iTunesHelper.vbe 2013-12-23T14:07:07+00:00
15 sujets de 1 à 15 (sur un total de 17)
  • Auteur
    Messages
  • echo
    Participant
    Nombre d'articles : 9

    Bonjour,

    En souhaitant enregistrer un document important sur ma clé USB, j’ai constaté un phénomène bizarre qui transformait tous mes fichiers en raccourcis et tous mes dossiers en dossiers cachés. J’ai commencé par vouloir supprimer les raccourcis, qui revenaient sans cesse, et, inquiète, j’ai copié les dossiers importants de ma clé sur mon bureau (mauvaise idée). Après avoir supprimé l’ensemble des documents de ma clé, j’ai constaté la persistance de ce fameux iTuneshelper.vbe, machin complètement inconnu de moi, et que j’ai d’abord essayé de supprimer manuellement, avant de comprendre que rien n’y ferait.

    Renseignements pris, j’ai téléchargé USB Fix. J’ai fait recherche, puis suppression (rapports ci-dessous). La bête a l’air d’avoir été maîtrisée. Petite question cependant : qu’est-ce que le dossier Autorun.inf, que faut-il en faire ?

    Par ailleurs, si iTuneshelper n’est plus visible dans le dossier infecté, sur mon bureau, il y subsiste néanmoins, ainsi que dans les documents récents. C’est ce que révèle la recherche de fichier. Avast ne détecte pourtant aucune menace dans lesdits dossiers.

    Je suis un peu désemparée. Que faut-il faire ? Et quels sont les risques associés à ce virus ? D’avance merci pour votre aide.

    Voici les rapports, si besoin.

    SCAN

    ############################## | UsbFix V 7.155 | [Recherche]

    Utilisateur: Edith (Administrateur) # MON-SATELLITE
    Mis à jour le 16/12/2013 par El Desaparecido – Team SosVirus
    Lancé à 14:16:45 | 23/12/2013

    Site Web : http://www.usbfix.net” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware : upload_malware.php
    Contact : http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: TOSHIBA (KSKAA)
    CPU: Intel(R) Core(TM)2 Duo CPU P7350 @ 2.00GHz
    RAM -> [Total : 4060 | Free : 1851]
    Bios: TOSHIBA
    Boot: Normal boot

    OS: Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-Bit) Service Pack 2
    WB: Windows Internet Explorer : 9.0.8112.16421
    WB: Google Chrome : 31.0.1650.63
    WB: Mozilla Firefox : 24.0

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AS: Windows Defender : 1.1.1600.0
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 233 Go (12 Go libre(s) – 5%) [Vista] # NTFS
    D: -> CD-ROM
    E: -> Disque fixe # 231 Go (47 Go libre(s) – 20%) [Data] # NTFS
    F: -> CD-ROM
    G: -> Disque amovible # 14 Go (14 Go libre(s) – 100%) [MA CLEF USB] # FAT32

