Se connecter / S'enregistrer
Votre question
Résolu

Virus : transforme tout en raccourcis

Tags :
  • Windows
  • Raccourcis
  • Virus
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
2 Octobre 2013 12:39:38

Bonjour

J'ai choppé un vilain virus.
Il transforme tout ce qui se trouve sur une clé USB en raccourcis.
Et même en copiant/collant les fichiers sur une autre clé, ça ne fonctionne pas.
J'ai lu sur ce forum (http://www.tomsguide.fr/forum/id-2901353/suppression-vi...)
qu'il fallait passer d'abord par une recherche UsbFix.
Voilà mon rapport obtenu :
Que dois-je faire d'autres après.
D'avance un IMMENSE merci pour vos réponses.




Spoiler
############################## | UsbFix V 7.141 | [Recherche]

Utilisateur: Se7en (Administrateur) # NEW-COLORGATE
Mis à jour le 30/09/2013 par El Desaparecido - Team SosVirus
Lancé à 12:32:37 | 02/10/2013

Site Web: http://www.usbfix.net/
Forum : http://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: http://www.usbfix.net/contact/

PC: ASUSTeK Computer INC. (P8P67 LE)
CPU: Intel(R) Core(TM) i5-2400 CPU @ 3.10GHz
RAM -> [Total : 4077 | Free : 1547]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16686

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 84 Go (25 Go libre(s) - 30%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 932 Go (857 Go libre(s) - 92%) [] # NTFS
F:\ -> Disque amovible # 30 Go (30 Go libre(s) - 99%) [USB DISK] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID 504 |ParentID 432)
C:\Windows\system32\wininit.exe (ID 580 |ParentID 432)
C:\Windows\system32\csrss.exe (ID 588 |ParentID 572)
C:\Windows\system32\services.exe (ID 636 |ParentID 580)
C:\Windows\system32\winlogon.exe (ID 668 |ParentID 572)
C:\Windows\system32\lsass.exe (ID 696 |ParentID 580)
C:\Windows\system32\lsm.exe (ID 704 |ParentID 580)
C:\Windows\system32\svchost.exe (ID 808 |ParentID 636)
C:\Windows\system32\nvvsvc.exe (ID 888 |ParentID 636)
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (ID 912 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 956 |ParentID 636)
C:\Windows\System32\svchost.exe (ID 368 |ParentID 636)
C:\Windows\System32\svchost.exe (ID 508 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 420 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 1032 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 1236 |ParentID 636)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID 1292 |ParentID 636)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (ID 1312 |ParentID 888)
C:\Windows\system32\nvvsvc.exe (ID 1320 |ParentID 888)
C:\Windows\system32\Dwm.exe (ID 1596 |ParentID 508)
C:\Windows\System32\spoolsv.exe (ID 1628 |ParentID 636)
C:\Windows\system32\taskhost.exe (ID 1640 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 1668 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 1728 |ParentID 636)
C:\Windows\Explorer.EXE (ID 1784 |ParentID 1588)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID 1916 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 1964 |ParentID 636)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (ID 2040 |ParentID 636)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (ID 1480 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 1772 |ParentID 636)
C:\Windows\system32\svchost.exe (ID 824 |ParentID 636)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (ID 2160 |ParentID 1480)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID 2132 |ParentID 1784)
C:\Windows\System32\wscript.exe (ID 2352 |ParentID 1784)
C:\Program Files (x86)\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (ID 3100 |ParentID 1784)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (ID 3268 |ParentID 3212)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (ID 3316 |ParentID 3016)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID 3348 |ParentID 3016)
C:\Windows\system32\wbem\wmiprvse.exe (ID 3460 |ParentID 808)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (ID 3508 |ParentID 3268)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (ID 3560 |ParentID 3016)
C:\Program Files (x86)\PDF24\pdf24.exe (ID 3640 |ParentID 3016)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID 3788 |ParentID 3016)
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (ID 3148 |ParentID 1312)
C:\Windows\system32\SearchIndexer.exe (ID 3076 |ParentID 636)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID 2848 |ParentID 636)
C:\Program Files (x86)\Common Files\EFI\EFI ES-1000 Service\ES1000Server.exe (ID 3172 |ParentID 3156)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (ID 4432 |ParentID 636)
C:\Windows\System32\svchost.exe (ID 4780 |ParentID 636)
C:\Windows\system32\wuauclt.exe (ID 1636 |ParentID 1032)
C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe (ID 4028 |ParentID 4396)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe (ID 408 |ParentID 1784)
C:\Windows\System32\WUDFHost.exe (ID 4452 |ParentID 508)
C:\Program Files (x86)\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe (ID 4660 |ParentID 1784)
C:\Program Files (x86)\Common Files\Adobe\Web\AOM.exe (ID 1332 |ParentID 4660)
C:\Windows\splwow64.exe (ID 4168 |ParentID 4660)
C:\Windows\system32\taskhost.exe (ID 432 |ParentID 636)
C:\Windows\notepad.exe (ID 4440 |ParentID 408)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID 4304 |ParentID 1784)
c:\program files\windows defender\MpCmdRun.exe (ID 1416 |ParentID 4628)
C:\UsbFix\Go.exe (ID 6104 |ParentID 1924)

