Super gros problème virale
Nico
-
Nico -
Nico -
Bonjour,
j'ai besoin d'aide pour un super gros problème de virus (comme l'indique le nom du sujet)
J'ai infecté vraisemblablement 2 pc portable par le biais d'une clé Usb infectée.
Voici les différents symptômes :
J'ai constaté que le fichier autorun de la clé Usb avait été modifié et que je ne pouvais plus le
modifier sur un pc infecté. J'ai réussi à lire le fichier autorun sur un pc en réseau et j'ai cru
comprendre que le fichier chargé était quelque chose comme "svotag.exe".
J'ai essayer d'analyser la clé et d'éradiquer la menace avec Avast, rien n'y fait...
Les deux pc portables présentent les problèmes suivant :
-Chargement d'une quinzaine de processus ralentissant sensiblement l'ordinateur.
-Installation d'un "logiciel" anti-virus Paladin + Apparition de raccourcis vers site Porno sur le
bureau.
-J'ai beau lancer l'anti-virus, il détecte bien des trojans, malware et autres, les traite, mais dès
que je redémarre ils réapparaissent !
-Démarrage très difficile (voir impossible pour un) de l'ordinateur !!
-J'ai eu sur l'un des pc un lancement de message d'erreur avec une répétition d'ouverture de
fenêtre (100 fenêtre ouvertes en moins d'une minute !!)
-Mon anti-virus a été désactivé provisoirement sur l'un des pc.
-J'ai toujours accès à ma connexion internet sur le pc qui peut démarrer.
En bref j'ai chopé une grosse m*r*e !!!! J'ai quelques notions en informatique mais là je suis un
peu dépassé.
Il me faut donc nettoyer les deux pc ainsi que la clé Usb.
En ce moment j'essaye de nettoyer un des disques dur en esclave sur l'autre pc portable qui
démarre avec Trend Micro HouseCall.
Y'a-t-il une âme charitable pour m'orienter sur la démarche à effectuer ? un post qui pourrait m'être utile
svp ??
Les deux pc sont équipés de Windows Xp service pack 2 plus et service pack 3.
Merci d'avance.
j'ai besoin d'aide pour un super gros problème de virus (comme l'indique le nom du sujet)
J'ai infecté vraisemblablement 2 pc portable par le biais d'une clé Usb infectée.
Voici les différents symptômes :
J'ai constaté que le fichier autorun de la clé Usb avait été modifié et que je ne pouvais plus le
modifier sur un pc infecté. J'ai réussi à lire le fichier autorun sur un pc en réseau et j'ai cru
comprendre que le fichier chargé était quelque chose comme "svotag.exe".
J'ai essayer d'analyser la clé et d'éradiquer la menace avec Avast, rien n'y fait...
Les deux pc portables présentent les problèmes suivant :
-Chargement d'une quinzaine de processus ralentissant sensiblement l'ordinateur.
-Installation d'un "logiciel" anti-virus Paladin + Apparition de raccourcis vers site Porno sur le
bureau.
-J'ai beau lancer l'anti-virus, il détecte bien des trojans, malware et autres, les traite, mais dès
que je redémarre ils réapparaissent !
-Démarrage très difficile (voir impossible pour un) de l'ordinateur !!
-J'ai eu sur l'un des pc un lancement de message d'erreur avec une répétition d'ouverture de
fenêtre (100 fenêtre ouvertes en moins d'une minute !!)
-Mon anti-virus a été désactivé provisoirement sur l'un des pc.
-J'ai toujours accès à ma connexion internet sur le pc qui peut démarrer.
En bref j'ai chopé une grosse m*r*e !!!! J'ai quelques notions en informatique mais là je suis un
peu dépassé.
Il me faut donc nettoyer les deux pc ainsi que la clé Usb.
En ce moment j'essaye de nettoyer un des disques dur en esclave sur l'autre pc portable qui
démarre avec Trend Micro HouseCall.
Y'a-t-il une âme charitable pour m'orienter sur la démarche à effectuer ? un post qui pourrait m'être utile
svp ??
Les deux pc sont équipés de Windows Xp service pack 2 plus et service pack 3.
Merci d'avance.
A voir également:
- Super gros problème virale
- Super copie - Télécharger - Gestion de fichiers
- Super screen recorder - Télécharger - Capture d'écran
- Pc super lent - Guide
- Super video - Télécharger - TV & Vidéo
- Super pi - Télécharger - Optimisation
9 réponses
Salut
Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
d'avoir été infectés
Télécharger USBFix
- Lancer USBFix.exe
- Choisir F pour Français => Touche Entrée
- Taper 1 => Entrée pour recherche
- Puis ok
- Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
- laisser le nom par défaut, enregistrer sur le bureau
- copier coller le contenu du fichier texte dans la fenetre de réponse
Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
d'avoir été infectés
Télécharger USBFix
- Lancer USBFix.exe
- Choisir F pour Français => Touche Entrée
- Taper 1 => Entrée pour recherche
- Puis ok
- Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
- laisser le nom par défaut, enregistrer sur le bureau
- copier coller le contenu du fichier texte dans la fenetre de réponse
Ok, merci bien pour vos réponses.