    ################## | Processus Actif |

    C:Windowssystem32csrss.exe (ID: 632 |ParentID: 620)
    C:Windowssystem32wininit.exe (ID: 688 |ParentID: 620)
    C:Windowssystem32csrss.exe (ID: 712 |ParentID: 696)
    C:Windowssystem32services.exe (ID: 744 |ParentID: 688)
    C:Windowssystem32lsass.exe (ID: 760 |ParentID: 688)
    C:Windowssystem32lsm.exe (ID: 768 |ParentID: 688)
    C:Windowssystem32svchost.exe (ID: 908 |ParentID: 744)
    C:WindowsMicrosoft.NetFramework64v3.0WPFPresentationFontCache.exe (ID: 972 |ParentID: 744)
    C:Windowssystem32winlogon.exe (ID: 1016 |ParentID: 696)
    C:Windowssystem32svchost.exe (ID: 324 |ParentID: 744)
    C:WindowsSystem32svchost.exe (ID: 384 |ParentID: 744)
    C:Windowssystem32atiesrxx.exe (ID: 604 |ParentID: 744)
    C:WindowsSystem32svchost.exe (ID: 636 |ParentID: 744)
    C:WindowsSystem32svchost.exe (ID: 544 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 896 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 1076 |ParentID: 744)
    C:Windowssystem32SLsvc.exe (ID: 1092 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 1156 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 1272 |ParentID: 744)
    C:Windowssystem32atieclxx.exe (ID: 1456 |ParentID: 604)
    C:WindowsSYSTEM32WISPTIS.EXE (ID: 1464 |ParentID: 544)
    C:Program FilesCommon Filesmicrosoft sharedinkTabTip.exe (ID: 1472 |ParentID: 544)
    C:Program FilesAVAST SoftwareAvastAvastSvc.exe (ID: 1688 |ParentID: 744)
    C:Windowssystem32Dwm.exe (ID: 1828 |ParentID: 544)
    C:WindowsSYSTEM32WISPTIS.EXE (ID: 1848 |ParentID: 544)
    C:Program FilesCommon Filesmicrosoft sharedinkTabTip.exe (ID: 1856 |ParentID: 544)
    C:Program Files (x86)Common FilesMicrosoft SharedInkTabTip32.exe (ID: 1928 |ParentID: 1856)
    C:WindowsExplorer.EXE (ID: 1984 |ParentID: 1820)
    C:WindowsSystem32spoolsv.exe (ID: 1804 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 320 |ParentID: 744)
    C:Program Files (x86)Common FilesEPSONEBAPIeEBSVC.exe (ID: 2360 |ParentID: 744)
    C:Windowssystem32taskeng.exe (ID: 2388 |ParentID: 896)
    C:Windowssystem32taskeng.exe (ID: 2740 |ParentID: 896)
    C:Program Files (x86)Common FilesAdobeARM1.0armsvc.exe (ID: 2292 |ParentID: 744)
    C:Program Files (x86)Common FilesAppleMobile Device SupportbinAppleMobileDeviceService.exe (ID: 2376 |ParentID: 744)
    C:Program Files (x86)MicrosoftBingBar7.3.117.0BBSvc.exe (ID: 1396 |ParentID: 744)
    C:Program Files (x86)BonjourmDNSResponder.exe (ID: 1176 |ParentID: 744)
    C:Program Files (x86)ToshibaTOSHIBA Web Camera ApplicationTWebCameraSrv.exe (ID: 2732 |ParentID: 744)
    C:Program Files (x86)TOSHIBAConfigFreeCFProcSRVC.exe (ID: 1824 |ParentID: 744)
    C:Program Files (x86)TOSHIBAConfigFreeCFSvcs.exe (ID: 2960 |ParentID: 744)
    C:ProgramDataEPSONEPW!3 SSRPE_S40STB.EXE (ID: 2968 |ParentID: 744)
    C:Program FilesCommon FilesEPSONEPW!3 SSRPE_S50STB.EXE (ID: 1432 |ParentID: 744)
    C:ProgramDataEPSONEPW!3 SSRPE_S40RPB.EXE (ID: 1668 |ParentID: 744)
    C:Program FilesCommon FilesEPSONEPW!3 SSRPE_S50RPB.EXE (ID: 1436 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 3180 |ParentID: 744)
    C:Program Files (x86)RealNetworksRealDownloaderrndlresolversvc.exe (ID: 3220 |ParentID: 744)
    C:Windowssystem32svchost.exe (ID: 3292 |ParentID: 744)
    C:Windowssystem32Wacom_Tablet.exe (ID: 3372 |ParentID: 744)
    C:Windowssystem32ThpSrv.exe (ID: 3400 |ParentID: 744)
    C:Program Files (x86)ToshibaTOSHIBA DVD PLAYERTNaviSrv.exe (ID: 3428 |ParentID: 744)
    C:Windowssystem32WTabletWacom_TabletUser.exe (ID: 3484 |ParentID: 3372)
    C:Windowssystem32TODDSrv.exe (ID: 3496 |ParentID: 744)
    C:Program FilesTOSHIBAPower SaverTosCoSrv.exe (ID: 3528 |ParentID: 744)
    C:Windowssystem32Wacom_Tablet.exe (ID: 3596 |ParentID: 3372)
    C:Program FilesTOSHIBATECOTecoService.exe (ID: 3624 |ParentID: 744)
    C:Program FilesTOSHIBATOSHIBA HDD SSD AlertTosSmartSrv.exe (ID: 3656 |ParentID: 744)
    C:WindowsSystem32svchost.exe (ID: 3688 |ParentID: 744)
    C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSVC.EXE (ID: 3732 |ParentID: 744)
    C:Windowssystem32SearchIndexer.exe (ID: 3760 |ParentID: 744)
    C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSvcM.exe (ID: 3816 |ParentID: 3732)
    C:WindowsSystem32WUDFHost.exe (ID: 3892 |ParentID: 544)
    C:Program FilesTOSHIBATPHMTPCHSrv.exe (ID: 3980 |ParentID: 744)
    C:Program FilesWindows DefenderMSASCui.exe (ID: 3440 |ParentID: 1984)
    C:Program FilesRealtekAudioHDARAVCpl64.exe (ID: 3952 |ParentID: 1984)
    C:Program FilesSynapticsSynTPSynTPEnh.exe (ID: 3268 |ParentID: 1984)
    C:Program FilesTOSHIBATOSHIBA HDD SSD AlertTosSENotify.exe (ID: 2384 |ParentID: 1984)
    C:Program FilesTOSHIBASmoothViewSmoothView.exe (ID: 1780 |ParentID: 1984)
    C:Program FilesTOSHIBAPower SaverTPwrMain.exe (ID: 3244 |ParentID: 1984)
    C:Program FilesTOSHIBAFlashCardsTCrdMain.exe (ID: 3704 |ParentID: 1984)
    C:WindowsSystem32ThpSrv.exe (ID: 3328 |ParentID: 1984)
    C:Program FilesTOSHIBATECOTeco.exe (ID: 3236 |ParentID: 1984)
    C:Program FilesTOSHIBAHDMICtrlManHDMICtrlMan.exe (ID: 2756 |ParentID: 1984)
    C:Program FilesTOSHIBATPHMTPCHWMsg.exe (ID: 4320 |ParentID: 1984)
    C:Program Files (x86)Common FilesTerraTecRemoteTTTvRc.exe (ID: 4688 |ParentID: 1984)
    C:Program FilesCommon FilesMicrosoft SharedInkInputPersonalization.exe (ID: 4848 |ParentID: 2740)
    C:Windowssystem32RunDll32.exe (ID: 4856 |ParentID: 1984)
    C:UsersEdithAppDataRoamingDropboxbinDropbox.exe (ID: 4896 |ParentID: 1984)
    C:Windowssystem32svchost.exe (ID: 1504 |ParentID: 744)
    C:Program Files (x86)OpenOffice.org 3programsoffice.exe (ID: 4388 |ParentID: 4932)
    C:Program Files (x86)ToshibaUtilitiesKeNotify.exe (ID: 4724 |ParentID: 4824)
    C:Program Files (x86)ToshibaTOSHIBA Service StationToshibaServiceStation.exe (ID: 3876 |ParentID: 4824)
    C:Program Files (x86)ToshibaTRCManTRCMan.exe (ID: 4656 |ParentID: 4824)
    C:Program Files (x86)ToshibaConfigFreeNDSTray.exe (ID: 4952 |ParentID: 4824)
    C:Program Files (x86)Epson SoftwareEvent ManagerEEventManager.exe (ID: 4960 |ParentID: 4824)
    C:Program Files (x86)ToshibaConfigFreeCFSwMgr.exe (ID: 884 |ParentID: 4952)
    C:Program Files (x86)HPHP Software Updatehpwuschd2.exe (ID: 3256 |ParentID: 4824)
    C:Program Files (x86)RealRealPlayerUpdaterealsched.exe (ID: 3480 |ParentID: 4824)
    C:Program FilesAVAST SoftwareAvastAvastUI.exe (ID: 4868 |ParentID: 4824)
    C:Program Files (x86)Common FilesJavaJava Updatejusched.exe (ID: 3772 |ParentID: 4824)
    C:Program FilesSynapticsSynTPSynTPHelper.exe (ID: 4308 |ParentID: 3268)
    C:Program Files (x86)DivXDivX UpdateDivXUpdate.exe (ID: 4568 |ParentID: 4824)
    C:Program FilesTOSHIBAHDMICtrlManHCMSoundChanger.exe (ID: 5860 |ParentID: 2756)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 5964 |ParentID: 1984)
    C:Program Files (x86)OpenOffice.org 3programsoffice.bin (ID: 6052 |ParentID: 4388)
    C:Program Files (x86)TOSHIBATOSHIBA Service StationTMachInfo.exe (ID: 5224 |ParentID: 744)
    C:WindowsSystem32mobsync.exe (ID: 5916 |ParentID: 908)
    C:Windowssystem32conime.exe (ID: 6036 |ParentID: 1188)
    C:Program FilesWindows Media Playerwmpnscfg.exe (ID: 1660 |ParentID: 1984)
    C:Program Files (x86)Windows Media Playerwmplayer.exe (ID: 5816 |ParentID: 5916)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 4288 |ParentID: 5964)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 5372 |ParentID: 5964)
    C:Windowssystem32SearchProtocolHost.exe (ID: 5152 |ParentID: 3760)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 3284 |ParentID: 5964)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 3212 |ParentID: 5964)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 4940 |ParentID: 5964)
    C:WindowsservicingTrustedInstaller.exe (ID: 5164 |ParentID: 744)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 4768 |ParentID: 5964)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 2840 |ParentID: 5964)
    C:Windowssystem32wuauclt.exe (ID: 5192 |ParentID: 896)
    C:Program Files (x86)MicrosoftBingBar7.3.117.0SeaPort.exe (ID: 4488 |ParentID: 744)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 5660 |ParentID: 5964)
    C:Windowssystem32taskeng.exe (ID: 2556 |ParentID: 896)
    C:Windowssystem32SearchFilterHost.exe (ID: 5752 |ParentID: 3760)
    C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 5276 |ParentID: 5964)
    C:UsbFixGo.exe (ID: 6304 |ParentID: 6284)
    C:Windowssystem32wbemwmiprvse.exe (ID: 6388 |ParentID: 908)