################## | Regedit Run |

HKLM\SOFTWARE | Run : [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
HKLM\SOFTWARE | Run : [SwitchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
HKLM\SOFTWARE | Run : [AdobeCS5ServiceManager] - "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [beid] - "C:\Program Files (x86)\Belgium Identity Card\beid35gui.exe" /startup
HKLM\SOFTWARE | Run : [PDFPrint] - C:\Program Files (x86)\PDF24\pdf24.exe
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE\wow6432Node | Run : [IAStorIcon] - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
HKLM\SOFTWARE\wow6432Node | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE\wow6432Node | Run : [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
HKLM\SOFTWARE\wow6432Node | Run : [SwitchBoard] - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
HKLM\SOFTWARE\wow6432Node | Run : [AdobeCS5ServiceManager] - "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [beid] - "C:\Program Files (x86)\Belgium Identity Card\beid35gui.exe" /startup
HKLM\SOFTWARE\wow6432Node | Run : [PDFPrint] - C:\Program Files (x86)\PDF24\pdf24.exe
HKLM\SOFTWARE\wow6432Node | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-840060073-544292988-893792053-1000\SOFTWARE | Run : [AdobeBridge] -
HKU\S-1-5-21-840060073-544292988-893792053-1000\SOFTWARE | Run : [dxrpdiag] - wscript.exe //B "C:\Users\Se7en\AppData\Local\Temp\dxrpdiag.vbs"
HKU\S-1-5-21-840060073-544292988-893792053-1000\SOFTWARE | Run : [d0NQm4zz] - wscript.exe //B "C:\Users\Se7en\AppData\Local\Temp\d0NQm4zz.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Éléments infectieux |

Présent! F:\d0NQm4zz.vbs
Présent! C:\Users\Se7en\AppData\Local\Temp\d0NQm4zz.vbs
Présent! C:\Users\Se7en\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d0NQm4zz.vbs
Présent! F:\boissonmenu inflayer.lnk
Présent! F:\Comparaison_des_prix.lnk
Présent! F:\immoweb ricerca.lnk
Présent! F:\Jurassic Park game project.lnk
Présent! F:\onss2013.lnk
Présent! F:\onss2013a.lnk
Présent! F:\incassi.lnk
Présent! F:\Report.lnk
Présent! F:\ag.lnk
Présent! F:\Jurassic Park Soundtrack.lnk
Présent! F:\foto idd pizzeria.lnk
Présent! F:\PHOTOS.lnk
Présent! F:\IMG_9643 b.lnk

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|d0NQm4zz
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|d0NQm4zz
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|d0NQm4zz
HKCU\.\.\.\.\Explorer\MountPoints2\{0b24652d-a3d7-11e1-bd0a-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{0b24654b-a3d7-11e1-bd0a-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{0d40285b-c66e-11e1-91cb-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{0e6953de-ff46-11e0-ad0b-806e6f6e6963}
Shell\AutoRun\Command = D:\Bin\assetup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{120a8381-5c60-11e1-b496-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{120a8398-5c60-11e1-b496-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{120a83b9-5c60-11e1-b496-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{120a83e9-5c60-11e1-b496-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{120a8417-5c60-11e1-b496-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{16424e8e-18ed-11e2-83d1-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{16424ed5-18ed-11e2-83d1-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{16d6fb61-94e9-11e1-b789-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{16d6fb7c-94e9-11e1-b789-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{1740fee4-3e0f-11e2-9038-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{23878508-abe0-11e2-9f36-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{26dd6686-ef75-11e2-951e-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{2a30a2fa-952f-11e2-9704-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{2f19c659-2a1a-11e1-8b45-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{2f3006ce-bc55-11e1-a063-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{2fcb9406-0613-11e2-aa41-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{38c1c354-3771-11e1-b26e-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{3ab7e49c-139a-11e3-a45a-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{406ab91b-691d-11e2-885c-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{41c2139a-1da4-11e2-93a9-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{44223069-e76d-11e1-93d4-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{44cf59e7-c0e6-11e1-8a6c-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{45ef4628-37c1-11e2-85ad-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{45ef4c5a-37c1-11e2-85ad-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{52af8b6b-0bbc-11e3-afbe-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{5546f5ea-b097-11e2-b5b1-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{5546f5f8-b097-11e2-b5b1-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{5a1a4aea-0641-11e3-82dc-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{5e58f8ec-980c-11e1-a6fa-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{5e58f949-980c-11e1-a6fa-f46d0466e0bc}
Shell\AutoRun\Command = F:\DTVP_Launcher.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{5e58f95f-980c-11e1-a6fa-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{60cbf3c1-bebc-11e2-9621-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{63898f74-7c05-11e2-a329-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{695f1840-4015-11e1-a8be-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{6c74b49f-9a6a-11e1-906e-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{6f460d98-58a8-11e2-91e6-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{727ffd81-de29-11e2-b433-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{7562df25-4be1-11e1-b63e-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{770cdb4d-3dba-11e1-8e09-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{7754dd23-27ba-11e1-b599-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{79c2e646-1c3f-11e3-81fd-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{7eb153cf-fca4-11e1-99ff-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{82ca50e4-2a4f-11e2-aaf5-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{85ae52a1-0091-11e2-b430-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{90f312d4-2d65-11e2-99ef-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{92f93a0a-202b-11e3-8c9d-f46d0466e0bc}
Shell\AutoRun\Command = I:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{94321851-b134-11e1-9eb6-f46d0466e0bc}
Shell\AutoRun\Command = F:\SpeedbirdClub.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{95e2b64f-6aaf-11e2-95ed-f46d0466e0bc}
Shell\AutoRun\Command = F:\Startme.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{982f2714-2974-11e2-889b-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{99781bd1-789f-11e1-9439-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{9a74035e-0af8-11e3-9bc8-f46d0466e0bc}
Shell\AutoRun\Command = F:\laucher.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{9a74ded7-433a-11e1-a545-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{9d636974-8d1c-11e1-abd4-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{9e55c690-a728-11e2-a427-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{a46c3b6b-7a31-11e1-a8fa-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{a6b1c4e0-f7ec-11e1-9649-f46d0466e0bc}
Shell\AutoRun\Command = F:\laucher.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a6b1c592-f7ec-11e1-9649-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{a7f0f7c2-bb6a-11e1-a3f8-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{afc4360c-2ef6-11e2-a35a-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{b0dfdec0-912f-11e2-b5d7-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{b14d0c2a-cf3c-11e2-a019-f46d0466e0bc}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\start.html

HKCU\.\.\.\.\Explorer\MountPoints2\{b84048a8-5b96-11e1-939e-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{bb5e5e08-6116-11e1-a62e-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{c8e0505b-1692-11e2-8220-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{c8e05075-1692-11e2-8220-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{ccdff931-0937-11e2-9296-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{ccf2f3a3-14dc-11e1-9988-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{cdb8de7f-bdf2-11e2-8348-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{ce3e6cfd-1761-11e2-a719-f46d0466e0bc}
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{d23b648f-2a62-11e3-a148-f46d0466e0bc}
Shell\AutoRun\Command = F:\laucher.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{d671eae4-643a-11e1-9f1e-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{dd26636c-24e2-11e3-bc28-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{dd2663af-24e2-11e3-bc28-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{e5377aa1-6c16-11e1-9351-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{e98f352c-0b91-11e2-b95c-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{ebddbc9d-f0df-11e1-9547-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{edebf8b8-c9bb-11e2-9202-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{eff30788-48ba-11e1-a57b-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{f08f4cff-50c3-11e2-9f2a-f46d0466e0bc}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{f5ccf7be-7c94-11e1-81b3-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fd9e12af-06e0-11e2-8f63-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{fe5c4543-7b2e-11e2-b358-f46d0466e0bc}
Shell\AutoRun\Command = F:\LaunchU3.exe -a



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

Autres pages sur : virus transforme raccourcis

a c 569 8 Sécurité
a b 9 Windows
2 Octobre 2013 14:20:01

hello


Relance USBFix :

/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt).
  • Poste-le dans ta prochaine réponse

    £££££££££££££££££££££££££££££££££££££££



    £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££


    • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système

    • enregistre le fichier sur ton Bureau /!!\ et pas ailleurs /!!\ , c'est important pour la suite de la désinfection, merci !!!!!

      Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


    • Ferme toutes les applications, y compris ton navigateur

    • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer

      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • Sur le menu principal, clique sur Scan
    • patiente le temps de l'analyse



    • A la fin du scan, un rapport FRST.txt s'ouvre.
    • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt

    • Héberge ces rapports sur ce site d'hébergement de fichiers
    • indique les liens fournis dans ta réponse.
    • Aide en images

      Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



  • Sous IE9 ou IE10 , le filtre SmartScreen déclenche une alerte.

    • Cliquer sur Actions .
    • puis sur Exécuter quand même



  • £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££
    m
    0
    l
    2 Octobre 2013 14:57:35

    Merci pour votre réponse.
    Quand je lance le USBFix et suppression, le programme se bloque à 14 % (il m'indique que UsbFix ne répond plus).
    J'ai essayé déjà deux fois et ça se bloque au même moment. Impossible de faire quoi que ce soit d'autres à partir de ce moment là.
    m
    0
    l
    Contenus similaires
    a c 569 8 Sécurité
    a b 9 Windows
    2 Octobre 2013 15:06:54

    hello

    nous allons faire autrement

    donne les 2 rapports de FRST ,

    frst.txt et addition.txt
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    2 Octobre 2013 16:34:06

    hello


    désinstalle

    java 7 update 25

    £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££
    FRST - Correctif :



    /!\ Créer un point de restauration manuel avant d'appliquer le correctif -
    Tutoriel en images
    /!\


    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes


      start
      Task: {A7A1745D-26F1-487C-A1C9-F8503911B2B5} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-11-24] (Google Inc.)
      Task: {F1E81204-08EF-4061-AD4E-CA39F94355FE} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-11-24] (Google Inc.)
      Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
      Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
      Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
      HKCU\...\Run: [AdobeBridge] - [x]
      HKCU\...\Run: [dxrpdiag] - wscript.exe //B "C:\Users\Se7en\AppData\Local\Temp\dxrpdiag.vbs" <===== ATTENTION
      HKCU\...\Run: [d0NQm4zz] - C:\Users\Se7en\AppData\Local\Temp\d0NQm4zz.vbs [131177 2013-09-28] () <===== ATTENTION
      MountPoints2: {0e6953de-ff46-11e0-ad0b-806e6f6e6963} - D:\Bin\assetup.exe
      MountPoints2: {b14d0c2a-cf3c-11e2-a019-f46d0466e0bc} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\start.html
      Startup: C:\Users\Se7en\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d0NQm4zz.vbs ()
      CHR RestoreOnStartup: "hxxp://www.google.com/", "hxxp://www.searchnu.com/414"
      S3 Asushwio; \??\D:\BIN\64bit\Asushwio.sys [x]
      2013-10-02 14:58 - 2011-10-25 22:17 - 02055739 _____ C:\Windows\WindowsUpdate.log
      2013-10-02 14:55 - 2011-11-24 13:52 - 00001062 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
      2013-10-02 14:17 - 2013-01-23 14:52 - 00001002 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
      2013-10-02 13:37 - 2011-11-24 13:52 - 00001066 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
      C:\Users\Se7en\AppData\Local\Temp\d0NQm4zz.vbs
      C:\Users\Se7en\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe
      C:\Users\Se7en\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe
      C:\Users\Se7en\AppData\Local\Temp\_isB395.exe
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction



    • L'outil va créer un rapport de correction Fixlog.txt.

  • (clique sur lien vert et souligné , ceci va t'ouvrir une fenêtre): Tu hébergeras le rapport ici, tu m'indiqueras le lien dans ta prochaine réponse.

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££


    relance usbfix en mode suppression maintenant


    à te lire
    m
    0
    l
    2 Octobre 2013 17:29:35

    et quand je relance usbfix, cela se bloque de nouveau à 14%
    Et rien d'autres ne s'ouvre. Même pas le ctrl - Alt - Delete.

    J'ai raté quelque chose ?

    Merci pour votre patience.
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    2 Octobre 2013 18:29:16

    hello

    laisse tomber USbfix pour l'instant

    ££££££££££££££££££££££££££
    £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££
    AdwCleaner - Nettoyer :
    • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets.
    • Clique sur Nettoyer
    • et valide par OK la fermeture des programmes

    • Patiente le temps de l'analyse et valide le message d'informations
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre.
    • Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(S).txt



  • (clique sur lien vert et souligné , ceci va t'ouvrir une fenête): Tu hébergeras le rapport ici
    et indique dans ta prochaine réponse le lien du rapport.

    £££££££££££££££££££££££££££££££££££££££££££££££££££££££

    ££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££

    Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
    • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
    • Clique sur Terminer
    • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
    • Dans l'onglet Paramètres, puis Paramètres d'examen,
    • sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions
    • Programmes potentiellement indésirables (PUP)
    • et Modifications potentiellement indésirables (PUM)
    • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
    • Sélectionne ton disque dur, puis clique sur Lancer l'examen

    • A la fin du scan, clique sur Afficher les résultats
    • Pour supprimer les éléments détectés, clique sur Supprimer la sélection

    • Si un redémarrage est demandé, clique sur Yes
    • Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    • (clique sur lien vert et souligné , ceci va t'ouvrir une fenête): Tu hébergeras le rapport ici
      et indique dans ta prochaine réponse le lien du rapport.



  • Tutoriel d'utilisation Malwarebytes en images

    ££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    3 Octobre 2013 09:15:40

    hello

    ok
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    3 Octobre 2013 10:22:23

    hello


    en Mp, tu me dis qu'il y a 4 pc .

    sont ils en réseau sur un serveur?

    j'attends une réponse de l'éditeur de USBFix pourquoi l'outil bloque a 14 %.

    je reviens dès que j'ai la réponse .

    question: as tu lancer USBfix dans la sandbox de avast?

    as tu essayé de passer USBFIX en ayant pris soin de désactiver avast?
    m
    0
    l
    3 Octobre 2013 10:39:09

    effectivement il y a 4 ordi sur le serveur.

    J'ai lancé Usb fix sans désactiver Avast.
    Quelle est la procédure pour le faire ?

    Merci
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    3 Octobre 2013 10:48:43

    hello

    débranche ce pc du réseau.

    pour info, il ne faudra pas que le pc, que tu nettoies soit branché au réseau
    et attendre que les 4 pc soient clean pour les rebrancher au réseau.
    normalement, nous n'intervenons pas sur les pc d'entreprises et encore moins sur un réseau.


    démarre le pc en mode sans echec
    Démarrer en mode sans échec avec Windows 7, Vista et XP

    N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows 7 / Vista / XP) installé sur votre ordinateur.

  • Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS).
    L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS,
    d'autres peuvent ne pas indiquer le processus en cours de réalisation.

  • À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas).
    Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse.
    Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier".
    Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.

  • En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec avec prise en charge réseau" dans le menu puis appuyez sur Entrée.


    ensuite lance USBFIX
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    3 Octobre 2013 18:40:06

    hello

    tu es la seule à s'occuper des pc, vu, donc tu as tous les droits

    super le pc n°1 est clean, ne le mets pas sur le réseau encore.

    le pc n°2 , Chantal s'en occupe avec toi et je vois que tu as fini , débranche le du réseau

    sur le pc n°3 qui est sur le réseau

    télécharge FRST et envoi moi les 2 rapports
    télécharge USBFix , et en mode recherche donne moi aussi le rapport

    m
    0
    l
    a c 940 8 Sécurité
    a b 9 Windows
    3 Octobre 2013 18:54:10

    Bonjour,

    Pour info, suite à ma demande, Le PC n°2 a été immédiatement retiré du réseau.

    @+
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    3 Octobre 2013 21:27:34

    chantal11 a dit :
    Bonjour,

    Pour info, suite à ma demande, Le PC n°2 a été immédiatement retiré du réseau.

    @+


    oui, j'ai vu très bien, je ne veux pas que virgule le remette sur le réseau pour l'instant
    m
    0
    l
    4 Octobre 2013 02:37:20

    Merci à tous les deux pour votre aide.
    Je ne remets pas les deux pC sur le réseau tant que je n'aurai pas vacciner le dernier.
    Je le ferai demain.
    mais cela va immobiliser pendant un petit temps les pc.
    Pour les deux autres infectés, il y a t il une précaution particulière contre cette sorte de virus à mettre, ou bien Avast est il suffisant.

    Bonne nuit à tous
    Virgule
    m
    0
    l

    Meilleure solution

    a c 569 8 Sécurité
    a b 9 Windows
    4 Octobre 2013 08:16:27

    Virgule1892 a dit :

    J, il y a t il une précaution particulière contre cette sorte de virus à mettre, ou bien Avast est il suffisant.


    hello

    1)
    tu ne branches plus de clés usb inconnues sur tes pc (pas facile, c'est ton fond de commerce)

    2)
    tu demandes aux étudiants de nettoyer et vacciner leurs clés usb

    partage
    a c 569 8 Sécurité
    a b 9 Windows
    5 Octobre 2013 17:26:02

    hello

    lorsque tu auras fini le pc 4 avec Chantal, il faudra finaliser celui ci


    ===================================

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau

    • Ferme toutes les applications, y compris ton navigateur et désactive ton antivirus le temps de l'opération

    • Double-clique sur SXC&U.exe pour lancer l'application



      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur


    • *_* Au menu principal *_*

    • clique sur le bouton scan

    • clic sur rapport , celui ci s'ouvre dans le bloc notes, en fonction du résultat du rapport , faire les mises à jours

      NB==>> désinstalle toutes les versions java obsolètes




      http://www.secuser.com/vulnerabilite/index.htm


      =============================================================

      ] Installe la dernière version de Java:


      ==>> A titre indicatif, la page de téléchargement==>> Java sun

      ==>> désinstalle toutes les autres versions plus anciennes

      ------------------------------------------------------------------------------------

      [i Installe la dernière version Adobe Flash Player


      Ouvre Internet Explorer, télécharge et installe cette dernière version :

      Adobe Flash Player

      Ouvre Firefox, télécharge et installe cette dernière version :

      Adobe Flash Player

      Pense à décocher les options proposées en même temps , du genre la Barre d'outils Google gratuite (facultatif)

      Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

      ---------------------------------------------------------------------------------------------

      ] Mets à jour ta version d'Adobe Reader :

      Télécharge et installe cette dernière version :

      Adobe - Téléchargement d'Adobe Reader

      N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan

      ================================================


      T-F-C

      Télécharger ==>> TFC sur le site de old Timer
      sur le bureau car il n' a besoin d' aucune installation.


      TFC (Temp File Cleaner) nettoie les fichiers temporaires, dans tous les comptes utilisateurs :
      Administrateurs, All Users, LocalService, NetworkService, des navigateurs/applications : IE, java, FF, Opera, Chrome, Safari.

      Puisqu'il arrive parfois que des processus légitimes et/ ou infections soient lancés/chargés, depuis un répertoire \Temp\.
      TFC va d'abord fermer Explorer(le bureau) et tout les processus-logiciels chargés, incluant : antivirus et autre protections.
      Après avoir compléter son nettoyage, TFC va relancer Explorer
      et peut proposer ou non un redémarrage de l'ordinateur pour compléter le nettoyage.
      avec toute les protections désactivées.
      Il est toujours préférable de redémarrer le PC, après l'utilisation de TFC !

      Utile avant de fermer l'ordi, ou pour une pré-désinfection.


      Avec Vista / Windows 7 :Lancer TFC.exe par un clic-droit ==>> Exécuter en tant qu'Administrateur.

      • Lancer TFC.exe par un double-clique avec xp
      • Appuyer sur [Start] pour lancer le nettoyage.

      £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££


      Suppression des TOOLS de désinfection

      Télécharger Delfix sur ton bureau


      • Télécharge DelFix (d'Xplode) sur ton bureau.
      • Lance le, puis coche les cases suivantes :

        en plus des deux cases cochées sur ma capture, coche la case :

        Réinilisation des paramètres système.



        Note : Le rapport se trouve également sous C:\DelFix.txt

      • (clique sur lien vert souligné , une fenêtre va s'ouvrir: Tu hébergeras le rapport ici
      • Clique sur Parcourir pour rechercher le rapport C:\DelFix.txt
      • puis clique sur : Cliquez ici pour déposer le fichier
      • Indique ensuite dans ta prochaine réponse, l'adresse d'hébergement de ce rapport
      • par un clic droit copier le raccourci
      • clic droit coller dans ton prochain message


    • ££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££


    m
    0
    l
    7 Octobre 2013 09:14:25

    Bonjour

    voilà le rapport DelFix :
    http://up.security-x.fr/file.php?h=R609ef534b5f68cf43e7...

    Par contre j'ai sans arrêt un avertissement de Malwarebytes qui a bloqué et mis en quarantaine une menace :
    C.Programefiles(x86)/Movies Toolbaar/SafetyNut/x64/safetycrt.dll

    J'ai beau supprimer ça revient toujours. (aurai-je mal exécuté une étape ?)
    m
    0
    l
    7 Octobre 2013 09:26:23

    Je les ai supprimer manuellement via le programme Malware, ça a l'air de fonctionner.
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    7 Octobre 2013 09:50:09

    hello

    beau travail , tu commences à être habitué

    bonne semaine
    m
    0
    l
    7 Octobre 2013 09:56:15

    Je suis donc en ordre avec ce PC ?

    Les annonces de Malwarebytes reviennent pourtant.
    Bon s'il suffit de les effacer manuellement, pas de soucis.

    Virgule

    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    7 Octobre 2013 09:59:28

    hello

    désinstalle et réinstalle MBAM

    et pense à décocher lors de l'installation, la case devant l'essai de la version pro pendant 14 jours
    m
    0
    l
    7 Octobre 2013 14:52:19

    Bonjour Migau,

    Je pensais être arrivé au bout des choses sur les 4 ordis.
    j'ai réinstallé Avast et cet après-midi, j'accepte la clé d'une cliente qui veut faire des cartes de visites (bref....)

    J'insère la clé et aucun soucis avec Avast... puit tout d'un coupe, ses fichiers (alors qu'ils étaient normaux au début) se sont transformé en raccourcis clavier.
    ???
    N'y a-t-il aucun avis, ou autre de chez Avast (ou n'est-il tout simplement pas suffisant ?)

    Toujours est-il que là, je refuse tous les clients avec des clés en leur demandant de m'envoyer un mail (pas très pratique ni commercial) et que j'ai faire un scan avec Farbar dont voici les rapports :

    F : http://up.security-x.fr/file.php?h=R936dfcd552350e357b9...
    Add : http://up.security-x.fr/file.php?h=Rc8888d96721d2a1f39e...

    je croise les doigts pour ne pas être réinfectée..;


    Et voilà le rapport de recherche Usbfix
    http://up.security-x.fr/file.php?h=Rb55319791a633ed891e...
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    7 Octobre 2013 16:57:32

    hello

    si ton pc est à nouveau très très infecté

    débranche ce pc du réseau

    relance USBFix en mode suppression

    £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££
    FRST - Correctif :



    /!\ Créer un point de restauration manuel avant d'appliquer le correctif -
    Tutoriel en images
    /!\


    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes


      start
      Task: {AED133CD-920F-4D9C-B431-C529734103BA} - System32\Tasks\AdobeAAMUpdater-1.0-NEW-COLORGATE-Se7en => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2010-03-06] (Adobe Systems Incorporated)
      Task: {B03D8C35-066A-4B3B-A357-D1E3E4B8A4EE} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-09-20] (Adobe Systems Incorporated)
      C:\Users\Se7en\AppData\Local\WebPlayer\AppsHat\WebPlayer.exe
      HKLM\...\Run: [AdobeAAMUpdater-1.0] - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [500208 2010-03-06] (Adobe Systems Incorporated)
      HKCU\...\Run: [AppsHat] - C:\Users\Se7en\AppData\Local\WebPlayer\AppsHat\WebPlayer.exe [202752 2012-10-26] ()
      HKCU\...\Run: [d0NQm4zz] - C:\Users\Se7en\AppData\Local\Temp\d0NQm4zz.vbs [131177 2013-09-28] () <===== ATTENTION
      AppInit_DLLs: C:\PROGRA~3\Wincert\WIN64C~1.DLL C:\PROGRA~2\MOVIES~1\SAFETY~1\x64\SAFETY~2.DLL [97280 2009-07-14] ()
      AppInit_DLLs-x32: c:\progra~2\movies~1\safety~1\safety~2.dll c:\progra~3\wincert\win32c~1.dll [ ] ()
      IMEO\bitguard.exe: [Debugger] tasklist.exe
      IMEO\bprotect.exe: [Debugger] tasklist.exe
      IMEO\browserdefender.exe: [Debugger] tasklist.exe
      IMEO\browserprotect.exe: [Debugger] tasklist.exe
      Startup: C:\Users\Se7en\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d0NQm4zz.vbs ()
      Startup: C:\Users\Se7en\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk
      ShortcutTarget: lollipop.lnk -> C:\Users\Se7en\AppData\Local\Lollipop\Lollipop.exe (No File)
      FF DefaultSearchEngine: Ask.com
      FF SearchEngineOrder.1: Ask.com
      FF SelectedSearchEngine: Ask.com
      FF Homepage: hxxp://www.search.ask.com/?o=APN10640A&gct=hp&d=473-105&v=n9397-128&t=4
      FF Keyword.URL: hxxp://dts.search.ask.com/sr?src=ffb&gct=ds&appid=105&systemid=473&v=n9397-128&apn_dtid=BND473&apn_ptnrs=AG1&apn_uid=2043841245424015&o=APN10640&q=
      FF Extension: Movies Toolbar (Dist. by Somoto Ltd.) - C:\Users\Se7en\AppData\Roaming\Mozilla\Firefox\Profiles\bjka2cmw.default\Extensions\{3444c3c5-6c56-4a16-a453-832b05bf6ea4}
      FF Extension: New tab - C:\Users\Se7en\AppData\Roaming\Mozilla\Firefox\Profiles\bjka2cmw.default\Extensions\{9572F96B-8DD3-0D00-CE9F-956955F73C86}
      FF Extension: AppsHat - C:\Users\Se7en\AppData\Roaming\Mozilla\Firefox\Profiles\bjka2cmw.default\Extensions\{97A78363-B868-4B48-AC91-A783A31215AF}
      FF HKLM-x32\...\Firefox\Extensions: [belgiumeid@eid.belgium.be] - C:\Program Files\Mozilla Firefox\extensions\belgiumeid@eid.belgium.be
      CHR HKLM-x32\...\Chrome\Extension: [aaaaimdcedbpbcjjbbnfcbbjcngmomic] - C:\Users\Se7en\AppData\Local\somotomoviestoolbar1\GC\toolbar.crx
      CHR RestoreOnStartup: "hxxp://www.google.com"]},"sync":{"acknowledged_types":["Bookmarks","Preferences","Passwords","Autofill Profiles","Autofill","Themes","Typed URLs","Extensions","Encryption keys","Search Engines","Sessions","Apps","App settings","Extension settings","App Notifications"],"app_notifications":true,"app_settings":true,"apps":true,"autofill":true,"autofill_profile":true,"bookmarks":true,"dictionary":true,"encryption_bootstrap_token":"AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAKPch5D8v30a/KhiH9SjYcQAAAAACAAAAAAAQZgAAAAEAACAAAACZq4Ek164BkDJQM4y46fXxJ7IjXZ/p9Jw/KGAtAtq7WgAAAAAOgAAAAAIAACAAAABIhJQk4dQWGbfHxoyzECFXTCguHyIeVMb4LDfoHJDUcUAAAADiisZiVzNL8EgQkFMBdSfARKiHR1nDTBuP8+j5XzRGBhh2yvNTPibS51Ba/Y9DyfPezfrI4Izogg39j/rXgFFtQAAAAJYvO6VZhQR/FO1RqL92bgEw26uyLUAbxlFZ9R0v78HhPDNSChfOT0BtIGwPprTcQ3waYhsolUHVqT1ofqchfx0=","extension_settings":true,"extensions":true,"favicons_syncing_enabled":true,"has_setup_completed":true,"history_delete_directives":true,"keep_everything_synced":true,"keystore_encryption_bootstrap_token":"AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAoA1JZJm5TkKx6TO2PsRPhQAAAAACAAAAAAAQZgAAAAEAACAAAABgP0Rz3wNXJHTZRXR2kpJonx96AF9JcF2s/JMpiHyXZQAAAAAOgAAAAAIAACAAAADkZ5Z7Viw4cmiPUI4zwgKuaLwcYrbptlWjkUI99czlmlAAAAB7ma/IWIKF+Ev4Yrp0DEX1yJqfrY+mJn4Uu9pKAWS/XZwQZs4EkbiylwDGGzNubyB7QhGtXt7Wp2MZQBSI1nC1B8vlXJxqieiD4p3hJFH2F0AAAADT11luSu/vIJnDQ2Kw/UbWPmAzSMA5fk5pxSlDj4WRSMzxrP/ucAWmzYNgxC1i7aRY48j25dW4SFlENvQ0XW4n","last_synced_time":"13024651106708003","passwords":true,"preferences":true,"priority_preferences":true,"search_engines":true,"session_sync_guid":"session_syncP+56UbgC0/yJQyqcFFK9QA==","sessions":true,"suppress_start":false,"tabs":true,"themes":true,"typed_urls":true},"sync_promo":{"show_ntp_bubble":false,"startup_count":1,"user_skipped":true,"view_count":1},"translate":{"enabled":true},"translate_accepted_count":{"en":0,"es":0,"nl":0,"zh-CN":0},"translate_denied_count":{"en":6,"es":2,"nl":2,"zh-CN":1},"translate_language_blacklist":["en"
      2013-10-07 08:58 - 2013-10-07 10:28 - 00000000 ____D C:\Program Files (x86)\Movies Toolbar
      2013-10-07 08:58 - 2013-10-07 10:27 - 00000000 ____D C:\ProgramData\Wincert
      2013-10-07 08:58 - 2013-10-07 10:26 - 00001963 _____ C:\Users\Se7en\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
      2013-10-07 08:58 - 2013-10-07 08:58 - 00002107 _____ C:\Users\Se7en\Desktop\AppsHat.lnk
      2013-10-07 08:58 - 2013-10-07 08:58 - 00000000 ____D C:\Users\Se7en\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat
      2013-10-07 08:58 - 2013-10-07 08:58 - 00000000 ____D C:\Users\Se7en\AppData\Local\WebPlayer
      2013-10-07 08:58 - 2013-10-07 08:58 - 00000000 ____D C:\Users\Se7en\AppData\Local\somotomoviestoolbar1
      2013-10-07 08:54 - 2013-10-07 08:54 - 00001979 _____ C:\Users\Public\Desktop\Adobe Reader XI.lnk
      2013-10-03 14:18 - 2013-10-03 14:18 - 00002066 _____ C:\Users\Se7en\Desktop\SosVirus On Facebook.lnk
      2013-10-03 14:18 - 2013-10-03 14:18 - 00002040 _____ C:\Users\Se7en\Desktop\SosVirus Forum.lnk
      C:\Users\Se7en\AppData\Local\Temp\d0NQm4zz.vbs

      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction



    • L'outil va créer un rapport de correction Fixlog.txt.

  • (clique sur lien vert et souligné , ceci va t'ouvrir une fenêtre): Tu hébergeras le rapport ici, tu m'indiqueras le lien dans ta prochaine réponse.

