virus clé usb et taskemg au démarrage 2013-12-03T21:41:57+00:00
  • Auteur
    Messages
  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Bonsoir
    J’ai choppé il y a quelques jours un virus sur ma clé usb. Après avoir lu plusieurs trucs sur Google, Je pense avoir réussi à l’enlever et vacciner en utilisant autorun virus remover 3.3 puis panda usb vaccine. Les fichiers de ma clé usb ne sont plus des raccourcis et je n’ai plus de problème avec. Cependant je ne sais pas si c’est lié ou pas, mais quand je démarre mon PC j’ai juste un écran noir à la place du bureau avec une fenêtre disant « Setting up for personalized settings for c:users:public:taskemg » Quand j’ouvre le gestionnaire des taches et que je ferme le process taskemg, le bureau s’affiche normalement.

    Je me suis dis que c’est peut être du au virus donc après d’autres recherches j’ai découvert Usbfix et ce site. En effet Usbfix me dit que je suis infecté par un keylogger donc le virus doit toujours être quelque part. Je n’avais pas vu le post sur la procédure à suivre au départ, du coup je sais pas si c’est grave mais j’ai d’abord fait un premier scan avec Malwarebyte, sans cocher tous les éléments à supprimer à la fin du scan. Ensuite j’ai recommencer en suivant la procédure et les tutos et fait un « supprimer « avec Usbfix, 2ème scan avec Malwarebyte, puis scan avec adwcleaner et ZHPDiag

    Voila les rapports:
    Malwarebyte 1 https://antimalware.top/log/SosUpload.bb09bf7f00d142801b4452ba64e3bc3a.txt” onclick=”window.open(this.href);return false;
    Usbfix https://antimalware.top/log/SosUpload.5b5fbddc38888beabca1e2eed17611ac.txt” onclick=”window.open(this.href);return false;
    Malwarebyte 2 https://antimalware.top/log/SosUpload.cb75d1da00e408ffebb1a153ff82d087.txt” onclick=”window.open(this.href);return false;
    adwcleaner https://antimalware.top/log/SosUpload.24e798c1456ac1e2c2128b337c521096.txt” onclick=”window.open(this.href);return false;
    ZHPDiag https://antimalware.top/log/SosUpload.4c8f85b5fb5141070e9ed64f2f1ba6bb.txt” onclick=”window.open(this.href);return false;

    Merci d’avance pour votre aide.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    salut

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peu disparaître à plusieurs reprises

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !
    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Note : Si l’outil est relancé plusieurs fois, clique sur Scan|Kill

    • Si l’outil est bloqué par l’infection essaye avec d’autres exetensions :

    • Si des Proxy sont détectés et que tu n’en as pas installé :
      • Clique sur Supprimer le Proxy

    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur SosUpload
  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Bonjour, merci de votre aide.
    Voila le rapport de pre scan https://antimalware.top/log/SosUpload.19f162dc28cdf2c8447beb588486b99f.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    :hello:

    relance l’outil clique sur Diag , heberge le rapport c:Pre_Diag_xx_xx_xx_xx_xx_xx.txt puis donne le lien obtenu

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Voila https://antimalware.top/log/SosUpload.3bddef2cb9770cc7bc9fa1b6a4a2e305.txt” onclick=”window.open(this.href);return false;
    Je vais aller en cours la donc je répondrai ce soir. Merci.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    re :)

    j’ai du mal à comprendre pourquoi tu n’as pas laissé les programmes s’installer dans le dossier “Programmes” par défaut au lieu de les installer dans plein de dossiers dans tous les sens….c’est dommage ca déstabilise le systeme.

    désinstalle Spybot – Search & Destroy ca sert à rien il detecte pas un elephant dans un couloir
    desinstalle ca , ca sert à rien : Autorun Virus Remover 3.3

    les infections par support usb n’utilisent pratiquement plus un autorun mais un service pour se lancer.