    ################## | Regedit Run |

    04 – HKLMSOFTWARE | Run : [ITSecMng] – %ProgramFiles%TOSHIBABluetooth Toshiba StackItSecMng.exe /START
    04 – HKLMSOFTWARE | Run : [TUSBSleepChargeSrv] – %ProgramFiles(x86)%TOSHIBATOSHIBA USB Sleep and Charge UtilityTUSBSleepChargeSrv.exe
    04 – HKLMSOFTWARE | Run : [HWSetup] – “C:Program FilesTOSHIBAUtilitiesHWSetup.exe” hwSetUP
    04 – HKLMSOFTWARE | Run : [SVPWUTIL] – “C:Program Files (x86)TOSHIBAUtilitiesSVPWUTIL.exe” SVPwUTIL
    04 – HKLMSOFTWARE | Run : [KeNotify] – “C:Program Files (x86)TOSHIBAUtilitiesKeNotify.exe”
    04 – HKLMSOFTWARE | Run : [TWebCamera] – “%ProgramFiles(x86)%TOSHIBATOSHIBA Web Camera ApplicationTWebCamera.exe” autorun
    04 – HKLMSOFTWARE | Run : [StartCCC] – “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    04 – HKLMSOFTWARE | Run : [ToshibaServiceStation] – “C:Program Files (x86)TOSHIBATOSHIBA Service StationToshibaServiceStation.exe” /hide:60
    04 – HKLMSOFTWARE | Run : [TRCMan] – C:Program Files (x86)TOSHIBATRCManTRCMan.exe
    04 – HKLMSOFTWARE | Run : [NDSTray.exe] – “C:Program Files (x86)TOSHIBAConfigFreeNDSTray.exe”
    04 – HKLMSOFTWARE | Run : [cfFncEnabler.exe] – “C:Program Files (x86)TOSHIBAConfigFreecfFncEnabler.exe”
    04 – HKLMSOFTWARE | Run : [EEventManager] – “C:Program Files (x86)Epson SoftwareEvent ManagerEEventManager.exe”
    04 – HKLMSOFTWARE | Run : [AdobeCS5ServiceManager] – “C:Program Files (x86)Common FilesAdobeCS5ServiceManagerCS5ServiceManager.exe” -launchedbylogin
    04 – HKLMSOFTWARE | Run : [SwitchBoard] – “C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe”
    04 – HKLMSOFTWARE | Run : [HP Software Update] – C:Program Files (x86)HpHP Software UpdateHPWuSchd2.exe
    04 – HKLMSOFTWARE | Run : [] –
    04 – HKLMSOFTWARE | Run : [TkBellExe] – “c:program files (x86)realrealplayerUpdaterealsched.exe” -osboot
    04 – HKLMSOFTWARE | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
    04 – HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
    04 – HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
    04 – HKLMSOFTWARE | Run : [AvastUI.exe] – “C:Program FilesAVAST SoftwareAvastAvastUI.exe” /nogui
    04 – HKLMSOFTWARE | Run : [SunJavaUpdateSched] – “C:Program Files (x86)Common FilesJavaJava Updatejusched.exe”
    04 – HKLMSOFTWARE | Run : [DivXMediaServer] – “C:Program Files (x86)DivXDivX Media ServerDivXMediaServer.exe”
    04 – HKLMSOFTWARE | Run : [DivXUpdate] – “C:Program Files (x86)DivXDivX UpdateDivXUpdate.exe” /CHECKNOW
    04 – HKLMSOFTWARE | Run : [20131121] – C:Program FilesAVAST SoftwareAvastsetupemupdatea35a83af-bdab-487b-89da-a70a0e666454.exe /check
    04 – HKLMSOFTWARE | Run : [GrooveMonitor] – “C:Program Files (x86)Microsoft OfficeOffice12GrooveMonitor.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [ITSecMng] – %ProgramFiles%TOSHIBABluetooth Toshiba StackItSecMng.exe /START
    04 – HKLMSOFTWAREwow6432Node | Run : [TUSBSleepChargeSrv] – %ProgramFiles(x86)%TOSHIBATOSHIBA USB Sleep and Charge UtilityTUSBSleepChargeSrv.exe
    04 – HKLMSOFTWAREwow6432Node | Run : [HWSetup] – “C:Program FilesTOSHIBAUtilitiesHWSetup.exe” hwSetUP
    04 – HKLMSOFTWAREwow6432Node | Run : [SVPWUTIL] – “C:Program Files (x86)TOSHIBAUtilitiesSVPWUTIL.exe” SVPwUTIL
    04 – HKLMSOFTWAREwow6432Node | Run : [KeNotify] – “C:Program Files (x86)TOSHIBAUtilitiesKeNotify.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [TWebCamera] – “%ProgramFiles(x86)%TOSHIBATOSHIBA Web Camera ApplicationTWebCamera.exe” autorun
    04 – HKLMSOFTWAREwow6432Node | Run : [StartCCC] – “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    04 – HKLMSOFTWAREwow6432Node | Run : [ToshibaServiceStation] – “C:Program Files (x86)TOSHIBATOSHIBA Service StationToshibaServiceStation.exe” /hide:60
    04 – HKLMSOFTWAREwow6432Node | Run : [TRCMan] – C:Program Files (x86)TOSHIBATRCManTRCMan.exe
    04 – HKLMSOFTWAREwow6432Node | Run : [NDSTray.exe] – “C:Program Files (x86)TOSHIBAConfigFreeNDSTray.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [cfFncEnabler.exe] – “C:Program Files (x86)TOSHIBAConfigFreecfFncEnabler.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [EEventManager] – “C:Program Files (x86)Epson SoftwareEvent ManagerEEventManager.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [AdobeCS5ServiceManager] – “C:Program Files (x86)Common FilesAdobeCS5ServiceManagerCS5ServiceManager.exe” -launchedbylogin
    04 – HKLMSOFTWAREwow6432Node | Run : [SwitchBoard] – “C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [HP Software Update] – C:Program Files (x86)HpHP Software UpdateHPWuSchd2.exe
    04 – HKLMSOFTWAREwow6432Node | Run : [] –
    04 – HKLMSOFTWAREwow6432Node | Run : [TkBellExe] – “c:program files (x86)realrealplayerUpdaterealsched.exe” -osboot
    04 – HKLMSOFTWAREwow6432Node | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
    04 – HKLMSOFTWAREwow6432Node | Run : [Adobe ARM] – “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [AvastUI.exe] – “C:Program FilesAVAST SoftwareAvastAvastUI.exe” /nogui
    04 – HKLMSOFTWAREwow6432Node | Run : [SunJavaUpdateSched] – “C:Program Files (x86)Common FilesJavaJava Updatejusched.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [DivXMediaServer] – “C:Program Files (x86)DivXDivX Media ServerDivXMediaServer.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [DivXUpdate] – “C:Program Files (x86)DivXDivX UpdateDivXUpdate.exe” /CHECKNOW
    04 – HKLMSOFTWAREwow6432Node | Run : [20131121] – C:Program FilesAVAST SoftwareAvastsetupemupdatea35a83af-bdab-487b-89da-a70a0e666454.exe /check
    04 – HKLMSOFTWAREwow6432Node | Run : [GrooveMonitor] – “C:Program Files (x86)Microsoft OfficeOffice12GrooveMonitor.exe”
    04 – HKLMSOFTWARE | RunOnce : [] –
    04 – HKLMSOFTWAREwow6432Node | RunOnce : [] –
    04 – HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /detectMem
    04 – HKUS-1-5-19SOFTWARE | Run : [WindowsWelcomeCenter] – rundll32.exe oobefldr.dll,ShowWelcomeCenter
    04 – HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /detectMem
    04 – HKUS-1-5-20SOFTWARE | Run : [WindowsWelcomeCenter] – rundll32.exe oobefldr.dll,ShowWelcomeCenter
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [Remote Control Editor] – “C:Program Files (x86)Common FilesTerraTecRemoteTTTvRc.exe”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [msnmsgr] – “C:Program Files (x86)Windows LiveMessengermsnmsgr.exe” /background
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [EPSON Stylus SX200 Series] – C:Windowssystem32spoolDRIVERSx643E_IATIEFE.EXE /FU “C:UsersEdithAppDataLocalTempE_S35BF.tmp” /EF “HKCU”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [EPSON PX720WD Series] – C:Windowssystem32spoolDRIVERSx643E_IATIGYE.EXE /FU “C:UsersEdithAppDataLocalTempE_S142C.tmp” /EF “HKCU”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [AdobeBridge] –
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [EPSON SX440 Series] – C:Windowssystem32spoolDRIVERSx643E_IATIHBE.EXE /FU “C:UsersEdithAppDataLocalTempE_SF305.tmp” /EF “HKCU”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [Xvid] – C:Program Files (x86)XvidCheckUpdate.exe
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [WMPNSCFG] – C:Program Files (x86)Windows Media PlayerWMPNSCFG.exe
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [mhH5Vwcp] – wscript.exe //B “C:UsersEdithAppDataLocalTempmhH5Vwcp.vbs”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [DAEMON Tools Lite] – “C:Program Files (x86)DAEMON Tools LiteDTLite.exe” -autorun
    04 – HKUS-1-5-18SOFTWARE | Run : [TOSHIBA Online Product Information] – C:Program Files (x86)TOSHIBAToshiba Online Product Informationtopi.exe

    ################## | Recherche générique |

    ################## | Registre |

    ################## | Vaccin |

    E:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    G:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    SUPPRESSION

    ############################## | UsbFix V 7.155 | [Suppression]

    Utilisateur: Edith (Administrateur) # MON-SATELLITE
    Mis à jour le 16/12/2013 par El Desaparecido – Team SosVirus
    Lancé à 14:26:04 | 23/12/2013

    Site Web : http://www.usbfix.net” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware : upload_malware.php
    Contact : http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: TOSHIBA (KSKAA)
    CPU: Intel(R) Core(TM)2 Duo CPU P7350 @ 2.00GHz
    RAM -> [Total : 4060 | Free : 2214]
    Bios: TOSHIBA
    Boot: Normal boot

    OS: Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-Bit) Service Pack 2
    WB: Windows Internet Explorer : 9.0.8112.16421
    WB: Google Chrome : 31.0.1650.63
    WB: Mozilla Firefox : 24.0

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AS: Windows Defender : 1.1.1600.0
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 233 Go (12 Go libre(s) – 5%) [Vista] # NTFS
    D: -> CD-ROM
    E: -> Disque fixe # 231 Go (47 Go libre(s) – 20%) [Data] # NTFS
    F: -> CD-ROM
    G: -> Disque amovible # 14 Go (14 Go libre(s) – 100%) [MA CLEF USB] # FAT32

