Répondre à : Clé USB + PC infecté 2016-09-08T13:25:53+00:00
germinatorrr
Participant
Nombre d'articles : 7

############################## | UsbFix V 7.155 | [Recherche]

Utilisateur: Germ (Administrateur) # GERM-PC
Mis à jour le 16/12/2013 par El Desaparecido – Team SosVirus
Lancé à 10:53:56 | 17/12/2013

Site Web : http://www.usbfix.net” onclick=”window.open(this.href);return false;
Forum : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
Upload Malware : upload_malware.php
Contact : http://www.usbfix.net/contact/” onclick=”window.open(this.href);return false;

PC: ASUSTeK COMPUTER INC. (P8H61-I R2.0)
CPU: Intel(R) Core(TM) i3-2120 CPU @ 3.30GHz
RAM -> [Total : 5831 | Free : 4350]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Intégrale (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16476
WB: Google Chrome : 31.0.1650.63

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [(!) Disabled | (!) Outdated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
AS: Malwarebytes’ Anti-Malware : 1.75.0001
FW: Windows FireWall Service [Enabled]

C: (%systemdrive%) -> Disque fixe # 1299 Go (1126 Go libre(s) – 87%) [] # NTFS
D: -> CD-ROM
G: -> Disque amovible # 58 Go (40 Go libre(s) – 68%) [Lexar] # FAT32
H: -> Disque fixe # 98 Go (78 Go libre(s) – 80%) [Germ] # NTFS
I: -> Disque amovible # 7 Go (1 Go libre(s) – 15%) [SONY_8GU] # FAT32

################## | Processus Actif |

C:Windowssystem32csrss.exe (ID: 372 |ParentID: 364)
C:Windowssystem32wininit.exe (ID: 412 |ParentID: 364)
C:Windowssystem32csrss.exe (ID: 436 |ParentID: 420)
C:Windowssystem32winlogon.exe (ID: 468 |ParentID: 420)
C:Windowssystem32services.exe (ID: 512 |ParentID: 412)
C:Windowssystem32lsass.exe (ID: 528 |ParentID: 412)
C:Windowssystem32lsm.exe (ID: 536 |ParentID: 412)
C:Windowssystem32svchost.exe (ID: 636 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 724 |ParentID: 512)
C:WindowsSystem32svchost.exe (ID: 804 |ParentID: 512)
C:WindowsSystem32svchost.exe (ID: 852 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 904 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 936 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 800 |ParentID: 512)
C:WindowsSystem32spoolsv.exe (ID: 1196 |ParentID: 512)
C:Program Files (x86)AviraAntiVir Desktopsched.exe (ID: 1232 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 1288 |ParentID: 512)
C:Windowssystem32taskhost.exe (ID: 1356 |ParentID: 512)
C:Program Files (x86)Common FilesAdobeARM1.0armsvc.exe (ID: 1496 |ParentID: 512)
C:Program Files (x86)AviraAntiVir Desktopavfwsvc.exe (ID: 1612 |ParentID: 512)
C:Program Files (x86)AviraAntiVir Desktopavguard.exe (ID: 1756 |ParentID: 512)
C:Program Files (x86)AskPartnerNetworkToolbarapnmcp.exe (ID: 1776 |ParentID: 512)
C:Program Files (x86)Common FilesAppleMobile Device SupportAppleMobileDeviceService.exe (ID: 1812 |ParentID: 512)
C:Program FilesBonjourmDNSResponder.exe (ID: 2000 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 1036 |ParentID: 512)
C:Program Filesma-config.comMaConfigAgent.exe (ID: 1460 |ParentID: 512)
C:Program Files (x86)Malwarebytes’ Anti-Malwarembamscheduler.exe (ID: 888 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 1940 |ParentID: 512)
C:Program Files (x86)AviraAntiVir Desktopavshadow.exe (ID: 2476 |ParentID: 1756)
C:Program Files (x86)AviraAntiVir Desktopavmailc.exe (ID: 2496 |ParentID: 512)
C:Program Files (x86)AviraAntiVir DesktopAVWEBGRD.EXE (ID: 2516 |ParentID: 512)
C:Windowssystem32sppsvc.exe (ID: 2604 |ParentID: 512)
C:Windowssystem32svchost.exe (ID: 2820 |ParentID: 512)
C:WindowsSystem32rundll32.exe (ID: 2864 |ParentID: 636)
C:Windowssystem32WUDFHost.exe (ID: 2968 |ParentID: 852)
C:Windowssystem32Dwm.exe (ID: 1080 |ParentID: 852)
C:WindowsExplorer.EXE (ID: 812 |ParentID: 1688)
C:Program Files (x86)AviraAntiVir Desktopavgnt.exe (ID: 3164 |ParentID: 1244)
C:Program Files (x86)AskPartnerNetworkToolbarUpdaterTBNotifier.exe (ID: 3172 |ParentID: 1244)
C:Program Files (x86)iTunesiTunesHelper.exe (ID: 3184 |ParentID: 1244)
C:Program FilesiPodbiniPodService.exe (ID: 3520 |ParentID: 512)
C:Windowssystem32wbemwmiprvse.exe (ID: 3616 |ParentID: 636)
C:Windowssystem32SearchIndexer.exe (ID: 3820 |ParentID: 512)
C:Program FilesWindows Media Playerwmpnetwk.exe (ID: 4024 |ParentID: 512)
C:WindowsSystem32svchost.exe (ID: 4088 |ParentID: 512)
C:Program FilesInternet Exploreriexplore.exe (ID: 4332 |ParentID: 812)
C:Program Files (x86)Internet ExplorerIEXPLORE.EXE (ID: 4816 |ParentID: 4332)
C:Windowssystem32MacromedFlashFlashUtil64_11_9_900_170_ActiveX.exe (ID: 5040 |ParentID: 636)
C:WindowsSystem32svchost.exe (ID: 520 |ParentID: 512)
C:Windowssystem32taskhost.exe (ID: 3916 |ParentID: 512)
C:UsersGermAppDataRoaminguTorrentuTorrent.exe (ID: 4628 |ParentID: 4332)
C:Windowssystem32taskeng.exe (ID: 4256 |ParentID: 936)
C:Windowssystem32SearchProtocolHost.exe (ID: 1204 |ParentID: 3820)
C:Windowssystem32SearchFilterHost.exe (ID: 5068 |ParentID: 3820)
C:Windowssystem32PrintIsolationHost.exe (ID: 2064 |ParentID: 636)
C:UsbFixGo.exe (ID: 2904 |ParentID: 4904)

################## | Regedit Run |

04 – HKLMSOFTWARE | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
04 – HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
04 – HKLMSOFTWARE | Run : [Adobe ARM] – “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
04 – HKLMSOFTWARE | Run : [BrStsMon00] – C:Program Files (x86)Browny02BrotherBrStMonW.exe /AUTORUN
04 – HKLMSOFTWARE | Run : [0101] – wscript.exe //B “C:UsersGermAppDataRoaming101.vbs”
04 – HKLMSOFTWARE | Run : [avgnt] – “C:Program Files (x86)AviraAntiVir Desktopavgnt.exe” /min
04 – HKLMSOFTWARE | Run : [ApnTBMon] – “C:Program Files (x86)AskPartnerNetworkToolbarUpdaterTBNotifier.exe”
04 – HKLMSOFTWARE | Run : [iTunesHelper] – “C:Program Files (x86)iTunesiTunesHelper.exe”
04 – HKLMSOFTWAREwow6432Node | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
04 – HKLMSOFTWAREwow6432Node | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
04 – HKLMSOFTWAREwow6432Node | Run : [Adobe ARM] – “C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe”
04 – HKLMSOFTWAREwow6432Node | Run : [BrStsMon00] – C:Program Files (x86)Browny02BrotherBrStMonW.exe /AUTORUN
04 – HKLMSOFTWAREwow6432Node | Run : [0101] – wscript.exe //B “C:UsersGermAppDataRoaming101.vbs”
04 – HKLMSOFTWAREwow6432Node | Run : [avgnt] – “C:Program Files (x86)AviraAntiVir Desktopavgnt.exe” /min
04 – HKLMSOFTWAREwow6432Node | Run : [ApnTBMon] – “C:Program Files (x86)AskPartnerNetworkToolbarUpdaterTBNotifier.exe”
04 – HKLMSOFTWAREwow6432Node | Run : [iTunesHelper] – “C:Program Files (x86)iTunesiTunesHelper.exe”
04 – HKLMSOFTWARE | RunOnce : [] –
04 – HKLMSOFTWAREwow6432Node | RunOnce : [] –
04 – HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
04 – HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
04 – HKUS-1-5-21-1248433806-522314331-2687653748-1001SOFTWARE | Run : [Facebook Update] – “C:UsersGermAppDataLocalFacebookUpdateFacebookUpdate.exe” /c /nocrashserver
04 – HKUS-1-5-21-1248433806-522314331-2687653748-1001SOFTWARE | Run : [LightScribe Control Panel] – C:Program Files (x86)Common FilesLightScribeLightScribeControlPanel.exe -hidden
04 – HKUS-1-5-21-1248433806-522314331-2687653748-1001SOFTWARE | Run : [0101] – wscript.exe //B “C:UsersGermAppDataRoaming101.vbs”
04 – HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
04 – HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
04 – HKUS-1-5-18SOFTWARE | RunOnce : [SPReview] – “C:WindowsSystem32SPReviewSPReview.exe” /sp:1 /errorfwlink:”http://go.microsoft.com/fwlink/?LinkID=122915″ /build:7601

################## | Recherche générique |

Présent! C:UsersGermAppDataRoaming101.vbs
Présent! C:UsersGermAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup101.vbs
Présent! G:101.vbs
Présent! I:101.vbs
Présent! G:.fseventsd.lnk
Présent! G:.Trashes.lnk
Présent! G:.Spotlight-V100.lnk
Présent! G:Photos.lnk
Présent! G:Programmes.lnk
Présent! G:Autorun.inf.lnk
Présent! G:.lnk
Présent! I:The Walking Dead S02 EP12 Les Meilleurs Anges de notre nature.lnk
Présent! I:The Walking Dead S02 EP13 Près du feu mourant.lnk
Présent! I:The Walking Dead S02 EP01 Ce qui nous attend.lnk
Présent! I:The Walking Dead S02 EP02 Saignée.lnk
Présent! I:The Walking Dead S02 EP03 Le Tout pour le tout.lnk
Présent! I:The Walking Dead S02 EP04 Rose Cherokee.lnk
Présent! I:The Walking Dead S02 EP05 Le Chupacabra.lnk
Présent! I:The Walking Dead S02 EP06 Secrets.lnk
Présent! I:The Walking Dead S02 EP07 Déjà plus ou moins mort.lnk
Présent! I:The Walking Dead S02 EP08 Nebraska.lnk
Présent! I:The Walking Dead S02 EP09 Le Doigt sur la détente.lnk
Présent! I:The Walking Dead S02 EP10 À dix-huit miles, au moins.lnk
Présent! I:The Walking Dead S02 EP11 Juge, Juré et Bourreau.lnk
Présent! C:UsersGermAppDataLocalTempwinrar-x64-5b5fr.exe

################## | Référence de comparaison MD5 |

Md5 : 3431AC434003A339303CB6A6D36483CA -> C:UsersGermAppDataRoaming101.vbs
Md5 : 3431AC434003A339303CB6A6D36483CA -> C:UsersGermAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup101.vbs
Md5 : 3431AC434003A339303CB6A6D36483CA -> G:101.vbs
Md5 : 3431AC434003A339303CB6A6D36483CA -> I:101.vbs

################## | Comparaison MD5 |

Présent! Md5 : 3431AC434003A339303CB6A6D36483CA -> C:UsersGermAppDataRoaming101.vbs
Présent! Md5 : 3431AC434003A339303CB6A6D36483CA -> C:UsersGermAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup101.vbs
Présent! Md5 : 3431AC434003A339303CB6A6D36483CA -> C:WindowsSystem32101.vbs
Présent! Md5 : 3431AC434003A339303CB6A6D36483CA -> C:WindowsSysWOW64101.vbs
Présent! Md5 : 3431AC434003A339303CB6A6D36483CA -> G:101.vbs
Présent! Md5 : 3431AC434003A339303CB6A6D36483CA -> I:101.vbs

################## | Registre |

Présent! HKUS-1-5-21-1248433806-522314331-2687653748-1001SoftwareMicrosoftWindowsCurrentVersionRun|0101
Présent! HKLMSoftwareMicrosoftWindowsCurrentVersionRun|0101
Présent! HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun|0101
Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|0101

################## | Vaccin |

G:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net” onclick=”window.open(this.href);return false; |