14 sujets de 1 à 14 (sur un total de 14)
  • Auteur
    Messages
  • kami
    Nombre d'articles : 0

    Bonjour,
    J’ai trois ordinateurs en reseau qui sont infectés je pense par le même virus.
    Je poste en même temps le rapport de Usbfix pour les trois postes.
    Merci d’avance.

    Poste 1 : Banquet 1
    ############################## | UsbFix V 7.145 | [Recherche]

    Utilisateur: ECONOMAT (Administrateur) # BANQUET1
    Mis à jour le 17/10/2013 par El Desaparecido – Team SosVirus
    Lancé à 16:01:51 | 25/11/2013

    Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: upload_malware.php
    Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: ASUSTek Computer INC. (LEONITE)
    CPU: Intel(R) Pentium(R) D CPU 2.80GHz
    RAM -> [Total : 2038 | Free : 1209]
    Bios: Phoenix Technologies, LTD
    Boot: Fail-safe with network boot

    OS: Microsoft Windows 7 Édition Intégrale (6.1.7601 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 10.0.9200.16736

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Microsoft Security Essentials [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 298 Go (18 Go libre(s) – 6%) [] # NTFS
    E: -> CD-ROM

    ################## | Processus Actif |

    C:Windowssystem32csrss.exe (ID 396 |ParentID 388)
    C:Windowssystem32wininit.exe (ID 432 |ParentID 388)
    C:Windowssystem32csrss.exe (ID 444 |ParentID 424)
    C:Windowssystem32winlogon.exe (ID 488 |ParentID 424)
    C:Windowssystem32services.exe (ID 508 |ParentID 432)
    C:Windowssystem32lsass.exe (ID 540 |ParentID 432)
    C:Windowssystem32lsm.exe (ID 548 |ParentID 432)
    C:Windowssystem32svchost.exe (ID 672 |ParentID 508)
    C:Windowssystem32svchost.exe (ID 768 |ParentID 508)
    c:Program FilesMicrosoft Security ClientMsMpEng.exe (ID 832 |ParentID 508)
    C:WindowsSystem32svchost.exe (ID 944 |ParentID 508)
    C:Windowssystem32svchost.exe (ID 980 |ParentID 508)
    C:Windowssystem32svchost.exe (ID 1032 |ParentID 508)
    C:Windowssystem32svchost.exe (ID 1060 |ParentID 508)
    C:Windowssystem32svchost.exe (ID 1124 |ParentID 508)
    C:WindowsExplorer.EXE (ID 1432 |ParentID 1424)
    C:Windowssystem32ctfmon.exe (ID 1508 |ParentID 1432)
    C:Windowssystem32DllHost.exe (ID 1764 |ParentID 672)
    C:WindowsSystem32svchost.exe (ID 1800 |ParentID 508)
    C:Program FilesAdobeReader 9.0ReaderAcroRd32Info.exe (ID 360 |ParentID 672)
    C:Windowssystem32svchost.exe (ID 624 |ParentID 508)
    C:Program FilesWindows Media Playerwmpnscfg.exe (ID 1212 |ParentID 1432)
    C:UsbFixGo.exe (ID 940 |ParentID 928)
    C:Windowssystem32wbemwmiprvse.exe (ID 344 |ParentID 672)

    ################## | Regedit Run |

    HKLMSOFTWARE | Run : [PWRISOVM.EXE] – C:Program FilesPowerISOPWRISOVM.EXE
    HKLMSOFTWARE | Run : [BCSSync] – “C:Program FilesMicrosoft OfficeOffice14BCSSync.exe” /DelayServices
    HKLMSOFTWARE | Run : [UnlockerAssistant] – “C:Program FilesUnlockerUnlockerAssistant.exe”
    HKLMSOFTWARE | Run : [MSC] – “c:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    HKLMSOFTWARE | Run : [IgfxTray] – C:Windowssystem32igfxtray.exe
    HKLMSOFTWARE | Run : [HotKeysCmds] – C:Windowssystem32hkcmd.exe
    HKLMSOFTWARE | Run : [Persistence] – C:Windowssystem32igfxpers.exe
    HKLMSOFTWARE | Run : [IAStorIcon] – C:Program FilesIntelIntel(R) Rapid Storage TechnologyIAStorIconLaunch.exe “C:Program FilesIntelIntel(R) Rapid Storage TechnologyIAStorIcon.exe” 60
    HKLMSOFTWARE | Run : [Adobe Reader Speed Launcher] – “C:Program FilesAdobeReader 9.0ReaderReader_sl.exe”
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | RunOnce : [] –
    HKLMSOFTWARE | PoliciesExplorerrun : [Updates] – “C:UsersECONOMATSecuritiesscan.vbe”
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [IDMan] – C:Program FilesInternet Download ManagerIDMan.exe /onboot
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [0F4473B2D83B2BE5AF88606AD91EAA6E38177C31._service_run] – “C:UsersECONOMATAppDataLocalGoogleChromeApplicationchrome.exe” –type=service
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [Facebook Update] – “C:UsersECONOMATAppDataLocalFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [Google Update] – “C:UsersECONOMATAppDataLocalGoogleUpdateGoogleUpdate.exe” /c
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [uTorrent] – “C:Program FilesuTorrentuTorrent.exe” /MINIMIZED
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [Skype] – “C:Program FilesSkypePhoneSkype.exe” /minimized /regrun
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-006E-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0015-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0016-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-00BA-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0044-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-00A1-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-001A-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0018-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0019-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-001B-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0011-0000-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H

    ################## | Éléments infectieux |

    Présent! C:Nouveau dossier.lnk
    Présent! C:UsersECONOMATAppDataRoamingMicrosoftSYSTEMcste
    Présent! C:UsersECONOMATAppDataLocalTemputt9C39.tmp.exe
    Présent! C:UsersECONOMATAppDataLocalTempscan.vbe
    Présent! C:UsersECONOMATAppDataLocalTempSystem File [Not Delete].vbe
    Présent! C:UsersECONOMATAppDataLocalTempusbdriver.vbe
    Présent! C:UsersECONOMATAppDataLocalTempdds.vbs
    Présent! C:UsersECONOMATAppDataLocalTempCPBA.bat
    Présent! C:UsersECONOMATMicrosoftsys32.bin
    Présent! C:UsersECONOMATSecurities
    Présent! C:UsersECONOMATSecuritiesupdate.exe
    Présent! C:usbdriver.vbe
    Présent! C:autorun.inf
    Présent! C:Program FilesCeremoniePC_BOOSTER.vbe
    Présent! C:UsersECONOMATDownloadsPC_BOOSTER.vbe
    Présent! C:UsersPC_BOOSTER.vbe
    Présent! C:WindowsSystem32spooldriversPC_BOOSTER.vbe

