Virus iTunesHelper clé USB Résolu/Fermé

Question

Bonjour à tous.

Je me permet de poster un nouveau message car ma clé USB est infectée par le virus iTunesHelper (qui transforme tout les fichiers en raccourcis). Mon ordinateur est aussi infecté par ce même virus.

J'ai lu dans un précédent post ce qu'il fallait faire notamment avec USBFIX que j'ai installé par conséquent sur mon ordinateur (https://forums.commentcamarche.net/forum/affich-29062554-virus-ituneshelper-raccourcis-cle-usb

Je vous transmet mes rapports.

Merci d'avance pour vos réponses.

Malekal_morte- · Answer

Salut,

ok :)
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

vvAtemvv · Answer

Salut.

Merci pour tes conseils Malekal_morte, cependant j'ai un problème lors de la recherche avec UsbFix.

En effet, après avoir suivi toutes les recommandations (désactiver provisoirement l'antivirus (avira dans mon cas) et désactiver l'autorun), lors du scan de UsbFix, ce dernier "s'arrête"...fin ça me marque "Ne réponds pas". Du coup, je suis obliger d'éteindre à l'aide du bouton d'arrêt mon ordinateur car je ne peut plus rien faire.

J'ai essayer plusieurs fois et c'est la même chose à chaque fois ça bloque sur 26%. Pourtant je ne touche à rien et j'attends pour voir si ça repart, mais non.

Si quelqu'un pourrait me dire comment débloquer ce problème.

Sur ceux, 
Bon week-end.

Malekal_morte- · Answer

ok,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

vvAtemvv · Answer

Voici le lien pour le rapport OTL :

https://pjjoint.malekal.com/files.php?id=20131207_k12o5u6s13v7

et celui pour le rapport Extras :

https://pjjoint.malekal.com/files.php?id=20131207_g5p7w14o6p15

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001..\Run: [iTunesHelper] wscript.exe //B C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe File not found  
O4 - Startup: C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
:Commands
[reboot]


Le PC va redémarrer tout seul.


Refais un scan OTL et donne le rapport.

vvAtemvv · Answer

J'ai eu deux rapports, les voici :


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183



et le deuxième :


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799
[LocalizedFileNames]
CyberLink Media Suite.lnk=@C:\PROGRA~2\CYBERL~1\MEDIAS~1\MUITRA~1\PSEnvRes.dll,-110


Pour le scan OTL, je fais comme la dernière fois (je copie-colle le même script dans personnalisation) ?

¡El Desaparecido! · Answer

Hello,

Désinstalles ta version de UsbFix puis télécharge la dernière : 

 
# Télécharge UsbFix sur ton Bureau.
# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double clique sur UsbFix.exe.  
# Clique sur Suppression.


# Laisse travailler l'outil. 
# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix [Clean ?] Nom de l'ordinateur.txt ).

( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller ) 

# Tutoriel en images

vvAtemvv · Answer

Salut.

Normalement c'est déjà la dernière version de UsbFix que j'ai. Je veut bien essayer de faire ce que tu m'as écrit mais le problème est que je n'ai pas finis le travail avec OTL (voir ci-dessus). De plus, les scannes que j'avais lancé avant avec UsbFix ce sont tous arrêtés en cours de route ("Ne répond pas"), ça ne risque pas de faire la même chose en lançant la suppression directement ? 

Merci.

¡El Desaparecido! · Answer

Normalement c'est déjà la dernière version de UsbFix que j'ai

Une nouvelle version est sortie hier soir ;) 

Laisse OTL de coté et passe la nouvelle version de UsbFix en mode suppression directement

vvAtemvv · Answer

Autant pour moi =)

Je vais faire ça.

vvAtemvv · Answer

Bon pas de rapport...la suppression c'est arrêté comme pour le scanne. Ça met "Ne répond pas". Pourtant j'ai désactivé l'antivirus et l'autorun.

¡El Desaparecido! · Answer

Bon pas de rapport...la suppression c'est arrêté comme pour le scanne. Ça met "Ne répond pas". Pourtant j'ai désactivé l'antivirus et l'autorun.

A quel pourcentage ça s'est arrêté stp ?

vvAtemvv · Answer

Là ça c'est arrêté à 16% si je me souviens bien. Avec le scanne ça s'arrêtait toujours à 26%. Mais dans tous les cas ça s'arrête lorsqu'il arrive sur le virus.