Mais question d'ordre pratique ; je n'ai que deux pc portable (infecté) à ma disposition,
donc si je nettoie la clé Usb et que je la rebranche sur un infecté est-ce que ça ne va pas
recontaminer la clé Usb (cercle vicieux) ? Autrement dit faut-il commencer par la clé ou le pc ?
J'attends la fin du scan du disque dur branché en esclave et j'essaye pour voir.
Mais question d'ordre pratique ; je n'ai que deux pc portable (infecté) à ma disposition,
donc si je nettoie la clé Usb et que je la rebranche sur un infecté est-ce que ça ne va pas
recontaminer la clé Usb (cercle vicieux) ? Autrement dit faut-il commencer par la clé ou le pc ?
J'attends la fin du scan du disque dur branché en esclave et j'essaye pour voir.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Tu fais d'abord un PC avec toutes tes clés et DD externes
Ensuite on refera sur l'autre PC sans rien.
Chaque chose en son temps.
Ensuite on refera sur l'autre PC sans rien.
Chaque chose en son temps.
Re-salut
Voici le rapport obtenu à l'issue du scan par usbfix
############################## | UsbFix V6.095 |
User : pamphin () # PAMPHIN
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:57:03 | 17/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Antivirus Trend Micro OfficeScan 8.0 [ (!) Disabled | (!) Outdated ]
AV : Antivirus Trend Micro OfficeScan 8.0 [ Enabled | Updated ]
C:\ -> Disque fixe local # 74,53 Go (43,07 Go free) # NTFS
D:\ -> Disque fixe local # 16,45 Go (1,32 Go free) [ACER] # FAT32
E:\ -> Disque fixe local # 17,66 Go (2,06 Go free) [ACERDATA] # FAT32
F:\ -> Disque fixe local # 963,7 Mo (88,61 Mo free) [USB DISK] # FAT
P:\ -> Connexion réseau
S:\ -> Connexion réseau
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SMART Technologies Inc\SMART Board Software\SMARTBoardService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\TEMP\ZA504A.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
c:\program files\internet explorer\wmpscfgs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\eu34qz9by7.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\drweb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\RECYCLER\S-1-5-21-8780451402-4264597523-620302959-9129\nissan.exe
c:\program files\trend micro\officescan client\pccntmon .exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\svchost.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\setup.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\winamp.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\gtkF.tmp
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\wxcl10t4y.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\avp.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\nvsvc32.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\msinits.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\SyncMan.exe
################## | Elements infectieux |
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Temp\wmpscfgs.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\048.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\155.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\329.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\479.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\545.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\557.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\577.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\599.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\737.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\100.dat
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\Setup.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\spoolsv.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\svchost.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\win.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\winamp.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\wmpscfgs.exe
C:\Program Files\Adobe\acrotray .exe
C:\Program Files\internet explorer\js.mui
C:\Program Files\internet explorer\wmpscfgs.exe
C:\Recycler\S-1-5-21-5566580232-5695570027-742197579-6781\nissan.exe
C:\Recycler\S-1-5-21-5566580232-5695570027-742197579-6781
C:\Recycler\S-1-5-21-8780451402-4264597523-620302959-9129\nissan.exe
C:\Recycler\S-1-5-21-8780451402-4264597523-620302959-9129\Desktop.ini
C:\Recycler\S-1-5-21-8780451402-4264597523-620302959-9129
D:\autorun.inf -> fichier appelé : "D:\JOZEBOZE///svotak.exe" ( Présent ! )
D:\autorun.inf -> fichier appelé : "D:\JOZEBOZE///svotak.exe" ( Présent ! )
D:\autorun.inf
D:\Recycler\S-1-5-21-6272347683-1195802073-683610269-3790\nissan.exe
D:\Recycler\S-1-5-21-6272347683-1195802073-683610269-3790\Desktop.ini
D:\Recycler\S-1-5-21-6272347683-1195802073-683610269-3790
E:\autorun.inf -> fichier appelé : "E:\JOZEBOZE///svotak.exe" ( Présent ! )
E:\autorun.inf -> fichier appelé : "E:\JOZEBOZE///svotak.exe" ( Présent ! )
E:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\JOZEBOZE///svotak.exe" ( Présent ! )
F:\autorun.inf -> fichier appelé : "F:\JOZEBOZE///svotak.exe" ( Présent ! )
F:\autorun.inf
F:\start.exe
F:\DATA
################## | MD5 |
C:\Documents and Settings\PAMPHIN\rundll32.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\avp.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\cmd.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\csrss.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\drweb.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\habitas37.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\iqgfypvt.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\login.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\mdm.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\nvsvc32.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\setup.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\smss.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\spoolsv.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\svchost.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\win.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\win16.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\winamp.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\wmpscfgs.exe
C:\Program Files\Internet Explorer\wmpscfgs.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\Temp\wmpscfgs.exe
################## | Registre |
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "uishf9wuifwuh387fh3wufinhjfdwefe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe_Reader"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Regedit32"
[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoChangeStartMenu"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoTrayContextMenu"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{54edfea6-1a36-11df-8466-001eec3b173a}
Shell\AutoRun\command =E:\start.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.095 ! |
Sachant que le disque dur du second pc a été branché en externe par usb.