    ################## | Registre |

    Présent! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun|Updates
    HKCU….ExplorerMountPoints2J
    ShellAutoRunCommand = J:SETUP.EXE
    ShellconfigureCommand = J:SETUP.EXE
    ShellinstallCommand = J:SETUP.EXE

    HKCU….ExplorerMountPoints2{02102f8a-4f2a-11e2-a49e-001a920cf23a}
    ShellAutoRunCommand = F:.Setup.exe AUTORUN=1

    HKCU….ExplorerMountPoints2{2455c68b-b719-11e1-8120-001a920cf23a}
    ShellAutoRunCommand = L:SISetup.exe

    ################## | Vaccin |

    (!) Cet ordinateur n’est pas vacciné!

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    Ordinateur 2 : Banquet 2
    ############################## | UsbFix V 7.145 | [Recherche]

    Utilisateur: BANQUET2 (Administrateur) # BANQUET2
    Mis à jour le 17/10/2013 par El Desaparecido – Team SosVirus
    Lancé à 15:48:34 | 25/11/2013

    Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: upload_malware.php
    Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: MSI (0A48)
    CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
    RAM -> [Total : 895 | Free : 440]
    Bios: Phoenix Technologies, LTD
    Boot: Normal boot

    OS: Microsoft Windows 7 Édition Intégrale (6.1.7601 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 11.0.9600.16428

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Microsoft Security Essentials [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 74 Go (34 Go libre(s) – 45%) [] # NTFS
    D: -> CD-ROM
    E: -> CD-ROM

    ################## | Processus Actif |

    C:Windowssystem32csrss.exe (ID 500 |ParentID 484)
    C:Windowssystem32wininit.exe (ID 564 |ParentID 484)
    C:Windowssystem32csrss.exe (ID 596 |ParentID 572)
    C:Windowssystem32services.exe (ID 620 |ParentID 564)
    C:Windowssystem32lsass.exe (ID 636 |ParentID 564)
    C:Windowssystem32lsm.exe (ID 644 |ParentID 564)
    C:Windowssystem32winlogon.exe (ID 676 |ParentID 572)
    C:Windowssystem32svchost.exe (ID 800 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 864 |ParentID 620)
    c:Program FilesMicrosoft Security ClientMsMpEng.exe (ID 912 |ParentID 620)
    C:Windowssystem32Ati2evxx.exe (ID 1044 |ParentID 620)
    C:WindowsSystem32svchost.exe (ID 1064 |ParentID 620)
    C:WindowsSystem32svchost.exe (ID 1120 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 1160 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 1192 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 1280 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 1400 |ParentID 620)
    C:WindowsSystem32spoolsv.exe (ID 1548 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 1608 |ParentID 620)
    C:Windowssystem32taskhost.exe (ID 1664 |ParentID 620)
    C:Windowssystem32Dwm.exe (ID 1764 |ParentID 1120)
    C:WindowsExplorer.EXE (ID 1784 |ParentID 1748)
    C:Program FilesCommon FilesAdobeARM1.0armsvc.exe (ID 1820 |ParentID 620)
    C:Windowssystem32Ati2evxx.exe (ID 1872 |ParentID 1044)
    C:Program FilesInternetEverywhereInternetEverywhere_Service.exe (ID 1984 |ParentID 620)
    C:WindowsSystem32svchost.exe (ID 100 |ParentID 620)
    C:Program FilesMicrosoft Security Clientmsseces.exe (ID 892 |ParentID 1784)
    C:Program FilesPowerISOPWRISOVM.EXE (ID 940 |ParentID 1784)
    C:Program FilesInternet Download ManagerIDMan.exe (ID 1236 |ParentID 1784)
    C:Program FilesInternetEverywhereInternetEverywhere_Launcher.exe (ID 1320 |ParentID 1784)
    C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.exe (ID 1388 |ParentID 816)
    C:WindowsSystem32svchost.exe (ID 1860 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 2116 |ParentID 620)
    C:Windowssystem32DllHost.exe (ID 2424 |ParentID 800)
    C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe (ID 2552 |ParentID 1388)
    C:Program FilesTeamViewerVersion8TeamViewer_Service.exe (ID 2624 |ParentID 620)
    C:Windowssystem32SearchIndexer.exe (ID 3016 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 3256 |ParentID 620)
    C:Windowssystem32svchost.exe (ID 3316 |ParentID 620)
    C:Program FilesWindows Media Playerwmpnetwk.exe (ID 3468 |ParentID 620)
    C:Program FilesTeamViewerVersion8TeamViewer.exe (ID 3952 |ParentID 2624)
    C:WindowsSystem32svchost.exe (ID 4012 |ParentID 620)
    C:Program FilesTeamViewerVersion8tv_w32.exe (ID 2316 |ParentID 2624)
    c:Program FilesMicrosoft Security ClientNisSrv.exe (ID 2488 |ParentID 620)
    C:Program FilesMicrosoft OfficeOffice14EXCEL.EXE (ID 4036 |ParentID 1784)
    C:Program FilesCommon FilesMicrosoft SharedOfficeSoftwareProtectionPlatformOSPPSVC.EXE (ID 3592 |ParentID 620)
    C:UsbFixGo.exe (ID 928 |ParentID 2324)
    C:Windowssystem32wbemwmiprvse.exe (ID 2188 |ParentID 800)

    ################## | Regedit Run |

    HKLMSOFTWARE | Run : [StartCCC] – “C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    HKLMSOFTWARE | Run : [MSC] – “c:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | Run : [PWRISOVM.EXE] – C:Program FilesPowerISOPWRISOVM.EXE
    HKLMSOFTWARE | Run : [BCSSync] – “C:Program FilesMicrosoft OfficeOffice14BCSSync.exe” /DelayServices
    HKLMSOFTWARE | RunOnce : [] –
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-1013663335-846473457-1848416765-1000SOFTWARE | Run : [IDMan] – C:Program FilesInternet Download ManagerIDMan.exe /onboot
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe

    ################## | Éléments infectieux |

    Présent! C:UsersBANQUET2AppDataLocalTempCPBA.bat
    Présent! C:UsersBANQUET2Microsoftsys32.bin

    ################## | Registre |

    HKCU….ExplorerMountPoints2{2442fb5f-2ae6-11e2-8257-0019db532964}
    ShellAutoRunCommand = F:LaunchU3.exe -a

    HKCU….ExplorerMountPoints2{fd9cdfff-cce4-11e2-ad82-0019db532964}
    ShellAutoRunCommand = F:.Setup.exe AUTORUN=1

    ################## | Vaccin |

    (!) Cet ordinateur n’est pas vacciné!

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    Ordinateur 3 : Banquet 3
    ############################## | UsbFix V 7.145 | [Recherche]

    Utilisateur: BANQUET3 (Administrateur) # BANQUET3
    Mis à jour le 17/10/2013 par El Desaparecido – Team SosVirus
    Lancé à 15:50:41 | 25/11/2013

    Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: upload_malware.php
    Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: Dell Inc. (0H8367)
    CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
    RAM -> [Total : 1014 | Free : 528]
    Bios: Dell Inc.
    Boot: Normal boot

    OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 10.0.9200.16736

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Microsoft Security Essentials [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 37 Go (479 Mo libre(s) – 1%) [] # NTFS
    D: -> CD-ROM

    ################## | Processus Actif |

    C:Windowssystem32csrss.exe (ID 448 |ParentID 440)
    C:Windowssystem32wininit.exe (ID 484 |ParentID 440)
    C:Windowssystem32csrss.exe (ID 496 |ParentID 476)
    C:Windowssystem32winlogon.exe (ID 536 |ParentID 476)
    C:Windowssystem32services.exe (ID 564 |ParentID 484)
    C:Windowssystem32lsass.exe (ID 572 |ParentID 484)
    C:Windowssystem32lsm.exe (ID 580 |ParentID 484)
    C:Windowssystem32svchost.exe (ID 700 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 780 |ParentID 564)
    c:Program FilesMicrosoft Security ClientMsMpEng.exe (ID 816 |ParentID 564)
    C:WindowsSystem32svchost.exe (ID 964 |ParentID 564)
    C:WindowsSystem32svchost.exe (ID 1008 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1048 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1080 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1164 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1348 |ParentID 564)
    C:WindowsSystem32spoolsv.exe (ID 1440 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1476 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1516 |ParentID 564)
    C:WindowsSystem32svchost.exe (ID 1652 |ParentID 564)
    C:WindowsSystem32svchost.exe (ID 1688 |ParentID 564)
    C:Program FilesTeamViewerVersion8TeamViewer_Service.exe (ID 1796 |ParentID 564)
    C:Windowssystem32svchost.exe (ID 1260 |ParentID 564)
    c:Program FilesMicrosoft Security ClientNisSrv.exe (ID 2232 |ParentID 564)
    C:Program FilesWindows Media Playerwmpnetwk.exe (ID 2616 |ParentID 564)
    C:Windowssystem32SearchIndexer.exe (ID 2724 |ParentID 564)
    C:Windowssystem32taskhost.exe (ID 3728 |ParentID 564)
    C:Windowssystem32Dwm.exe (ID 3312 |ParentID 1008)
    C:WindowsExplorer.EXE (ID 3084 |ParentID 3860)
    C:WindowsSOUNDMAN.EXE (ID 156 |ParentID 3084)
    C:Program FilesMicrosoft Security Clientmsseces.exe (ID 3708 |ParentID 3084)
    C:Program FilesHPHP Software Updatehpwuschd2.exe (ID 2864 |ParentID 3084)
    C:Program FilesDigitalPeersCamTrackdptracker.exe (ID 2880 |ParentID 3084)
    C:Program FilesInternet Download ManagerIDMan.exe (ID 3964 |ParentID 3084)
    C:UsersBANQUET3AppDataLocalFacebookUpdateFacebookUpdate.exe (ID 2520 |ParentID 3084)
    C:Program FilesSkypePhoneSkype.exe (ID 1772 |ParentID 3084)
    C:WindowsSystem32WScript.exe (ID 3116 |ParentID 3296)
    C:WindowsSystem32svchost.exe (ID 1096 |ParentID 564)
    C:Program FilesTeamViewerVersion8TeamViewer.exe (ID 1072 |ParentID 1796)
    C:Program FilesTeamViewerVersion8tv_w32.exe (ID 3948 |ParentID 1796)
    C:Program FilesMicrosoft OfficeOffice15EXCEL.EXE (ID 1136 |ParentID 3084)
    C:Windowssystem32SearchProtocolHost.exe (ID 3120 |ParentID 2724)
    C:Windowssystem32SearchFilterHost.exe (ID 1460 |ParentID 2724)
    C:UsbFixGo.exe (ID 2780 |ParentID 1604)
    C:Windowssystem32wbemwmiprvse.exe (ID 1952 |ParentID 700)

    ################## | Regedit Run |

    HKLMSOFTWARE | Run : [SoundMan] – SOUNDMAN.EXE
    HKLMSOFTWARE | Run : [MSC] – “c:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    HKLMSOFTWARE | Run : [HP Software Update] – C:Program FilesHpHP Software UpdateHPWuSchd2.exe
    HKLMSOFTWARE | Run : [] –
    HKLMSOFTWARE | Run : [dptracker] – C:Program FilesDigitalPeersCamTrackdptracker.exe
    HKLMSOFTWARE | RunOnce : [] –
    HKLMSOFTWARE | PoliciesExplorerrun : [Updates] – “C:UsersBANQUET3Securitiesscan.vbe”
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | Run : [IDMan] – C:Program FilesInternet Download ManagerIDMan.exe /onboot
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | Run : [Facebook Update] – “C:UsersBANQUET3AppDataLocalFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | Run : [Skype] – “C:Program FilesSkypePhoneSkype.exe” /minimized /regrun
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | RunOnce : [Bkr] – “C:UsersBANQUET3Microsoftbkr.bat”