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    £££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££££

    m
    0
    l
    8 Octobre 2013 08:59:40

    Bonjour Migau,

    je suis bien désolée, je ne comprends pas pourquoi il est revenu.
    Peut-être y a-t-on glissé une ancienne clé infectée ? Je vais mener l'enquête.
    Quoi qu'il en soit, plus rien n'y entrera avant ton feu vert.
    Par contre impossible de le couper totalement du réseau car pour télécharger les programmes que tu m'indiques, je suis obligée de me connecter au net. Et passer par le réseau.
    Mes autres PC sont protégés (vérification avec Chantal11 pour en être bien certaine), et sous Avast de nouveau.

    Je vais donc recommencer celui-ci.
    Et lorsque je lance USBFix, il se bloque à 14 %... j'ai essayé deux fois. (antivirus coupé etc.)
    J'ai fait du coup l'étape d'après et voici le rapport Fixlog.txt : http://up.security-x.fr/file.php?h=R293d0713870665ab15d...

    Merci de ton attention.
    Virgule
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    8 Octobre 2013 09:03:21

    hello

    as tu bien redémarré ton pc après le fix de frst ?

    il faut le faire et ensuite redémarré ton pc en mode sans échec pour lacer usbfix

    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    8 Octobre 2013 10:10:56

    hello

    tu n'as plus la clé usb infectée de la cliente ?

    ton pc est vacciné, mais si les clés de tes clients ne sont pas vaccinés, ils auront des soucis

    maintenant

    fais un scan de vérification de ton pc avec MBAM

    ensuite fais ce que je te demande dans ce message

    http://www.tomsguide.fr/forum/id-2904015/virus-transfor...
    m
    0
    l
    8 Octobre 2013 10:33:41

    migau a dit :
    hello

    tu n'as plus la clé usb infectée de la cliente ?

    ton pc est vacciné, mais si les clés de tes clients ne sont pas vaccinés, ils auront des soucis


    Non les clients ne me laissent pas leur clés, même en sachant leur infection ...

    Par contre quand mon PC sera vacciné, si une clé infectée est insérée dedans, à moins qu'Avast ne le detecte, je devrai voir les raccourcis clavier sur la clé, mais cela ne pourra pas corrompre mon ordi ?
    Je dois bien t'avouer que j'ai un peu de mal avec le concept de ce virus...

    Merci encore.
    je t'envoie les rapports.

    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    8 Octobre 2013 11:25:55

    hello

    voilà ce doit être fini et bon courage

    m
    0
    l
    8 Octobre 2013 11:39:40

    Un tout tout grand merci.

    Pour que je sois sûre : (car le virus s'est propagé dans la ville (les deux center copy self service à coté de mon magasin en sont infectés).
    Si j'accepte une clé et que je l'introduis dans mon PC (vacciné, celui-ci par exemple), il ne risque rien car il est vacciné, mais je verrai les raccourcis des fichiers contenus sur la clé.
    Je peux donc dire au client que sa clé est infectée et qu'il doit la désinfecter.

    Merci encore pour ton travail. :) 
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    8 Octobre 2013 11:46:27

    Virgule1892 a dit :
    Un tout tout grand merci.

    Pour que je sois sûre : (car le virus s'est propagé dans la ville (les deux center copy self service à coté de mon magasin en sont infectés).
    Si j'accepte une clé et que je l'introduis dans mon PC (vacciné, celui-ci par exemple), il ne risque rien car il est vacciné, mais je verrai les raccourcis des fichiers contenus sur la clé.
    Je peux donc dire au client que sa clé est infectée et qu'il doit la désinfecter.

    Merci encore pour ton travail. :) 


    sur quel site as tu téléchargé avast?

    il faut toujours télécharger les applications sur le sité de l'éditeur
    car tu avais des tollbars et adwares.

    m
    0
    l
    8 Octobre 2013 14:03:55

    Je l'avais fait sur www.01net.com.

    Faut il que je le recommence ?

    Pour que je sois sûre : (car le virus s'est propagé dans la ville (les deux center copy self service à coté de mon magasin en sont infectés).
    Si j'accepte une clé et que je l'introduis dans mon PC (vacciné, celui-ci par exemple), il ne risque rien car il est vacciné, mais je verrai les raccourcis des fichiers contenus sur la clé.
    Je peux donc dire au client que sa clé est infectée et qu'il doit la désinfecter.
    m
    0
    l
    8 Octobre 2013 16:13:44

    Je pense avoir fini avec tous les PC (4).
    Il y en a bien encore deux, mais nous n'introduisons jamais de clés usb dedans.

    Encore un tout tout grand merci à vous deux pour votre aide, Migau et Chantal11.

    Bien à vous

    Virgule
    m
    0
    l
    a c 569 8 Sécurité
    a b 9 Windows
    9 Octobre 2013 17:04:39

    Virgule1892 a dit :
    Je l'avais fait sur www.01net.com.

    .


    hello

    si ton pc n° 1 fut à nouveau infecté , tu as attrapé cela en téléchargeant avast sur 01.net



    il faut toujours télécharger les logiciels chez l'éditeur du dit logiciel

    les autres sites très souvent repackent les fichiers d'installation pour se faire de l'argent
    c'est de cette manière que tu as chopé
    vincert
    lollipop
    browserdefender
    browserprotect
    search ask
    ask.com

    m
    0
    l
    9 Octobre 2013 17:08:35

    Je ferai très attention les prochaines fois.

    Merci encore
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS