Répondre à : machine infectée raccourcis sur les fichiers et clés Usb 2016-09-08T13:19:21+00:00
Photo du profil de aminataaminata
Participant
Post count: 2

############################## | UsbFix V 7.147 | [Recherche]

Utilisateur: Aminata Ba (Administrateur) # MRTC1002
Mis à jour le 30/10/2013 par El Desaparecido – Team SosVirus
Lancé à 02:02:05 | 19/11/2013

Site Web: http://www.usbfix.net/” onclick=”window.open(this.href);return false;
Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
Upload Malware: upload_malware.php
Contact: http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

PC: Dell Inc. (0C27VV)
CPU: Intel(R) Core(TM)2 Duo CPU E7500 @ 2.93GHz
RAM -> [Total : 3548 | Free : 954]
Bios: Dell Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16736
WB: Google Chrome : 31.0.1650.57
WB: Mozilla Firefox : 23.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: McAfee VirusScan Enterprise [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C: (%systemdrive%) -> Disque fixe # 173 Go (110 Go libre(s) – 64%) [] # NTFS
D: -> Disque fixe # 293 Go (276 Go libre(s) – 94%) [] # NTFS
E: -> CD-ROM
F: -> Disque amovible # 4 Go (493 Mo libre(s) – 13%) [] # FAT32
H: -> Disque amovible # 2 Go (1 Go libre(s) – 74%) [ ANNA DISCK] # FAT

################## | Référence de comparaison MD5 |

Md5 : 4c557a0aa6f52d5a926f8b70ba0c2be6 -> C:UsersAminata BaAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupprovide.vbe
Md5 : DENIED -> C:UsersAMINAT~1AppDataLocalTempprovide.vbe
Md5 : 4c557a0aa6f52d5a926f8b70ba0c2be6 -> F:provide.vbe
Md5 : 4c557a0aa6f52d5a926f8b70ba0c2be6 -> H:provide.vbe

################## | Processus Actif |

C:Windowssystem32csrss.exe (ID: 432 |ParentID: 400)
C:Windowssystem32wininit.exe (ID: 484 |ParentID: 400)
C:Windowssystem32csrss.exe (ID: 496 |ParentID: 476)
C:Windowssystem32services.exe (ID: 548 |ParentID: 484)
C:Windowssystem32lsass.exe (ID: 580 |ParentID: 484)
C:Windowssystem32winlogon.exe (ID: 588 |ParentID: 476)
C:Windowssystem32lsm.exe (ID: 596 |ParentID: 484)
C:Windowssystem32svchost.exe (ID: 756 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 840 |ParentID: 548)
C:WindowsSystem32svchost.exe (ID: 932 |ParentID: 548)
C:WindowsSystem32svchost.exe (ID: 992 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 1056 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 1096 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 1292 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 1408 |ParentID: 548)
C:WindowsSystem32spoolsv.exe (ID: 1544 |ParentID: 548)
C:Windowssystem32Dwm.exe (ID: 1780 |ParentID: 992)
C:WindowsExplorer.EXE (ID: 1868 |ParentID: 1736)
C:SunSystems4UTILSsrvany.exe (ID: 1884 |ParentID: 548)
C:SunSystems4ServerCCITCP2.exe (ID: 1948 |ParentID: 1884)
C:Program FilesMovies ToolbarDatamngrDatamngrCoordinator.exe (ID: 1956 |ParentID: 548)
C:Windowssystem32conhost.exe (ID: 1964 |ParentID: 432)
C:Windowssystem32taskhost.exe (ID: 2004 |ParentID: 548)
C:Program FilesMovies ToolbarDatamngrDatamngrCoordinator.exe (ID: 624 |ParentID: 1956)
C:Program FilesMovies ToolbarDatamngrDatamngrUI.exe (ID: 540 |ParentID: 1956)
C:ProgramDataExpressoOnlineUpdateouc.exe (ID: 312 |ParentID: 380)
C:ProgramDataDatacardServiceHWDeviceService.exe (ID: 1312 |ParentID: 548)
C:Program FilesJustSAMItAgentsrvany.exe (ID: 1684 |ParentID: 548)
C:ProgramDataDatacardServiceDCSHelper.exe (ID: 1732 |ParentID: 1312)
d:lotusnotesSUService.exe (ID: 1752 |ParentID: 548)
d:lotusnotesnsd.exe (ID: 2060 |ParentID: 548)
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe (ID: 2096 |ParentID: 548)
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe (ID: 2104 |ParentID: 1868)
C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe (ID: 2216 |ParentID: 1868)
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe (ID: 2272 |ParentID: 548)
C:Windowssystem32mfevtps.exe (ID: 2312 |ParentID: 548)
C:Program FilesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe (ID: 2332 |ParentID: 548)
C:Program FilesMcAfeeVirusScan Enterprisemfeann.exe (ID: 2364 |ParentID: 2272)
C:Windowssystem32conhost.exe (ID: 2372 |ParentID: 432)
C:Program FilesMcAfeeCommon FrameworknaPrdMgr.exe (ID: 2648 |ParentID: 756)
C:Program FilesVideoDownloadConverter_4zbar1.bin4zSrchMn.exe (ID: 2656 |ParentID: 1868)
C:Program FilesVideoDownloadConverter_4zbar1.bin4zbrmon.exe (ID: 2672 |ParentID: 1868)
C:Program FilesCommon FilesJavaJava Updatejusched.exe (ID: 2680 |ParentID: 1868)
C:Program FilesSkypePhoneSkype.exe (ID: 2724 |ParentID: 1868)
C:UsersAminata BaAppDataLocaliLividiLivid.exe (ID: 2740 |ParentID: 1868)
C:WindowsSystem32wscript.exe (ID: 2756 |ParentID: 1868)
C:Program FilesMcAfeeCommon FrameworkMcTray.exe (ID: 3156 |ParentID: 2104)
d:lotusnotesntmulti.exe (ID: 3356 |ParentID: 548)
C:WindowsSystem32svchost.exe (ID: 3396 |ParentID: 548)
C:ProgramDataSkypeToolbarsSkype C2C Servicec2c_service.exe (ID: 3516 |ParentID: 548)
C:Program FilesMicrosoft SQL Server90Sharedsqlbrowser.exe (ID: 3744 |ParentID: 548)
C:Program FilesMicrosoft SQL Server90Sharedsqlwriter.exe (ID: 3772 |ParentID: 548)
C:SunSystems4UTILSsrvany.exe (ID: 3920 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 3952 |ParentID: 548)
C:SunSystems4ServerSSMASTER.exe (ID: 4004 |ParentID: 3920)
C:Program FilesTeamViewerVersion8TeamViewer_Service.exe (ID: 4040 |ParentID: 548)
C:UsersAminata BaAppDataLocalTorchUpdateTorchCrashHandler.exe (ID: 2396 |ParentID: 548)
C:Program FilesExpressobinMonServiceUDisk.exe (ID: 2576 |ParentID: 548)
C:PROGRA~1VIDEOD~2bar1.bin4zbarsvc.exe (ID: 3368 |ParentID: 548)
C:Program FilesCommon FilesMcAfeeSystemCoremcshield.exe (ID: 3720 |ParentID: 548)
C:Windowssystem32wbemwmiprvse.exe (ID: 4508 |ParentID: 756)
C:Windowssystem32SearchIndexer.exe (ID: 5204 |ParentID: 548)
C:WindowsSystem32alg.exe (ID: 5628 |ParentID: 548)
C:Windowssystem32svchost.exe (ID: 5700 |ParentID: 548)
C:WindowsSystem32svchost.exe (ID: 5116 |ParentID: 548)
C:Program FilesMicrosoft OfficeOffice14WINWORD.EXE (ID: 5644 |ParentID: 6016)
C:Program FilesCommon FilesMicrosoft SharedOfficeSoftwareProtectionPlatformOSPPSVC.EXE (ID: 5616 |ParentID: 548)
C:Program FilesMicrosoftBingBar7.2.241.0SeaPort.exe (ID: 5868 |ParentID: 548)
C:Program FilesAdobeReader 9.0ReaderAcroRd32.exe (ID: 3248 |ParentID: 1868)
C:Program FilesMicrosoft OfficeOffice14EXCEL.EXE (ID: 3812 |ParentID: 1868)
C:Windowssystem32LogonUI.exe (ID: 7472 |ParentID: 588)
D:lotusnotesNLNOTES.EXE (ID: 4904 |ParentID: 4744)
D:lotusnotesframeworkrcpeclipsepluginscom.ibm.rcp.base_6.2.3.20110915-1350win32x86notes2.exe (ID: 5248 |ParentID: 7048)
D:lotusnotesntaskldr.EXE (ID: 8036 |ParentID: 4904)
C:WindowsSystem32WUDFHost.exe (ID: 5652 |ParentID: 992)
C:Program FilesjZipjZip.exe (ID: 7408 |ParentID: 4904)
C:Program FilesCommon FilesJavaJava Updatejucheck.exe (ID: 4248 |ParentID: 2680)
C:Program FilesMicrosoft OfficeOffice14WINWORD.EXE (ID: 6212 |ParentID: 756)
C:UsersAminata BaAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5SNT2OQB0Babylon10_setup.exe (ID: 7760 |ParentID: 6608)
C:UsersAMINAT~1AppDataLocalTemp210A8682-BAB0-7891-A376-8F3C91CDD060Setup.exe (ID: 3212 |ParentID: 7760)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 3612 |ParentID: 1868)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 8116 |ParentID: 3612)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 4964 |ParentID: 3612)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 1904 |ParentID: 3612)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 1248 |ParentID: 3612)
C:Program FilesMcAfeeVirusScan Enterprisemcconsol.exe (ID: 1260 |ParentID: 3156)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 6660 |ParentID: 3612)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 676 |ParentID: 3612)
C:Program FilesGoogleChromeApplicationchrome.exe (ID: 2304 |ParentID: 3612)
C:Program FilesInternet Exploreriexplore.exe (ID: 4808 |ParentID: 1868)
C:Program FilesInternet Exploreriexplore.exe (ID: 5788 |ParentID: 4808)
C:Windowssystem32MacromedFlashFlashUtil32_11_9_900_117_ActiveX.exe (ID: 8096 |ParentID: 756)
C:Windowssystem32SearchProtocolHost.exe (ID: 2116 |ParentID: 5204)
C:Windowssystem32SearchFilterHost.exe (ID: 8020 |ParentID: 5204)
C:UsbFixGo.exe (ID: 4208 |ParentID: 1276)
C:Windowssystem32DllHost.exe (ID: 2044 |ParentID: 756)

