! [H] H:Mail déménagement.pst
    Hijacked! [H] H:PROCEDURE DEMMENAGEMENT (2).docx
    Hijacked! [H] H:SECTORISATION NHC @nestlehomecare.xlsx
    Hijacked! [HD] H:musique
    Hijacked! [HD] H:videos
    Hijacked! [HD] H:dwhelper
    Hijacked! [HD] H:Office 2007 FR + Key
    Hijacked! [HD] H:dossier
    Hijacked! [HD] H:Pictures
    Hijacked! [HD] H:Downloads
    Hijacked! [HD] H:bureau de hadia
    Hijacked! [H] H:bookmarks-2014-04-19.json
    Hijacked! [H] H:~$Présentation1.pptx
    Hijacked! [H] H:Présentation1.pptx
    Hijacked! [HD] H:Fiche1 Création d’un fichier contact région
    Hijacked! [HD] H:19 MAI 2014
    Hijacked! [HD] H:20 MAI 2014
    Hijacked! [HD] H:21 et 22 Mai
    Hijacked! [HD] H:23 Mai
    Hijacked! [HD] H:30 mai
    Hijacked! [HD] H:6 juin
    Hijacked! [H] H:Modèle constat.docx
    Hijacked! [HD] H:Finalité 1
    Hijacked! [H] H:Frais_generaux.ppt
    Hijacked! [HD] H:Semaine du 14 au 22
    Hijacked! [HD] H:bureau actuelle
    Hijacked! [HD] H:230714
    Hijacked! [H] H:attestation d’hebergement.doc
    Hijacked! [HD] H:408 11 et 1208
    Hijacked! [HD] H:Contact publipostage carte Total
    Hijacked! [H] H:Facebook.vbs

    ################## | E.O.F | https://www.sosvirus.net/ | http://www.usbfix.net/ |

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Ok, applique les procédures suivantes :

    1- UsbFix – Nettoyage :

    • Branche tous tes médias amovibles sur le PC (clés USB, disques durs externes …) sans les ouvrir.
    • Relance UsbFix.

    Sous Windows Vista/Seven/8, clique droit sur UsbFix puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Nettoyage :

    • Une fenêtre va apparaître : clique sur OK puis laisse l’outil travailler.
    • Une fois la suppression terminée, un rapport s’ouvre automatiquement.
    • Ce rapport est sauvegardé ici : C:UsbFixLogUsbFix [Clean2] Nom_Du_PC.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- Zoek – Analyse :

    • Désactive temporairement ton antivirus : aide en images.
    • Télécharge Zoek.exe sur ton bureau.
    • Ferme toutes les applications en cours, puis lance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    standardsearch;
    services-list;
    installedprogs;
    installer-list;
    uninstall-list;
    torpigcheck;
    srinfo;
    hostslook;
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvcs /se "─" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components" /s >> C:zoek-results.log;b
    C:WindowsSystem32driversafd.sys;i
    C:WindowsSystem32driversatapi.sys;i
    C:WindowsSystem32driverscdfs.sys;i
    C:WindowsSystem32driverscdrom.sys;i
    C:WindowsSystem32driversdfsc.sys;i
    C:WindowsSystem32drivershdaudbus.sys;i
    C:WindowsSystem32driversi8042prt.sys;i
    C:WindowsSystem32driversipnat.sys;i
    C:WindowsSystem32driversipsec.sys;i
    C:WindowsSystem32driversmrxsmb.sys;i
    C:WindowsSystem32driversnetbt.sys;i
    C:WindowsSystem32driversntfs.sys;i
    C:WindowsSystem32driversparport.sys;i
    C:WindowsSystem32driversrasl2tp.sys;i
    C:WindowsSystem32driversrdpdr.sys;i
    C:WindowsSystem32driverssmb.sys;i
    C:WindowsSystem32driverssptd.sys;i
    C:WindowsSystem32driverstcpip.sys;i
    C:WindowsSystem32driverstdx.sys;i
    C:WindowsSystem32driversvolsnap.sys;i
    C:WindowsSystem32cmd.exe;i
    C:WindowsSysWOW64cmd.exe;i
    C:Windowsexplorer.exe;i
    C:WindowsSysWOW64explorer.exe;i
    C:WindowsSystem32services.exe;i
    C:WindowsSysWOW64services.exe;i
    C:WindowsSystem32svchost.exe;i
    C:WindowsSysWOW64svchost.exe;i
    C:WindowsSystem32userinit.exe;i
    C:WindowsSysWOW64userinit.exe;i
    C:WindowsSystem32wininit.exe;i
    C:WindowsSysWOW64wininit.exe;i
    C:WindowsSystem32winlogon.exe;i
    C:WindowsSysWOW64winlogon.exe;i
    C:WindowsSystem32kernel32.dll;i
    C:WindowsSysWOW64kernel32.dll;i
    C:WindowsSystem32rpcss.dll;i
    C:WindowsSysWOW64rpcss.dll;i
    C:WindowsSystem32user32.dll;i
    C:WindowsSysWOW64user32.dll;i
    %temp%;vs
    %SYSTEMDRIVE%*.exe;v
    %ALLUSERSPROFILE%Application Data;v
    %ALLUSERSPROFILE%Application Data*.exe;vs
    %APPDATA%;v
    %APPDATA%*.exe;vs
    C:Windowssystem32consrv.dll;i
    %SystemDrive%$RECYCLE.BIN;vs
    %SystemDrive%RECYCLER;vs
    %SystemRoot%assemblyGAC;v
    %SystemRoot%assemblyGAC_32;v
    %SystemRoot%assemblyGAC_64;v
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    %WINDIR%pss;v
    %LOCALAPPDATA%;v
    %LOCALAPPDATA%GoogleDesktop;vs
    C:Program FilesGoogleDesktop;vs
    C:Program Files (x86)GoogleDesktop;vs
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    %systemroot%System32config*.sav;v
    reg query "HKEY_LOCAL_MACHINESOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-19SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-20SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "{*}" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "TCP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "UDP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" > %LOCALAPPDATA%Tempmount.txt;b
    for /f %%i in (%LOCALAPPDATA%Tempmount.txt) do reg query %%i >> C:zoek-results.log;b
    nslookup www.google.fr >> C:zoek-results.log;b
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
    • Celui-ci est disponible ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont donc attendus les rapports de UsbFix et Zoek.

  • hadia
    Participant
    Nombre d'articles : 4

    Alors, voici le résultat du nettoyage de usbfix:

    https://antimalware.top/www/?a=d&i=qUoa59pwPQ” onclick=”window.open(this.href);return false;

    et le rapport de zoek ci-dessous:

    https://antimalware.top/www/?a=d&i=ARd1Dv9xjK” onclick=”window.open(this.href);return false;

  • hadia
    Participant
    Nombre d'articles : 4

    Re:

    Je croit que j’ai envoyé le rapport de zoek beaucoup trop rapidement; j’ai pas attendu que le programme se ferme.

    Voici le lien:

    https://antimalware.top/www/?a=d&i=C84mmxhcr2” onclick=”window.open(this.href);return false;

  • hadia
    Participant
    Nombre d'articles : 4

    Bonjour,

    J’ai trouvé une solution et après redémarrage, je pense que le problème est réglé.

    Merci pour le temps que vous m’avez accordé.

    Cordialement.

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Le PC est loin d’être désinfecté, on vient juste de commencer la procédure et comme je l’ai mentionné :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Je regarde tes rapports dans l’après-midi. 😉

    J’ai trouvé une solution

    De quelle “solution” parles-tu ?


    Edit : Rien de particulier dans le rapport, à part le fait que tu as utilisé RogueKiller : pour quelle raison ? Tu vas quand même passer cet outil pour une analyse de contrôle :

    Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware sur ton bureau.
    • Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.
    • Lors de l’installation, décoche la case Activer l’essai gratuit de Malwarebytes Anti-Malware Premium.
    • Clique sur le bouton Terminer. Le logiciel démarre.
    • Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
    • Dans l’onglet Détection et protection, configure le logiciel comme ci-dessous :

    • Dans l’onglet Examen, coche la case Examen « Menaces » :

    • Clique alors sur Examiner maintenant :

    • Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

    • Le logiciel se met à jour et l’analyse commence. Cela peut prendre un certain temps.
    • Laisse travailler l’outil sans l’interrompre, jusqu’à ce que l’analyse soit terminée.
    • Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

    • Clique ensuite sur Exporter le journal puis sur Fichier texte (*.txt) :

    • Attribue au fichier le nom de mbam puis clique sur Enregistrer.
    • Le rapport est disponible ici : C:mbam.txt.
    • Si l’outil t’a demandé de redémarrer le PC, fais-le de suite.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Est donc attendu le rapport de Malwarebytes.

Le sujet ‘Clef usb infectée’ est fermé à de nouvelles réponses.