tout a disparu (ou presque) Fermé

Question

Bonjour, 
Machine : PC HP p6345, processeur i-3, 4 Go DDR3, Win7 familial. 

J'ai voulu lancer un logiciel, l'ordinateur me dit que "cet élément n'est plus disponible...". Pensant à un petit bug, j'ai relancé l'ordi et au démarrage je n'ai plus rien : plus aucune icône sur le bureau, mes logiciels ont disparu, plus grave : mes données boulot, mes photos ont aussi disparu. Seuls restent Avast et ZoneAlarm. J'ai tenté une restauration système, elle n'aboutit pas. Même l'apparence du bureau a changé. Je tiens à signaler que je ne télécharge rien et que je n'ouvre que des mails de personnes connues.  
Quelqu'un aurait-il la solution ou du moins une piste à suivre ? 

Merci

Utilisateur anonyme · Accepted Answer

bonjour,

tu as lancé quoi ?
un Cr@ck ou keygen ???


tu as choppé au passage un rogue !



 *	[*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Wood-Fish · Answer

Désolé mais je pense que tu es fichu....

stef13Mars · Answer

Bonjour,

Je vais tenter ça mais je n'ai rien fait du style lancer un keygen. Je voulais juste relancer Thunderbird pour relever mes mails et bosser. Vraiment aucun comportement à risque. 

Merci

stef13Mars · Answer

Bonjour, Voici le rapport : RogueKiller V8.1.1 [03/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : La Famille [Droits d'admin] Mode : Recherche -- Date : 14/10/2012 16:05:23 ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] FreemakeUtilsService.exe -- C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 6 ¤¤¤ [Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\61883 (system32\DRIVERS\61883.sys) -> TROUVÉ [Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\61883 (system32\DRIVERS\61883.sys) -> TROUVÉ [HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\WLXPGSS.SCR) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3750528AS +++++ --- User --- [MBR] 531505fa7ae1cb83c92dffc104421723 [BSP] 756820f3e2e36db2df45b750b502bef0 : Windows Vista/7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 702516 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1438959616 | Size: 12786 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt Alors ? Merci

Utilisateur anonyme · Answer

c'est bien un rogue !!!


relance roguekiller, clique sur Supprimer, poste son rapport, puis ceci :


[*] Cliquer sur Racc. RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

normalement, tu devrais retrouver tes icones  :D

stef13Mars · Answer

Voici le rapport : RogueKiller V8.1.1 [03/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : La Famille [Droits d'admin] Mode : Suppression -- Date : 14/10/2012 16:28:14 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3750528AS +++++ --- User --- [MBR] 531505fa7ae1cb83c92dffc104421723 [BSP] 756820f3e2e36db2df45b750b502bef0 : Windows Vista/7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 702516 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1438959616 | Size: 12786 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt Seule nouveauté, une icône de Firefox est apparue dans la barre du menu. Le reste est toujours vide. Dois-je relancer le PC ? Merci

Utilisateur anonyme · Answer

ne redémarre pas le pc,

tu as juste oublié ceci :


[*] Cliquer sur Racc. RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
 
normalement, tu devrais retrouver tes icones :D

stef13Mars · Answer

Voici : RogueKiller V8.1.1 [03/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : La Famille [Droits d'admin] Mode : Raccourcis RAZ -- Date : 14/10/2012 16:43:47 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 0 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 3 / Fail 0 Mes documents: Success 0 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 7 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [I:] \Device\HarddiskVolume4 -- 0x2 --> Restored [J:] \Device\HarddiskVolume5 -- 0x2 --> Restored [K:] \Device\HarddiskVolume6 -- 0x2 --> Restored [O:] \Device\HarddiskVolume7 -- 0x2 --> Restored [P:] \Device\HarddiskVolume8 -- 0x2 --> Restored Termine : << RKreport[7].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt

Utilisateur anonyme · Answer

*	Utilisation de ZHP Diag et ZHP FIX :

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

stef13Mars · Answer

Voici le lien :

https://www.cjoint.com/?BJorgCYQ2kA

Utilisateur anonyme · Answer

installe la dernière version d'Adobe reader depuis son site dédié !


/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.

De plus de ceci, évite fortement les sites comme 01@net et Softonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils !
 


*	Lance ZHPFix via le raccourci sur ton Bureau


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O51 - MPSK:{dc07dbf5-2ae7-11e1-aba5-406186976dc3}\AutoRun\command. (...) -- L:\Setup.exe (.not file.)    
O51 - MPSK:{aa5f3315-baa5-11df-ade7-20618697b6e1}\AutoRun\command. (...) -- F:\iStudio.exe (.not file.)    
R3 - URLSearchHook: (no name) [64Bits] - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (...) (No version) -- (.not file.)    
R3 - URLSearchHook: (no name) [64Bits] - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (...) (No version) -- (.not file.)    
O2 - BHO: (no name) [64Bits] - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} ClÃ© orpheline   
[HKCU\Software\Softonic]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified    
[MD5.00000000000000000000000000000000] [APT] [{B7AAD4BF-3B30-4CD5-9491-9A3C20F93C20}] (...) -- E:\Welcome.exe (.not file.)   [MD5.00000000000000000000000000000000] [APT] [{EE5CBD9A-2E4A-4969-82C5-8F8CCDC16DBD}] (...) -- E:\Welcome.exe (.not file.)   [MD5.00000000000000000000000000000000] [APT] [{FE28E4E7-2265-4CCD-83DD-7E77B880838B}] (...) -- E:\Installer.exe (.not file.)   
O43 - CFD: 14/10/2012 - 14:40:00 - [0] ----D C:\ProgramData\PopCap Games    
C:\ProgramData\PopCap Games   =>Adware.PopCap   
Emptytemp
EmptyClsid
Hiddenfix  

---------------------------------------------------------- 
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

stef13Mars · Answer

Voici le rapport :

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-10-2012-17-43-12.txt
Run by La Famille at 14/10/2012 17:42:44
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME CLSID MPSK: {dc07dbf5-2ae7-11e1-aba5-406186976dc3}
SUPPRIME CLSID MPSK: {aa5f3315-baa5-11df-ade7-20618697b6e1}
ERREUR Key****: CLSID BHO: {d7f26d0e-9801-45c3-a091-8a65e4ed73b5}
SUPPRIME Key: HKCU\Software\Softonic

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {d7f26d0e-9801-45c3-a091-8a65e4ed73b5}
ABSENT Value Key: Application

========== Dossier(s) ==========

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {B7AAD4BF-3B30-4CD5-9491-9A3C20F93C20}

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 1 Restauré(s) avec succès
Ma musique (My Music) : 1 Restauré(s) avec succès
Ma Video (My Video) : 1 Restauré(s) avec succès
Mes Favoris (My Favorites) : 0
Mes Documents (My Documents) : 0
Mon Bureau (My Desktop) : 0
Menu demarrer (Programs) : 0
Dossier utilisateur (AppData) : 5 Restauré(s) avec succès
Programmes (Program Files) : 8 Restauré(s) avec succès


========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)
1 : Tache planifiée
16 : Dossiers/Fichiers cachés restaurés


End of clean in 00mn 23s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/10/2012 17:42:44 [1576]

Utilisateur anonyme · Answer

super,

est ce que tu as retrouvé tes icones ?

stef13Mars · Answer

Non, rien n'est revenu. Le plus inquiétant est la disparition de mes photos, de mes fichiers de boulot. Les logiciels sont là, dans "program files (X86)" mais c'est comme s'ils n'étaient plus installés. Certains démarrent en version ancienne comme VLC ou firefox. 
Je n'y comprends rien, est-ce que cela peut être une défaillance machine ? J'ai fait un scan avec Avast, RAS; J'ai fait aussi avant tes manips un Ccleaner, RAS.

Utilisateur anonyme · Answer

d'après les rapports, pas mal de fichiers et répertoires ont été restaurés !

il y a une ultime solution, c'est de restaurer le pc à une date avant l'arrvée de l'infection, en espérant que le système ne soit pas touché !


mais attention, tu risque de perdre certains fichiers créés depusi cette date là !

stef13Mars · Answer

J'ai déjà tenté de faire ça mais ça échoue. Je vais réessayé en utilisant le CD de réparation W7 que j'avais crée lors de l'achat de la machine. C'est parti !

Merci

Utilisateur anonyme · Answer

sur cetaine machine, tu peux restaurer le pc sans perte de données, reste à voir si tes données seraient exploitable après la restauration !

stef13Mars · Answer

Impossible de restaurer. Même le CD ne sert à rien. Je vais tenter d'utiliser un logiciel de récupération de données effacées.

Merci

Utilisateur anonyme · Answer

Recuva peut faire l'affaire !

ouaip · Answer

Bonjour,
apparemment même problème, même bécane (HP) même system d'exploitation,
moi, c'est arrivé aujourd'hui.
Mais
- J'ai déjà eu le cas 1 fois.
- Après avoir paniqué un moment j'ai réalisé que je passais encore par l'étape du mot de pass utilisateur avant d'arriver sur un bureau vide  tel qu' au démarrage  du HP neuf.
- Si mon mot de pass windows était conservé alors le reste avait des chances d'y être aussi.
- Je ne sais pas comment mais tout est revenu (bureau , données)après avoir éteint et rallumé plusieurs fois . 
- Donc mon conseil c'est de ne rien réinstaller pour le moment. toutes tes données sont bien  là. On va chercher.

Puisque le problème se renouvelle encore une fois chez moi.
je vais y regarder de + près.
Attends encore un peu.

stef13Mars · Answer

Bonjour,

Hier soir, les icônes sur le bureau, barre de menu sont réapparus. En revanche, les fichiers sont toujours vides. Quand je lance un logiciel (sauf thunderbird qui est OK), il fonctionne comme si je venais de l'installer : demande de licence...
J'ai fait une recherche avec Recuva, j'ai pu récupérer une partie de certains fichiers mais c'est long, incomplet et tout est en désordre. 

Je retenterai ce soir de faire démarrer le PC. On verra bien.

Merci

Utilisateur anonyme · Answer

bonjour,

il faut trouver le type d'infection, mais vu come c'est, ça ressemble à mi chemin entre un rogue SmartHDD et un ransom crypteur !

stef13Mars · Answer

Bonjour,

Je ne connais aucun des termes que tu utilises. Comment faire pour trouver s'il s'agit bien d'une attaque ? Là, je penchais plutôt pour un problème machine. Je fais de la récupération avec Recuva. Tout n'est pas récupérable. 
Y'a t-il des logiciels capables de faire un scan pour voir si ce n'est pas un des problèmes que tu évoques ?

Merci

Utilisateur anonyme · Answer

recupère ce que tu peux sur ton pc déjà, on lance d'autres outils plus généraliste pour trouver une solution et remettre le pc en état,

avant tout et pour éviter de trop perdre tes données, il faut tout récupèrer sur un autre support que ton disque dur,

attention, pas de fichiers executable, ni de logiciels, ques des données  ;)

stef13Mars · Answer

J'ai branché un DD portable vers lequel je transfère tout. Uniquement des fichiers effectivement.

Merci

Utilisateur anonyme · Answer

n'efface rien, il se peut le ton système soit endommagé, il faut tenter de les lire avec un autre pc, mais avant tout, vaccine ton disque dur avec Usbfix :


*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido)

http://sosvirus.org/viewtopic.php?f=52&t=192

	ou :

	http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html

	ou ici :

	http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/19-usbfix



/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt

stef13Mars · Answer

Voici le rapport :
############################## | UsbFix V 7.097 | [Recherche]

Utilisateur: La Famille (Administrateur) # LAFAMILLE-PC
Mis à jour le 02/09/2012 par El Desaparecido
Lancé à 21:22:56 | 15/10/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: HP-Pavilion (WC956AA-ABF p6345fr) (x64-based PC
CPU: Intel(R) Core(TM) i3 CPU         530  @ 2.93GHz (2933)
RAM -> [Total : 3959 | Free : 2043]
BIOS: 01/28/10 15:46:13 Ver: 5.11
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: ZoneAlarm Antivirus [(!) Disabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 686 Go (623 Go libre(s) - 91%) [HP] # NTFS
D:\ -> Disque fixe # 12 Go (2 Go libre(s) - 14%) [FACTORY_IMAGE] # NTFS
E:\ -> CD-ROM
G:\ -> Disque fixe # 29 Go (29 Go libre(s) - 100%) [] # NTFS
H:\ -> Disque fixe # 29 Go (3 Go libre(s) - 9%) [Steph] # NTFS
I:\ -> Disque amovible # 2 Go (50 Mo libre(s) - 3%) [EOS_DIGITAL] # FAT
L:\ -> Disque fixe # 20 Go (3 Go libre(s) - 17%) [Calou] # NTFS
M:\ -> Disque fixe # 117 Go (12 Go libre(s) - 10%) [Multimédia] # NTFS
N:\ -> Disque fixe # 103 Go (99 Go libre(s) - 96%) [Divers] # NTFS
P:\ -> Disque amovible # 7 Go (7 Go libre(s) - 97%) [STEF8GO] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (592)
C:\Windows\system32\wininit.exe (644)
C:\Windows\system32\csrss.exe (668)
C:\Windows\system32\winlogon.exe (716)
C:\Windows\system32\services.exe (760)
C:\Windows\system32\lsass.exe (780)
C:\Windows\system32\lsm.exe (788)
C:\Windows\system32\svchost.exe (908)
C:\Windows\system32\svchost.exe (128)
C:\Windows\system32\atiesrxx.exe (600)
C:\Windows\System32\svchost.exe (848)
C:\Windows\System32\svchost.exe (1036)
C:\Windows\system32\svchost.exe (1088)
C:\Windows\system32\svchost.exe (1228)
C:\Windows\system32\atieclxx.exe (1272)
C:\Windows\system32\svchost.exe (1332)
C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe (1396)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1716)
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe (1744)
C:\Windows\System32\spoolsv.exe (1760)
C:\Windows\system32\svchost.exe (2116)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2196)
C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RPB.EXE (2328)
C:\Windows\SysWOW64\svchost.exe (2360)
C:\Windows\system32\svchost.exe (2392)
C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe (2452)
C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe (2580)
c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (2620)
c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe (2752)
C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe (2776)
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (2808)
C:\Windows\system32\svchost.exe (2852)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2908)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (2940)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2976)
C:\Windows\system32	askhost.exe (3048)
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (2428)
C:\Windows\system32\Dwm.exe (3080)
C:\Windows\Explorer.EXE (3120)
C:\Windows\system32\svchost.exe (3772)
C:\Windows\system32\WUDFHost.exe (3840)
C:\Windows\system32\SearchIndexer.exe (4000)
C:\Windows\system32	askeng.exe (3944)
c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe (3604)
C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe (4240)
C:\Program Files (x86)\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe (4352)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (4380)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (4528)
C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (4548)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (4556)
C:\Windows\System32\svchost.exe (4928)
C:\Program Files\Windows Media Player\wmpnetwk.exe (5064)
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (4584)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (4612)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (2588)
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (936)
C:\Windows\System32\svchost.exe (4680)
C:\Windows\system32\svchost.exe (5772)
C:\Windows\system32\csrss.exe (5148)
C:\Windows\system32\winlogon.exe (1048)
C:\Windows\system32\atieclxx.exe (3936)
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (4572)
C:\Windows\system32	askhost.exe (2816)
C:\Windows\system32\Dwm.exe (2948)
C:\Windows\Explorer.EXE (5620)
C:\Program Files (x86)\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe (5280)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (440)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (4488)
C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (3524)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (3812)
C:\Program Files\iPod\bin\iPodService.exe (3196)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (5512)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (1784)
C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe (4820)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (5012)
C:\UsbFix\Go.exe (6672)
C:\Windows\system32\wbem\wmiprvse.exe (6588)
\?\C:\Windows\system32\wbem\WMIADAP.EXE (1844)
C:\Windows\system32\wbem\wmiprvse.exe (5220)

################## | Éléments infectieux |

Présent! C:\Users\LAFAMI~1\AppData\Local\Temp\EpsonInkjetDriverDownloader.EXE
Présent! C:\Users\LAFAMI~1\AppData\Local\Temp\Resource.exe
Présent! C:\Users\LAFAMI~1\AppData\Local\Temp\AutoRun.exe

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{aa5f3315-baa5-11df-ade7-20618697b6e1}
Shell\AutoRun\Command = F:\iStudio.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{dc07dbf5-2ae7-11e1-aba5-406186976dc3}
Shell\AutoRun\Command = L:\Setup.exe



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Utilisateur anonyme · Answer

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« Supprimer »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc

stef13Mars · Answer

Je viens de faire "suppression" et rien ne s'est passé.

Utilisateur anonyme · Answer

essaie en mode sans echec !

Tout a disparu (ou presque)

30 réponses

Discussions similaires