    ################## | Éléments infectieux |

    Présent! C:Nouveau dossier.lnk
    Présent! C:UsersBANQUET3AppDataLocalTempscan.vbe
    Présent! C:UsersBANQUET3AppDataLocalTempCPBA.bat
    Présent! C:UsersBANQUET3MicrosoftPC_BOOSTER.vbe
    Présent! C:UsersBANQUET3Microsoftsys32.bin
    Présent! C:UsersBANQUET3Securities
    Présent! C:UsersBANQUET3Securitiesscan.vbe
    Présent! C:UsersBANQUET3Securitiesupdate.exe
    Présent! C:usbdriver.vbe
    Présent! C:autorun.inf
    Présent! C:UsersBANQUET3DesktopMananzaPC_BOOSTER.vbe
    Présent! C:UsersPC_BOOSTER.vbe

    ################## | Registre |

    Présent! HKUS-1-5-21-499432221-384322715-1989701013-1000SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|DisableRegistryTools
    Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|DisableRegistryTools
    Présent! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun|Updates
    HKCU….ExplorerMountPoints2E
    ShellAutoRunCommand = E:LaunchU3.exe -a

    HKCU….ExplorerMountPoints2{5c9dbda7-9777-11e2-99d5-00123f5c4b70}
    ShellAutoRunCommand = E:LaunchU3.exe -a

    ################## | Vaccin |

    (!) Cet ordinateur n’est pas vacciné!

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour et bienvenue :)

    Pour ce que je vais de demander de faire, il est très important de rompre la connexion entre ces trois ordinateurs ! :)

    Chaque PC doit être isolé des autres.

    Sur le premier PC, fais ce qui suit.

    • Relance UsbFix depuis ton Bureau !
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Choisi l’option Suppression

      Note : Si UsbFix bloque à 14%, démarrer en mode sans échec. (Voir >> ICI <<)

    • Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

    [hr:1m1hr858]

    • Lance UsbFix ton Bureau !
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Choisi l’option Vacciner

      Note : Des petites fenêtres vont s’ouvrir, clique sur Ok

    Fait cette même manipulation sur les deux autres machines.

    Elles doivent être isolé de toutes connections entre elles !

    J’attends tes trois rapports ;)

    kamy
    Nombre d'articles : 0

    Merci deja,
    Je t envoie les rapports l un apres l autre

    Ordinateur 1 : Banquet 1

    ############################## | UsbFix V 7.145 | [Suppression]

    Utilisateur: ECONOMAT (Administrateur) # BANQUET1
    Mis à jour le 17/10/2013 par El Desaparecido – Team SosVirus
    Lancé à 16:30:29 | 26/11/2013

    Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: upload_malware.php
    Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: ASUSTek Computer INC. (LEONITE)
    CPU: Intel(R) Pentium(R) D CPU 2.80GHz
    RAM -> [Total : 2038 | Free : 1249]
    Bios: Phoenix Technologies, LTD
    Boot: Normal boot

    OS: Microsoft Windows 7 Édition Intégrale (6.1.7601 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 10.0.9200.16736

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Microsoft Security Essentials [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 298 Go (26 Go libre(s) – 9%) [] # NTFS
    D: -> CD-ROM
    E: -> CD-ROM
    F: -> Disque amovible # 2 Go (2 Go libre(s) – 83%) [] # FAT

    ################## | Regedit Run |

    HKLMSOFTWARE | Run : [PWRISOVM.EXE] – C:Program FilesPowerISOPWRISOVM.EXE
    HKLMSOFTWARE | Run : [BCSSync] – “C:Program FilesMicrosoft OfficeOffice14BCSSync.exe” /DelayServices
    HKLMSOFTWARE | Run : [UnlockerAssistant] – “C:Program FilesUnlockerUnlockerAssistant.exe”
    HKLMSOFTWARE | Run : [MSC] – “c:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    HKLMSOFTWARE | Run : [IgfxTray] – C:Windowssystem32igfxtray.exe
    HKLMSOFTWARE | Run : [HotKeysCmds] – C:Windowssystem32hkcmd.exe
    HKLMSOFTWARE | Run : [Persistence] – C:Windowssystem32igfxpers.exe
    HKLMSOFTWARE | Run : [IAStorIcon] – C:Program FilesIntelIntel(R) Rapid Storage TechnologyIAStorIconLaunch.exe “C:Program FilesIntelIntel(R) Rapid Storage TechnologyIAStorIcon.exe” 60
    HKLMSOFTWARE | Run : [Adobe Reader Speed Launcher] – “C:Program FilesAdobeReader 9.0ReaderReader_sl.exe”
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | RunOnce : [] –
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [IDMan] – C:Program FilesInternet Download ManagerIDMan.exe /onboot
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [0F4473B2D83B2BE5AF88606AD91EAA6E38177C31._service_run] – “C:UsersECONOMATAppDataLocalGoogleChromeApplicationchrome.exe” –type=service
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [Facebook Update] – “C:UsersECONOMATAppDataLocalFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [Google Update] – “C:UsersECONOMATAppDataLocalGoogleUpdateGoogleUpdate.exe” /c
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [uTorrent] – “C:Program FilesuTorrentuTorrent.exe” /MINIMIZED
    HKUS-1-5-21-287986789-1673621903-1310233011-1000SOFTWARE | Run : [Skype] – “C:Program FilesSkypePhoneSkype.exe” /minimized /regrun
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-006E-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0015-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0016-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-00BA-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0044-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-00A1-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-001A-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0018-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0019-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-001B-040C-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H
    HKUS-1-5-18SOFTWARE | RunOnce : [{90140000-0011-0000-0000-0000000FF1CE}] – C:Windowssystem32cmd.exe /C del “C:ProgramDataMicrosoft HelpRgstrtn.lck” /Q /A:H

