Répondre à : Clé USB infectée 2016-09-08T13:16:41+00:00
Evasion60Evasion60
Participant
Nombre d'articles : 1559

:hello: Bonsoir Kiwi Givré

/! Etant sur un forum Sérieux en Sécurité =>
Il y a des entrées douteuses dans tes logs :

P2P.Pando
Pando Media Booster
iriform Ltd
C:UsersTiffanyDocuments_Jean-lucDossiers JlucWinRAR 3.92Keygen
C:WindowsTasksAutoKMS.job
Seven non à jour depuis des lustres

Tout cela va sauter :(

Si tu es d’accord pour ce constat, nous continuons =>

1/

Applique ce correctif =>

Ouvre le bloc-notes
Séléctionne et copie dedans le script

Script ZHPFix
ShortcutFix
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced] Start_ShowHelp: Modified =>PUA.StartShow
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced] Start_ShowSetProgramAccessAndDefaults: Modified =>PUA.StartShow
G2 – GCE: Preference [User DataDefault] [jpmbfleldcgkldadpdinhjjopdfpjfjp] Wajam v.1.24 (Désactivé) =>Toolbar.Wajam
O3 – Toolbar: (no name) [64Bits] – [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline => Toolbar.Avast
O4 – GSQuickLaunch [Tiffany]: Packard Bell Games.lnk . (.WildTangent, Inc. – GameConsole.) — C:Program Files (x86)Packard Bell GamesPackard Bell Game ConsoleGameConsole-wt.exe
O4 – GSDesktop [Tiffany]: DrScheme.lnk . (.PLT Scheme Inc. – PLT Scheme GUI application.) — C:Program Files (x86)PLTDrScheme.exe
O4 – GSDesktop [Tiffany]: Packard Bell Games.lnk . (.WildTangent, Inc. – GameConsole.) — C:Program Files (x86)Packard Bell GamesPackard Bell Game ConsoleGameConsole-wt.exe
O39 – APT:Automatic Planified Task – C:WindowsTasksAutoKMS.job [268]
[MD5.00000000000000000000000000000000] [APT] [{14964A8D-1136-4627-9A80-89EF95403825}] (…) — C:UsersTiffanyDownloadsWin7_64_152612.exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{3393B27B-B521-42C4-A6B0-EFCF7886FD5C}] (…) — C:UsersTiffanyDownloadsWin7Vista_64_152254.exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{9810EFDE-9DD9-4888-A890-A3B90F2D5850}] (…) — C:UsersTiffanyDownloadsProgrammesWin7_64_152612.exe (.not file.) [0] => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{BAD935DC-F7CD-4003-ACAA-17AE78C6F4C9}] (…) — C:UsersTiffanyDownloadsWin7Vista_152258.exe (.not file.) [0] => Fichier absent
[HKCUSoftwarePando Networks] => P2P.Pando
[HKCUSoftwareQGIS]
[HKLMSoftwareWow6432NodePando Networks] => P2P.Pando
O43 – CFD: 05/05/2012 – 08:48:57 – [7,182] —-D C:Program Files (x86)Pando Networks => P2P.Pando
O43 – CFD: 13/02/2011 – 12:15:21 – [0,001] —-D C:UsersTiffanyAppDataRoamingfr.barrierepoker.air.D043989C8F5E91300BF71855036B28F854BB8613.1 => OnlineGame.Casino
O43 – CFD: 13/02/2011 – 11:47:24 – [0,614] —-D C:UsersTiffanyAppDataRoamingwam.04351C371E530C3762CBA45FA283ED972DCDEFB6.1 => Winimax Poker Game
O43 – CFD: 21/07/2011 – 19:01:59 – [5,318] —-D C:UsersTiffanyAppDataLocalPokerStars.FR => Online.PokerGame
O61 – LFC: 11/11/2013 – 17:02:44 —A- . (…) — C:UsersTiffanyAppDataLocalPMB Files56755675AC921A572AA06D3E8B96168B76413393FD85.ct1 [494] =>P2P.Pando