    ################## | Processus Stoppés |

    Stoppé! C:Program FilesAVAST SoftwareAvastAvastSvc.exe (ID: 1688 |ParentID: 744)
    Stoppé! C:Program FilesTOSHIBAFlashCardsTCrdMain.exe (ID: 3704 |ParentID: 1984)
    Stoppé! C:Program FilesAVAST SoftwareAvastAvastUI.exe (ID: 4868 |ParentID: 4824)
    Stoppé! C:WindowsMicrosoft.NetFramework64v3.0WPFPresentationFontCache.exe (ID: 6800 |ParentID: 744)
    Stoppé! C:WindowsSYSTEM32WISPTIS.EXE (ID: 6952 |ParentID: 544)
    Stoppé! C:Program FilesCommon Filesmicrosoft sharedinkTabTip.exe (ID: 7020 |ParentID: 544)
    Stoppé! C:WindowsSYSTEM32WISPTIS.EXE (ID: 7108 |ParentID: 544)
    Stoppé! C:WindowsSystem32WUDFHost.exe (ID: 7116 |ParentID: 544)
    Stoppé! C:Program FilesCommon Filesmicrosoft sharedinkTabTip.exe (ID: 6208 |ParentID: 544)
    Stoppé! C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSVC.EXE (ID: 4380 |ParentID: 744)
    Stoppé! C:Windowssystem32SearchIndexer.exe (ID: 4460 |ParentID: 744)
    Stoppé! C:Windowssystem32taskeng.exe (ID: 2052 |ParentID: 896)
    Stoppé! C:WindowsSystem32spoolsv.exe (ID: 1756 |ParentID: 744)
    Stoppé! C:Program Files (x86)Common FilesAppleMobile Device SupportbinAppleMobileDeviceService.exe (ID: 2340 |ParentID: 744)
    Stoppé! C:Windowssystem32taskeng.exe (ID: 2804 |ParentID: 896)
    Stoppé! C:Program FilesWindows Media Playerwmpnscfg.exe (ID: 3140 |ParentID: 2380)
    Stoppé! C:Program FilesWindows Media Playerwmpnetwk.exe (ID: 740 |ParentID: 744)
    Stoppé! C:Windowssystem32SLsvc.exe (ID: 6680 |ParentID: 744)
    Stoppé! C:WindowsservicingTrustedInstaller.exe (ID: 6364 |ParentID: 744)
    Stoppé! C:Windowssystem32SearchProtocolHost.exe (ID: 6644 |ParentID: 4460)
    Stoppé! C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 4680 |ParentID: 172)
    Stoppé! C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 6884 |ParentID: 4680)
    Stoppé! C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 1612 |ParentID: 4680)
    Stoppé! C:Program Files (x86)GoogleChromeApplicationchrome.exe (ID: 4204 |ParentID: 4680)
    Stoppé! C:Windowssystem32SearchFilterHost.exe (ID: 1476 |ParentID: 4460)

