Répondre à : Clef usb infectée 2016-09-08T13:59:35+00:00
Photo du profil de guuguesguugues
Participant
Post count: 572

Re ! ;)

Ok, applique les procédures suivantes :

1- UsbFix – Nettoyage :

  • Branche tous tes médias amovibles sur le PC (clés USB, disques durs externes …) sans les ouvrir.
  • Relance UsbFix.

Sous Windows Vista/Seven/8, clique droit sur UsbFix puis Exécuter en tant qu’administrateur

  • Clique sur le bouton Nettoyage :

  • Une fenêtre va apparaître : clique sur OK puis laisse l’outil travailler.
  • Une fois la suppression terminée, un rapport s’ouvre automatiquement.
  • Ce rapport est sauvegardé ici : C:UsbFixLogUsbFix [Clean2] Nom_Du_PC.txt.
  • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

2- Zoek – Analyse :

  • Désactive temporairement ton antivirus : aide en images.
  • Télécharge Zoek.exe sur ton bureau.
  • Ferme toutes les applications en cours, puis lance Zoek.exe.

Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

  • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
standardsearch;
services-list;
installedprogs;
installer-list;
uninstall-list;
torpigcheck;
srinfo;
hostslook;
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvcs /se "─" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components" /s >> C:zoek-results.log;b
C:WindowsSystem32driversafd.sys;i
C:WindowsSystem32driversatapi.sys;i
C:WindowsSystem32driverscdfs.sys;i
C:WindowsSystem32driverscdrom.sys;i
C:WindowsSystem32driversdfsc.sys;i
C:WindowsSystem32drivershdaudbus.sys;i
C:WindowsSystem32driversi8042prt.sys;i
C:WindowsSystem32driversipnat.sys;i
C:WindowsSystem32driversipsec.sys;i
C:WindowsSystem32driversmrxsmb.sys;i
C:WindowsSystem32driversnetbt.sys;i
C:WindowsSystem32driversntfs.sys;i
C:WindowsSystem32driversparport.sys;i
C:WindowsSystem32driversrasl2tp.sys;i
C:WindowsSystem32driversrdpdr.sys;i
C:WindowsSystem32driverssmb.sys;i
C:WindowsSystem32driverssptd.sys;i
C:WindowsSystem32driverstcpip.sys;i
C:WindowsSystem32driverstdx.sys;i
C:WindowsSystem32driversvolsnap.sys;i
C:WindowsSystem32cmd.exe;i
C:WindowsSysWOW64cmd.exe;i
C:Windowsexplorer.exe;i
C:WindowsSysWOW64explorer.exe;i
C:WindowsSystem32services.exe;i
C:WindowsSysWOW64services.exe;i
C:WindowsSystem32svchost.exe;i
C:WindowsSysWOW64svchost.exe;i
C:WindowsSystem32userinit.exe;i
C:WindowsSysWOW64userinit.exe;i
C:WindowsSystem32wininit.exe;i
C:WindowsSysWOW64wininit.exe;i
C:WindowsSystem32winlogon.exe;i
C:WindowsSysWOW64winlogon.exe;i
C:WindowsSystem32kernel32.dll;i
C:WindowsSysWOW64kernel32.dll;i
C:WindowsSystem32rpcss.dll;i
C:WindowsSysWOW64rpcss.dll;i
C:WindowsSystem32user32.dll;i
C:WindowsSysWOW64user32.dll;i
%temp%;vs
%SYSTEMDRIVE%*.exe;v
%ALLUSERSPROFILE%Application Data;v
%ALLUSERSPROFILE%Application Data*.exe;vs
%APPDATA%;v
%APPDATA%*.exe;vs
C:Windowssystem32consrv.dll;i
%SystemDrive%$RECYCLE.BIN;vs
%SystemDrive%RECYCLER;vs
%SystemRoot%assemblyGAC;v
%SystemRoot%assemblyGAC_32;v
%SystemRoot%assemblyGAC_64;v
reg query "HKEY_CURRENT_USERSoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareClassesclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
%WINDIR%pss;v
%LOCALAPPDATA%;v
%LOCALAPPDATA%GoogleDesktop;vs
C:Program FilesGoogleDesktop;vs
C:Program Files (x86)GoogleDesktop;vs
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
%systemroot%System32config*.sav;v
reg query "HKEY_LOCAL_MACHINESOFTWARE" >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSOFTWARE" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet" /s >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeClientsStartMenuInternet" /s >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
reg query "HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
reg query "HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
reg query "HKEY_USERSS-1-5-19SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
reg query "HKEY_USERSS-1-5-20SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center" /s >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "{*}" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "TCP Query User" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "UDP Query User" >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v DhcpNameServer >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v NameServer >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v DhcpNameServer >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v NameServer >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" >> C:zoek-results.log;b
reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" > %LOCALAPPDATA%Tempmount.txt;b
for /f %%i in (%LOCALAPPDATA%Tempmount.txt) do reg query %%i >> C:zoek-results.log;b
nslookup www.google.fr >> C:zoek-results.log;b
  • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

  • Puis clique sur le bouton Run Script. Patiente.
  • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
  • Celui-ci est disponible ici : C:zoek-result.log.
  • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



Sont donc attendus les rapports de UsbFix et Zoek.