################## | Regedit Run |

HKLMSOFTWARE | Run : [McAfeeUpdaterUI] – “C:Program FilesMcAfeeCommon Frameworkudaterui.exe” /StartedFromRunKey
HKLMSOFTWARE | Run : [ShStatEXE] – “C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE” /STANDALONE
HKLMSOFTWARE | Run : [BCSSync] – “C:Program FilesMicrosoft OfficeOffice14BCSSync.exe” /DelayServices
HKLMSOFTWARE | Run : [Adobe Reader Speed Launcher] – “C:Program FilesAdobeReader 9.0ReaderReader_sl.exe”
HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe”
HKLMSOFTWARE | Run : [VideoDownloadConverter Search Scope Monitor] – “C:PROGRA~1VIDEOD~2bar1.bin4zsrchmn.exe” /m=2 /w /h
HKLMSOFTWARE | Run : [VideoDownloadConverter_4z Browser Plugin Loader] – C:PROGRA~1VIDEOD~2bar1.bin4zbrmon.exe
HKLMSOFTWARE | Run : [SunJavaUpdateSched] – “C:Program FilesCommon FilesJavaJava Updatejusched.exe”
HKLMSOFTWARE | RunOnce : [] –
HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
HKUS-1-5-21-4016989911-3843796895-1440007713-1000SOFTWARE | Run : [uTorrent] – C:Program FilesuTorrentuTorrent.exe /MINIMIZED
HKUS-1-5-21-4016989911-3843796895-1440007713-1000SOFTWARE | Run : [Skype] – “C:Program FilesSkypePhoneSkype.exe” /minimized /regrun
HKUS-1-5-21-4016989911-3843796895-1440007713-1000SOFTWARE | Run : [iLivid] – “C:UsersAminata BaAppDataLocaliLividiLivid.exe” -autorun
HKUS-1-5-21-4016989911-3843796895-1440007713-1000SOFTWARE | Run : [provide] – wscript.exe //B “C:UsersAMINAT~1AppDataLocalTempprovide.vbe”
HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
HKUS-1-5-18SOFTWARE | RunOnce : [SPReview] – “C:WindowsSystem32SPReviewSPReview.exe” /sp:1 /errorfwlink:”http://go.microsoft.com/fwlink/?LinkID=122915″ /build:7601