    il y des cracks dans ton pc , à lire :

    http://forum.malekal.com/danger-des-cracks-t893.html” onclick=”window.open(this.href);return false;

    ta version de windows n’est pas originale :

    informations sur les peines et risques encourus :

    http://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows” onclick=”window.open(this.href);return false;

    ==

    je te fais quand meme le script pour ne pas que l’infection soit transmise à autrui :

    sélectionne ce texte , puis CTRL + C :


    Kill::
    All

    Key::
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]|[Planificateur]
    [HKUS-1-5-21-3452680746-145448129-3087113149-1000SOFTWAREMicrosoftWindowsCurrentVersionRun]|[PDT]
    [HKLMSOFTWAREMicrosoftShared ToolsMSConfigstartupregPDT]
    [HKLMSOFTWAREMicrosoftShared ToolsMSConfigStartUpFolderD:^Users^doums^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^taskeng.exe]
    [HKUS-1-5-21-3452680746-145448129-3087113149-1000SOFTWAREMicrosoftInternet ExplorerToolbar]|[Locked]
    [HKUS-1-5-21-3452680746-145448129-3087113149-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{00000000-12C9-4305-82F9-43058F20E8D2}]
    [HKLMSOFTWAREMicrosoftActive SetupInstalled Components{0UOA46XN-M68R-4R75-OMOB-VECKW3TO5BY3}]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components90B0474CB502846DABF6D9B6BD86327]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsBDCA13743A0DE7690AB5849115A0244]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsC0EAADEC0B0BEC47056488271833ED1]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components290A1BAC3852561E434EDCF37ADDC650]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components2F51676373E2C8FAFD1C3CB5D0FC6F78]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components32947F291B037BB37F4C94D15C71AFCC]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components364651BA342348B03E7E38A50F61D602]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components3749FA404D1387FD0883E182C92F5AB1]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components4482C36BEE44B81F7D56DABE40984FCE]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components5390087D56653F56BFE40693A70A5A2A]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components5E4ECA347F953199A8B4E5004291F75F]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components61F50ED3728E668469DD5A9B7663EEFF]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components6E7CD238FB8934F44AD6D5DDA73F4EB8]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components6F5AD8238986F445D49AC9AE6A9CDD06]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components72798142C6A7CA8AEAFB493E6CA75C3D]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components90F0105370096E802C973171912E5EC9]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components93098AC90CB9B9D9E0B7DAF98117ABD6]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsB0BA626160FBB7AF5AF852DC3D4E8C5C]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsB245A3B6DB9BDEE94D368EAD00DF75C1]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsC0153905C28C684AD92906E7C31D656A]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsDAB70100ACFDAE9CF043224B28091403]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsE71E9BD78DFE557AE8AD19C38A450BD8]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsEF765801CEFE877C538A6FB5CFB97515]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsFB0AD455040F4F919919F27A26A877CA]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsFDA9F652221F00D6C071019FF16552A4]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products4EA42A62D9304AC4784BF238120752FF]
    [HKCRApplicationsWinRAR.exe]
    [HKLMSoftwareSURVIVAL]
    [HKLMSoftwareMicrosoftInternet Explorer]
    [HKLMSYSTEMCurrentControlSetServicessharedaccessParametersFirewallPolicyFirewallRules]|[{38440990-B829-4ACA-B1F5-88110BEA1489}]
    [HKLMSYSTEMCurrentControlSetServicessharedaccessParametersFirewallPolicyFirewallRules]|[{33DA301F-93D5-4121-8981-15EA0741CA57}]
    [HKLMSYSTEMCurrentControlSetServicessharedaccessParametersFirewallPolicyFirewallRules]|[{5BAEE63F-8D43-48F5-A9C0-B5A9647B417F}]
    [HKLMSYSTEMCurrentControlSetServicessharedaccessParametersFirewallPolicyFirewallRules]|[{AFEE1598-13FF-4179-9B73-9EA06BE8CDD7}]
    [HKLMSYSTEMCurrentControlSetServicessharedaccessParametersFirewallPolicyFirewallRules]|[{248B30C6-AB4E-4B7E-B310-75FCD261AB29}]
    [HKLMSYSTEMCurrentControlSetServicessharedaccessParametersFirewallPolicyFirewallRules]|[{FBE0C7B4-17A3-4683-A915-AF7936CD04CA}]