    ################## | Regedit Run |

    04 – HKLMSOFTWARE | Run : [ITSecMng] – %ProgramFiles%TOSHIBABluetooth Toshiba StackItSecMng.exe /START
    04 – HKLMSOFTWARE | Run : [TUSBSleepChargeSrv] – %ProgramFiles(x86)%TOSHIBATOSHIBA USB Sleep and Charge UtilityTUSBSleepChargeSrv.exe
    04 – HKLMSOFTWARE | Run : [HWSetup] – “C:Program FilesTOSHIBAUtilitiesHWSetup.exe” hwSetUP
    04 – HKLMSOFTWARE | Run : [SVPWUTIL] – “C:Program Files (x86)TOSHIBAUtilitiesSVPWUTIL.exe” SVPwUTIL
    04 – HKLMSOFTWARE | Run : [KeNotify] – “C:Program Files (x86)TOSHIBAUtilitiesKeNotify.exe”
    04 – HKLMSOFTWARE | Run : [TWebCamera] – “%ProgramFiles(x86)%TOSHIBATOSHIBA Web Camera ApplicationTWebCamera.exe” autorun
    04 – HKLMSOFTWARE | Run : [StartCCC] – “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    04 – HKLMSOFTWARE | Run : [ToshibaServiceStation] – “C:Program Files (x86)TOSHIBATOSHIBA Service StationToshibaServiceStation.exe” /hide:60
    04 – HKLMSOFTWARE | Run : [TRCMan] – C:Program Files (x86)TOSHIBATRCManTRCMan.exe
    04 – HKLMSOFTWARE | Run : [NDSTray.exe] – “C:Program Files (x86)TOSHIBAConfigFreeNDSTray.exe”
    04 – HKLMSOFTWARE | Run : [cfFncEnabler.exe] – “C:Program Files (x86)TOSHIBAConfigFreecfFncEnabler.exe”
    04 – HKLMSOFTWARE | Run : [EEventManager] – “C:Program Files (x86)Epson SoftwareEvent ManagerEEventManager.exe”
    04 – HKLMSOFTWARE | Run : [AdobeCS5ServiceManager] – “C:Program Files (x86)Common FilesAdobeCS5ServiceManagerCS5ServiceManager.exe” -launchedbylogin
    04 – HKLMSOFTWARE | Run : [SwitchBoard] – “C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe”
    04 – HKLMSOFTWARE | Run : [HP Software Update] – C:Program Files (x86)HpHP Software UpdateHPWuSchd2.exe
    04 – HKLMSOFTWARE | Run : [] –
    04 – HKLMSOFTWARE | Run : [TkBellExe] – “c:program files (x86)realrealplayerUpdaterealsched.exe” -osboot
    04 – HKLMSOFTWARE | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
    04 – HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
    04 – HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
    04 – HKLMSOFTWARE | Run : [AvastUI.exe] – “C:Program FilesAVAST SoftwareAvastAvastUI.exe” /nogui
    04 – HKLMSOFTWARE | Run : [SunJavaUpdateSched] – “C:Program Files (x86)Common FilesJavaJava Updatejusched.exe”
    04 – HKLMSOFTWARE | Run : [DivXMediaServer] – “C:Program Files (x86)DivXDivX Media ServerDivXMediaServer.exe”
    04 – HKLMSOFTWARE | Run : [DivXUpdate] – “C:Program Files (x86)DivXDivX UpdateDivXUpdate.exe” /CHECKNOW
    04 – HKLMSOFTWARE | Run : [20131121] – C:Program FilesAVAST SoftwareAvastsetupemupdatea35a83af-bdab-487b-89da-a70a0e666454.exe /check
    04 – HKLMSOFTWARE | Run : [GrooveMonitor] – “C:Program Files (x86)Microsoft OfficeOffice12GrooveMonitor.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [ITSecMng] – %ProgramFiles%TOSHIBABluetooth Toshiba StackItSecMng.exe /START
    04 – HKLMSOFTWAREwow6432Node | Run : [TUSBSleepChargeSrv] – %ProgramFiles(x86)%TOSHIBATOSHIBA USB Sleep and Charge UtilityTUSBSleepChargeSrv.exe
    04 – HKLMSOFTWAREwow6432Node | Run : [HWSetup] – “C:Program FilesTOSHIBAUtilitiesHWSetup.exe” hwSetUP
    04 – HKLMSOFTWAREwow6432Node | Run : [SVPWUTIL] – “C:Program Files (x86)TOSHIBAUtilitiesSVPWUTIL.exe” SVPwUTIL
    04 – HKLMSOFTWAREwow6432Node | Run : [KeNotify] – “C:Program Files (x86)TOSHIBAUtilitiesKeNotify.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [TWebCamera] – “%ProgramFiles(x86)%TOSHIBATOSHIBA Web Camera ApplicationTWebCamera.exe” autorun
    04 – HKLMSOFTWAREwow6432Node | Run : [StartCCC] – “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    04 – HKLMSOFTWAREwow6432Node | Run : [ToshibaServiceStation] – “C:Program Files (x86)TOSHIBATOSHIBA Service StationToshibaServiceStation.exe” /hide:60
    04 – HKLMSOFTWAREwow6432Node | Run : [TRCMan] – C:Program Files (x86)TOSHIBATRCManTRCMan.exe
    04 – HKLMSOFTWAREwow6432Node | Run : [NDSTray.exe] – “C:Program Files (x86)TOSHIBAConfigFreeNDSTray.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [cfFncEnabler.exe] – “C:Program Files (x86)TOSHIBAConfigFreecfFncEnabler.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [EEventManager] – “C:Program Files (x86)Epson SoftwareEvent ManagerEEventManager.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [AdobeCS5ServiceManager] – “C:Program Files (x86)Common FilesAdobeCS5ServiceManagerCS5ServiceManager.exe” -launchedbylogin
    04 – HKLMSOFTWAREwow6432Node | Run : [SwitchBoard] – “C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [HP Software Update] – C:Program Files (x86)HpHP Software UpdateHPWuSchd2.exe
    04 – HKLMSOFTWAREwow6432Node | Run : [] –
    04 – HKLMSOFTWAREwow6432Node | Run : [TkBellExe] – “c:program files (x86)realrealplayerUpdaterealsched.exe” -osboot
    04 – HKLMSOFTWAREwow6432Node | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
    04 – HKLMSOFTWAREwow6432Node | Run : [Adobe ARM] – “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [AvastUI.exe] – “C:Program FilesAVAST SoftwareAvastAvastUI.exe” /nogui
    04 – HKLMSOFTWAREwow6432Node | Run : [SunJavaUpdateSched] – “C:Program Files (x86)Common FilesJavaJava Updatejusched.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [DivXMediaServer] – “C:Program Files (x86)DivXDivX Media ServerDivXMediaServer.exe”
    04 – HKLMSOFTWAREwow6432Node | Run : [DivXUpdate] – “C:Program Files (x86)DivXDivX UpdateDivXUpdate.exe” /CHECKNOW
    04 – HKLMSOFTWAREwow6432Node | Run : [20131121] – C:Program FilesAVAST SoftwareAvastsetupemupdatea35a83af-bdab-487b-89da-a70a0e666454.exe /check
    04 – HKLMSOFTWAREwow6432Node | Run : [GrooveMonitor] – “C:Program Files (x86)Microsoft OfficeOffice12GrooveMonitor.exe”
    04 – HKLMSOFTWARE | RunOnce : [] –
    04 – HKLMSOFTWAREwow6432Node | RunOnce : [] –
    04 – HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /detectMem
    04 – HKUS-1-5-19SOFTWARE | Run : [WindowsWelcomeCenter] – rundll32.exe oobefldr.dll,ShowWelcomeCenter
    04 – HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /detectMem
    04 – HKUS-1-5-20SOFTWARE | Run : [WindowsWelcomeCenter] – rundll32.exe oobefldr.dll,ShowWelcomeCenter
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [Remote Control Editor] – “C:Program Files (x86)Common FilesTerraTecRemoteTTTvRc.exe”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [msnmsgr] – “C:Program Files (x86)Windows LiveMessengermsnmsgr.exe” /background
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [EPSON Stylus SX200 Series] – C:Windowssystem32spoolDRIVERSx643E_IATIEFE.EXE /FU “C:UsersEdithAppDataLocalTempE_S35BF.tmp” /EF “HKCU”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [EPSON PX720WD Series] – C:Windowssystem32spoolDRIVERSx643E_IATIGYE.EXE /FU “C:UsersEdithAppDataLocalTempE_S142C.tmp” /EF “HKCU”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [AdobeBridge] –
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [EPSON SX440 Series] – C:Windowssystem32spoolDRIVERSx643E_IATIHBE.EXE /FU “C:UsersEdithAppDataLocalTempE_SF305.tmp” /EF “HKCU”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [Xvid] – C:Program Files (x86)XvidCheckUpdate.exe
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [WMPNSCFG] – C:Program Files (x86)Windows Media PlayerWMPNSCFG.exe
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [mhH5Vwcp] – wscript.exe //B “C:UsersEdithAppDataLocalTempmhH5Vwcp.vbs”
    04 – HKUS-1-5-21-3884194069-3344003920-1089711572-1000SOFTWARE | Run : [DAEMON Tools Lite] – “C:Program Files (x86)DAEMON Tools LiteDTLite.exe” -autorun
    04 – HKUS-1-5-18SOFTWARE | Run : [TOSHIBA Online Product Information] – C:Program Files (x86)TOSHIBAToshiba Online Product Informationtopi.exe

    ################## | Recherche générique |

    ################## | Registre |

    Supprimé! HKUS-1-5-21-3884194069-3344003920-1089711572-1000Software….Mountpoints2{25fbbce3-639e-11e3-a2c4-00235afde213}

    ################## | Listing |

    [16/06/2009 – 09:29:09 | N | 0 Ko] – C:SWSTAMP.TXT
    [15/09/2009 – 21:47:58 | N | 1 Ko] – C:log.txt
    [23/12/2013 – 13:40:57 | N | 20 Ko] – C:UsbFix [Scan 1] MON-SATELLITE.txt
    [23/12/2013 – 13:53:11 | N | 16 Ko] – C:UsbFix [Clean 1] MON-SATELLITE.txt
    [23/12/2013 – 14:19:40 | N | 18 Ko] – C:UsbFix [Scan 2] MON-SATELLITE.txt
    [23/12/2013 – 14:27:35 | A | 12 Ko] – C:UsbFix [Clean 4] MON-SATELLITE.txt
    [23/12/2013 – 14:00:41 | ASH | 4464556 Ko] – C:pagefile.sys
    [05/06/2009 – 14:21:54 | N | 3 Ko] – C:RHDSetup.log
    [19/09/2010 – 13:32:52 | SHD] – C:$RECYCLE.BIN
    [05/06/2009 – 12:12:28 | N | 8 Ko] – C:BOOTSECT.BAK
    [16/05/2011 – 11:56:34 | D] – C:found.000
    [02/11/2006 – 16:42:17 | SHD] – C:Documents and Settings
    [21/01/2008 – 04:04:13 | D] – C:PerfLogs
    [11/04/2009 – 07:36:36 | RASH | 325 Ko] – C:bootmgr
    [05/06/2009 – 14:01:05 | D] – C:Intel
    [05/06/2009 – 14:57:39 | D] – C:Works
    [05/06/2009 – 14:59:12 | D] – C:1033
    [15/09/2009 – 23:06:17 | D] – C:Toshiba
    [18/09/2009 – 22:09:12 | D] – C:Users
    [06/02/2011 – 19:58:59 | D] – C:CFdownloads
    [11/03/2011 – 16:55:35 | D] – C:Temp
    [04/08/2011 – 12:12:01 | D] – C:TerraTec
    [06/09/2011 – 13:01:37 | SHD] – C:Boot
    [10/11/2013 – 13:05:24 | N | 0 Ko] – C:END
    [14/12/2013 – 17:51:09 | HD] – C:ProgramData
    [14/12/2013 – 18:08:33 | RHD] – C:MSOCache
    [14/12/2013 – 18:15:26 | D] – C:Program Files
    [15/12/2013 – 10:02:49 | D] – C:Windows
    [15/12/2013 – 12:20:48 | D] – C:Program Files (x86)
    [17/12/2013 – 10:20:25 | D] – C:WTablet
    [22/12/2013 – 18:41:08 | SHD] – C:System Volume Information
    [23/12/2013 – 14:26:05 | D] – C:UsbFix
    [03/08/2011 – 19:11:41 | N | 0 Ko] – E:A_lire.txt
    [11/03/2012 – 17:39:07 | N | 0 Ko] – E:Lecteur CD – Raccourci.lnk
    [23/12/2013 – 14:19:40 | RASHD] – E:Autorun.inf
    [18/09/2009 – 22:10:11 | SHD] – E:$RECYCLE.BIN
    [25/07/2009 – 06:53:57 | SHD] – E:System Volume Information
    [16/09/2009 – 07:11:38 | D] – E:HDDRecovery
    [03/08/2011 – 17:36:23 | D] – E:WD
    [03/08/2011 – 18:58:07 | D] – E:VC++redist
    [03/08/2011 – 19:08:34 | D] – E:P4P800
    [03/08/2011 – 19:14:24 | SHD] – E:RECYCLER
    [03/08/2011 – 19:36:46 | D] – E:Enregistrements ADSL TV
    [15/02/2012 – 23:16:41 | D] – E:Videos
    [23/12/2013 – 14:19:42 | RASHD] – G:Autorun.inf

    ################## | Vaccin |

    E:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    G:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    Anonyme
    Nombre d'articles : 0

    Hello :hello:

    Bienvenue sur SosVirus :welcome:

    les dossiers autorun.inf , ceux sont les vaccins, ils protègent ta clé ;)

    Il reste des traces de l’infection :

    • Télécharge OTM de OldTimer sur ton bureau.
    • Double-clique sur OTM.exe pour le lancer.
    • Sous Vista/Seven , clic droit -> lancer en tant qu’administrateur
    • Copie la liste ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.


    :Reg
    [HKEY_USERSS-1-5-21-3884194069-3344003920-1089711572-1000SoftwareMicrosoftWindowsCurrentVersionRun]
    "mhH5Vwcp"=-

    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
    "mhH5Vwcp"=-

    :commands
    [emptytemp]
    • Clique sur “MoveIt!” .
    • Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demanderas de redémarrer l’ordinateur.
    • Si c’est le cas, acceptes en cliquant sur “YES”.
    • Post le rapport dans ta prochaine réponse.
    • Le rapport est situé dans C:_OTMMovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).

    [hr:1engielm]

    • Pour supprimer les fichiers temporaires :
    • Télécharge SFTGC.exe (de Pierre13) sur ton Bureau et pas ailleurs !.
    • Lance SFTGC, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur GO

      Note : A la fin un rapport va s’ouvrir

    • Une fois le scan terminé rends toi sur le bureau, le fichier SFTGC.txt à été créé.
    • Héberge le rapport SFTGC.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
    echo
    Participant
    Nombre d'articles : 9

    Un grand merci pour la rapidité de votre réponse ! J’ai suivi la procédure mais, malheureusement, je ne suis pas tirée d’affaire… Je trouve toujours iTunesHelper en faisant une recherche. Dans les dossiers récents, je n’ai plus qu’un raccourci, mais dans le dossier infecté sur mon bureau, le fichier subsiste, intact… Y a-t-il autre chose à faire ? Faut-il recommencer la procédure ?

    Pour le rapport SFTGC : https://antimalware.top/log/SosUpload.3d66c4cc373c6199822db4ba9ef357b1.txt” onclick=”window.open(this.href);return false;

    Et voici le rapport OTM :

    All processes killed
    ========== REGISTRY ==========
    Registry value HKEY_USERSS-1-5-21-3884194069-3344003920-1089711572-1000SoftwareMicrosoftWindowsCurrentVersionRun\mhH5Vwcp not found.
    Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\mhH5Vwcp not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrator

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Denis
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Edith
    ->Temp folder emptied: 1856202657 bytes
    ->Temporary Internet Files folder emptied: 5103712 bytes
    ->Java cache emptied: 31182953 bytes
    ->FireFox cache emptied: 469002067 bytes
    ->Google Chrome cache emptied: 267650374 bytes
    ->Flash cache emptied: 185298 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%System32 .tmp files removed: 2772992 bytes
    %systemroot%System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%System32drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 114826906 bytes
    %systemroot%system32configsystemprofileAppDataLocalMicrosoftWindowsTemporary Internet Files folder emptied: 25630829 bytes
    %systemroot%system32configsystemprofileAppDataLocalLowSunJavaDeployment folder emptied: 753 bytes
    %systemroot%sysnativeconfigsystemprofileAppDataLocalMicrosoftWindowsTemporary Internet Files folder emptied: 33237 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 2 644,00 mb

    OTM by OldTimer – Version 3.1.21.0 log created on 12232013_151810

    Files moved on Reboot…
    C:UsersEdithAppDataLocalTempppcrlui_6396_2 moved successfully.
    File move failed. C:Windowstemp_avast_Webshlock.txt scheduled to be moved on reboot.