    ################## | Processus Stoppés |

    Stoppé! c:Program FilesMicrosoft Security ClientMsMpEng.exe (ID 1004 |ParentID 684)
    Stoppé! c:Program FilesMicrosoft Security ClientNisSrv.exe (ID 2092 |ParentID 684)
    Stoppé! C:WindowsSystem32WUDFHost.exe (ID 5048 |ParentID 1180)
    Stoppé! C:WindowsSystem32rundll32.exe (ID 5796 |ParentID 868)
    Stoppé! C:Windowssystem32HPSIsvc.exe (ID 5800 |ParentID 684)
    Stoppé! C:Program FilesTeamViewerVersion8TeamViewer_Service.exe (ID 2752 |ParentID 684)
    Stoppé! C:Program FilesTeamViewerVersion8TeamViewer.exe (ID 2820 |ParentID 2752)
    Stoppé! C:Program FilesTeamViewerVersion8tv_w32.exe (ID 3916 |ParentID 2752)
    Stoppé! C:Program FilesWindows Media Playerwmpnetwk.exe (ID 1424 |ParentID 684)
    Stoppé! C:Windowssystem32SearchIndexer.exe (ID 5964 |ParentID 684)
    Stoppé! C:WindowsSystem32spoolsv.exe (ID 4652 |ParentID 684)
    Stoppé! C:Program FilesCommon FilesAppleMobile Device SupportAppleMobileDeviceService.exe (ID 5076 |ParentID 684)
    Stoppé! C:Windowssystem32taskeng.exe (ID 5256 |ParentID 1264)
    Stoppé! c:Program FilesMicrosoft Security ClientMpCmdRun.exe (ID 2540 |ParentID 6016)
    Stoppé! C:WindowsSystem32rundll32.exe (ID 6100 |ParentID 868)
    Stoppé! C:Windowssystem32SearchProtocolHost.exe (ID 1288 |ParentID 5964)
    Stoppé! C:Windowssystem32DllHost.exe (ID 1884 |ParentID 868)
    Stoppé! C:Windowsexplorer.exe (ID 3952 |ParentID 2612)

    ################## | Éléments infectieux |

    Supprimé! F:img12.lnk
    Supprimé! F:Fishbone_Diagram.lnk
    Supprimé! F:diagramme-causes-effets2.lnk
    Supprimé! F:80629-Diagramme-Ishikawa-fran.lnk
    Supprimé! F:img-5-small480.lnk
    Supprimé! F:9242540579_chap7_fre.lnk
    Supprimé! F:Diagramme de causes et effets.lnk
    Supprimé! F:rapport de stage mananza ouattara.lnk
    Supprimé! F:Rapport de stage KADY.lnk
    Supprimé! F:usbdriver.lnk
    Supprimé! F:PAGE DE GARDE.lnk
    Supprimé! F:Rapport de stage KADY – Copie.lnk
    Supprimé! F:iTunesHelper.lnk
    Supprimé! F:GWCDcGN0.lnk
    Supprimé! F:iTunesHelper.vbe
    Supprimé! F:autorun.inf
    Supprimé! F:syncguid.dat

    (!) Fichiers temporaires supprimés.

    ################## | Registre |

    ################## | Listing |

    [28/02/2013 – 14:43:52 | SHD ] C:$Recycle.Bin
    [13/11/2013 – 10:01:17 | D ] C:14986323ced8af1c0e636d1180
    [25/07/2012 – 12:25:40 | D ] C:3559b0bfe1df85efc965f0c3b112
    [10/10/2013 – 10:06:00 | D ] C:93f9a87922e645937474cbd8
    [10/06/2009 – 21:42:20 | N | 24] C:autoexec.bat
    [26/11/2013 – 16:29:15 | RASHD ] C:Autorun.inf
    [15/02/2013 – 10:01:04 | D ] C:bdd467927b81974e713c7c269a1a
    [06/09/2012 – 09:22:06 | N | 53480] C:bdlog.txt
    [13/09/2011 – 05:01:22 | SHD ] C:Boot
    [20/11/2010 – 21:29:06 | RASH | 383786] C:bootmgr
    [13/09/2011 – 05:01:24 | RASH | 8192] C:BOOTSECT.BAK
    [19/11/2013 – 10:02:14 | SHD ] C:Config.Msi
    [10/06/2009 – 21:42:20 | N | 10] C:config.sys
    [14/07/2009 – 04:53:55 | SHD ] C:Documents and Settings
    [14/02/2011 – 23:00:00 | N | 206312] C:grldr
    [25/11/2013 – 19:01:43 | ASH | 1603112960] C:hiberfil.sys
    [06/11/2012 – 17:12:11 | D ] C:Intel
    [30/09/2013 – 09:15:16 | N | 0] C:IO.SYS
    [30/09/2013 – 09:15:16 | N | 0] C:MSDOS.SYS
    [07/10/2013 – 09:05:41 | RHD ] C:MSOCache
    [25/11/2013 – 19:01:45 | ASH | 2137485312] C:pagefile.sys
    [26/11/2013 – 10:54:20 | D ] C:Program Files
    [28/08/2013 – 14:02:25 | HD ] C:ProgramData
    [12/09/2011 – 21:14:14 | SHD ] C:Recovery
    [26/11/2013 – 16:25:14 | SHD ] C:System Volume Information
    [26/11/2013 – 16:29:16 | N | 1006956] C:Upload_UsbFix.zip
    [26/11/2013 – 16:32:20 | D ] C:UsbFix
    [26/11/2013 – 16:29:15 | N | 11077] C:UsbFix [Clean 1] BANQUET1.txt
    [26/11/2013 – 16:35:27 | A | 8897] C:UsbFix [Clean 2] BANQUET1.txt
    [25/11/2013 – 16:14:31 | N | 8263] C:UsbFix [Scan 2] BANQUET1.txt
    [26/11/2013 – 16:24:31 | D ] C:Users
    [19/11/2013 – 10:02:00 | D ] C:Windows
    [24/11/2013 – 19:38:30 | D ] F:FOUND.000
    [02/11/2013 – 18:42:56 | N | 27727] F:img12.jpg
    [02/11/2013 – 18:43:06 | N | 19322] F:Fishbone_Diagram.gif
    [02/11/2013 – 18:44:04 | N | 46612] F:diagramme-causes-effets2.jpg
    [02/11/2013 – 18:44:42 | N | 359406] F:80629-Diagramme-Ishikawa-fran.pdf
    [02/11/2013 – 18:54:56 | N | 100914] F:img-5-small480.png
    [02/11/2013 – 19:22:36 | N | 1578561] F:9242540579_chap7_fre.pdf
    [02/11/2013 – 20:47:58 | N | 42123] F:Diagramme de causes et effets.docx
    [14/11/2013 – 17:38:16 | N | 98304] F:rapport de stage mananza ouattara.doc
    [14/11/2013 – 17:45:24 | N | 32768] F:Rapport de stage KADY.doc
    [18/11/2013 – 16:51:00 | N | 443] F:Nouveau dossier.lnk
    [18/11/2013 – 18:33:36 | N | 87040] F:PAGE DE GARDE.doc
    [18/11/2013 – 18:44:10 | N | 305514] F:Rapport de stage KADY – Copie.doc
    [24/11/2013 – 11:13:22 | D ] F:musique

