Dossier .exe

Question

Bonjour, 

Ma clé usb a été infecté. Il y a pleins de dossier .exe dans chaque dossier ;(

Comment puis je m'en débarrasser svp?


Configuration: Windows 7, 32Bits
Firefox 3.5.7

jacques.gache · Answer

bonjour essais de passer usbfix en mode SUPPRESSION  en ayant bien la clé concerné de connecté !! 
 

# Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
 
# Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
# Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double cliquez sur UsbFix.exe.  

# Cliquez sur Suppression

# Laissez travailler l'outil. 

# À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).


# Tutoriel vidéo

husnu · Answer

Merci pour ta réponse. 

Voici le rapport (Les dossier .exe sont toujours présents):

############################## | UsbFix V 7.126 | [Suppression]

Utilisateur: AUICE (Administrateur) # CHARLEROIMG
Mis à jour le 13/05/2013 par El Desaparecido
Lancé à 15:22:46 | 27/05/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://upload.sosvirus.org/
Contact: contact@sosvirus.org

PC: SAMSUNG ELECTRONICS CO., LTD. (R530/R730                  ) (X86-based PC)
CPU: Pentium(R) Dual-Core CPU       T4500  @ 2.30GHz (2300)
RAM -> [Total : 3033 | Free : 1748]
BIOS: Phoenix SecureCore(tm) NB Version 06JD.M021.20100628.KSJ
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AS: Windows Defender [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 139 Go (99 Go libre(s) - 71%) [] # NTFS
D:\ -> Disque fixe # 139 Go (91 Go libre(s) - 65%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 15 Go (14 Go libre(s) - 94%) [SANDISK] # FAT32
G:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [SONY16GB HU] # FAT32

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
HKLM\SOFTWARE | Run : [UpdateLBPShortCut] - "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
HKLM\SOFTWARE | Run : [CLMLServer] - "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
HKLM\SOFTWARE | Run : [UpdateP2GoShortCut] - "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
HKLM\SOFTWARE | Run : [UpdatePDRShortCut] - "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\7.0"
HKLM\SOFTWARE | Run : [RemoteControl8] - "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
HKLM\SOFTWARE | Run : [PDVD8LanguageShortcut] - "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
HKLM\SOFTWARE | Run : [UpdatePPShortCut] - "C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerProducer" UpdateWithCreateOnce "Software\CyberLink\PowerProducer\5.0"
HKLM\SOFTWARE | Run : [UpdatePSTShortCut] - "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
HKLM\SOFTWARE | Run : [SynTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [UCam_Menu] - "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
HKLM\SOFTWARE | Run : [NeroFilterCheck] - C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
HKLM\SOFTWARE | Run : [NBKeyScan] - "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [IgfxTray] - C:\windows\system32\igfxtray.exe
HKLM\SOFTWARE | Run : [HotKeysCmds] - C:\windows\system32\hkcmd.exe
HKLM\SOFTWARE | Run : [Persistence] - C:\windows\system32\igfxpers.exe
HKLM\SOFTWARE | Run : [] - 
HKLM\SOFTWARE | Run : [Adobe Acrobat Speed Launcher] - "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
HKLM\SOFTWARE | Run : [Acrobat Assistant 8.0] - "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE | Run : [swg] - "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE | Run : [Google Update] - "C:\Users\AUICE\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE | Run : [Octoshape Streaming Services] - "C:\Users\AUICE\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Processus Stoppés |