################## | Recherche générique |

Présent! F:provide.vbe
Présent! H:provide.vbe
Présent! C:UsersAMINAT~1AppDataLocalTempprovide.vbe
Présent! C:UsersAminata BaAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupprovide.vbe
Présent! F:UsbFix.lnk
Présent! F:Autorun.inf.lnk
Présent! F:Nouveau dossier.lnk
Présent! H:~$JV.lnk
Présent! H:LOYER CSN.lnk
Présent! H:SAVING BASE BOGHE AOUT 13.lnk
Présent! H:CV JUILLET 13 FY13 -F.lnk
Présent! H:sans-titre.lnk
Présent! H:SUIVI BANK FY 13 2013.lnk
Présent! H:croki.lnk
Présent! H:1378631909_2[1].lnk
Présent! H:PL PROPOSITION.lnk
Présent! H:cimg5662.lnk
Présent! H:JV.lnk
Présent! H:Maison & Déco 3D – talibe par TALIBE10.lnk
Présent! H:Anna.lnk
Présent! H:Anna1.lnk
Présent! H:JV LOYER BASE.lnk
Présent! H:~$SALAIRE BASE BOGHE JUILLET 2013.lnk
Présent! H:Snapshot_2012-11-23-09-04-10.lnk
Présent! H:Snapshot_2012-11-23-09-04-16.lnk
Présent! H:Snapshot_2012-11-23-09-04-22.lnk
Présent! H:PCBASE BOGHE FY 13 – – Copie – Copie – Copie.lnk
Présent! H:~$SAVING BASE BOGHE AOUT 13.lnk
Présent! H:~$SUIVI BANK FY 13 2013.lnk
Présent! H:~WRL0002.lnk
Présent! H:~$CV51-81.lnk
Présent! H:~$CV AVRIL 1.lnk
Présent! H:~$SUIVI BANK FY 13 (Enregistré automatiquement).lnk
Présent! H:~$JV MAI.lnk
Présent! H:ANB.lnk
Présent! H:Images.lnk
Présent! H:Nouveau dossier (7).lnk
Présent! H:Nouveau dossier (6).lnk
Présent! H:Nouveau dossier.lnk
Présent! H:Nouveau dossier (2).lnk
Présent! H:CV51-81.lnk
Présent! H:Nouveau dossier (3).lnk
Présent! H:CV OCTOBRE 1-50.lnk
Présent! H:~$COMPLEMENT JV MAI.lnk
Présent! H:~$CV OCTOBRE 82-100.lnk
Présent! H:CV OCTOBRE 82-100.lnk
Présent! H:CV 80-100.lnk
Présent! H:~$CV 80-100.lnk
Présent! H:plm – Copie.lnk
Présent! C:UsersAMINAT~1AppDataLocalTempiet876C.tmp.exe

################## | Comparaison MD5 |

Présent! Md5 : 4C557A0AA6F52D5A926F8B70BA0C2BE6 -> C:UsersAminata BaAppDataLocalTempprovide.vbe
Présent! Md5 : 4C557A0AA6F52D5A926F8B70BA0C2BE6 -> C:UsersAminata BaAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupprovide.vbe
Présent! Md5 : 4C557A0AA6F52D5A926F8B70BA0C2BE6 -> F:provide.vbe
Présent! Md5 : 4C557A0AA6F52D5A926F8B70BA0C2BE6 -> H:provide.vbe

################## | Registre |

Présent! HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsbitguard.exe
Présent! HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsbprotect.exe
Présent! HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsbrowserdefender.exe
Présent! HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Optionsbrowserprotect.exe
Présent! HKUS-1-5-21-4016989911-3843796895-1440007713-1000SoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKUS-1-5-21-4016989911-3843796895-1440007713-1000SoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKUS-1-5-21-4016989911-3843796895-1440007713-1000SoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKUS-1-5-21-4016989911-3843796895-1440007713-1000SoftwareMicrosoftWindowsCurrentVersionRun|provide
Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|provide

################## | Vaccin |

F:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |