Répondre à : Agent AXN (5 postes, 4 clés USB) 2016-09-08T13:23:36+00:00
Bhiale
Participant
Post count: 5

Re !

Merci d’avoir apporté confirmation, ça me servira à montrer au patron que j’ai eu le bon reflexe, il me croit pas et m’en veut d’avoir paralysé l’antenne hier ^^

Du coup j’ai débranché tous les câbles réseau, et j’écris du poste infecté, avec toutes les clés USB infectées dessus. Pas besoin de faire la manip sur plusieurs postes du coup.

J’ai installé et effectué la manipulation avec USBfix, voici le rapport:

############################## | UsbFix V 7.152 | [Suppression]

Utilisateur: Latitude (Administrateur) # LATITUDE-PC
Mis à jour le 20/11/2013 par El Desaparecido – Team SosVirus
Lancé à 14:03:53 | 06/12/2013

Site Web : http://www.usbfix.net” onclick=”window.open(this.href);return false;
Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
Upload Malware : upload_malware.php
Contact : http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

PC: Dell Inc. (0U695R)
CPU: Intel(R) Core(TM)2 Duo CPU P8700 @ 2.53GHz
RAM -> [Total : 3572 | Free : 1855]
Bios: Dell Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) Service Pack 1
WB: Windows Internet Explorer : 9.0.8112.16421
WB: Google Chrome : 31.0.1650.57

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
AS: Malwarebytes’ Anti-Malware : 1.75.0001
FW: Windows FireWall Service [Enabled]

C: (%systemdrive%) -> Disque fixe # 233 Go (208 Go libre(s) – 89%) [] # NTFS
D: -> CD-ROM
E: -> Disque amovible # 956 Mo (204 Mo libre(s) – 21%) [NOUVELLE] # FAT
F: -> Disque amovible # 58 Go (54 Go libre(s) – 94%) [BACKUP] # NTFS
G: -> Disque amovible # 15 Go (13 Go libre(s) – 86%) [NV] # FAT32

################## | Processus Stoppés |

Stoppé! C:Windowssystem32nvvsvc.exe (ID: 808 |ParentID: 552)
Stoppé! C:Program FilesNVIDIA Corporation3D VisionnvSCPAPISvr.exe (ID: 832 |ParentID: 552)
Stoppé! C:Program FilesAVAST SoftwareAvastAvastSvc.exe (ID: 1492 |ParentID: 552)
Stoppé! C:WindowsExplorer.EXE (ID: 1584 |ParentID: 1560)
Stoppé! C:Windowssystem32taskhost.exe (ID: 1744 |ParentID: 552)
Stoppé! C:WindowsSystem32spoolsv.exe (ID: 1788 |ParentID: 552)
Stoppé! C:Program FilesBroadcom CorporationBroadcom USH Host ComponentsCVbinHostControlService.exe (ID: 1816 |ParentID: 552)
Stoppé! C:Program FilesBroadcom CorporationBroadcom USH Host ComponentsCVbinHostStorageService.exe (ID: 1836 |ParentID: 552)
Stoppé! C:Program Filesma-config.comMaConfigAgent.exe (ID: 2012 |ParentID: 552)
Stoppé! C:Program FilesGoogleUpdate1.3.21.165GoogleCrashHandler.exe (ID: 1528 |ParentID: 500)
Stoppé! C:Program FilesNVIDIA CorporationNvStreamSrvnvstreamsvc.exe (ID: 2208 |ParentID: 552)
Stoppé! C:Windowssystem32rundll32.exe (ID: 2296 |ParentID: 2280)
Stoppé! C:Program FilesNVIDIA CorporationNVIDIA Update Coredaemonu.exe (ID: 2388 |ParentID: 552)
Stoppé! C:Program FilesNVIDIA CorporationNVIDIA Update CoreNvTmru.exe (ID: 2792 |ParentID: 1584)
Stoppé! C:Program FilesAVAST SoftwareAvastAvastUI.exe (ID: 2960 |ParentID: 1584)
Stoppé! C:WindowsSystem32WUDFHost.exe (ID: 3224 |ParentID: 1016)
Stoppé! C:Windowssystem32SearchIndexer.exe (ID: 3384 |ParentID: 552)
Stoppé! C:WindowsSystem32WUDFHost.exe (ID: 3576 |ParentID: 1016)
Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 3604 |ParentID: 1584)
Stoppé! C:Program FilesWindows Media Playerwmpnetwk.exe (ID: 3728 |ParentID: 552)
Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 3916 |ParentID: 3604)
Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 2860 |ParentID: 3604)
Stoppé! C:Program FilesMalwarebytes’ Anti-Malwarembam.exe (ID: 3860 |ParentID: 1584)
Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 2420 |ParentID: 3604)
Stoppé! C:WindowsservicingTrustedInstaller.exe (ID: 3620 |ParentID: 552)
Stoppé! C:Windowssystem32wuauclt.exe (ID: 2876 |ParentID: 1056)
Stoppé! C:Windowssystem32taskhost.exe (ID: 3132 |ParentID: 552)