Stoppé! C:\windows\System32\spoolsv.exe (1336)
Stoppé! C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1520)
Stoppé! C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe (1664)
Stoppé! C:\windows\system32	askhost.exe (1764)
Stoppé! C:\Program Files\CyberLink\Shared files\RichVideo.exe (1912)
Stoppé! C:\windows\Explorer.EXE (1956)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (820)
Stoppé! C:\windows\system32	askeng.exe (436)
Stoppé! C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe (1476)
Stoppé! C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe (1836)
Stoppé! C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe (1812)
Stoppé! C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe (956)
Stoppé! C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (2648)
Stoppé! C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (2692)
Stoppé! C:\windows\system32\igfxext.exe (2764)
Stoppé! C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (2788)
Stoppé! C:\windows\system32\igfxsrvc.exe (2868)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3088)
Stoppé! C:\Windows\System32\igfxtray.exe (3148)
Stoppé! C:\Windows\System32\hkcmd.exe (3176)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (3388)
Stoppé! C:\Windows\System32\igfxpers.exe (3408)
Stoppé! C:\Program Files\Adobe\Acrobat 10.0\Acrobat\acrotray.exe (3444)
Stoppé! C:\Program Files\Common Files\Java\Java Update\jusched.exe (3452)
Stoppé! C:\Program Files\Windows Sidebar\sidebar.exe (3508)
Stoppé! C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (3560)
Stoppé! C:\Users\AUICE\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (3592)
Stoppé! C:\windows\system32\SearchIndexer.exe (3748)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (2492)
Stoppé! C:\Windows\system32\WUDFHost.exe (3804)
Stoppé! C:\Program Files\Mozilla Firefox\firefox.exe (924)
Stoppé! C:\Program Files\Mozilla Firefox\plugin-container.exe (3520)
Stoppé! C:\windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_202.exe (2612)
Stoppé! C:\windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_202.exe (3736)

################## | Éléments infectieux |

Supprimé! F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé! G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé! F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
Supprimé! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{50b03386-a1ec-11e1-b850-002454cd0ddd}

################## | Listing |

[23/04/2011 - 00:40:13 | SHD ]  C:\$Recycle.Bin
[10/06/2009 - 23:42:20 | N | 24]  C:\autoexec.bat
[10/06/2009 - 23:42:20 | N | 10]  C:\config.sys
[14/07/2009 - 06:53:55 | SHD ]  C:\Documents and Settings
[26/05/2013 - 08:59:20 | ASH | 3179921408]  C:\hiberfil.sys
[14/06/2010 - 01:38:33 | D ]  C:\Intel
[17/04/2012 - 12:35:23 | RHD ]  C:\MSOCache
[26/05/2013 - 08:59:23 | ASH | 3179921408]  C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ]  C:\PerfLogs
[23/05/2013 - 14:38:54 | D ]  C:\Program Files
[22/05/2013 - 14:10:23 | HD ]  C:\ProgramData
[23/04/2011 - 00:19:08 | SHD ]  C:\Recovery
[14/06/2010 - 01:40:22 | N | 2047]  C:\RHDSetup.log
[14/06/2010 - 01:52:41 | N | 191]  C:\Setup.log
[27/05/2013 - 15:12:58 | SHD ]  C:\System Volume Information
[27/05/2013 - 15:25:04 | D ]  C:\UsbFix
[27/05/2013 - 15:25:17 | A | 8502]  C:\UsbFix [Clean 1] CHARLEROIMG.txt
[23/04/2011 - 00:20:40 | D ]  C:\Users
[01/02/2013 - 22:12:59 | D ]  C:\Windows
[11/01/2013 - 18:30:11 | D ]  C:\_rpcs
[19/03/2012 - 21:07:25 | SHD ]  D:\$RECYCLE.BIN
[19/03/2012 - 21:01:27 | D ]  D:\Adobe.Flash.Pro.CS5.MULTi-wWw.Extreme-Down.Com
[22/06/2012 - 21:10:05 | D ]  D:\Bureau
[22/06/2012 - 21:08:22 | D ]  D:\Documents
[19/03/2012 - 21:25:12 | D ]  D:\Images
[18/06/2011 - 18:09:10 | N | 50400833]  D:\kultur soleni2011.wmv
[22/06/2012 - 21:16:32 | D ]  D:\Les Dossier qui ne regarde pas
[19/03/2012 - 21:53:23 | D ]  D:\Musique
[26/11/2011 - 17:44:32 | SHD ]  D:\System Volume Information
[06/04/2012 - 19:12:06 | D ]  D:\Téléchargement
[06/04/2012 - 19:12:38 | D ]  D:\Video
[19/03/2012 - 21:02:33 | D ]  D:\Video2Brain.Formation.Complete.sur.Adobe.Flash.CS5
[18/04/2013 - 22:22:16 | D ]  F:\SanDisk
[18/04/2013 - 22:48:16 | D ]  F:\BIF listeler
[18/04/2013 - 22:48:18 | D ]  F:\BIF Logo & Resim
[18/04/2013 - 22:48:18 | D ]  F:\BIF yapilanma
[18/04/2013 - 22:46:46 | D ]  F:\Bolge Dis Iliskiler
[18/04/2013 - 22:46:46 | D ]  F:\Branding
[18/04/2013 - 22:46:46 | D ]  F:\BTBT
[18/04/2013 - 22:46:48 | D ]  F:\BYK
[18/04/2013 - 22:46:48 | D ]  F:\Calisma takvimleri
[18/04/2013 - 22:46:48 | D ]  F:\Charleroi
[18/04/2013 - 22:46:48 | D ]  F:\Diger
[18/04/2013 - 22:46:48 | D ]  F:\EMB
[18/04/2013 - 22:46:48 | D ]  F:\Formlar
[18/04/2013 - 22:46:48 | D ]  F:\GBYK-GSYK
[18/04/2013 - 22:47:06 | D ]  F:\Genel Merkez
[18/04/2013 - 22:47:10 | D ]  F:\Gorev dagilimlari
[18/04/2013 - 22:47:10 | D ]  F:\GSBT
[18/04/2013 - 22:47:12 | D ]  F:\Irsad & Egitim
[18/04/2013 - 22:58:40 | D ]  F:\Juridique
[18/04/2013 - 22:47:16 | D ]  F:\Lettres
[18/04/2013 - 22:47:16 | D ]  F:\Mali Dosya
[18/04/2013 - 22:47:16 | D ]  F:\Muhasebe Komisyonu
[18/04/2013 - 22:47:16 | D ]  F:\SBT
[18/04/2013 - 22:47:18 | D ]  F:\Tanitma
[18/04/2013 - 22:47:22 | D ]  F:\Universiteliler Birimi
[14/04/2013 - 10:49:28 | D ]  F:\Bolge muhasebe
[23/04/2013 - 17:06:16 | D ]  F:\Personel komisyonu
[10/05/2013 - 20:52:50 | D ]  F:\Kutuphane
[23/05/2013 - 12:50:10 | RSHD ]  F:\RECYCLER
[29/10/2009 - 20:37:56 | N | 45435]  F:\Data USER.exe
[04/01/2013 - 14:53:58 | RSHD ]  G:\RECYCLER

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |

juju666 · Answer

Salut ce PC est infecté de Conficker B

husnu · Answer

Merci juju mais comment doit on éradiquer ce virus?

juju666 · Answer

Télécharge ici : Load_KidoKiller (Kaspersky Labs & g3n-h@ckm@n)

Desactive tes protections

lance-le , clique sur lancer le nettoyage

l'outil va télécharger automatiquement la derniere version puis

le scan se lancera ensuite

à la fin Kido.txt se mettra sur ton bureau

Copie le contenu dans ta réponse.

husnu · Answer

J'ai effectué le scan qui a pris du temps et bizarrement je n'arrive pas à ouvrir le fichier kido.txt

juju666 · Answer

explique mieux stp ?

husnu · Answer

Je pense que c'est du au faite que le fichier soit trop grand et donc ca prend du temps....je t'envoi le fichier dès que possible

juju666 · Answer

ah ok
envoie-le sur cjoint.com alors

husnu · Answer

32 423 pages sur word lorsque je copie colle le fichier txt. Est ce normal???

juju666 · Answer

ne le met pas sur word ça fait peser des tonnes

je t'ai dit envoie le fichier txt sur cjoint.com et poste le lien obtenu en échange

husnu · Answer

j'ai essayé sur word car qd j'essai d'envoyer le fichier .txt sur cjoint.com je n'y arrive pas. Le fichier est trop gros. J'essaie sur le site free

juju666 · Answer

Pas sur word stp ...

Envoie ici : https://www.forums-fec.be/upload/
j'accepte les fichiers jusque 100 MO

husnu · Answer

http://dl.free.fr/getfile.pl?file=/cSYMslg5

voila je l'avais deja fait par free

juju666 · Answer

ouais mais chez free j'ai aucun débit de téléchargement (50 ko/sec) ... ça fait qu'il me faut 1h pour télécharger ce foutu rapport ! :/

husnu · Answer

Ca fait une heure que j'attend l'upload du fichier avec le site que tu me donne.... J'attends toujours..

juju666 · Answer

ah ouais mais je viens de piger pourquoi ça fonctionne pas, max 100 mo et le fichier fait 335.8Mo

bon je vais le prendre sur free tant pis

husnu · Answer

Toujours pas de news?

g3n-h@ckm@n · Answer

salut clic droit sur le rapport , envoyer vers => dossiers compressés, puis envoie l'archive ainsi crée via cjoint.com 
 
336Mo j'ai jamais vu ca....
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

husnu · Answer

Cijoint.com me dit que la taille max est de 8192 ko.

g3n-h@ckm@n · Answer

tu l'as compréssé ? essaie sur FEC Upload alors
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

husnu · Answer

Voila enfin j'ai pu l'uploader:
 	https://forums-fec.be/upload/www/?a=d&i=4758958001

g3n-h@ckm@n · Answer

oué ben il a viré conficker de la quarantine d usbfix lol ^^

husnu · Answer

pfff je comprend plus rien :(. A aucun moment ce virus a été viré de ma clé!

g3n-h@ckm@n · Answer

reesaaie une suppression avec usbfix en mode sans echec laisse tous tes ports usb branchés 

si tu peux supprime F:\UserData.exe

husnu · Answer

Ok je vais réessayer avec usbfixe.

Tu peux etre plus claire qd tu dis de supprimer F:\userdata.exe? Je le fait apres avoir fait un scan avec usbfixe?

g3n-h@ckm@n · Answer

avant

husnu · Answer

Bon voila. J'ai fait tourné deux fois usbfixe:

J'ai d'abord fait tourné usbfixe en mode sans échec

https://www.cjoint.com/c/CEEa3bzbEyB

Ensuite, j'ai supprimer manuellement dossier par dossier les dossier.exe et j'ai relancé une 2eme fois usbfixe:

https://www.cjoint.com/c/CEEa3BmrjTX

Pour le moment ces virus ne réapparait pas. J'espère que j'en serais débarrassé complétement!

g3n-h@ckm@n · Answer

hello

relance pre_scan (winlogon) clique sur diag et heberge le rapport et donne le lien

husnu · Answer

Salut,

Voila le diag: https://www.cjoint.com/c/CEElgWqfNjA

g3n-h@ckm@n · Answer

re

desinstalle Google Toolbar for Internet Explorer 

==

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[NeroFilterCheck]
[HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}]
[HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\APN PIP]     
[HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\Softonic] 
[HKLM\Software\ASK]     
[HKLM\Software\BrowserChoice]     
[HKLM\Software\PIP]     


File|Fold::
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} 
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} 
C:\Users\AUICE\Desktop\Kido.zip 
C:\Users\AUICE\Desktop\Kido.txt 
C:\Users\AUICE\Desktop\Kido - Copie.txt 
C:\Users\AUICE\AppData\Roaming\OpenCandy 
C:\ProgramData\Partner     
C:\windows\System32\Tasks\CreateChoiceProcessTask         

Clean::

MBR::

Reboot:: 
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

husnu · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0512 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

AUICE : Windows 7 Home Premium (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 12:30:20

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(1368) -- spoolsv.exe
(1564) -- armsvc.exe
(1692) -- NBService.exe
(1800) -- taskhost.exe
(1868) -- taskeng.exe
(1976) -- RichVideo.exe
(956) -- explorer.exe
(1472) -- WLIDSVC.EXE
(444) -- WCScheduler.exe
(2056) -- SSCKbdHk.exe
(2076) -- EasySpeedUpManager.exe
(2084) -- dmhkcore.exe
(2156) -- PrintIsolationHost.exe
(2376) -- WLIDSVCM.EXE
(2720) -- RtHDVCpl.exe
(2832) -- CLMLSvc.exe
(2856) -- igfxext.exe
(2912) -- igfxsrvc.exe
(3156) -- WUDFHost.exe
(3348) -- PDVD8Serv.exe
(3396) -- SynTPEnh.exe
(3696) -- SynTPHelper.exe
(3704) -- igfxtray.exe
(3720) -- hkcmd.exe
(3760) -- igfxpers.exe
(3800) -- acrotray.exe
(3912) -- jusched.exe
(3924) -- sidebar.exe
(3944) -- OctoshapeClient.exe
(2228) -- SearchIndexer.exe
(3620) -- wmpnetwk.exe
(2000) -- msiexec.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:NeroFilterCheck
Key Deleted : HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}
Key Deleted : HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\APN PIP
Key Deleted : HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\Software\Softonic
Key Deleted : HKLM\Software\ASK
Key Deleted : HKLM\Software\BrowserChoice
Key Deleted : HKLM\Software\PIP

¤

Folder Moved to quarantine successfully : |D| - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
Folder Moved to quarantine successfully : |D| - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
File Moved to quarantine successfully : |A| - C:\Users\AUICE\Desktop\Kido.zip
File Moved to quarantine successfully : |A| - C:\Users\AUICE\Desktop\Kido.txt
File Moved to quarantine successfully : |A| - C:\Users\AUICE\Desktop\Kido - Copie.txt
Folder Moved to quarantine successfully : |D| - C:\Users\AUICE\AppData\Roaming\OpenCandy
Folder Moved to quarantine successfully : |D| - C:\ProgramData\Partner
File Moved to quarantine successfully : |A| - C:\windows\System32\Tasks\CreateChoiceProcessTask

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer:	SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer:		Phoenix Technologies Ltd.
System Manufacturer:		SAMSUNG ELECTRONICS CO., LTD.
System Product Name:		R530/R730
Logical Drives Mask:		0x0000003c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601 Disk: TOSHIBA_ rev.GJ00 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll 
C:\windows\system32\DRIVERS\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
1 nt!IofCallDriver[0x8344BFCE] -> \Device\Harddisk0\DR0[0x8719C378]
3 CLASSPNP[0x8C66D59E] -> nt!IofCallDriver[0x8344BFCE] -> \Device\Ide\IAAStorageDevice-1[0x86358028]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV DS, AX; MOV ES, AX; MOV SS, AX; MOV SP, 0x7c00; MOV SI, SP; MOV DI, 0x600; MOV CX, 0x100; CLD ; REP MOVSW ; JMP FAR 0x60:0x1b;  }
user & kernel MBR OK 

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

FreeSpace : 98543

Cleaning disk...

FreeSpace : 98535

¤


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 12:30:52

g3n-h@ckm@n · Answer

scan à faire sur tous les disques :

 fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

husnu · Answer

Les fichier qu'il a détecté me paraisse non vulnérable:

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.30.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
AUICE :: CHARLEROIMG [administrateur]

Protection: Désactivé

30/05/2013 14:30:03
mbam-log-2013-05-30 (14-30-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 333814
Temps écoulé: 1 heure(s), 28 minute(s), 32 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 33
D:\Documents\Logiciel\SoftonicDownloader_pour_rising-antivirus.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ar\ar.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\de\de.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\en\en.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\es\es.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\fr\fr.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\he\he.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\it\it.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ja\ja.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\ko\ko.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application
l
l.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\pl\pl.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Preload\Preload.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\pt\pt.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_applicationuu.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ar\ar.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\de\de.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\es\es.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\fr\fr.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\he\he.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\it\it.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ja\ja.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\ko\ko.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater
l
l.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\pl\pl.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\pt\pt.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updateruu.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\zh-CN\zh-CN.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\zh-HK\zh-HK.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\Updater\zh-TW\zh-TW.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\zh-CN\zh-CN.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\zh-HK\zh-HK.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
F:\SanDisk\club_application\zh-TW\zh-TW.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

lol sauf que ca ressemble à mabezat 

et softonic, c'est comme 01net et telecharger.com , ils refourguent des adwares avec les programmes :)
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

husnu · Answer

Ah ben c'est toi l'expert :) Donc plus de virus?

g3n-h@ckm@n · Answer

tu confirmes que tu es en belgique ?

husnu · Answer

oui pq?

g3n-h@ckm@n · Answer

on va quand meme verifier tes navigateurs et ton host

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*. 
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

husnu · Answer

Salut,

Dsl pour le retard. Je ne sais pas si tu es encore là mais je te poste le rapport d'OTL:

https://www.cjoint.com/?CFdlhjUK94L

Extra:

https://www.cjoint.com/c/CFdlih004Ef

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
safari.exe
opera.exe
rundll32.exe

:services
eppvad_simple

:OTL
FF - user.js - File not found
O3 - HKU\S-1-5-21-3360321568-3577047653-1866379785-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

:Reg
[-HKEY_CURRENT_USER\Software\Net-Worm.Win32.Kido removing tool] 

:commands
[emptytemp]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

husnu · Answer

Dois je modifier la configuration en mettant l'option "tous" pour chaque paramètre?

g3n-h@ckm@n · Answer

non tu colles le texte et => correction , rien d'autre

husnu · Answer

Voici:

https://www.cjoint.com/?CFdmAvQXyeK

g3n-h@ckm@n · Answer

1 Go de gagné ^^

plus de soucis ?

husnu · Answer

Lol super! No plus de soucis merci pour tout :D

g3n-h@ckm@n · Answer

le ménage

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

husnu · Answer

Hackman tu es là?

g3n-h@ckm@n · Answer

oui je t'ai envoyé un ménage à faire au dessus

husnu · Answer

Oui merci mais j'ai un autre problème au faite :/

En faite je travail dans un bureau. Il y a 6 pc de bureau et il y a réseau dans notre bureau. Alors le problème est que le virus que j'avais dans ma clé usb se trouve également dans le réseau de notre bureau et cela a infecté tous les pc de bureau !!

J'espère que tu pourras m'aider??

g3n-h@ckm@n · Answer

il faut les isoler et les traiter un par un

husnu · Answer

Ah...à mon avis faudrait commencer par le pc principal? Mais le truc c'est que mon amis lance un scan avec Malwarebytes et ça ne résolu pas le problème. Je pense qu'il faudrait d'abord nettoyer le réseau?? C'est le dossier: \bifserver\public\BIF

g3n-h@ckm@n · Answer

ben non s'ils sont en reseau, à peine desinfectés il se réinfectent...

husnu · Answer

Tu serais m'aider à désinfecter tout ca?

juju666 · Answer

Salut,

Dans ce cas le mieux serait de prendre un informaticien réseau, nous sommes bénévoles, faut pas abuser ^^ aider à nettoyer un ordinateur personnel passe encore mais tout le réseau d'une entreprise ...
Je pense que dans le budget de ton entreprise il y a une partie réservée aux services informatiques ;)

A+

husnu · Answer

c'est une association...

juju666 · Answer

même si c'est sans but lucratif, y'a une comptabilité (simplifiée), avec l'état des recettes et des dépenses ;)

Dossier .exe

57 réponses

Votre réponse

Discussions similaires

Newsletters