    ################## | Vaccin |

    C:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    F:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    kami
    Nombre d'articles : 0

    Le rapport 2

    Ordinateur 2 : Banquet 2

    ############################## | UsbFix V 7.145 | [Suppression]

    Utilisateur: BANQUET2 (Administrateur) # BANQUET2
    Mis à jour le 17/10/2013 par El Desaparecido – Team SosVirus
    Lancé à 16:03:42 | 26/11/2013

    Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: upload_malware.php
    Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: MSI (0A48)
    CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
    RAM -> [Total : 895 | Free : 100]
    Bios: Phoenix Technologies, LTD
    Boot: Normal boot

    OS: Microsoft Windows 7 Édition Intégrale (6.1.7601 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 11.0.9600.16428

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Microsoft Security Essentials [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 74 Go (34 Go libre(s) – 46%) [] # NTFS
    D: -> CD-ROM
    E: -> CD-ROM

    ################## | Regedit Run |

    HKLMSOFTWARE | Run : [StartCCC] – “C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    HKLMSOFTWARE | Run : [MSC] – “c:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe”
    HKLMSOFTWARE | Run : [PWRISOVM.EXE] – C:Program FilesPowerISOPWRISOVM.EXE
    HKLMSOFTWARE | Run : [BCSSync] – “C:Program FilesMicrosoft OfficeOffice14BCSSync.exe” /DelayServices
    HKLMSOFTWARE | RunOnce : [] –
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-1013663335-846473457-1848416765-1000SOFTWARE | Run : [IDMan] – C:Program FilesInternet Download ManagerIDMan.exe /onboot
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe

    ################## | Processus Stoppés |

    Stoppé! c:Program FilesMicrosoft Security ClientMsMpEng.exe (ID 908 |ParentID 640)
    Stoppé! C:Windowssystem32Ati2evxx.exe (ID 1044 |ParentID 640)
    Stoppé! C:WindowsSystem32spoolsv.exe (ID 1576 |ParentID 640)
    Stoppé! C:Program FilesCommon FilesAdobeARM1.0armsvc.exe (ID 1680 |ParentID 640)
    Stoppé! C:Program FilesInternetEverywhereInternetEverywhere_Service.exe (ID 1740 |ParentID 640)
    Stoppé! C:Program FilesTeamViewerVersion8TeamViewer_Service.exe (ID 1868 |ParentID 640)
    Stoppé! C:Windowssystem32Ati2evxx.exe (ID 2032 |ParentID 1044)
    Stoppé! c:Program FilesMicrosoft Security ClientNisSrv.exe (ID 2220 |ParentID 640)
    Stoppé! C:Windowssystem32taskhost.exe (ID 2336 |ParentID 640)
    Stoppé! C:Windowssystem32taskeng.exe (ID 2372 |ParentID 1196)
    Stoppé! C:Program FilesTeamViewerVersion8TeamViewer.exe (ID 2488 |ParentID 1868)
    Stoppé! C:WindowsExplorer.EXE (ID 2548 |ParentID 2512)
    Stoppé! C:Program FilesTeamViewerVersion8tv_w32.exe (ID 2656 |ParentID 1868)
    Stoppé! C:Program FilesMicrosoft Security Clientmsseces.exe (ID 2824 |ParentID 2548)
    Stoppé! C:Program FilesPowerISOPWRISOVM.EXE (ID 2840 |ParentID 2548)
    Stoppé! C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.exe (ID 2856 |ParentID 2804)
    Stoppé! C:Program FilesInternet Download ManagerIDMan.exe (ID 2996 |ParentID 2548)
    Stoppé! C:Program FilesInternetEverywhereInternetEverywhere_Launcher.exe (ID 3132 |ParentID 2548)
    Stoppé! C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe (ID 3216 |ParentID 2856)
    Stoppé! C:Windowssystem32SearchIndexer.exe (ID 3340 |ParentID 640)
    Stoppé! C:Windowssystem32sppsvc.exe (ID 2404 |ParentID 640)
    Stoppé! C:Program FilesWindows Media Playerwmpnetwk.exe (ID 2696 |ParentID 640)
    Stoppé! C:Windowssystem32taskhost.exe (ID 756 |ParentID 640)
    Stoppé! C:WindowsservicingTrustedInstaller.exe (ID 2980 |ParentID 640)
    Stoppé! C:Windowssystem32SearchProtocolHost.exe (ID 2744 |ParentID 3340)
    Stoppé! C:Windowssystem32SearchFilterHost.exe (ID 3336 |ParentID 3340)
    Stoppé! C:Windowssystem32SearchProtocolHost.exe (ID 2592 |ParentID 3340)

    ################## | Éléments infectieux |

    Supprimé! C:UsersBANQUET2AppDataLocalTempCPBA.bat
    Supprimé! C:UsersBANQUET2Microsoftsys32.bin

    (!) Fichiers temporaires supprimés.

    ################## | Registre |

    Supprimé! HKCU….ExplorerMountPoints2{2442fb5f-2ae6-11e2-8257-0019db532964}
    Supprimé! HKCU….ExplorerMountPoints2{fd9cdfff-cce4-11e2-ad82-0019db532964}

    ################## | Listing |

    [06/11/2012 – 17:20:32 | SHD ] C:$Recycle.Bin
    [06/11/2012 – 18:07:02 | D ] C:ATI
    [10/06/2009 – 21:42:20 | N | 24] C:autoexec.bat
    [10/06/2009 – 21:42:20 | N | 10] C:config.sys
    [14/07/2009 – 04:53:55 | SHD ] C:Documents and Settings
    [26/11/2013 – 15:59:44 | ASH | 703504384] C:hiberfil.sys
    [07/11/2012 – 11:32:15 | RHD ] C:MSOCache
    [26/11/2013 – 15:59:44 | ASH | 1073741824] C:pagefile.sys
    [14/07/2009 – 02:37:05 | D ] C:PerfLogs
    [19/11/2013 – 17:10:04 | D ] C:Program Files
    [07/11/2012 – 11:32:44 | HD ] C:ProgramData
    [06/11/2012 – 17:20:15 | SHD ] C:Recovery
    [25/11/2013 – 16:19:33 | SHD ] C:System Volume Information
    [26/11/2013 – 16:08:17 | D ] C:UsbFix
    [26/11/2013 – 16:10:47 | A | 5319] C:UsbFix [Clean 1] BANQUET2.txt
    [25/11/2013 – 15:53:54 | N | 5762] C:UsbFix [Scan 1] BANQUET2.txt
    [13/11/2013 – 09:18:12 | RD ] C:Users
    [19/11/2013 – 10:02:21 | D ] C:Windows

    ################## | Vaccin |

    C:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    kamy
    Nombre d'articles : 0

    Le Rapport 3

    Ordinateur 3 : Banquet 3

    ############################## | UsbFix V 7.145 | [Suppression]

    Utilisateur: BANQUET3 (Administrateur) # BANQUET3
    Mis à jour le 17/10/2013 par El Desaparecido – Team SosVirus
    Lancé à 16:01:50 | 26/11/2013

    Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
    Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Upload Malware: upload_malware.php
    Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

    PC: Dell Inc. (0H8367)
    CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz
    RAM -> [Total : 1014 | Free : 482]
    Bios: Dell Inc.
    Boot: Normal boot

    OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 10.0.9200.16736

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Microsoft Security Essentials [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 37 Go (845 Mo libre(s) – 2%) [] # NTFS
    D: -> CD-ROM

    ################## | Regedit Run |

    HKLMSOFTWARE | Run : [SoundMan] – SOUNDMAN.EXE
    HKLMSOFTWARE | Run : [MSC] – “c:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    HKLMSOFTWARE | Run : [HP Software Update] – C:Program FilesHpHP Software UpdateHPWuSchd2.exe
    HKLMSOFTWARE | Run : [] –
    HKLMSOFTWARE | Run : [dptracker] – C:Program FilesDigitalPeersCamTrackdptracker.exe
    HKLMSOFTWARE | RunOnce : [] –
    HKLMSOFTWARE | PoliciesExplorerrun : [Updates] – “C:UsersBANQUET3Securitiesscan.vbe”
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | Run : [IDMan] – C:Program FilesInternet Download ManagerIDMan.exe /onboot
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | Run : [Facebook Update] – “C:UsersBANQUET3AppDataLocalFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | Run : [Skype] – “C:Program FilesSkypePhoneSkype.exe” /minimized /regrun
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-21-499432221-384322715-1989701013-1000SOFTWARE | RunOnce : [Bkr] – “C:UsersBANQUET3Microsoftbkr.bat”

    ################## | Processus Stoppés |

    Stoppé! c:Program FilesMicrosoft Security ClientMsMpEng.exe (ID 824 |ParentID 568)
    Stoppé! C:WindowsSystem32spoolsv.exe (ID 1488 |ParentID 568)
    Stoppé! C:Program FilesTeamViewerVersion8TeamViewer_Service.exe (ID 1836 |ParentID 568)
    Stoppé! c:Program FilesMicrosoft Security ClientNisSrv.exe (ID 2252 |ParentID 568)
    Stoppé! C:Windowssystem32taskhost.exe (ID 2420 |ParentID 568)
    Stoppé! C:Program FilesTeamViewerVersion8TeamViewer.exe (ID 2584 |ParentID 1836)
    Stoppé! C:WindowsExplorer.EXE (ID 2680 |ParentID 2632)
    Stoppé! C:Program FilesTeamViewerVersion8tv_w32.exe (ID 2940 |ParentID 1836)
    Stoppé! C:WindowsSOUNDMAN.EXE (ID 3072 |ParentID 2680)
    Stoppé! C:Program FilesMicrosoft Security Clientmsseces.exe (ID 3080 |ParentID 2680)
    Stoppé! C:Program FilesHPHP Software Updatehpwuschd2.exe (ID 3208 |ParentID 2680)
    Stoppé! C:Program FilesDigitalPeersCamTrackdptracker.exe (ID 3260 |ParentID 2680)
    Stoppé! C:Program FilesInternet Download ManagerIDMan.exe (ID 3408 |ParentID 2680)
    Stoppé! C:UsersBANQUET3AppDataLocalFacebookUpdateFacebookUpdate.exe (ID 3428 |ParentID 2680)
    Stoppé! C:Program FilesSkypePhoneSkype.exe (ID 3444 |ParentID 2680)
    Stoppé! C:Windowssystem32SearchIndexer.exe (ID 3632 |ParentID 568)
    Stoppé! C:WindowsSystem32WScript.exe (ID 3824 |ParentID 3048)
    Stoppé! C:Program FilesWindows Media Playerwmpnetwk.exe (ID 3852 |ParentID 568)
    Stoppé! C:Program FilesMozilla Firefoxfirefox.exe (ID 3040 |ParentID 2680)
    Stoppé! C:Program FilesMozilla Firefoxplugin-container.exe (ID 1900 |ParentID 3040)
    Stoppé! C:Windowssystem32MacromedFlashFlashPlayerPlugin_11_7_700_202.exe (ID 3616 |ParentID 1900)
    Stoppé! C:Windowssystem32MacromedFlashFlashPlayerPlugin_11_7_700_202.exe (ID 3980 |ParentID 3616)
    Stoppé! C:Program FilesMicrosoft OfficeOffice15EXCEL.EXE (ID 3028 |ParentID 2680)
    Stoppé! C:Windowssystem32wuauclt.exe (ID 3020 |ParentID 1080)
    Stoppé! C:Program FilesSkypeUpdaterUpdater.exe (ID 3284 |ParentID 568)

    ################## | Éléments infectieux |

    Supprimé! C:Nouveau dossier.lnk
    Supprimé! C:UsersBANQUET3AppDataLocalTempscan.vbe
    Supprimé! C:UsersBANQUET3AppDataLocalTempCPBA.bat
    Supprimé! C:UsersBANQUET3MicrosoftPC_BOOSTER.vbe
    Supprimé! C:UsersBANQUET3Microsoftsys32.bin
    Supprimé! C:UsersBANQUET3Securities
    Supprimé! C:usbdriver.vbe
    Supprimé! C:autorun.inf
    Supprimé! C:UsersBANQUET3DesktopMananzaPC_BOOSTER.vbe
    Supprimé! C:UsersPC_BOOSTER.vbe

    (!) Fichiers temporaires supprimés.

