Sujet Précédent Sujet Suivant

Cgaqyi.exe

Fermé
Utilisateur anonyme - 8 oct. 2013 à 20:20
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 10 oct. 2013 à 08:45
Bonjour,

Je travail actuellement dans une classe de BTS IRIS où la majorité des ordinateurs / machines virtuelles et clefs USB qui transitent son infectés par cgaqyi.exe + autorun à la racine des lecteurs, en tant que fichiers cachés. (Croyez-le ou non, je suis le seul à l'avoir remarqué).
Il n'y a pas d'anti virus sur les machines, ni sur les VM.

Un collègue m'a passé sa clef USB en cours pour que je lui copies un code source et sa clef a directement infecté la mienne qui était aussi branchée (Pendant le temps où sa clef était branchée il stressait à mort, genre la jambe qui tremble à mort et paf dès que je retire sa clef il se calme ... bon ...)
Donc je le crois forcément pour responsable, d'autant plus que c'est un redoublant, mais je n'ai rien dis maintenant que je sais quand il ment.

Donc mon antivirus (Comodo PF 2013) a tout bien détecté quand j'ai branché ma clef sur mon PC ce soir, mais je suspecte que l'infection se soit faite quand même car j'ai les même ralentissements que sur les VM infectées.

J'aimerais donc faire un petit check-up à ce sujet, merci d'avance.

6 réponses

Réponse 1 / 6
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
8 oct. 2013 à 21:27
Hello

Pourquoi pas :)

Par contre tu pourras passer usbfix sur les clés et ordinateurs de la classe ou pas?

Passe déjà sur ton pc

Recherche :
* Télécharge usbfix à partir du site officiel https://www.usb-antivirus.com/download/usbfix/
* Si le premier lien ne marche pas utilises le second https://www.commentcamarche.net/download/s/USBfix

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Au menu principal, clique sur "Recherche"

* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
0
Utilisateur anonyme
Modifié par DJ Fire-Black le 8/10/2013 à 23:22
Voilà :

Edit : Je ne suis pas sûr de pouvoir toucher à tous les PC, je ferais une requête à mon professeur mais bon ça n'a pas l'air de les déranger étant donné qu'ils ne mettent pas d'anti virus, pour eux il suffit de virtualiser et tout se passera bien dans le meilleur des mondes ... 

############################## | UsbFix V 7.144 | [Recherche]

Utilisateur: Root (Administrateur) # PCC-*******
Mis à jour le 08/10/2013 par El Desaparecido - Team SosVirus
Lancé à 23:06:59 | 08/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: https://www.usb-antivirus.com/fr/contact/

PC: Acer             (Aspire 5741G    )
CPU: Intel(R) Core(TM) i5 CPU       M 430  @ 2.27GHz
RAM -> [Total : 3959 | Free : 2460]
Bios: Acer            
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 8.0.7601.17514

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 285 Go (90 Go libre(s) - 32%) [Acer] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 58 Go (50 Go libre(s) - 86%) [******] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID 472 |ParentID 464)
C:\Windows\system32\wininit.exe (ID 540 |ParentID 464)
C:\Windows\system32\csrss.exe (ID 564 |ParentID 552)
C:\Windows\system32\services.exe (ID 612 |ParentID 540)
C:\Windows\system32\lsass.exe (ID 628 |ParentID 540)
C:\Windows\system32\lsm.exe (ID 636 |ParentID 540)
C:\Windows\system32\winlogon.exe (ID 668 |ParentID 552)
C:\Windows\system32\svchost.exe (ID 776 |ParentID 612)
C:\Program Files (x86)\Common Files\COMODO\launcher_service.exe (ID 840 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 872 |ParentID 612)
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (ID 972 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 128 |ParentID 612)
C:\Windows\system32\atiesrxx.exe (ID 456 |ParentID 612)
C:\Windows\System32\svchost.exe (ID 556 |ParentID 612)
C:\Windows\System32\svchost.exe (ID 744 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 384 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 1116 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 1152 |ParentID 612)
C:\Windows\system32\atieclxx.exe (ID 1256 |ParentID 456)
C:\Windows\system32\svchost.exe (ID 1428 |ParentID 612)
C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe (ID 1504 |ParentID 612)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID 1548 |ParentID 612)
C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (ID 1912 |ParentID 612)
C:\Windows\System32\tcpsvcs.exe (ID 1948 |ParentID 612)
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (ID 1972 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 1996 |ParentID 612)
C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (ID 1076 |ParentID 612)
C:\Windows\system32\Dwm.exe (ID 2304 |ParentID 744)
C:\Windows\Explorer.EXE (ID 2312 |ParentID 2280)
C:\Windows\system32\taskhost.exe (ID 2500 |ParentID 612)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID 2580 |ParentID 2312)
C:\Program Files\COMODO\COMODO Internet Security\cistray.exe (ID 2596 |ParentID 2312)
C:\Program Files\Windows Sidebar\sidebar.exe (ID 2604 |ParentID 2312)
C:\Program Files (x86)\VirtuaWin\VirtuaWin.exe (ID 2716 |ParentID 2312)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID 2756 |ParentID 2628)
C:\Program Files (x86)\VirtuaWin\modules\WinList.exe (ID 2912 |ParentID 2716)
C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (ID 2272 |ParentID 612)
C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID 3496 |ParentID 2596)
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe (ID 1836 |ParentID 3912)
C:\Windows\system32\sppsvc.exe (ID 4688 |ParentID 612)
C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe (ID 3404 |ParentID 776)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID 2160 |ParentID 2312)
C:\Windows\System32\WUDFHost.exe (ID 4924 |ParentID 744)
C:\Windows\system32\wbem\wmiprvse.exe (ID 2476 |ParentID 776)
C:\Windows\system32\csrss.exe (ID 3780 |ParentID 5080)
C:\Windows\system32\winlogon.exe (ID 4308 |ParentID 5080)
C:\Windows\system32\atieclxx.exe (ID 2976 |ParentID 456)
C:\Windows\system32\taskhost.exe (ID 3776 |ParentID 612)
C:\Windows\system32\Dwm.exe (ID 3876 |ParentID 744)
C:\Windows\Explorer.EXE (ID 1564 |ParentID 4160)
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe (ID 4500 |ParentID 1564)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID 4348 |ParentID 1564)
C:\Program Files\COMODO\COMODO Internet Security\cistray.exe (ID 3484 |ParentID 1564)
C:\Program Files (x86)\VirtuaWin\VirtuaWin.exe (ID 2492 |ParentID 1564)
C:\Program Files (x86)\Comodo\GeekBuddy\unit_manager.exe (ID 3700 |ParentID 840)
C:\Program Files (x86)\VirtuaWin\modules\WinList.exe (ID 352 |ParentID 2492)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID 1764 |ParentID 4520)
C:\Program Files (x86)\Comodo\GeekBuddy\unit.exe (ID 3648 |ParentID 3700)
C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID 3760 |ParentID 3484)
C:\UsbFix\Go.exe (ID 4060 |ParentID 596)
C:\Windows\system32\wbem\wmiprvse.exe (ID 4860 |ParentID 776)
C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe (ID 3056 |ParentID 612)
C:\Windows\system32\svchost.exe (ID 2276 |ParentID 3056)
C:\Windows\system32\svchost.exe (ID 4140 |ParentID 3056)
C:\Program Files (x86)\Common Files\COMODO\launcher_service.exe (ID 3396 |ParentID 3056)

################## | Regedit Run |

HKLM\SOFTWARE | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
HKLM\SOFTWARE\wow6432Node | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3628178639-1830250070-3253270021-1000\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Éléments infectieux |

Présent! E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Présent! E:\autorun.inf
Présent! E:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |
0
Utilisateur anonyme
8 oct. 2013 à 23:25
Je voudrais aussi signaler que le périphérique GoGear Vibe n'a pas l'air d'être reconnu par UsbFix, mais bon il ne devrait pas être infecté.
0
Réponse 2 / 6
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
9 oct. 2013 à 07:27
Ok passe à la suppression
0
Utilisateur anonyme
9 oct. 2013 à 14:09 
############################## | UsbFix V 7.144 | [Suppression]

Utilisateur: Root (Administrateur) # PCC-*******
Mis à jour le 08/10/2013 par El Desaparecido - Team SosVirus
Lancé à 13:59:45 | 09/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: https://www.usb-antivirus.com/fr/contact/

PC: Acer             (Aspire 5741G    )
CPU: Intel(R) Core(TM) i5 CPU       M 430  @ 2.27GHz
RAM -> [Total : 3959 | Free : 2280]
Bios: Acer            
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 8.0.7601.17514

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 285 Go (91 Go libre(s) - 32%) [Acer] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 58 Go (50 Go libre(s) - 86%) [**********] # NTFS

################## | Regedit Run |

HKLM\SOFTWARE | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
HKLM\SOFTWARE\wow6432Node | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3628178639-1830250070-3253270021-1000\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Processus Stoppés |

Stoppé! C:\Windows\System32\WUDFHost.exe (ID 2384 |ParentID 744)
Stoppé! C:\Program Files\TortoiseSVN\bin\TSVNCache.exe (ID 4568 |ParentID 2312)
Stoppé! C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID 3440 |ParentID 612)
Stoppé! C:\Windows\system32\sppsvc.exe (ID 3784 |ParentID 612)
Stoppé! C:\Program Files\COMODO\COMODO Internet Security\cistray.exe (ID 3876 |ParentID 2312)
Stoppé! C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (ID 1104 |ParentID 612)
Stoppé! C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID 1296 |ParentID 3876)
Stoppé! C:\Windows\system32\taskeng.exe (ID 2860 |ParentID 384)
Stoppé! C:\Windows\servicing\TrustedInstaller.exe (ID 1828 |ParentID 612)
Stoppé! C:\Windows\system32\taskhost.exe (ID 3956 |ParentID 612)
Stoppé! C:\Program Files\TortoiseSVN\bin\TSVNCache.exe (ID 4544 |ParentID 3012)
Stoppé! C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID 5028 |ParentID 3012)
Stoppé! C:\Program Files\COMODO\COMODO Internet Security\cistray.exe (ID 460 |ParentID 3012)
Stoppé! C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID 3384 |ParentID 1868)
Stoppé! C:\Program Files (x86)\VirtuaWin\VirtuaWin.exe (ID 3764 |ParentID 3012)
Stoppé! C:\Program Files (x86)\VirtuaWin\modules\WinList.exe (ID 4740 |ParentID 3764)
Stoppé! C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe (ID 5080 |ParentID 776)
Stoppé! C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID 5040 |ParentID 460)

################## | Éléments infectieux |

Non supprimé ! E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Non supprimé ! E:\autorun.inf
Non supprimé ! E:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Listing |

[01/10/2013 - 22:55:09 | DC ] 	C:\$INPLACE.~TR
[21/11/2010 - 04:51:03 | SHD ] 	C:\$Recycle.Bin
[02/10/2013 - 00:47:19 | DC ] 	C:\$WINDOWS.~Q
[30/06/2011 - 00:44:38 | DC ] 	C:\97cb64bc7de107da81b2953e906599f8
[04/08/2013 - 18:08:26 | DC ] 	C:\Adobe CS4
[24/07/2013 - 15:58:49 | DC ] 	C:\AMD
[09/10/2013 - 13:53:27 | RASHD ] 	C:\Autorun.inf
[04/10/2013 - 14:34:56 | D ] 	C:\backup cle
[06/05/2010 - 14:03:18 | RASC | 8192] 	C:\BOOTSECT.BAK
[06/10/2013 - 18:51:00 | D ] 	C:\cmd
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[28/09/2013 - 11:37:06 | DC ] 	C:\Films
[01/10/2013 - 19:48:27 | DC ] 	C:\gods
[12/06/2013 - 20:56:19 | DC ] 	C:\hexeit
[08/10/2013 - 19:56:15 | ASH | 3113254912] 	C:\hiberfil.sys
[05/08/2013 - 08:14:29 | DC ] 	C:\Java
[11/02/2012 - 02:23:33 | C | 469237760] 	C:\kernel.etl
[02/12/2006 - 00:37:14 | C | 904704] 	C:\msdia80.dll
[06/02/2013 - 21:01:50 | DC ] 	C:\MyWinLockerData
[25/12/2010 - 21:31:36 | D ] 	C:\OEM
[08/10/2013 - 19:56:20 | ASH | 4294967296] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[16/09/2013 - 22:15:37 | C | 46] 	C:\plugin_Call of Duty Configuration Plugin.cfg
[16/09/2013 - 22:15:37 | C | 48] 	C:\plugin_Multi Messenger Plugin.cfg
[16/09/2013 - 22:15:37 | C | 46] 	C:\plugin_Simple FTP Client.cfg
[06/02/2013 - 21:03:14 | D ] 	C:\Prey
[05/10/2013 - 00:57:18 | D ] 	C:\Program Files
[01/10/2013 - 23:37:55 | D ] 	C:\Program Files (x86)
[02/10/2013 - 18:53:58 | HD ] 	C:\ProgramData
[01/04/2013 - 20:41:32 | DC ] 	C:\Python32
[02/10/2013 - 06:06:51 | D ] 	C:\Recovery
[06/10/2013 - 14:23:56 | SHD ] 	C:\System Volume Information
[04/11/2012 - 20:25:02 | DC ] 	C:\TYPSoft FTP Server
[30/11/2012 - 21:26:47 | DC ] 	C:\UrbanTerror42
[09/10/2013 - 14:01:14 | D ] 	C:\UsbFix
[09/10/2013 - 14:02:59 | A | 5521] 	C:\UsbFix [Clean 1] PCC-SYLVAIN.txt
[08/10/2013 - 23:17:57 | N | 6831] 	C:\UsbFix [Scan 1] PCC-SYLVAIN.txt
[02/10/2013 - 20:04:22 | RD ] 	C:\Users
[06/10/2013 - 18:51:50 | D ] 	C:\VCTEMP
[21/09/2013 - 13:48:06 | DC ] 	C:\Virtual Disks
[07/06/2013 - 23:22:23 | D ] 	C:\vlc-2.0.7
[14/09/2013 - 13:37:51 | DC ] 	C:\VritualRoot
[21/09/2013 - 15:38:36 | DC ] 	C:\VTRoot
[01/10/2013 - 19:48:01 | DC ] 	C:\wamp
[04/10/2013 - 13:07:21 | D ] 	C:\Windows
[14/04/2008 - 14:00:00 | RASH | 59326] 	E:\autorun.inf
[04/10/2013 - 13:54:07 | D ] 	E:\Backups
[27/09/2013 - 12:24:48 | D ] 	E:\Documents
[04/10/2013 - 13:57:16 | D ] 	E:\Films
[04/10/2013 - 15:16:36 | D ] 	E:\game
[08/10/2013 - 14:40:40 | RSHD ] 	E:\RECYCLER
[05/10/2013 - 01:00:00 | D ] 	E:\Sources

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |

Je pense avoir un soucis avec mon antivirus, je crois qu'il continue à bloquer les fichiers même s'il est désactivé ...
0
Réponse 3 / 6
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
9 oct. 2013 à 14:12
Effectivement y a un problème

Je me renseigne
0
Réponse 4 / 6
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par moska le 18/11/2013 à 00:13
salut faudrait relancer la suppression en mode sans echec

¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤
Attention ne télécharger les programmes uniquement que sur le site de l'éditeur......
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Utilisateur anonyme
9 oct. 2013 à 16:02 
############################## | UsbFix V 7.144 | [Suppression]

Utilisateur: Root (Administrateur) # PCC-*******
Mis à jour le 08/10/2013 par El Desaparecido - Team SosVirus
Lancé à 15:48:13 | 09/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: https://www.usb-antivirus.com/fr/contact/

PC: Acer             (Aspire 5741G    )
CPU: Intel(R) Core(TM) i5 CPU       M 430  @ 2.27GHz
RAM -> [Total : 3959 | Free : 3209]
Bios: Acer            
Boot: Fail-safe boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 8.0.7601.17514

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: COMODO Antivirus [Enabled | Updated]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 285 Go (91 Go libre(s) - 32%) [Acer] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 58 Go (50 Go libre(s) - 86%) [**********] # NTFS

################## | Regedit Run |

HKLM\SOFTWARE | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
HKLM\SOFTWARE\wow6432Node | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Processus Stoppés |

Stoppé! C:\Windows\system32\ctfmon.exe (ID 320 |ParentID 284)
Stoppé! C:\Program Files\TortoiseSVN\bin\TSVNCache.exe (ID 344 |ParentID 284)

################## | Éléments infectieux |

Non supprimé ! E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Non supprimé ! E:\autorun.inf
Non supprimé ! E:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Listing |

[01/10/2013 - 22:55:09 | DC ] 	C:\$INPLACE.~TR
[21/11/2010 - 04:51:03 | SHD ] 	C:\$Recycle.Bin
[02/10/2013 - 00:47:19 | DC ] 	C:\$WINDOWS.~Q
[30/06/2011 - 00:44:38 | DC ] 	C:\97cb64bc7de107da81b2953e906599f8
[04/08/2013 - 18:08:26 | DC ] 	C:\Adobe CS4
[24/07/2013 - 15:58:49 | DC ] 	C:\AMD
[09/10/2013 - 14:02:59 | RASHD ] 	C:\Autorun.inf
[04/10/2013 - 14:34:56 | D ] 	C:\backup cle
[06/05/2010 - 14:03:18 | RASC | 8192] 	C:\BOOTSECT.BAK
[09/10/2013 - 15:35:15 | D ] 	C:\cmd
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[28/09/2013 - 11:37:06 | DC ] 	C:\Films
[01/10/2013 - 19:48:27 | DC ] 	C:\gods
[12/06/2013 - 20:56:19 | DC ] 	C:\hexeit
[09/10/2013 - 15:46:31 | ASH | 3113254912] 	C:\hiberfil.sys
[05/08/2013 - 08:14:29 | DC ] 	C:\Java
[11/02/2012 - 02:23:33 | C | 469237760] 	C:\kernel.etl
[02/12/2006 - 00:37:14 | C | 904704] 	C:\msdia80.dll
[06/02/2013 - 21:01:50 | DC ] 	C:\MyWinLockerData
[25/12/2010 - 21:31:36 | D ] 	C:\OEM
[09/10/2013 - 15:46:37 | ASH | 4294967296] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[16/09/2013 - 22:15:37 | C | 46] 	C:\plugin_Call of Duty Configuration Plugin.cfg
[16/09/2013 - 22:15:37 | C | 48] 	C:\plugin_Multi Messenger Plugin.cfg
[16/09/2013 - 22:15:37 | C | 46] 	C:\plugin_Simple FTP Client.cfg
[06/02/2013 - 21:03:14 | D ] 	C:\Prey
[05/10/2013 - 00:57:18 | D ] 	C:\Program Files
[01/10/2013 - 23:37:55 | D ] 	C:\Program Files (x86)
[02/10/2013 - 18:53:58 | HD ] 	C:\ProgramData
[01/04/2013 - 20:41:32 | DC ] 	C:\Python32
[02/10/2013 - 06:06:51 | D ] 	C:\Recovery
[06/10/2013 - 14:23:56 | SHD ] 	C:\System Volume Information
[04/11/2012 - 20:25:02 | DC ] 	C:\TYPSoft FTP Server
[30/11/2012 - 21:26:47 | DC ] 	C:\UrbanTerror42
[09/10/2013 - 15:52:21 | D ] 	C:\UsbFix
[09/10/2013 - 14:02:59 | N | 6498] 	C:\UsbFix [Clean 1] PCC-SYLVAIN.txt
[09/10/2013 - 15:53:31 | A | 4159] 	C:\UsbFix [Clean 2] PCC-SYLVAIN.txt
[08/10/2013 - 23:17:57 | N | 6831] 	C:\UsbFix [Scan 1] PCC-SYLVAIN.txt
[02/10/2013 - 20:04:22 | RD ] 	C:\Users
[09/10/2013 - 15:35:15 | D ] 	C:\VCTEMP
[21/09/2013 - 13:48:06 | DC ] 	C:\Virtual Disks
[07/06/2013 - 23:22:23 | D ] 	C:\vlc-2.0.7
[14/09/2013 - 13:37:51 | DC ] 	C:\VritualRoot
[21/09/2013 - 15:38:36 | DC ] 	C:\VTRoot
[01/10/2013 - 19:48:01 | DC ] 	C:\wamp
[04/10/2013 - 13:07:21 | D ] 	C:\Windows
[14/04/2008 - 14:00:00 | RASH | 59326] 	E:\autorun.inf
[04/10/2013 - 13:54:07 | D ] 	E:\Backups
[27/09/2013 - 12:24:48 | D ] 	E:\Documents
[04/10/2013 - 13:57:16 | D ] 	E:\Films
[04/10/2013 - 15:16:36 | D ] 	E:\game
[08/10/2013 - 14:40:40 | RSHD ] 	E:\RECYCLER
[05/10/2013 - 01:00:00 | D ] 	E:\Sources

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |

ça n'a pas l'air mieux ...
Je crois que je vais sauver mes données, formatter, re-copier et ensuite mettre le vaccin.
0
Réponse 6 / 6
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par moska le 18/11/2013 à 00:14
tente ceci :

http://www.security-helpzone.com/gen-hackman/pre_scan-2/canned-speech/

¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤
Attention ne télécharger les programmes uniquement que sur le site de l'éditeur......
0