O61 – LFC: 11/11/2013 – 17:02:44 —A- . (…) — C:UsersTiffanyAppDataLocalPMB Filescertcert8.db [65536] =>P2P.Pando
O61 – LFC: 11/11/2013 – 17:02:44 —A- . (…) — C:UsersTiffanyAppDataLocalPMB Filescertkey3.db [16384] =>P2P.Pando
O61 – LFC: 11/11/2013 – 17:02:44 —A- . (…) — C:UsersTiffanyAppDataLocalPMB Filescertsecmod.db [16384] =>P2P.Pando
O61 – LFC: 11/11/2013 – 17:02:44 —A- . (…) — C:UsersTiffanyAppDataLocalPMB Filespando.save [10160] =>P2P.Pando
O69 – SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} – (Bing) – => Toolbar.Bing
O69 – SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} – (Bing) – => Toolbar.Bing
C:UsersTiffanyDocuments_Jean-lucDossiers JlucWinRAR 3.92Keygen — COREkeygen.exe => Crack, KeyGen, Keymaker – Possible Malware
O87 – FAEL: “TCP Query User{BA8C4616-43E3-4CCF-B84B-5D9E33BAB4FC}C:program files (x86)monopoly tycoonmc.exe” | In – Public – P6 – TRUE | .(.DeepRed Games Ltd – Monopoly Tycoon.) — C:program files (x86)monopoly tycoonmc.exe
O87 – FAEL: “UDP Query User{459324B6-EA86-4CE9-9DA4-A392B0CDFDB8}C:program files (x86)monopoly tycoonmc.exe” | In – Public – P17 – TRUE | .(.DeepRed Games Ltd – Monopoly Tycoon.) — C:program files (x86)monopoly tycoonmc.exe
[HKLMSoftwareGoogleChromeExtensionsjpmbfleldcgkldadpdinhjjopdfpjfjp] =>Toolbar.Wajam^
[HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUpgradeCodes1C875DDE39636004CA8CDAEC335B4160] =>Adware.PredictAd
[HKLMSoftwareClassesesri3DAnalystUI.DeltaXYZSketch3DMenuItem] =>Toolbar.DeltaSearch
[HKLMSoftwareClassesesri3DAnalystUI.DeltaXYZSketch3DMenuItem.1] =>Toolbar.DeltaSearch
[HKLMSoftwareClassesesriCadastralUI.DeltaXYConstructionMenuItem] =>Toolbar.DeltaSearch
[HKLMSoftwareClassesesriCadastralUI.DeltaXYConstructionMenuItem.1] =>Toolbar.DeltaSearch
[HKLMSoftwareWow6432NodeClassesesri3DAnalystUI.DeltaXYZSketch3DMenuItem] =>Toolbar.DeltaSearch
[HKLMSoftwareWow6432NodeClassesesri3DAnalystUI.DeltaXYZSketch3DMenuItem.1] =>Toolbar.DeltaSearch
[HKLMSoftwareWow6432NodeClassesesriCadastralUI.DeltaXYConstructionMenuItem] =>Toolbar.DeltaSearch
[HKLMSoftwareWow6432NodeClassesesriCadastralUI.DeltaXYConstructionMenuItem.1] =>Toolbar.DeltaSearch
[HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components38D5CDD0A851B3940A43CC50ABBA251C] =>Adware.Boxore^
[HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsAAC05EAA51DC78A41A1DCE3B31038584] =>Adware.Boxore^
[HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsBA71D41F6CC0B6247B05D473850A8AEA] =>Adware.Boxore^
[HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsCA0054A5AB3EFFE4CB5660E44A1E7DCC] =>Adware.Boxore^
C:UsersTiffanyAppDataLocalGoogleChromeUser DataDefaultExtensionsjpmbfleldcgkldadpdinhjjopdfpjfjp =>Toolbar.Wajam^
C:UsersTiffanyAppDataLocalSoftware =>Adware.Boxore
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced] Start_ShowHelp: Modified =>PUA.StartShow ^
EmptyCLSID
Emptytemp
EmptyFlash

Double-clique sur le raccourci du programme “ZHPFix” qui est sur ton bureau

Dans l’interface du logiciel qui s’est ouvert, clique sur “Importer” pour coller le Script ZHPFix

Si le script n’est pas conforme
Un avertissement s’affiche
Le script doit comporter obligatoirement comme première ligne Script ZHPFix

Si le script est conforme
Le texte précédemment copié doit être maintenant affiché automatiquement dans l’interface de ZHPFix

Vérifie que le script dans ZHPFix correspond aux lignes précédentes
Clique sur le bouton « GO » pour lancer le nettoyage
Confirme ce nettoyage en cliquant sur “OUI” dans les deux fenêtres suivantes


Ce traitement peut durer jusqu’à plusieurs minutes avant le nettoyage proprement dit des lignes du script
Le nettoyage s’effectue, ne touche à rien pendant cette étape, si le programme demande un redémarrage du pc fait le
A l’issue un rapport ZHPFix.txt s’affiche dans la zone de rapport de l’interface et dans le bloc note Windows
Le rapport est aussi sauvegardé sur le Bureau Windows et dans le dossier : CUsernomxxxAppDataRoamingZHPZHPFix.txt

Poste le contenu de ce rapport par un copier/coller dans ta réponse sur le forum

Ferme ZHPFix et le bloc note par la croix rouge en haut à droite des deux fenêtres

2/

Tentative de “Réparation” de Windows UpDate

Télécharge => Windows Repair

Décompresse le dossier tweaking.com_windows_repair_aio.zip => (clic-droit -> extraire tout… )

Ferme toutes tes applications en cours
Sous Vista /Win7 / Win8 => clic droit, et exécuter en tant qu’administrateur
Sous XP => Double clic ou Démarrer // Tous les programmes // Accéssoires —> “Invite de commandes”, clic droit et “Exécuter en tant qu’administrateur”

Lance le programme en cliquant sur Repair_Windows.exe dans le dossier décompressé tweaking.com_windows_repair_aio / Tweaking.com – Windows Repair
Il ne nécessite pas d’installation et il est compatible avec toutes les versions de Windows depuis XP jusqu’à 8, 32 ou 64 bit
Cette fenêtre va apparaître

Pour démarrer la/les réparation(s), clique sur l’onglet Start Repairs et sur le bouton Start

Une fenêtre te demande de créer un point de restauration. Clique sur Oui si tu utilises cette fonction

Dans la fenêtre suivante, clique sur le bouton Unselect All pour tout décocher
Coche les lignes indiquées en gras souligné dans l’encadré ci-dessous
Coche la case devant Restart/Shutdown System When Finished , le point s’affichera automatiquement devant Restart System pour redémarre l’ordinateur

Reset Registry Permissions
Reset File Permissions
Register System Files
– Repair WMI
– Repair Windows Firewall
– Repair Internet Explorer
– Repair MDAC/MS Jet
– Repair Hosts File
– Remove Policies Set By Infections
– Repair Missing Start Menu Icons Removed By Infections
– Repair Icons
– Repair Winsocks & DNS Cache
– Remove Temp Files
– Repair Proxy Settings
– Unhide Non System Files
Repair Windows Updates
– Repair CD/DVD Missing /Not Working
– Repair Volume Shadow Copy Service
– Repair Windows Sidebar/Gadgets
– Set Windows Services to Default Startup
– Repair MSI (Windows Installer)
– Repair Windows Snipping Tool
– Repair .lnk (Shortcuts) File Association

Clique sur le bouton Start pour lancer la réparation

A te lire ;)