Que devrais-je faire pour la prochaine étape svp ?
Voici le rapport obtenu à l'issue du scan par usbfix
############################## | UsbFix V6.095 |
User : pamphin () # PAMPHIN
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:57:03 | 17/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Antivirus Trend Micro OfficeScan 8.0 [ (!) Disabled | (!) Outdated ]
AV : Antivirus Trend Micro OfficeScan 8.0 [ Enabled | Updated ]
C:\ -> Disque fixe local # 74,53 Go (43,07 Go free) # NTFS
D:\ -> Disque fixe local # 16,45 Go (1,32 Go free) [ACER] # FAT32
E:\ -> Disque fixe local # 17,66 Go (2,06 Go free) [ACERDATA] # FAT32
F:\ -> Disque fixe local # 963,7 Mo (88,61 Mo free) [USB DISK] # FAT
P:\ -> Connexion réseau
S:\ -> Connexion réseau
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SMART Technologies Inc\SMART Board Software\SMARTBoardService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\TEMP\ZA504A.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
c:\program files\internet explorer\wmpscfgs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\eu34qz9by7.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\drweb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\RECYCLER\S-1-5-21-8780451402-4264597523-620302959-9129\nissan.exe
c:\program files\trend micro\officescan client\pccntmon .exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\svchost.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\setup.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\winamp.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\gtkF.tmp
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\wxcl10t4y.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\avp.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\nvsvc32.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\msinits.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\SyncMan.exe
################## | Elements infectieux |
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Temp\wmpscfgs.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\048.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\155.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\329.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\479.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\545.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\557.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\577.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\599.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\737.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\100.dat
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\Setup.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\spoolsv.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\svchost.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\win.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\winamp.exe
C:\DOCUME~1\PAMPHIN\LOCALS~1\Temp\wmpscfgs.exe
C:\Program Files\Adobe\acrotray .exe
C:\Program Files\internet explorer\js.mui
C:\Program Files\internet explorer\wmpscfgs.exe
C:\Recycler\S-1-5-21-5566580232-5695570027-742197579-6781\nissan.exe
C:\Recycler\S-1-5-21-5566580232-5695570027-742197579-6781
C:\Recycler\S-1-5-21-8780451402-4264597523-620302959-9129\nissan.exe
C:\Recycler\S-1-5-21-8780451402-4264597523-620302959-9129\Desktop.ini
C:\Recycler\S-1-5-21-8780451402-4264597523-620302959-9129
D:\autorun.inf -> fichier appelé : "D:\JOZEBOZE///svotak.exe" ( Présent ! )
D:\autorun.inf -> fichier appelé : "D:\JOZEBOZE///svotak.exe" ( Présent ! )
D:\autorun.inf
D:\Recycler\S-1-5-21-6272347683-1195802073-683610269-3790\nissan.exe
D:\Recycler\S-1-5-21-6272347683-1195802073-683610269-3790\Desktop.ini
D:\Recycler\S-1-5-21-6272347683-1195802073-683610269-3790
E:\autorun.inf -> fichier appelé : "E:\JOZEBOZE///svotak.exe" ( Présent ! )
E:\autorun.inf -> fichier appelé : "E:\JOZEBOZE///svotak.exe" ( Présent ! )
E:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\JOZEBOZE///svotak.exe" ( Présent ! )
F:\autorun.inf -> fichier appelé : "F:\JOZEBOZE///svotak.exe" ( Présent ! )
F:\autorun.inf
F:\start.exe
F:\DATA
################## | MD5 |
C:\Documents and Settings\PAMPHIN\rundll32.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\avp.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\cmd.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\csrss.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\drweb.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\habitas37.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\iqgfypvt.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\login.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\mdm.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\nvsvc32.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\setup.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\smss.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\spoolsv.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\svchost.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\win.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\win16.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\winamp.exe
C:\Documents and Settings\PAMPHIN\Local Settings\Temp\wmpscfgs.exe
C:\Program Files\Internet Explorer\wmpscfgs.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\Temp\wmpscfgs.exe
################## | Registre |
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "uishf9wuifwuh387fh3wufinhjfdwefe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Adobe_Reader"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Regedit32"
[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoChangeStartMenu"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoTrayContextMenu"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{54edfea6-1a36-11df-8466-001eec3b173a}
Shell\AutoRun\command =E:\start.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.095 ! |
Sachant que le disque dur du second pc a été branché en externe par usb.
Que devrais-je faire pour la prochaine étape svp ?