    File|Fold::
    D:Res*
    D:33245707047608daac640909
    D:UsersdoumsAppDataRoamingMicrosoftWindowsStart MenuProgramsStartuptaskeng.exe
    D:UsersdoumsAppDataRoamingE0F404FE
    D:UsersdoumsAppDataRoamingPublic
    D:ProgramDataSpybot - Search & Destroy
    D:Program Filesjavaaa
    D:Program Filessearchtxt
    D:WindowsSystem32Tasksautooo sd

    Clean::
    yes

    reboot::
    yes

    Relance Pre_scan puis choisis l’option « Script« L’outil va travailler instantanément
    des fenetres noires risquent de clignoter , c’est normal , c’est le programme qui travaille
    poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:) en fin de travail

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Okay merci des conseils.
    Il y a un problème Pre Scan crash après un certain temps, mon ordi n’a pas redémarrer non plus.
    Un rapport a quand même était crée https://antimalware.top/log/SosUpload.d757fba9303a7352fe2e596935be7910.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    refais en mode sans echec

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Voila https://antimalware.top/log/SosUpload.293727195794605a8a5ce3b5cb711a74.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    :hello: ok j’ai oublié une lettre , refais avec ceci :

    Kill::
    All

    File|Fold::
    D:Resi*
    D:33245707047608daac640909
    D:UsersdoumsAppDataRoamingMicrosoftWindowsStart MenuProgramsStartuptaskeng.exe
    D:UsersdoumsAppDataRoamingE0F404FE
    D:UsersdoumsAppDataRoamingPublic
    D:ProgramDataSpybot – Search & Destroy
    D:Program Filesjavaaa
    D:Program Filessearchtxt
    D:WindowsSystem32Tasksautooo sd

    Clean::
    yes

    reboot::
    yes

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Voila https://antimalware.top/log/SosUpload.cf5b159115b5073e3e7c3e760ec68b11.txt” onclick=”window.open(this.href);return false;
    Je crois qu’il y a encore un problème au redémarrage la fenêtre taskeng s’est toujours ouverte…

    EDIT: Ca a rien supprimer en fait vue que spybot est toujours la aussi.
    J’ai fait une fausse manip?

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    retente comme ca ? (j’ai enlevé une ligne)

    Kill::
    All

    File|Fold::
    D:33245707047608daac640909
    D:UsersdoumsAppDataRoamingMicrosoftWindowsStart MenuProgramsStartuptaskeng.exe
    D:UsersdoumsAppDataRoamingE0F404FE
    D:UsersdoumsAppDataRoamingPublic
    D:ProgramDataSpybot – Search & Destroy
    D:Program Filesjavaaa
    D:Program Filessearchtxt
    D:WindowsSystem32Tasksautooo sd

    Clean::
    yes

    reboot::
    yes

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    https://antimalware.top/log/SosUpload.9805e7cbc95233a19f8923a40d1e1345.txt” onclick=”window.open(this.href);return false;
    Ca a l’air d’avoir mieux marché cette fois mais j’ai toujours eu le taskeng au redémarrage…

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    /! ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!

    Desactive tes protections : http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm” onclick=”window.open(this.href);return false;

    Télécharge ici : http://www.bleepingcomputer.com/download/combofix/dl/12/” onclick=”window.open(this.href);return false; : Combofix et enregistre-le sur ton bureau

    renomme combofix en ce que tu veux (important pour contrer certaines infections)

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit “executer en tant que….”

    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S’IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER…..)!!!!!

    n’oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:Combofix.txt dans ton prochain message.

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    ComboFix 13-12-06.01 – doums 12/06/2013 19:19:04.1.2 – x86
    Microsoft Windows 7 Ultimate 6.1.7600.0.1252.1.1033.18.2047.1248 [GMT 1:00]
    Running from: d:usersdoumsDesktopcosmocats.exe
    AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Created a new restore point
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:usersPublictaskeng.exe
    D:DSC03231.jpg
    D:DSC03265.jpg
    D:DSC03356.jpg
    D:DSC03380.jpg
    D:DSC03384.jpg
    D:DSC03388.jpg
    D:DSC03389(2).jpg
    D:DSC03389.jpg
    .
    .
    ((((((((((((((((((((((((( Files Created from 2013-11-06 to 2013-12-06 )))))))))))))))))))))))))))))))
    .
    .
    2013-12-06 17:07 . 2013-12-03 17:28 1446912 —-a-w- d:usersdoumsAppDataRoamingMicrosoftWindowsStart MenuProgramsStartuptaskeng.exe
    2013-12-04 09:34 . 2013-12-06 17:05


    d


    w- D:Pre_Scan
    2013-12-03 18:46 . 2013-12-03 18:46 512 —-a-w- D:PhysicalDisk0_MBR.bin
    2013-12-03 17:55 . 2013-12-03 18:47


    d


    w- d:usersdoumsAppDataRoamingZHP
    2013-12-03 17:55 . 2013-12-03 18:46


    d


    w- d:program filesZHPDiag
    2013-12-03 17:03 . 2013-12-03 17:53


    d


    w- D:AdwCleaner
    2013-12-03 16:02 . 2013-12-03 17:37


    d


    w- D:UsbFix
    2013-12-03 15:33 . 2013-12-03 15:33


    d


    w- d:usersdoumsAppDataRoamingMalwarebytes
    2013-12-03 15:32 . 2013-12-03 15:32


    d


    w- d:programdataMalwarebytes
    2013-12-03 15:32 . 2013-12-03 15:33


    d


    w- d:program filesMalwarebytes’ Anti-Malware
    2013-12-03 15:32 . 2013-04-04 13:50 22856 —-a-w- d:windowssystem32driversmbam.sys
    2013-11-30 11:27 . 2013-11-30 11:27


    d


    w- d:programdataPanda Security
    2013-11-30 11:27 . 2013-11-30 11:27


    d


    w- d:program filesPanda USB Vaccine
    2013-11-28 01:07 . 2013-11-28 01:07


    d


    w- d:usersdoumsAppDataRoamingOpenOffice
    2013-11-28 00:53 . 2013-11-28 00:53


    d


    w- d:usersdoumsAppDataRoamingODF
    2013-11-28 00:53 . 2013-11-28 00:53


    d


    w- d:usersdoumsAppDataLocalODF
    2013-11-22 15:16 . 2005-01-02 12:43 4682 —-a-w- d:windowssystem32npptNT2.sys
    2013-11-22 15:16 . 2003-07-18 21:17 5174 —-a-w- d:windowssystem32nppt9x.vxd
    2013-11-12 17:22 . 2013-07-22 17:12 5148240 —-a-w- d:windowssystem32GameMon.des
    2013-11-08 18:57 . 2013-11-08 18:57


    d


    w- d:usersdoumsAppDataRoamingMotioninJoy
    2013-11-08 18:56 . 2011-12-07 18:42 255496 —-a-w- d:windowssystem32MijFrc.dll
    2013-11-08 18:56 . 2013-11-08 18:56


    d


    w- d:program filesMotioninJoy
    2013-11-06 20:10 . 2013-01-07 14:56 851176 —-a-w- d:windowssystem32WinUSBCoInstaller2.dll
    2013-11-06 20:10 . 2013-05-05 21:32 33024 —-a-w- d:windowssystem32driversScpVBus.sys
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2013-12-04 00:14 . 2011-06-14 22:11 774392 —-a-w- d:windowssystem32driversaswSnx.sys
    2013-12-04 00:14 . 2010-11-09 12:01 35656 —-a-w- d:windowssystem32driversaswFsBlk.sys
    2013-12-04 00:14 . 2010-11-09 12:01 57672 —-a-w- d:windowssystem32driversaswTdi.sys
    2013-12-04 00:14 . 2010-11-09 12:01 70384 —-a-w- d:windowssystem32driversaswMonFlt.sys
    2013-12-04 00:14 . 2010-11-09 12:00 43152 —-a-w- d:windowsavastSS.scr
    2013-12-04 00:14 . 2010-11-09 12:00 269216 —-a-w- d:windowssystem32aswBoot.exe
    2013-11-20 20:33 . 2012-07-12 18:40 692616 —-a-w- d:windowssystem32FlashPlayerApp.exe
    2013-11-20 20:33 . 2012-06-20 21:24 71048 —-a-w- d:windowssystem32FlashPlayerCPLApp.cpl
    2013-11-08 22:30 . 2010-11-09 12:01 403440 —-a-w- d:windowssystem32driversaswsp.sys
    2013-10-21 10:35 . 2013-03-01 11:04 178304 —-a-w- d:windowssystem32driversaswVmm.sys
    2013-10-21 10:35 . 2013-03-01 11:04 49944 —-a-w- d:windowssystem32driversaswRvrt.sys
    2013-10-21 10:35 . 2012-02-24 16:30 79720 —-a-w- d:windowssystem32driversaswRdr2.sys
    2013-10-08 06:50 . 2013-11-03 22:25 94632 —-a-w- d:windowssystem32WindowsAccessBridge.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorershelliconoverlayidentifiers0avast]
    @=”{472083B0-C522-11CF-8763-00608CC02F24}”
    [HKEY_CLASSES_ROOTCLSID{472083B0-C522-11CF-8763-00608CC02F24}]
    2013-12-04 00:14 321752 —-a-w- d:dossier sevenavastashShell.dll
    .
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    “avast5″=”d:dossier sevenavastavastUI.exe” [2013-12-04 3568312]
    “AdobeAAMUpdater-1.0″=”d:program filesCommon FilesAdobeOOBEPDAppUWAUpdaterStartupUtility.exe” [2011-03-15 499608]
    “SwitchBoard”=”d:program filesCommon FilesAdobeSwitchBoardSwitchBoard.exe” [2010-02-19 517096]
    “AdobeCS5.5ServiceManager”=”d:program filesCommon FilesAdobeCS5.5ServiceManagerCS5.5ServiceManager.exe” [2011-01-12 1523360]
    “GrooveMonitor”=”d:dossier sevenofficeOffice12GrooveMonitor.exe” [2006-10-26 31016]
    “Adobe ARM”=”d:program filesCommon FilesAdobeARM1.0AdobeARM.exe” [2013-04-04 958576]
    “AvastUI.exe”=”d:dossier sevenavastAvastUI.exe” [2013-12-04 3568312]
    “SunJavaUpdateSched”=”d:program filesCommon FilesJavaJava Updatejusched.exe” [2013-07-02 254336]
    .
    d:usersdoumsAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
    taskeng.exe [2013-12-3 1446912]
    .
    d:programdataMicrosoftWindowsStart MenuProgramsStartup
    Ralink Wireless Utility.lnk – d:program filesRALINKCommonRaUI.exe -s [2012-12-29 1040384]
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
    “ConsentPromptBehaviorAdmin”= 0 (0x0)
    “ConsentPromptBehaviorUser”= 3 (0x3)
    “EnableLUA”= 0 (0x0)
    “EnableUIADesktopToggle”= 0 (0x0)
    “PromptOnSecureDesktop”= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
    “aux”=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalsr.sys]
    @=”FSFilter System Recovery”
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAPSDaemon]
    2011-09-27 05:22 59240 —-a-w- d:program filesCommon FilesAppleApple Application SupportAPSDaemon.exe
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregDivXUpdate]
    2011-03-21 18:56 1230704 —-a-w- d:program filesDivXDivX UpdateDivXUpdate.exe
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKiesPreload]
    2012-12-03 22:35 967608 —-a-w- d:dossier sevendrivers sasungKiesKies.exe
    .
    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKiesTrayAgent]
    2012-12-03 22:35 309688 —-a-w- d:dossier sevendrivers sasungKiesKiesTrayAgent.exe
    .
    R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;d:windowssystem32Driversssadadb.sys [2012-06-27 30312]
    R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);d:windowssystem32DRIVERSssudbus.sys [2012-09-20 83168]
    R3 MotioninJoyXFilter;MotioninJoy Virtual Xinput device Filter Driver;d:windowssystem32DRIVERSMijXfilt.sys [2012-05-12 99400]
    R3 netr28;Ralink 802.11n Extensible Wireless Driver;d:windowssystem32DRIVERSnetr28.sys [x]
    R3 netr73;RT73 USB Wireless LAN Card Driver for Vista;d:windowssystem32DRIVERSnetr73.sys [2009-07-13 545792]
    R3 npggsvc;nProtect GameGuard Service;d:windowssystem32GameMon.des [2013-07-22 5148240]
    R3 RTL85n86;Realtek 8180/8185 Extensible 802.11 Wireless Device Driver;d:windowssystem32DRIVERSRTL85n86.sys [2009-07-13 311808]
    R3 ScpVBus;Scp Virtual Bus Driver;d:windowssystem32DRIVERSScpVBus.sys [2013-05-05 33024]
    R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);d:windowssystem32DRIVERSssadbus.sys [2012-06-27 121064]
    R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);d:windowssystem32DRIVERSssadmdfl.sys [2012-06-27 12776]
    R3 ssadmdm;SAMSUNG Android USB Modem Drivers;d:windowssystem32DRIVERSssadmdm.sys [2012-06-27 136808]
    R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);d:windowssystem32DRIVERSssadserd.sys [2012-06-27 114280]
    R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);d:windowssystem32DRIVERSssudmdm.sys [2012-09-20 181344]
    R3 SwitchBoard;SwitchBoard;d:program filesCommon FilesAdobeSwitchBoardSwitchBoard.exe [2010-02-19 517096]
    R4 sptd;sptd;d:windowsSystem32Driverssptd.sys [2010-11-09 691696]
    S0 aswRvrt;avast! Revert; [x]
    S0 aswVmm;avast! VM Monitor; [x]
    S1 aswSnx;aswSnx;d:windowssystem32driversaswSnx.sys [2013-12-04 774392]
    S1 aswSP;aswSP;d:windowssystem32driversaswSP.sys [2013-11-08 403440]
    S2 aswFsBlk;aswFsBlk;d:windowssystem32driversaswFsBlk.sys [2013-12-04 35656]
    S2 aswMonFlt;aswMonFlt;d:windowssystem32driversaswMonFlt.sys [2013-12-04 70384]
    S2 NPF;NetGroup Packet Filter Driver;d:windowssystem32driversnpf.sys [2010-06-25 35088]
    .
    .
    Contents of the ‘Scheduled Tasks’ folder
    .
    2013-12-05 d:windowsTasksGoogleUpdateTaskUserS-1-5-21-3452680746-145448129-3087113149-1000Core.job
    – d:usersdoumsAppDataLocalGoogleUpdateGoogleUpdate.exe [2011-12-19 23:59]
    .
    2013-12-06 d:windowsTasksGoogleUpdateTaskUserS-1-5-21-3452680746-145448129-3087113149-1000UA.job
    – d:usersdoumsAppDataLocalGoogleUpdateGoogleUpdate.exe [2011-12-19 23:59]
    .
    .