    ################## | Registre |

    Supprimé! HKUS-1-5-21-499432221-384322715-1989701013-1000SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|DisableRegistryTools
    Supprimé! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun|Updates
    Supprimé! HKCU….ExplorerMountPoints2E
    Supprimé! HKCU….ExplorerMountPoints2{5c9dbda7-9777-11e2-99d5-00123f5c4b70}

    ################## | Listing |

    [01/01/2013 – 11:06:22 | SHD ] C:$Recycle.Bin
    [10/06/2009 – 21:42:20 | N | 24] C:autoexec.bat
    [05/09/2013 – 07:50:45 | D ] C:b0fd16ce13f766ea48
    [10/06/2009 – 21:42:20 | N | 10] C:config.sys
    [14/07/2009 – 04:53:55 | SHD ] C:Documents and Settings
    [26/11/2013 – 08:07:57 | ASH | 797552640] C:hiberfil.sys
    [01/01/2013 – 12:27:11 | D ] C:Intel
    [17/10/2013 – 20:22:54 | N | 0] C:IO.SYS
    [17/10/2013 – 20:22:54 | N | 0] C:MSDOS.SYS
    [01/01/2013 – 13:33:01 | RHD ] C:MSOCache
    [26/11/2013 – 08:07:58 | ASH | 484610048] C:pagefile.sys
    [14/07/2009 – 02:37:05 | D ] C:PerfLogs
    [22/11/2013 – 08:47:14 | D ] C:Program Files
    [22/11/2013 – 08:47:46 | HD ] C:ProgramData
    [01/01/2013 – 11:06:00 | SHD ] C:Recovery
    [25/11/2013 – 09:24:40 | SHD ] C:System Volume Information
    [26/11/2013 – 16:09:09 | D ] C:UsbFix
    [26/11/2013 – 16:12:11 | A | 6283] C:UsbFix [Clean 1] BANQUET3.txt
    [25/11/2013 – 15:59:05 | N | 6576] C:UsbFix [Scan 1] BANQUET3.txt
    [26/11/2013 – 16:08:46 | D ] C:Users
    [18/11/2013 – 23:05:13 | D ] C:Windows

    ################## | Vaccin |

    C:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir,

    Ton réseau et pro ? Ou domestique ?

    Quels sont les protections que tu as mises en place ?

    Kamy
    Nombre d'articles : 0

    Bonsoir,
    C’est un reseau d’une dizaine de machines pour la gestion d’un restaurant.
    J’ai Microsoft Security Essentials sur tous les postes comme antivirus c’est tout.

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour,

    Il s’agit donc d’un petit réseau professionnel. Il est impératif d’avoir des protections adéquates !

    Je travail dans le milieu professionnel et je connais des entreprises qui sans protections ont perdues leurs données et qui son passées au bord de la fermeture :shame:

    Souhaite tu que l’on te donne des conseils en matière de protection ?

    Kamy
    Nombre d'articles : 0

    Bien sûr je suis très preneur…
    :content: Vas y dis moi tout !!!

    Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    19:15 , l’économat est encore ouvert ? Mais que fait le chef de cuisine ? :( Il donne pas ses bons en tant et en heure ? ^^

    C’est une grosse structure apparemment, 3 PC pour 1 économat … plus grosse structure qu’un club med ?
    As tu compris que cette infection se transmet par les clé usb ? Le chef de cuisine et ceux des autre services ont insérés des clé usb dans les pc de l’économat ?
    Si oui, ces clé auraient put arrivé jusqu’au PC des ressources humaines et ceux de la direction ? ….

    Il faudrait peut être penser à avertir les autres chef de service dans un premier temps .

    @ te lire.

    Kamy
    Nombre d'articles : 0

    Bonjour,

    Oui je sais que l’infection se propage par clés USB…J’en ai parlé aux différents utilisateurs; j’ai déconnecté les ordinateurs d’internet…
    Vu les différents rapports que j’ai posté, l’es ordinateurs sont-ils toujours infectés?
    J’ai réquisitionné leurs différents supports de stockage afin de les traités aussi.
    Quelles protections supplémentaires devrais-je utiliser en plus de MSE pour notre petit réseau.

    Merci …

    Anonyme
    Nombre d'articles : 0

    Les PC sont désinfectés y’a plus de soucis de ce coté là ;)

    Quelles protections supplémentaires devrais-je utiliser en plus de MSE pour notre petit réseau.

    Microsoft explique de lui même que MSE n’est pas suffisant comme protection.
    Pour un réseau, je te conseil vivement une protection payante mais plus performante , je peux te mettre en contact avec Bitdefender France pour cela.

    Qu’en dis tu ?

    Kamy
    Nombre d'articles : 0

    Bonjour,
    Je veux bien mais je suis en Côte d’Ivoire et on vend des CD de BitDefender ici mais je sais pas si c’est fiable.
    Merci..

    Anonyme
    Nombre d'articles : 0

    Bitdefender est plus que fiable et je le recommande vivement ;)

    Pour votre réseau cette version me semble la plus adaptée : http://www.bitdefender.fr/solutions/antivirus.html” onclick=”window.open(this.href);return false; car vous n’utilisez vos pc que pour de la gestion.

14 sujets de 1 à 14 (sur un total de 14)
  • Vous devez être connecté pour répondre à ce sujet.