    Registry entries deleted on Reboot…

    Anonyme
    Nombre d'articles : 0

    Nous allons éffectuer un diagnostic de ton ordinateur :

    • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    • Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu’adminsitrateur.
    • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées.
    • Dans le cadre Personnalisation, copie-colle l’intégralité de ce qui suit :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.exe /s
    %temp%*.exe /s
    %SYSTEMDRIVE%*.exe
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %systemroot%system32*.dll /lockedfiles
    %windir%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%System32config*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOTCLSID{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InprocServer32 /s
    HKEY_LOCAL_MACHINESYSTEMSYSTEMCurrentControlSetServiceslanmanserverparameters /s
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerAppCertDlls /s
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList /s
    HKEY_LOCAL_MACHINESoftwareMicrosoftCommand Processor /s
    HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor /s
    CREATERESTOREPOINT
    nslookup http://www.google.fr /c
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    CREATERESTOREPOINT
    SAVEMBR:0

    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

    echo
    Participant
    Nombre d'articles : 9

    C’est fait, voici les rapports :
    http://www.cjoint.com/confirm.php?cjoint=3Lxr5StyrGN” onclick=”window.open(this.href);return false;
    http://www.cjoint.com/confirm.php?cjoint=3Lxr6KACaoJ” onclick=”window.open(this.href);return false;
    C’est grave, docteur ?

    Anonyme
    Nombre d'articles : 0

    Non y’a rien de grave du tout :)

    Désinstalle ça par contre : Babylon Toolbar

    pour le dossier récent c’est normal que tu y trouves ituneshelper car ton sujet sur le forum s’appel ainsi, par exemple si tu créé un fichier bloc note nommé itunehelper.txt pas tu le retrouvera dans le dossier récent ..

    Ce que je comprend moins c’est ça :

    mais dans le dossier infecté sur mon bureau, le fichier subsiste, intact…

    C’est quoi ce dossier ?

    echo
    Participant
    Nombre d'articles : 9

    Voilà, j’ai désinstallé Babylon !

    Concernant le fichier qui reste : quand je fais une recherche, je trouve iTunesHelper, “fichier de script codé VBScript” dans le dossier que j’avais bêtement copié depuis ma clé USB infectée sur mon bureau… Que faut-il faire pour ça ?…

    J’ai lu sur ce forum qu’iTunesHelper volait les mots de passe… C’est donc le cas pour moi aussi ?

    echo
    Participant
    Nombre d'articles : 9

    (À toutes fins utiles, je précise que c’est un dossier de photos.)

    Anonyme
    Nombre d'articles : 0

    Les photos qui sont dans le dossier sur le bureau avec le fichier itunehelper sont bien sur la clé aussi, tu confirmes ?

    Si c’est le cas, tu supprimes ce dossier de ton bureau et tu vides la corbeille.

    Pour les fonctions keylogger de cette infection , oui il faut que tu changes tes mots de passe :(

    echo
    Participant
    Nombre d'articles : 9

    Je n’avais pas de copie mais tant pis, je récupérerai ces photos autrement : j’ai supprimé tout le dossier.
    Après quoi, pour en avoir le cœur net, j’ai de nouveau lancé une recherche… Le fichier apparaît toujours, avec le même chemin ! alors même que le répertoire n’existe plus ! J’ai cherché à le supprimer manuellement, mais forcément, le dossier n’existe plus, j’ai le message :

    “Le dossier …iTunesHelper n’existe pas. Le fichier a peut-être été déplacé ou supprimé.
    Voulez-vous le créer ?”

    Faut-il s’en inquiéter ? J’ai redémarré mon PC mais ça ne change rien.

    Anonyme
    Nombre d'articles : 0

    Non faut pas s’en inquiéter au pire repasse SFTGC.exe redémarre ensuite le pc et ça devrait être OK.

    echo
    Participant
    Nombre d'articles : 9

    J’ai relancé SFTGC et redémarré mon PC, mais cela n’a rien changé malheureusement. Ça me préoccupe un peu, quand même, que mon PC ne soit pas tout propre… Ce serait donc un fichier temporaire ? Y a-t-il quelque chose à tenter ? Ne me reste-t-il qu’à attendre ?

    Anonyme
    Nombre d'articles : 0

    mais cela n’a rien changé malheureusement

    C’est à dire, tu trouves quoi là ?

    echo
    Participant
    Nombre d'articles : 9

    Eh bien, en fait, quand je lance une recherche de fichier sur l’ordinateur, il trouve iTunesHelper dans le dossier, “fichier de script code VBScript”, avec le chemin du dossier que j’ai justement supprimé (et ce, définitivement). Et si je veux le supprimer, ça m’ouvre le même message, comme quoi le dossier n’existe plus mais a peut-être été déplacé ou supprimé, + “voulez-vous le créer”. Je suis désemparée…

    Anonyme
    Nombre d'articles : 0

    Ok c’est donc une trace , un fichier temporaire qui doit rester ou une clé de registre temporaire elle aussi, c’est pour ça qu’il te signale cela.

    Mais bon l’infection n’est plus là et encore moins active.

    Moi je pense que c’est une trace dans la base de registre et franchement, vaut mieux pas aller la fouiller pour si peut car cette trace partira d’elle même au fur et mesure des redémarrages du PC et de son utilisation. Tu ne dois pas t’inquiéter pour cette trace ;)

    • Télécharges Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche la case suivantes :
      • Supprimer les outils de désinfection
      • Purger la restauration système

15 sujets de 1 à 15 (sur un total de 17)
  • Vous devez être connecté pour répondre à ce sujet.