    Supplementary Scan


    .
    uStart Page = hxxp://www.google.com/” onclick=”window.open(this.href);return false;
    IE: E&xport to Microsoft Excel – d:dossie~1officeOffice12EXCEL.EXE/3000
    TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
    FF – ProfilePath – d:usersdoumsAppDataRoamingMozillaFirefoxProfilesdumjs7ta.default
    FF – prefs.js: browser.startup.homepage – hxxp://randomc.net/2013/09/18/fall-2013-preview/” onclick=”window.open(this.href);return false;
    .
    – – – – ORPHANS REMOVED – – – –
    .
    HKCU-Run-PDT – c:usersPublictaskeng.exe
    HKLM-Run-Planificateur – c:usersPublictaskeng.exe
    HKLM-Explorer_Run-Planfi – c:usersPublictaskeng.exe
    SafeBoot-dmboot.sys
    SafeBoot-dmio.sys
    SafeBoot-dmload.sys
    SafeBoot-dmadmin
    SafeBoot-dmserver
    SafeBoot-SRService
    MSConfigStartUp-PDT – c:usersPublictaskeng.exe
    MSConfigStartUp-Planificateur – c:usersPublictaskeng.exe
    AddRemove-Windows Grep_is1 – d:program filessearchtxtunins000.exe
    AddRemove-01_Simmental – d:dossier sevendrivers sasungUSB Drivers1_SimmentalUninstall.exe
    AddRemove-02_Siberian – d:dossier sevendrivers sasungUSB Drivers2_SiberianUninstall.exe
    AddRemove-03_Swallowtail – d:dossier sevendrivers sasungUSB Drivers3_SwallowtailUninstall.exe
    AddRemove-04_semseyite – d:dossier sevendrivers sasungUSB Drivers4_semseyiteUninstall.exe
    AddRemove-07_Schorl – d:dossier sevendrivers sasungUSB Drivers7_SchorlUninstall.exe
    AddRemove-09_Hsp – d:dossier sevendrivers sasungUSB Drivers9_HspUninstall.exe
    AddRemove-11_HSP_Plus_Default – d:dossier sevendrivers sasungUSB Drivers11_HSP_Plus_DefaultUninstall.exe
    AddRemove-16_Shrewsbury – d:dossier sevendrivers sasungUSB Drivers16_ShrewsburyUninstall.exe
    AddRemove-20_NXP_Driver – d:dossier sevendrivers sasungUSB Drivers20_NXP_DriverUninstall.exe
    AddRemove-24_flashusbdriver – d:dossier sevendrivers sasungUSB Drivers24_flashusbdriverUninstall.exe
    AddRemove-25_escape – d:dossier sevendrivers sasungUSB Drivers25_escapeUninstall.exe
    .
    .
    .
    [HKEY_LOCAL_MACHINESYSTEMControlSet001servicesnpggsvc]
    “ImagePath”=”d:windowssystem32GameMon.des -service”
    .


    LOCKED REGISTRY KEYS


    .
    [HKEY_USERSS-1-5-21-3452680746-145448129-3087113149-1000_ClassesBitTorrentShellO(uQ*Q*ËeΘSb*_å‹B*T*‡eöN(*&*Q*)*Command]
    @=””d:\dossier seven\qqq\QQDownload.exe” /BT=”%1″”
    .
    [HKEY_LOCAL_MACHINESOFTWAREClassesBitTorrentShellO(uQ*Q*ËeΘSb*_å‹B*T*‡eöN(*&*Q*)*Command]
    @=””d:\dossier seven\qqq\QQDownload.exe” /BT=”%1″”
    .
    [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}001AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}002AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    “BlindDial”=dword:00000000
    .
    [HKEY_LOCAL_MACHINESYSTEMControlSet001ControlPCWSecurity]
    @Denied: (Full) (Everyone)
    .
    Completion time: 2013-12-06 19:30:14
    ComboFix-quarantined-files.txt 2013-12-06 18:30
    .
    Pre-Run: 14,069,637,120 bytes free
    Post-Run: 13,726,461,952 bytes free
    .
    – – End Of File – – AA7899BB52237FDC6906BBFC51CA59B3
    A36C5E4F47E84449FF07ED3517B43A31

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    vérifie que ceci soit vraiment des images et récupère-les dans le dossier de quarantaine de combofix si tu y tiens

    D:DSC03231.jpg
    D:DSC03265.jpg
    D:DSC03356.jpg
    D:DSC03380.jpg
    D:DSC03384.jpg
    D:DSC03388.jpg
    D:DSC03389(2).jpg
    D:DSC03389.jpg

    quarantaine de combofix => C:Qoobox

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Oui ce sont bien des photos. Pas super importantes mais ça fait toujours plaisir.
    J’ai d’autres tets a faire ou ça va aller pour l’instant? En tout cas merci.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    t’as plus eu “taskeng” au reboot non ?

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Non c’est nickel. Merci pour votre aide.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    refais un diag pour vérif

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Ah ben on dirait pas que c’est résolu désolé, taskeng est dans le log
    https://antimalware.top/log/SosUpload.757f38b09fc88d5d65ba97d116402371.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    vois-tu le fichier ?

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Oui il est dans C users public

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    ok passe-le sur virus total et file-moi le lien de la page une fois l’analyse terminée histoire que je voie à quelle bestiole on a affaire

    https://www.virustotal.com” onclick=”window.open(this.href);return false;

    c’est chaud là !

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21
  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    on va sortir l’arme ultime , attention le scan peut durer entre 2 et 20h

    =================================

    fais ce qui est indiqué ici à partir de “Utilisation de DrWeb” :

    http://gen-hackman.purforum.com/t10-drweb-cureit” onclick=”window.open(this.href);return false;

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Ok merci. Je vais essayer ça.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    croisons les doigts

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Voila
    http://cjoint.com/?0LhhYP0uZoc” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    ok toujours là ?

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Non la fenêtre n’apparaît plus au démarrage. :bravo1:

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    :hello: :hello:

    refais un diag ?

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21
  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    non avec Pre_scan (désolé j’ai pas précisé…:( )

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Voila
    https://antimalware.top/log/SosUpload.47030609b149fc967ba2512d65606d67.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    hello à quoi te sert le logiciel Tencent ? et connais-tu ?

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Non ça me dit rien, je me souviens pas l’avoir installé. C’est un virus?
    EDIT:Ah si ça me reviens, je crois que je l’avais mis puis désinstallé directement, normalement c’est juste le dossier vide qui à du resté.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    y’a un bout ici :

    D:Program FilesCommon FilesTencent

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    J’ai vérifier j’ai pas de dossier Tencent. Et j’ai bien “afficher les dossiers cachés” de coché et “cacher les fichiers protégés” de décocher.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    ok c’est des restes qui sauteront avec le menage final alors

    plus de soucis ? on peut faire le menage ?

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    Oui c’est bon merci.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    coucou :)

    • Télécharges Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche la case suivantes :
      • Réactiver l’UAC
      • Supprimer les outils de désinfection
      • Effectuer une sauvegarde du registre
      • Purger la restauration système
      • Réinitialisation des paramètres système

    [fin2desinf:30syxbk0][/fin2desinf:30syxbk0]

  • Photo du profil de yanndebugyanndebug
    Participant
    Nombre d'articles : 21

    C’est fait. Merci pour votre aide.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8320

    bonne suite :) :hello:

Le sujet ‘virus clé usb et taskemg au démarrage’ est fermé à de nouvelles réponses.