################## | Regedit Run |

04 – HKLMSOFTWARE | Run : [Nvtmru] – “C:Program FilesNVIDIA CorporationNVIDIA Update Corenvtmru.exe”
04 – HKLMSOFTWARE | Run : [Adobe Reader Speed Launcher] – “C:Program FilesAdobeReader 10.0ReaderReader_sl.exe”
04 – HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe”
04 – HKLMSOFTWARE | Run : [AvastUI.exe] – “C:Program FilesAVAST SoftwareAvastAvastUI.exe” /nogui
04 – HKLMSOFTWARE | RunOnce : [] –
04 – HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
04 – HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
04 – HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
04 – HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
04 – HKUS-1-5-18SOFTWARE | RunOnce : [SPReview] – “C:WindowsSystem32SPReviewSPReview.exe” /sp:1 /errorfwlink:”http://go.microsoft.com/fwlink/?LinkID=122915″ /build:7601

################## | Recherche générique |

Supprimé! E:Nouvelles Voies.lnk
Supprimé! E:service civique.lnk
Supprimé! F:sp52421.exe
Supprimé! G:20131204131134715.lnk
Supprimé! G:Nouvelles voies.lnk
Supprimé! E:iTunesHelper.vbe
Supprimé! F:iTunesHelper.vbe
Supprimé! G:iTunesHelper.vbe

(!) Fichiers temporaires supprimés.

################## | Référence de comparaison MD5 |

Md5 : 209199C0E389517EE5033F5BF294AAAC -> E:iTunesHelper.vbe
Md5 : 209199C0E389517EE5033F5BF294AAAC -> F:iTunesHelper.vbe
Md5 : 209199C0E389517EE5033F5BF294AAAC -> G:iTunesHelper.vbe

################## | Comparaison MD5 |

################## | Registre |

Réparé ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|EnableLUA -> 1
Réparé ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|ConsentPromptBehaviorAdmin -> 5
Réparé ! HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced|Start_ShowMyGames -> 1

################## | Listing |

[18/11/2013 – 18:10:22 | SHD ] C:$Recycle.Bin
[10/06/2009 – 22:42:20 | N | 24] C:autoexec.bat
[10/06/2009 – 22:42:20 | N | 10] C:config.sys
[14/07/2009 – 05:53:55 | SHD ] C:Documents and Settings
[06/12/2013 – 13:55:53 | ASH | 2809057280] C:hiberfil.sys
[04/12/2013 – 11:20:48 | RHD ] C:MSOCache
[20/11/2013 – 16:06:47 | D ] C:NVIDIA
[06/12/2013 – 13:55:53 | ASH | 3745411072] C:pagefile.sys
[14/07/2009 – 03:37:05 | D ] C:PerfLogs
[06/12/2013 – 13:55:52 | D ] C:Program Files
[04/12/2013 – 16:11:47 | HD ] C:ProgramData
[18/11/2013 – 18:10:09 | SHD ] C:Recovery
[04/12/2013 – 17:34:59 | SHD ] C:System Volume Information
[06/12/2013 – 14:06:11 | D ] C:UsbFix
[06/12/2013 – 14:06:17 | A | 6387] C:UsbFix [Clean 2] LATITUDE-PC.txt
[20/11/2013 – 16:32:26 | RD ] C:Users
[06/12/2013 – 13:54:48 | D ] C:Windows
[12/11/2013 – 16:28:24 | D ] E:documents téléchargés
[12/11/2013 – 16:30:32 | D ] E:Recherches travail clé usb
[11/10/2012 – 09:01:06 | D ] E:Nouvelles Voies
[22/11/2013 – 10:27:12 | N | 1565] E:telecharger une image sur internet.rtf
[29/11/2013 – 10:28:32 | D ] E:Video
[04/12/2013 – 10:42:30 | N | 31232] E:participants journée du 10 décembre.xls
[05/12/2013 – 16:14:16 | N | 0] E:telecharger une image sur internet.lnk
[27/11/2013 – 15:18:56 | D ] E:service civique
[14/09/2010 – 11:06:42 | SHD ] E:autorun.inf
[29/11/2013 – 16:30:58 | D ] F:Logiciels & drivers
[04/12/2013 – 10:40:55 | D ] F:NV docs
[29/11/2013 – 16:51:43 | D ] F:Perso
[04/12/2013 – 14:03:20 | SHD ] F:System Volume Information
[04/12/2013 – 12:54:40 | N | 20421] G:Rib Caroline Chamorel.pdf
[11/07/2013 – 18:26:36 | D ] G:Nouvelles voies
[15/11/2013 – 11:17:58 | SHD ] G:System Volume Information
[03/12/2013 – 19:01:58 | D ] G:Alex

################## | Vaccin |

F:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |

See you :)