¡El Desaparecido! · Answer

merde c'est pire qu'avant ^^ 

^^

C'est la recherche MD5 , C'est peut être du à la taille du fichier ( ituneshelper.vbe .. ) 

VVaTemvv, relance UsbFix et choisis l'option listing stp avec clé usb connectées et post le rapport.

vvAtemvv · Answer

¡El Desaparecido! · Answer

Avec ta clé USB F connectée : 

Relance OTL. 
Sous Persfonnalisation (Custom Scan), copie-colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL O4 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001..\Run: [iTunesHelper] wscript.exe //B C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe File not found O4 - Startup: C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe () :files C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbeC:\Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbeF:\*.lnk F:\*.vbe:Commands [emptytemp] [emptyflash] [reboot]

Redemarre le pc sous windows et poste le rapport dans ta prochaine réponse.
Le rapport est sauvegardé sous C:\_OTL\MovedFiles\date_heure.log

vvAtemvv · Answer

Voilà le rapport : 

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-334296882-3646848743-4187594378-1001\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe moved successfully.
========== FILES ==========
File\Folder C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe not found.
File move failed. C:\Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe scheduled to be moved on reboot.
F:\.lnk moved successfully.
F:\G7.lnk moved successfully.
F:\PAP - FPE.lnk moved successfully.
F:\hungergames.lnk moved successfully.
F:\Musique.lnk moved successfully.
F:\Semestre 3.lnk moved successfully.
F:\Université.lnk moved successfully.
F:\Vélo.lnk moved successfully.
F:\Job.lnk moved successfully.
F:\Cours Histoire de l'analyse économique.lnk moved successfully.
F:\Cours à imprimer.lnk moved successfully.
F:\iTunesHelper.vbe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Valentin B
->Temp folder emptied: 69824213 bytes
->Temporary Internet Files folder emptied: 33271 bytes
->Java cache emptied: 372201 bytes
->FireFox cache emptied: 200784336 bytes
->Flash cache emptied: 2131 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2601120 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 261,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Public
 
User: UpdatusUser
 
User: Valentin B
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12112013_135332

Files\Folders moved on Reboot...
C:\Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe moved successfully.
File\Folder C:\Users\Valentin B\AppData\Local\Temp\OICE_E0776DD8-E277-45DF-A33D-D945EFB1F119.0\1DB10BAF. not found!
File\Folder C:\Users\Valentin B\AppData\Local\Temp\OICE_131FD3A9-2C7E-40F1-A372-7C63D1F06426.0\D0DE64A0. not found!
C:\Users\Valentin B\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Valentin B\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

¡El Desaparecido! · Answer

Connecte ta clé usb F et Ouvre la commande CMD : 

Menu démarrer -> accessoire -> invite de commande.
Fais un clic droit sur invite de commande et choisis exécuter en tant qu'administrateur .

Dans la fenêtre noire qui s'est ouverte copie colle ceci : 

attrib -r -s -h -a "F:\*" /s /d

Vérifie ensuite le contenu de ta clé USB F stp

vvAtemvv · Answer

Après deux-trois essais, j'ai vu sur ma clé USB les fichiers initiaux sans virus mais au bout de quelques secondes ils disparaissent et il ne reste plus que les fichiers raccourcis. 

Il y avait en gros sur ma clé USB les fichiers infectés (raccourcis) et les fichiers initiaux non infectés. 

En répétant l'opération, il ne reste plus que les fichiers raccourcis à chaque fois. On trouve également un fichier de script (virus) que d'habitude on ne voit pas.

Malekal_morte- · Answer

Menu Démarrer / tape regedit et OK.
A gauche, Déroule l'arborescence suivante en cliquant sur les plus : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled 
Dans la partie droite, clic droit puis valeur chained
tape Enabled et entrée
double-clic et mets 0 comme valeur

pour avoir comme là :



Redémarre le PC, normalement tu dois avoir un message d'erreur qui dit que Windows Script Hosts n'est pas autorisé.

Recommence la correction OTL et nettoyage clef USB.

vvAtemvv · Answer

J'ai bien fait l'opération avec regedit mais au redémarrage de l'ordinateur je n'ai pas eu de message d'erreur.

Ci-dessous le rapport OTL correction :

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-334296882-3646848743-4187594378-1001\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe moved successfully.
========== FILES ==========
File\Folder C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe not found.
File move failed. C:\Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe scheduled to be moved on reboot.
F:\.lnk moved successfully.
F:\G7.lnk moved successfully.
F:\PAP - FPE.lnk moved successfully.
F:\hungergames.lnk moved successfully.
F:\Cours Histoire de l'analyse économique.lnk moved successfully.
F:\Université.lnk moved successfully.
F:\Musique.lnk moved successfully.
F:\Vélo.lnk moved successfully.
F:\Semestre 3.lnk moved successfully.
F:\Job.lnk moved successfully.
F:\Cours à imprimer.lnk moved successfully.
F:\iTunesHelper.vbe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Valentin B
->Temp folder emptied: 69559145 bytes
->Temporary Internet Files folder emptied: 2754 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 142669612 bytes
->Flash cache emptied: 1204 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12142 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 202,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Public
 
User: UpdatusUser
 
User: Valentin B
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12112013_194947

Files\Folders moved on Reboot...
C:\Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe moved successfully.
File\Folder C:\Users\Valentin B\AppData\Local\Temp\OICE_E0776DD8-E277-45DF-A33D-D945EFB1F119.0\1DB10BAF. not found!
File\Folder C:\Users\Valentin B\AppData\Local\Temp\OICE_131FD3A9-2C7E-40F1-A372-7C63D1F06426.0\D0DE64A0. not found!
C:\Users\Valentin B\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Valentin B\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

vvAtemvv · Answer

La suppression avec UsbFix a encore échouée.

¡El Desaparecido! · Answer

Essai cette ancienne version de UsbFix pour voir : http://www.sosvirus.net/partage/UsbFix.exe

vvAtemvv · Answer

Ah ah ah !!!!

Enfin...

Bon alors, j'ai essayé avec l'ancienne version de UsbFix et même chose ça s'est arrêté.

Du coup, comme je suis arrivé à mon appartement pour passer mes examens de fin de semestre et que j'ai une meilleure connexion internet ici, j'ai décidé de tout reprendre à zéro.

Pour cela,
j'ai désinstallé l'ancienne version de UsbFix que je venais d'installer pour réinstaller la nouvelle,
j'ai désinstallé Malwarebytes (si jamais ça pouvait bloquer quelque chose), désactivé l'antivirus,
et ta dam !

############################## | UsbFix V 7.153 | [Recherche]

Utilisateur: Valentin B (Administrateur) # VALENTINB-PC
Mis à jour le 09/12/2013 par El Desaparecido - Team SosVirus
Lancé à 16:55:00 | 12/12/2013

Site Web : https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/

PC: ASUSTeK Computer Inc. (K53SD)
CPU: Intel(R) Pentium(R) CPU B960 @ 2.20GHz
RAM -> [Total : 5920 | Free : 2915]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16476
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 186 Go (128 Go libre(s) - 69%) [OS] # NTFS
D:\ -> Disque fixe # 254 Go (254 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (1 Go libre(s) - 37%) [USB DISK] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 460 |ParentID: 452)
C:\Windows\system32\wininit.exe (ID: 532 |ParentID: 452)
C:\Windows\system32\csrss.exe (ID: 548 |ParentID: 524)
C:\Windows\system32\services.exe (ID: 592 |ParentID: 532)
C:\Windows\system32\lsass.exe (ID: 608 |ParentID: 532)
C:\Windows\system32\lsm.exe (ID: 616 |ParentID: 532)
C:\Windows\system32\winlogon.exe (ID: 644 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 760 |ParentID: 592)
C:\Windows\system32
vvsvc.exe (ID: 832 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 872 |ParentID: 592)
C:\Windows\System32\svchost.exe (ID: 936 |ParentID: 592)
C:\Windows\System32\svchost.exe (ID: 1000 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 108 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 376 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 1100 |ParentID: 592)
C:\Windows\system32\FBAgent.exe (ID: 1220 |ParentID: 592)
C:\Windows\system32\WLANExt.exe (ID: 1212 |ParentID: 1000)
C:\Windows\system32\conhost.exe (ID: 1228 |ParentID: 460)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe (ID: 1252 |ParentID: 592)
C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe (ID: 1316 |ParentID: 592)
C:\Program Files\NVIDIA Corporation\Display
vxdsync.exe (ID: 1428 |ParentID: 832)
C:\Windows\system32
vvsvc.exe (ID: 1440 |ParentID: 832)
C:\Windows\System32\spoolsv.exe (ID: 1500 |ParentID: 592)
C:\Windows\system32	askeng.exe (ID: 1548 |ParentID: 376)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (ID: 1568 |ParentID: 592)
C:\Program Files (x86)\ASUS\FaceLogon\smartlogon.exe (ID: 1640 |ParentID: 956)
C:\Windows\system32\svchost.exe (ID: 1688 |ParentID: 592)
C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe (ID: 1904 |ParentID: 592)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (ID: 1932 |ParentID: 592)
C:\Program Files (x86)\ASUS\InstantOn for NB\InsOnSrv.exe (ID: 1956 |ParentID: 592)
C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe (ID: 2020 |ParentID: 592)
C:\Program Files\Intel\WiFi\bin\EvtEng.exe (ID: 1068 |ParentID: 592)
C:\Program Files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe (ID: 1468 |ParentID: 592)
C:\Program Files (x86)\MyPublicWiFi\PublicWiFiService.exe (ID: 2088 |ParentID: 592)
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (ID: 2156 |ParentID: 592)
C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (ID: 2400 |ParentID: 592)
C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe (ID: 2456 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 2536 |ParentID: 592)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2612 |ParentID: 592)
C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (ID: 2664 |ParentID: 592)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2724 |ParentID: 2612)
C:\Windows\system32\wbem\unsecapp.exe (ID: 2888 |ParentID: 760)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2932 |ParentID: 760)
C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (ID: 1604 |ParentID: 592)
C:\Windows\system32	askhost.exe (ID: 3100 |ParentID: 592)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe (ID: 3124 |ParentID: 1252)
C:\Program Files (x86)\ASUS\InstantOn for NB\InsOnWMI.exe (ID: 3168 |ParentID: 1956)
C:\Windows\system32\Dwm.exe (ID: 3264 |ParentID: 1000)
C:\Windows\Explorer.EXE (ID: 3296 |ParentID: 3232)
C:\Windows\system32	askeng.exe (ID: 3304 |ParentID: 376)
C:\Program Files (x86)\ASUS\Splendid\ACMON.exe (ID: 3408 |ParentID: 1220)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe (ID: 3472 |ParentID: 3124)
C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe (ID: 3480 |ParentID: 3304)
C:\Windows\system32	askeng.exe (ID: 3504 |ParentID: 376)
C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (ID: 3516 |ParentID: 592)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe (ID: 3540 |ParentID: 3124)
C:\Windows\SysWOW64\ACEngSvr.exe (ID: 3560 |ParentID: 760)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe (ID: 3596 |ParentID: 3124)
C:\Windows\AsScrPro.exe (ID: 3748 |ParentID: 1220)
C:\Program Files\ASUS\P4G\BatteryLife.exe (ID: 3772 |ParentID: 3504)
C:\Program Files (x86)\ASUS\FaceLogon\sensorsrv.exe (ID: 3800 |ParentID: 3504)
C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe (ID: 3816 |ParentID: 3504)
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (ID: 3256 |ParentID: 1220)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 3368 |ParentID: 1220)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (ID: 4020 |ParentID: 1932)
C:\Program Files\NVIDIA Corporation\Display
vtray.exe (ID: 3936 |ParentID: 1428)
C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE (ID: 3984 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 3940 |ParentID: 592)
C:\Windows\system32\svchost.exe (ID: 4264 |ParentID: 592)
C:\Windows\servicing\TrustedInstaller.exe (ID: 4436 |ParentID: 592)
C:\Windows\System32undll32.exe (ID: 4444 |ParentID: 760)
C:\Windows\System32\igfxtray.exe (ID: 4724 |ParentID: 3296)
C:\Windows\System32\hkcmd.exe (ID: 4732 |ParentID: 3296)
C:\Program Files\Elantech\ETDCtrl.exe (ID: 4748 |ParentID: 3296)
C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe (ID: 4756 |ParentID: 3296)
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (ID: 4800 |ParentID: 3296)
C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe (ID: 4832 |ParentID: 3296)
C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe (ID: 4860 |ParentID: 3296)
C:\Windows\System32\StikyNot.exe (ID: 4900 |ParentID: 3296)
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe (ID: 4924 |ParentID: 3296)
C:\Windows\System32\wscript.exe (ID: 4952 |ParentID: 3296)
C:\Windows\system32\SearchIndexer.exe (ID: 5064 |ParentID: 592)
C:\Program Files\Elantech\ETDCtrlHelper.exe (ID: 4700 |ParentID: 4748)
C:\Program Files (x86)\ASUS\ASUS Sonic Focus\SonicFocusTray.exe (ID: 4852 |ParentID: 5072)
C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe (ID: 3512 |ParentID: 5072)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe (ID: 1376 |ParentID: 5072)
C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe (ID: 1676 |ParentID: 5072)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (ID: 4504 |ParentID: 5072)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 4452 |ParentID: 5072)
C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (ID: 3416 |ParentID: 5072)
C:\Windows\System32\svchost.exe (ID: 5256 |ParentID: 592)
C:\Windows\system32\wbem\unsecapp.exe (ID: 5268 |ParentID: 760)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 5548 |ParentID: 760)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 5724 |ParentID: 592)
C:\Windows\system32\DllHost.exe (ID: 6028 |ParentID: 760)
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (ID: 800 |ParentID: 592)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 5792 |ParentID: 3296)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 1460 |ParentID: 592)
C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (ID: 5920 |ParentID: 592)
C:\Windows\system32\sppsvc.exe (ID: 6016 |ParentID: 592)
C:\Windows\System32\svchost.exe (ID: 1948 |ParentID: 592)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 1920 |ParentID: 592)
\?\C:\Windows\system32\wbem\WMIADAP.EXE (ID: 5168 |ParentID: 376)
C:\UsbFix\Go.exe (ID: 2508 |ParentID: 2624)
C:\Windows\System32\WUDFHost.exe (ID: 5468 |ParentID: 1000)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Nuance PDF Reader-reminder] - "C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini"
04 - HKLM\SOFTWARE | Run : [ASUSPRP] - "C:\Program Files (x86)\ASUS\APRP\APRP.EXE"
04 - HKLM\SOFTWARE | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.108.222\AsusWSPanel.exe /S
04 - HKLM\SOFTWARE | Run : [SonicMasterTray] - C:\Program Files (x86)\ASUS\ASUS Sonic Focus\SonicFocusTray.exe
04 - HKLM\SOFTWARE | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE | Run : [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
04 - HKLM\SOFTWARE | Run : [Wireless Console 3] - C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
04 - HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE | Run : [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - HKLM\SOFTWARE\wow6432Node | Run : [Nuance PDF Reader-reminder] - "C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini"
04 - HKLM\SOFTWARE\wow6432Node | Run : [ASUSPRP] - "C:\Program Files (x86)\ASUS\APRP\APRP.EXE"
04 - HKLM\SOFTWARE\wow6432Node | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.108.222\AsusWSPanel.exe /S
04 - HKLM\SOFTWARE\wow6432Node | Run : [SonicMasterTray] - C:\Program Files (x86)\ASUS\ASUS Sonic Focus\SonicFocusTray.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [Wireless Console 3] - C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE\wow6432Node | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - HKLM\SOFTWARE | RunOnce : [] - 
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [Polar Sync] - 
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [Rainlendar2] - C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [RESTART_STICKY_NOTES] - C:\Windows\System32\StikyNot.exe
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [Pando Media Booster] - C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe
Présent! C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! F:\iTunesHelper.vbe
Présent! F:\.lnk
Présent! F:\G7.lnk
Présent! F:\PAP - FPE.lnk
Présent! F:\hungergames.lnk
Présent! F:\Cours Histoire de l'analyse économique.lnk
Présent! F:\Université.lnk
Présent! F:\Musique.lnk
Présent! F:\Vélo.lnk
Présent! F:\Semestre 3.lnk
Présent! F:\Job.lnk
Présent! F:\Cours à imprimer.lnk
Présent! C:\Users\VALENT~1\AppData\Local\Temp\avgnt.exe

################## | Référence de comparaison MD5 |

Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> F:\iTunesHelper.vbe

################## | Comparaison MD5 |

Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12072013_180328\C_Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_135332\C_Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_135332\C_Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_135332\F_\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_194947\C_Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_194947\C_Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_194947\F_\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> F:\iTunesHelper.vbe

################## | Registre |

Présent! HKU\S-1-5-21-334296882-3646848743-4187594378-1001\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |

j'ai le rapport UsBFix avec la fonction recherche !

A vous de me dire ce que je fais maintenant ;)

Je vais redémarrer mon ordinateur avant.

¡El Desaparecido! · Answer

Bien joué :)
Bah tu peux cliquer sur suppression et nous donner le rapport stp :)

vvAtemvv · Answer

Voici le rapport :

############################## | UsbFix V 7.153 | [Suppression]

Utilisateur: Valentin B (Administrateur) # VALENTINB-PC
Mis à jour le 09/12/2013 par El Desaparecido - Team SosVirus
Lancé à 17:54:25 | 12/12/2013

Site Web : https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/

PC: ASUSTeK Computer Inc. (K53SD)
CPU: Intel(R) Pentium(R) CPU B960 @ 2.20GHz
RAM -> [Total : 5920 | Free : 3428]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16476
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 186 Go (128 Go libre(s) - 69%) [OS] # NTFS
D:\ -> Disque fixe # 254 Go (254 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (1 Go libre(s) - 37%) [USB DISK] # FAT32

################## | Processus Stoppés |

Stoppé! C:\Windows\system32
vvsvc.exe (ID: 816 |ParentID: 580)
Stoppé! C:\Windows\system32\WLANExt.exe (ID: 1200 |ParentID: 988)
Stoppé! C:\Windows\system32\FBAgent.exe (ID: 1208 |ParentID: 580)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe (ID: 1232 |ParentID: 580)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe (ID: 1304 |ParentID: 580)
Stoppé! C:\Program Files\NVIDIA Corporation\Display
vxdsync.exe (ID: 1456 |ParentID: 816)
Stoppé! C:\Windows\system32
vvsvc.exe (ID: 1468 |ParentID: 816)
Stoppé! C:\Windows\System32\spoolsv.exe (ID: 1636 |ParentID: 580)
Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (ID: 1664 |ParentID: 580)
Stoppé! C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe (ID: 1884 |ParentID: 580)
Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (ID: 1952 |ParentID: 580)
Stoppé! C:\Program Files (x86)\ASUS\InstantOn for NB\InsOnSrv.exe (ID: 1980 |ParentID: 580)
Stoppé! C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe (ID: 2016 |ParentID: 580)
Stoppé! C:\Program Files\Intel\WiFi\bin\EvtEng.exe (ID: 1156 |ParentID: 580)
Stoppé! C:\Program Files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe (ID: 1908 |ParentID: 580)
Stoppé! C:\Program Files (x86)\MyPublicWiFi\PublicWiFiService.exe (ID: 2096 |ParentID: 580)
Stoppé! C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (ID: 2164 |ParentID: 580)
Stoppé! C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (ID: 2412 |ParentID: 580)
Stoppé! C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe (ID: 2444 |ParentID: 580)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2608 |ParentID: 580)
Stoppé! C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe (ID: 2708 |ParentID: 580)
Stoppé! C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (ID: 2068 |ParentID: 580)
Stoppé! C:\Windows\system32	askhost.exe (ID: 3116 |ParentID: 580)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe (ID: 3128 |ParentID: 1232)
Stoppé! C:\Program Files (x86)\ASUS\InstantOn for NB\InsOnWMI.exe (ID: 3148 |ParentID: 1980)
Stoppé! C:\Windows\system32	askeng.exe (ID: 3288 |ParentID: 316)
Stoppé! C:\Windows\system32	askeng.exe (ID: 3348 |ParentID: 316)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe (ID: 3404 |ParentID: 3348)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe (ID: 3460 |ParentID: 3128)
Stoppé! C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (ID: 3544 |ParentID: 580)
Stoppé! C:\Program Files (x86)\ASUS\Splendid\ACMON.exe (ID: 3568 |ParentID: 1208)
Stoppé! C:\Program Files\ASUS\P4G\BatteryLife.exe (ID: 3608 |ParentID: 3288)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe (ID: 3620 |ParentID: 3128)
Stoppé! C:\Windows\SysWOW64\ACEngSvr.exe (ID: 3636 |ParentID: 748)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe (ID: 3644 |ParentID: 3128)
Stoppé! C:\Program Files (x86)\ASUS\FaceLogon\sensorsrv.exe (ID: 3672 |ParentID: 3288)
Stoppé! C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe (ID: 3724 |ParentID: 3288)
Stoppé! C:\Windows\AsScrPro.exe (ID: 3868 |ParentID: 1208)
Stoppé! C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (ID: 4084 |ParentID: 1208)
Stoppé! C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 3744 |ParentID: 1208)
Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (ID: 3008 |ParentID: 1952)
Stoppé! C:\Program Files\NVIDIA Corporation\Display
vtray.exe (ID: 3280 |ParentID: 1456)
Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE (ID: 3996 |ParentID: 580)
Stoppé! C:\Windows\servicing\TrustedInstaller.exe (ID: 4452 |ParentID: 580)
Stoppé! C:\Windows\System32\WUDFHost.exe (ID: 4484 |ParentID: 988)
Stoppé! C:\Windows\System32undll32.exe (ID: 4596 |ParentID: 748)
Stoppé! C:\Windows\System32\igfxtray.exe (ID: 4800 |ParentID: 3452)
Stoppé! C:\Windows\System32\hkcmd.exe (ID: 4820 |ParentID: 3452)
Stoppé! C:\Program Files\Elantech\ETDCtrl.exe (ID: 4828 |ParentID: 3452)
Stoppé! C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe (ID: 4880 |ParentID: 3452)
Stoppé! C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (ID: 4964 |ParentID: 3452)
Stoppé! C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe (ID: 5036 |ParentID: 3452)
Stoppé! C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe (ID: 5060 |ParentID: 3452)
Stoppé! C:\Windows\System32\StikyNot.exe (ID: 4364 |ParentID: 3452)
Stoppé! C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe (ID: 236 |ParentID: 3452)
Stoppé! C:\Windows\System32\wscript.exe (ID: 148 |ParentID: 3452)
Stoppé! C:\Program Files\Elantech\ETDCtrlHelper.exe (ID: 1764 |ParentID: 4828)
Stoppé! C:\Windows\system32\SearchIndexer.exe (ID: 1316 |ParentID: 580)
Stoppé! C:\Program Files (x86)\ASUS\ASUS Sonic Focus\SonicFocusTray.exe (ID: 4664 |ParentID: 4352)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe (ID: 2892 |ParentID: 4352)
Stoppé! C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe (ID: 2760 |ParentID: 4352)
Stoppé! C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe (ID: 452 |ParentID: 4352)
Stoppé! C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (ID: 4304 |ParentID: 4352)
Stoppé! C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 4308 |ParentID: 4352)
Stoppé! C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (ID: 3628 |ParentID: 4352)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 5788 |ParentID: 580)
Stoppé! C:\Windows\system32\DllHost.exe (ID: 5352 |ParentID: 748)
Stoppé! C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (ID: 5776 |ParentID: 580)
Stoppé! C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 2880 |ParentID: 580)
Stoppé! C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (ID: 5000 |ParentID: 580)
Stoppé! C:\Windows\system32\sppsvc.exe (ID: 1520 |ParentID: 580)
Stoppé! C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 6112 |ParentID: 580)
Stoppé! C:\Windows\system32	askeng.exe (ID: 168 |ParentID: 316)
Stoppé! C:\Windows\system32\DllHost.exe (ID: 7072 |ParentID: 748)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Nuance PDF Reader-reminder] - "C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini"
04 - HKLM\SOFTWARE | Run : [ASUSPRP] - "C:\Program Files (x86)\ASUS\APRP\APRP.EXE"
04 - HKLM\SOFTWARE | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.108.222\AsusWSPanel.exe /S
04 - HKLM\SOFTWARE | Run : [SonicMasterTray] - C:\Program Files (x86)\ASUS\ASUS Sonic Focus\SonicFocusTray.exe
04 - HKLM\SOFTWARE | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE | Run : [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
04 - HKLM\SOFTWARE | Run : [Wireless Console 3] - C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
04 - HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE | Run : [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - HKLM\SOFTWARE\wow6432Node | Run : [Nuance PDF Reader-reminder] - "C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini"
04 - HKLM\SOFTWARE\wow6432Node | Run : [ASUSPRP] - "C:\Program Files (x86)\ASUS\APRP\APRP.EXE"
04 - HKLM\SOFTWARE\wow6432Node | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.108.222\AsusWSPanel.exe /S
04 - HKLM\SOFTWARE\wow6432Node | Run : [SonicMasterTray] - C:\Program Files (x86)\ASUS\ASUS Sonic Focus\SonicFocusTray.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [Wireless Console 3] - C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE\wow6432Node | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - HKLM\SOFTWARE | RunOnce : [] - 
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [Polar Sync] - 
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [Rainlendar2] - C:\Program Files (x86)\Rainlendar2\Rainlendar2.exe
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [RESTART_STICKY_NOTES] - C:\Windows\System32\StikyNot.exe
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [Pando Media Booster] - C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
04 - HKU\S-1-5-21-334296882-3646848743-4187594378-1001\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Supprimé! C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe
Supprimé! C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Supprimé! F:\iTunesHelper.vbe
Supprimé! F:\.lnk
Supprimé! F:\G7.lnk
Supprimé! F:\PAP - FPE.lnk
Supprimé! F:\hungergames.lnk
Supprimé! F:\Cours Histoire de l'analyse économique.lnk
Supprimé! F:\Université.lnk
Supprimé! F:\Musique.lnk
Supprimé! F:\Vélo.lnk
Supprimé! F:\Semestre 3.lnk
Supprimé! F:\Job.lnk
Supprimé! F:\Cours à imprimer.lnk
Supprimé! F:\Autorun.inf.lnk
Supprimé! C:\Users\VALENT~1\AppData\Local\Temp\avgnt.exe

(!) Fichiers temporaires supprimés.

################## | Référence de comparaison MD5 |

Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\VALENT~1\AppData\Local\Temp\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> F:\iTunesHelper.vbe

################## | Comparaison MD5 |

Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12072013_180328\C_Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_135332\C_Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe
Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_135332\C_Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_135332\F_\iTunesHelper.vbe
Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_194947\C_Users\Valentin B\AppData\Local\Temp\iTunesHelper.vbe
Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_194947\C_Users\Valentin B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Supprimé! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\_OTL\MovedFiles\12112013_194947\F_\iTunesHelper.vbe

################## | Registre |

Supprimé! HKU\S-1-5-21-334296882-3646848743-4187594378-1001\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

################## | Listing |

[04/04/2012 - 10:53:31 | N | 14 Ko] - C:\devlist.txt
[04/04/2012 - 11:54:59 | N | 0 Ko] - C:\Pass.txt
[25/07/2012 - 16:52:46 | N | 0 Ko] - C:\BurnHelp.txt
[31/07/2012 - 11:20:52 | N | 1 Ko] - C:\AdwCleaner[R1].txt
[31/07/2012 - 11:21:56 | N | 1 Ko] - C:\AdwCleaner[S1].txt
[13/10/2012 - 16:13:38 | N | 1 Ko] - C:\AdwCleaner[R2].txt
[12/12/2013 - 17:00:13 | N | 15 Ko] - C:\UsbFix [Scan 1] VALENTINB-PC.txt
[12/12/2013 - 18:24:01 | A | 14 Ko] - C:\UsbFix [Clean 1] VALENTINB-PC.txt
[12/12/2013 - 17:14:54 | ASH | 4546600 Ko] - C:\hiberfil.sys
[12/12/2013 - 17:14:56 | ASH | 6062136 Ko] - C:\pagefile.sys
[11/10/2011 - 12:18:45 | N | 0 Ko] - C:\ASUS.md5
[04/04/2012 - 10:34:31 | N | 2 Ko] - C:\RHDSetup.log
[04/04/2012 - 10:53:31 | N | 0 Ko] - C:\Finish.log
[06/12/2011 - 12:27:54 | N | 0 Ko] - C:\RECOVERY.DAT
[01/11/2011 - 12:22:02 | N | 2560 Ko] - C:\K43SD.BIN
[02/11/2011 - 01:52:34 | N | 2560 Ko] - C:\K53SD.BIN
[07/12/2013 - 16:27:17 | N | 1 Ko] - C:\PhysicalMBR.bin
[12/12/2013 - 18:23:12 | SHD] - C:\$Recycle.Bin
[29/07/2009 - 07:03:37 | N | 8 Ko] - C:\BOOTSECT.BAK
[06/12/2011 - 12:27:53 | N | 0 Ko] - C:\K43SD_K53SD_WIN7.50
[14/07/2009 - 02:38:58 | RASH | 375 Ko] - C:\bootmgr
[14/07/2009 - 04:20:08 | D] - C:\PerfLogs
[14/07/2009 - 06:08:56 | SHD] - C:\Documents and Settings
[29/07/2009 - 07:03:34 | SHD] - C:\Boot
[04/04/2012 - 10:30:06 | D] - C:\Intel
[04/04/2012 - 10:40:42 | D] - C:\eSupport
[24/07/2012 - 13:53:01 | SHD] - C:\Recovery
[24/07/2012 - 13:54:46 | D] - C:\Users
[25/07/2012 - 20:42:29 | D] - C:	emp
[07/09/2012 - 18:27:40 | D] - C:\Program Files
[07/09/2012 - 18:35:26 | RHD] - C:\MSOCache
[26/09/2012 - 08:07:01 | D] - C:\AsusVibeData
[27/07/2013 - 15:11:55 | D] - C:\Riot Games
[26/11/2013 - 00:20:26 | HD] - C:\ProgramData
[07/12/2013 - 18:03:28 | D] - C:\_OTL
[11/12/2013 - 11:32:55 | SHD] - C:\System Volume Information
[12/12/2013 - 16:49:05 | D] - C:\Windows
[12/12/2013 - 16:49:05 | D] - C:\Program Files (x86)
[12/12/2013 - 17:57:41 | D] - C:\UsbFix
[12/12/2013 - 17:00:12 | RASHD] - D:\Autorun.inf
[24/07/2012 - 13:55:36 | SHD] - D:\$RECYCLE.BIN
[25/07/2012 - 04:48:55 | SHD] - D:\System Volume Information
[28/11/2013 - 11:48:36 | N | 285 Ko] - F:\PAP - FPE.pptx
[28/11/2013 - 11:49:30 | N | 285 Ko] - F:\PAP - FPE.ppsx
[28/11/2013 - 08:45:40 | N | 414 Ko] - F:\G7. BROSSE. AUBERT. FPE. Dossier version finale..pdf
[03/12/2013 - 11:59:28 | N | 752 Ko] - F:\Cours Histoire de l'analyse économique.pdf
[30/10/2011 - 10:42:36 | N | 0 Ko] - F:\.~lock.Planif Junior  2011.ods#
[12/12/2013 - 17:00:14 | SHD] - F:\Autorun.inf
[26/11/2013 - 19:31:24 | N | 47 Ko] - F:\G7. BROSSE. AUBERT. FPE. Dossier version finale..docx
[03/12/2013 - 12:00:54 | N | 143 Ko] - F:\Cours Histoire de l'analyse économique.docx
[18/09/2013 - 17:20:46 | N | 2147934 Ko] - F:\hungergames.avi
[02/03/2013 - 20:13:40 | D] - F:\Vélo
[23/03/2013 - 14:12:18 | D] - F:\Job
[03/09/2013 - 17:10:18 | D] - F:\Université
[06/09/2013 - 16:48:30 | D] - F:\Musique
[30/09/2013 - 14:39:10 | D] - F:\Semestre 3
[04/12/2013 - 21:53:18 | D] - F:\Cours à imprimer

################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |


Je redémarre mon ordinateur et je vous redonne des nouvelles.

vvAtemvv · Answer

Le virus semble avoir disparu =)

Je vous remercie pour l'aide que vous m'avez apporté.

Juste deux-trois trucs avant de terminer, est-ce qu'il faut que je retouche aux éléments suivant (que j'ai modifié pour essayer d'enlever le virus) :

autorun
OTL
regedit - enabled

¡El Desaparecido! · Answer

regedit - enabled

Non , usbfix l'a restauré ;)

Pour le reste, suis cette démarche : 


Pour supprimer les outils de désinfections utilisés :

Télécharges DelFix par Xplode sur ton Bureau.

Lance DelFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista 
Coche les cases suivantes : 

Supprimer les outils de désinfection
Purger la restauration système

vvAtemvv · Answer

Ok merci.

Tout semble comme neuf maintenant.

Virus iTunesHelper clé USB

29 réponses

Discussions similaires