FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Bernie35]

Bonjour,
C'est la première fois que je poste un message d'assistance. J'assure moi-même une assistance applicative professionnelle et ne connais pas énormément de choses en dehors de mes applis. Mon ami vient de se faire pirater par un ransomware encrypteur sur un Système XP. Certains de ses fichiers .pdf, .doc, .xls, .ppt ont été modifiés. Leur extension est désormais suivie de ".enc.rtf". Après une recherche sur le disque local, il apparaît qu'un peu plus de 4000 fichiers ont été touchés. Or parmi ces fichiers figurent toute une série de cours représentant des mois de travail.
J'ai lancé plusieurs de ces fichiers et il en ressort qu'ils commencent tous par le même message :
- désactiver l'antivirus et le pare-feu, lancer internet, décompresser une archive, payer puis attendre le décodage du fichier. Ce message est suivi semble-t-il du contenu du fichier d'origine mais crypté.
J'ai suivi les 2 postes sur le même sujet et le petit tutoriel laissé par 2011N2. J'ai donc lancé SEAF comme le préconise g3n-h@ckm@n mais je n'ai pas trouvé le fichier VetwNnaA. J'ai téléchargé Binary Browser mais la valeur en hexa donnée dans le tutoriel ne donne rien.

Grand merci à celui qui pourra m'aider !!!
Peu importe qu'il faille reprendre les fichiers un à un pourvu qu'ils s'ouvrent.

[2011N2]

Bonsoir,



C'est pas gagné pour retrouver les fichiers, mais on va essayer.

As-tu la possibilité d'envoyer un fichier sain et un fichier infecté ?
Par cjoint : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

[Bernie35]

Bonsoir,
Je vous ai envoyé un fichier sain et le même fichier avec peut-être quelques modifications mais vérolé par cjoint.
Grand merci

[2011N2]

Re,

Il faudrait poster les liens dans ce sujet SVP.

Merci,

Gabriel.

[Bernie35]

Bonsoir,
Voici les liens :
http://cjoint.com/14av/DDBtLUGhBfV.htm
http://cjoint.com/14av/DDBtNVdI7W3.htm
Merci et bonne soirée

[2011N2]

Re,

Je regarderai ça demain probablement et te tiens au courant.

Bonne soirée,

Gabriel.

[g3n-h@ckm@n]

bonjour il faudrait exactement les memes fichiers de chaque

et essaie de faire ca pour toutes les extensions cryptées

et essaie de faire parvenir :

C:\Documents and settings\omilli\Local Settings\Application Data\qBYeuGkP\BSGoNeEi.zip

la valeur en hexa donnée ne fonctionne que pour les fichiers .jpg

[Bernie35]

Bonjour,
Voici les liens :

Word sain http://cjoint.com/?DDCloaX16bv
Word vérolé http://cjoint.com/?DDClqgJKrlz

Diaporama sain http://cjoint.com/?DDCluncIY1K
Diaporama vérolé http://cjoint.com/?DDClwp1Sunm

PDF sain http://cjoint.com/?DDClypoyoFT
PDF vérolé http://cjoint.com/?DDClzGLCrqx

EXCEL sain http://cjoint.com/?DDClB6bPjE0
EXCEL vérolé http://cjoint.com/?DDClDX0kvUo

IMAGE JPG sain http://cjoint.com/?DDClFZ1Gima
IMAGE JPG vérolé http://www.cjoint.com/?DDClHgUrttK

Enfin, voici le fichier ZIP demandé : http://cjoint.com/?DDClOy2P6gR

Merci

[g3n-h@ckm@n]

pour commencer regarde si tu as ceci et supprime :

C:\minor.exe
C:\minor.com
C:\ProgramFiles\opera\opeara.exe
C:\Documents and settings\omilli\Local Settings\Application Data\qBYeuGkP

recherche dans tout le pc fkqrEiQZ.exe et supprime

à priori à première vue pour tes docs , c'est tout mort.....(peut-être en cliquant droit dessus = propriétés = versions précédentes mais j'en doute)

[Bernie35]

Bonjour,
Il n'existe pas de fichier "minor", ni "opera" sur le PC. Par contre il y avait bien des fichiers qBYeuGkP et un "fkqrEiQZ" (ce dernier étant en double). Je les ai donc tous supprimés.
Merci

[g3n-h@ckm@n]

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peut disparaître à plusieurs reprises

[*]Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )

[*]Télécharge[/url]Pre_Scan sur ton bureau !


[*]Si le lien n'est pas fonctionnel :

• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

• #SCR
• #PIF
• #COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

• Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[Bernie35]

Bonjour,
Voici le pre-scan du pc infecté : http://cjoint.com/?DDDqLe3MMLO.
Encore merci pour votre secours.
Bernie

[g3n-h@ckm@n]

re

• Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
• Branche toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Choisis l'option Suppression
  
  
  
  Note : L'ordinateur va redémarrer automatiquement, au redémarrage, clique sur le message transmis par UsbFix et laisse le programme travailler.
  
  
• Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

[Bernie35]

Bonjour,
Voici le rapport et un élément à signaler : le navigateur Firefox ne fonctionne plus mais IE oui. On le retélécharge.
############################## | UsbFix V 7.169 | [Suppression]

Utilisateur: adm155 (Administrateur) # PR155147
Mis à jour le 31/03/2014 par El Desaparecido - Team SosVirus
Lancé à 15:36:26 | 30/04/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Dell Inc. (0F328M)
CPU: Processeur Intel Pentium III Xeon
RAM - [Total : 3536 Mo| Free : 2891 Mo]
Bios: Dell Inc.
Boot: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) Service Pack 3
WB: Windows Internet Explorer : 8.0.6001.18702
WB: Mozilla Firefox : 10.0.2

SC: Security Center [(!) Disabled]
WU: Windows Update [(!) Disabled]

FW: Windows FireWall [(!) Disabled]
AS: Malwarebytes' Anti-Malware : 1.75.0001

C:\ (%systemdrive%) - Disque fixe # 13 Go (5 Go libre(s) - 38%) [SYSTEME] # NTFS
D:\ - Disque fixe # 129 Go (20 Go libre(s) - 16%) [DONNEES] # NTFS
E:\ - Disque fixe # 466 Go (254 Go libre(s) - 55%) [HD-PVU2] # FAT32
J:\ - CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (ID: 532 |ParentID: 4)
C:\WINDOWS\system32\winlogon.exe (ID: 616 |ParentID: 532)
C:\WINDOWS\system32\services.exe (ID: 668 |ParentID: 616)
C:\WINDOWS\system32\lsass.exe (ID: 680 |ParentID: 616)
C:\WINDOWS\system32\svchost.exe (ID: 848 |ParentID: 668)
C:\WINDOWS\system32\svchost.exe (ID: 948 |ParentID: 668)
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe (ID: 1036 |ParentID: 668)
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (ID: 1324 |ParentID: 668)
C:\WINDOWS\system32\spoolsv.exe (ID: 1492 |ParentID: 668)
c:\dell\e6500\stacsv.exe (ID: 1544 |ParentID: 668)
C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe (ID: 496 |ParentID: 668)
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (ID: 552 |ParentID: 668)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (ID: 840 |ParentID: 668)
C:\WINDOWS\openssh\bin\cygrunsrv.exe (ID: 944 |ParentID: 668)
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (ID: 1184 |ParentID: 668)
C:\WINDOWS\openssh\usr\sbin\sshd.exe (ID: 1200 |ParentID: 1164)
C:\WINDOWS\system32\tlntsvr.exe (ID: 1212 |ParentID: 668)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (ID: 2664 |ParentID: 840)
C:\WINDOWS\Explorer.EXE (ID: 2944 |ParentID: 2892)
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe (ID: 3332 |ParentID: 1036)

################## | Recherche générique |


(!) Fichiers temporaires supprimés.

################## | Registre |

Réparé ! HKLM\Software\Microsoft\Security Center|AntiVirusDisableNotify - 0
Supprimé! HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\userinit
Supprimé! HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Win32
Supprimé! HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\YVIBBBHA8C

################## | Regedit Run |

[Bernie35]

Oups ! il manque une partie du rapport :
############################## | UsbFix V 7.169 | [Suppression]

Utilisateur: adm155 (Administrateur) # PR155147
Mis à jour le 31/03/2014 par El Desaparecido - Team SosVirus
Lancé à 15:36:26 | 30/04/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Dell Inc. (0F328M)
CPU: Processeur Intel Pentium III Xeon
RAM - [Total : 3536 Mo| Free : 2891 Mo]
Bios: Dell Inc.
Boot: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) Service Pack 3
WB: Windows Internet Explorer : 8.0.6001.18702
WB: Mozilla Firefox : 10.0.2

SC: Security Center [(!) Disabled]
WU: Windows Update [(!) Disabled]

FW: Windows FireWall [(!) Disabled]
AS: Malwarebytes' Anti-Malware : 1.75.0001

C:\ (%systemdrive%) - Disque fixe # 13 Go (5 Go libre(s) - 38%) [SYSTEME] # NTFS
D:\ - Disque fixe # 129 Go (20 Go libre(s) - 16%) [DONNEES] # NTFS
E:\ - Disque fixe # 466 Go (254 Go libre(s) - 55%) [HD-PVU2] # FAT32
J:\ - CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (ID: 532 |ParentID: 4)
C:\WINDOWS\system32\winlogon.exe (ID: 616 |ParentID: 532)
C:\WINDOWS\system32\services.exe (ID: 668 |ParentID: 616)
C:\WINDOWS\system32\lsass.exe (ID: 680 |ParentID: 616)
C:\WINDOWS\system32\svchost.exe (ID: 848 |ParentID: 668)
C:\WINDOWS\system32\svchost.exe (ID: 948 |ParentID: 668)
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe (ID: 1036 |ParentID: 668)
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (ID: 1324 |ParentID: 668)
C:\WINDOWS\system32\spoolsv.exe (ID: 1492 |ParentID: 668)
c:\dell\e6500\stacsv.exe (ID: 1544 |ParentID: 668)
C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe (ID: 496 |ParentID: 668)
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (ID: 552 |ParentID: 668)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (ID: 840 |ParentID: 668)
C:\WINDOWS\openssh\bin\cygrunsrv.exe (ID: 944 |ParentID: 668)
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (ID: 1184 |ParentID: 668)
C:\WINDOWS\openssh\usr\sbin\sshd.exe (ID: 1200 |ParentID: 1164)
C:\WINDOWS\system32\tlntsvr.exe (ID: 1212 |ParentID: 668)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (ID: 2664 |ParentID: 840)
C:\WINDOWS\Explorer.EXE (ID: 2944 |ParentID: 2892)
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe (ID: 3332 |ParentID: 1036)

################## | Recherche générique |


(!) Fichiers temporaires supprimés.

################## | Registre |

Réparé ! HKLM\Software\Microsoft\Security Center|AntiVirusDisableNotify - 0
Supprimé! HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\userinit
Supprimé! HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Win32
Supprimé! HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\YVIBBBHA8C

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [SuperCopier2.exe] E:\SuperCopier2\SuperCopier2.exe
04 - HKCU\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\Run : [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
04 - HKLM\..\Run : [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
04 - HKLM\..\Run : [Persistence] C:\WINDOWS\system32\igfxpers.exe
04 - HKLM\..\Run : [Netlogon] C:\Program Files\pGina\Netlogon.cmd
04 - HKLM\..\Run : [Apoint] C:\Program Files\DellTPad\Apoint.exe
04 - HKLM\..\Run : [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
04 - HKLM\..\Run : [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
04 - HKLM\..\RunOnceEx : [Installations des logiciels] 0x00000020
04 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\..\Run : []
04 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\..\RunOnce : []
04 - HKU\S-1-5-21-1454471165-220523388-1801674531-1007\..\Run : [SuperCopier2.exe] E:\SuperCopier2\SuperCopier2.exe
04 - HKU\S-1-5-21-1454471165-220523388-1801674531-1007\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

################## | Listing |

[30/04/2009 - 09:28:42 | A | 0 Ko] - C:\AUTOEXEC.BAT
[26/05/2009 - 17:27:13 | D] - C:\BJPrinter
[03/05/2010 - 14:15:32 | ASH | 0 Ko] - C:\boot.ini
[28/09/2001 - 15:00:00 | N | 5 Ko] - C:\Bootfont.bin
[30/04/2009 - 09:28:42 | N | 0 Ko] - C:\CONFIG.SYS
[03/05/2010 - 09:19:00 | D] - C:\DELL
[23/05/2012 - 14:56:23 | D] - C:\Documents and Settings
[30/04/2009 - 09:28:42 | RASH | 0 Ko] - C:\IO.SYS
[30/05/2012 - 14:36:43 | D] - C:\jdk1.6.0_01
[30/04/2009 - 09:28:42 | RASH | 0 Ko] - C:\MSDOS.SYS
[26/05/2012 - 14:46:42 | D] - C:\My Video
[13/04/2008 - 11:43:04 | N | 46 Ko | B2DE3452DE03674C6CEC68B8C8CE7C78] - C:\NTDETECT.COM
[13/04/2008 - 13:31:52 | RASH | 246 Ko] - C:\ntldr
[29/04/2014 - 16:31:11 | D] - C:\Pre_Scan
[29/04/2014 - 16:31:00 | N | 28 Ko | E75CE6C7C544081B5C949D1517A2DFB3] - C:\Pre_Scan_29_04_2014_16_31_00.txt
[29/04/2014 - 16:27:04 | D] - C:\Program Files
[22/03/2011 - 14:00:34 | D] - C:\QUARANTINE
[29/04/2014 - 21:13:44 | SHD] - C:\RECYCLER
[30/04/2009 - 11:22:01 | SHD] - C:\System Volume Information
[27/12/2013 - 10:20:36 | D] - C:\TEMP
[30/04/2014 - 15:25:25 | D] - C:\UsbFix
[30/04/2014 - 15:36:46 | A | 6 Ko | 5E6D1F0720F7A5E6E25502413F8AEFF9] - C:\UsbFix [Clean 2] PR155147.txt
[30/04/2014 - 10:29:44 | D] - C:\WINDOWS
[28/04/2014 - 17:39:24 | D] - D:\DATA
[28/04/2014 - 16:44:13 | D] - D:\FrAnCiS
[23/05/2012 - 14:57:43 | D] - D:\Home
[13/05/2009 - 16:32:35 | RD] - D:\MSOCache
[30/04/2014 - 15:35:05 | ASH | 3620688 Ko] - D:\pagefile.sys
[30/04/2010 - 16:37:42 | SHD] - D:\RECYCLER
[30/04/2009 - 09:33:44 | SHD] - D:\System Volume Information
[29/04/2014 - 16:43:50 | D] - D:\TEMP
[22/12/2009 - 17:41:30 | N | 57845 Ko | 3B0EE40A1D758876DD2DAE1BEEFC616F] - E:\DriveNavi.exe
[07/12/2010 - 05:04:26 | SHD] - E:\System Volume Information
[07/12/2010 - 05:04:30 | D] - E:\Mac
[21/02/2011 - 10:24:24 | D] - E:\1 PORTABLE 21-02-11
[21/02/2011 - 10:44:40 | D] - E:\Recycled
[07/11/2011 - 09:22:10 | D] - E:\2 PORTABLE 07-11-11
[15/12/2011 - 17:57:38 | N | 72 Ko] - E:\examCELG-1session2011-2012.doc
[23/12/2011 - 10:28:34 | N | 77 Ko] - E:\EXAM IVA - 1ère Session 2011-12 (version 23-12-11).doc
[04/03/2012 - 11:00:30 | D] - E:\A TRIER
[07/12/2009 - 00:05:56 | D] - E:\SuperCopier2
[04/03/2012 - 14:55:42 | D] - E:\4 PORTABLE 05-03-2012
[23/09/2012 - 11:08:00 | D] - E:\5 PORTABLE 23-09-2012
[23/09/2012 - 16:18:16 | SHD] - E:\$RECYCLE.BIN
[26/01/2013 - 14:51:12 | D] - E:\3 PORTABLE 26-01-2012
[15/03/2013 - 09:33:46 | D] - E:\6 PORTABLE 15-03-2013
[24/05/2013 - 10:12:18 | D] - E:\7 PORTABLE 24-05-2013
[05/01/2014 - 12:15:08 | D] - E:\8 PORTABLE 05-01-2014
[16/02/2014 - 12:24:40 | D] - E:\9 PORTABLE 16-02-2014
[01/04/2014 - 10:12:58 | D] - E:\10 partiel CELG 01-04-2014
[01/04/2014 - 10:41:16 | D] - E:\ART
[27/04/2014 - 12:50:24 | D] - E:\(11) PORTABLE PARTIELLEMENT CRYPTE 27-04-2014

################## | Vaccin |

D:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |

[g3n-h@ckm@n]

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\tlntsvr.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

[Bernie35]

Bonsoir,
Voici le lien :
https://www.virustotal.com/fr/file/daf6 ... 398965214/

Merci
Bernie

[g3n-h@ckm@n]

re

meme chose avec ce fichier stp

E:\DriveNavi.exe

[Bernie35]

Bonsoir,

Je vous renvoie le lien du fichier analysé. Il a trouvé 2 fichiers infectés.

https://www.virustotal.com/fr/file/0551 ... 399049723/

Encore MERCI
Bernie

[g3n-h@ckm@n]

hello ne touche à rien je contacte le concepteur d'usbfix

[Dori@n]

up

[g3n-h@ckm@n]

yop désolé je t'ai perdu en route , toujours dans le coin ?

[Bernie35]

Bonjour,
Je suis toujours là. Je sais que je ne suis pas toute seule et qu'il est parfois difficile de trouver une solution. La patience est une règle très utile en informatique.
Merci.
Bernie

[g3n-h@ckm@n]

re

desnstalle usbfix et passe la derniere version en suppression

http://www.telecharger.sosvirus.net/download/usbfix/

[Bernie35]

Bonjour,
Voici le rapport de suppression :
############################## | UsbFix V 7.171 | [Nettoyage]

Utilisateur: adm155 (Administrateur) # PR155147
Mis à jour le 09/06/2014 par El Desaparecido - SosVirus
Lancé à 17:15:44 | 15/06/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Assistance : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Dell Inc. (0F328M)
CPU: Processeur Intel Pentium III Xeon
RAM - [Total : 3536 Mo| Free : 2800 Mo]
Bios: Dell Inc.
Boot: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) Service Pack 3
WB: Windows Internet Explorer : 8.0.6001.18702
WB: Mozilla Firefox : 29.0.1

SC: Security Center [(!) Disabled]
WU: Windows Update [(!) Disabled]

FW: Windows FireWall [(!) Disabled]
AS: Malwarebytes' Anti-Malware : 1.75.0001

C:\ - Disque fixe # 13 Go (5 Go libre(s) - 35%) [SYSTEME] # NTFS
D:\ - Disque fixe # 129 Go (23 Go libre(s) - 18%) [DONNEES] # NTFS
E:\ - Disque fixe # 466 Go (184 Go libre(s) - 40%) [HD-PVU2] # FAT32
J:\ - CD-ROM

################## | Processus Stoppés |

C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe (ID: 1024|ParentID: 652|SYSTEM)
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (ID: 1272|ParentID: 652|SYSTEM)
C:\WINDOWS\system32\spoolsv.exe (ID: 1452|ParentID: 652|SYSTEM)
C:\DELL\E6500\STACSV.EXE (ID: 1492|ParentID: 652|SYSTEM)
C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe (ID: 440|ParentID: 652|SYSTEM)
C:\WINDOWS\openssh\bin\cygrunsrv.exe (ID: 464|ParentID: 652|SYSTEM)
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (ID: 884|ParentID: 652|SYSTEM)
C:\WINDOWS\system32\tlntsvr.exe (ID: 1168|ParentID: 652|SYSTEM)
C:\WINDOWS\openssh\usr\sbin\sshd.exe (ID: 1176|ParentID: 960|SYSTEM)
C:\WINDOWS\explorer.exe (ID: 1752|ParentID: 1156|bernie35)
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe (ID: 248|ParentID: 1024|bernie35)
C:\WINDOWS\system32\igfxsrvc.exe (ID: 1608|ParentID: 840|bernie35)
C:\WINDOWS\system32\hkcmd.exe (ID: 1200|ParentID: 1752|bernie35)
C:\WINDOWS\system32\igfxpers.exe (ID: 1912|ParentID: 1752|bernie35)
C:\Program Files\DellTPad\Apoint.exe (ID: 1664|ParentID: 1752|bernie35)
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe (ID: 2064|ParentID: 1752|bernie35)
C:\Program Files\Samsung\EmoDio\SMSTray.exe (ID: 2080|ParentID: 1752|bernie35)
C:\Program Files\DellTPad\ApMsgFwd.exe (ID: 2232|ParentID: 1664|bernie35)
C:\Program Files\DellTPad\hidfind.exe (ID: 2340|ParentID: 1664|bernie35)
C:\WINDOWS\system32\ctfmon.exe (ID: 2404|ParentID: 1752|bernie35)
C:\Program Files\DellTPad\ApntEx.exe (ID: 2444|ParentID: 2316|bernie35)
C:\Program Files\Mozilla Firefox\firefox.exe (ID: 3584|ParentID: 1752|bernie35)
C:\WINDOWS\system32\notepad.exe (ID: 1924|ParentID: 2660|adm155)
C:\Program Files\Symantec\Symantec Endpoint Protection\SescLU.exe (ID: 3016|ParentID: 840|SYSTEM)

################## | Autorun |


################## | Recherche générique |


(!) Fichiers temporaires supprimés.

################## | Registre |

Réparé ! HKLM\Software\Microsoft\Security Center|AntiVirusDisableNotify - 0
Supprimé! HKU\S-1-5-21-1454471165-220523388-1801674531-1008\Software\.\.\.\.\Mountpoints2\{affd4ccc-1371-11e2-9bdf-0022fb3df91c}
Supprimé! HKU\S-1-5-21-1454471165-220523388-1801674531-1008\Software\.\.\.\.\Mountpoints2\{eb77c2e0-b8a3-11e1-9b4a-0022fb3df91c}

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [SuperCopier2.exe] E:\SuperCopier2\SuperCopier2.exe
04 - HKCU\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\Run : [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
04 - HKLM\..\Run : [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
04 - HKLM\..\Run : [Persistence] C:\WINDOWS\system32\igfxpers.exe
04 - HKLM\..\Run : [Netlogon] C:\Program Files\pGina\Netlogon.cmd
04 - HKLM\..\Run : [Apoint] C:\Program Files\DellTPad\Apoint.exe
04 - HKLM\..\Run : [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
04 - HKLM\..\Run : [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
04 - HKLM\..\RunOnceEx : [Installations des logiciels] 0x00000020
04 - HKU\S-1-5-21-1454471165-220523388-1801674531-1007\..\Run : [SuperCopier2.exe] E:\SuperCopier2\SuperCopier2.exe
04 - HKU\S-1-5-21-1454471165-220523388-1801674531-1007\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKU\S-1-5-21-1454471165-220523388-1801674531-1008\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

################## | C:\ - Disque Fixe (NTFS) |

[29/04/2014 - 16:31:00 | N | 28 Ko] - C:\Pre_Scan_29_04_2014_16_31_00.txt
[30/04/2009 - 09:28:42 | N | 0 Ko] - C:\CONFIG.SYS
[30/04/2009 - 09:28:42 | RASH | 0 Ko] - C:\MSDOS.SYS
[30/04/2009 - 09:28:42 | RASH | 0 Ko] - C:\IO.SYS
[03/05/2010 - 14:15:32 | ASH | 0 Ko] - C:\boot.ini
[13/04/2008 - 11:43:04 | N | 46 Ko | VirusTotal - (0/53)] - C:\NTDETECT.COM
[28/09/2001 - 15:00:00 | N | 5 Ko] - C:\Bootfont.bin
[30/04/2009 - 09:28:42 | A | 0 Ko] - C:\AUTOEXEC.BAT
[30/05/2012 - 14:36:43 | D] - C:\jdk1.6.0_01
[13/04/2008 - 13:31:52 | RASH | 246 Ko] - C:\ntldr
[30/04/2009 - 11:22:01 | SHD] - C:\System Volume Information
[26/05/2009 - 17:27:13 | D] - C:\BJPrinter
[03/05/2010 - 09:19:00 | D] - C:\DELL
[22/03/2011 - 14:00:34 | D] - C:\QUARANTINE
[23/05/2012 - 14:56:23 | D] - C:\Documents and Settings
[26/05/2012 - 14:46:42 | D] - C:\My Video
[29/04/2014 - 16:31:11 | D] - C:\Pre_Scan
[29/04/2014 - 21:13:44 | SHD] - C:\RECYCLER
[14/05/2014 - 20:49:52 | D] - C:\TEMP
[15/06/2014 - 16:37:14 | D] - C:\Program Files
[15/06/2014 - 16:42:41 | D] - C:\WINDOWS
[15/06/2014 - 17:04:37 | D] - C:\UsbFix

################## | D:\ - Disque Fixe (NTFS) |

[15/06/2014 - 16:41:52 | ASH | 3620688 Ko] - D:\pagefile.sys
[30/04/2009 - 09:33:44 | SHD] - D:\System Volume Information
[13/05/2009 - 16:32:35 | RD] - D:\MSOCache
[30/04/2010 - 16:37:42 | SHD] - D:\RECYCLER
[23/05/2012 - 14:57:43 | D] - D:\Home
[28/04/2014 - 17:39:24 | D] - D:\DATA
[12/06/2014 - 13:28:56 | D] - D:\FrAnCiS
[13/06/2014 - 12:18:11 | D] - D:\TEMP
[15/06/2014 - 16:12:46 | D] - D:\AdwCleaner

################## | E:\ - Disque Fixe (FAT32) |

[22/12/2009 - 17:41:30 | N | 57845 Ko | VirusTotal - (2/51)] - E:\DriveNavi.exe
[15/12/2011 - 17:57:38 | N | 72 Ko] - E:\examCELG-1session2011-2012.doc
[23/12/2011 - 10:28:34 | N | 77 Ko] - E:\EXAM IVA - 1ère Session 2011-12 (version 23-12-11).doc
[23/09/2012 - 16:18:16 | SHD] - E:\$RECYCLE.BIN
[07/12/2009 - 00:05:56 | D] - E:\SuperCopier2
[07/12/2010 - 05:04:26 | SHD] - E:\System Volume Information
[07/12/2010 - 05:04:30 | D] - E:\Mac
[21/02/2011 - 10:24:24 | D] - E:\1 PORTABLE 21-02-11
[21/02/2011 - 10:44:40 | D] - E:\Recycled
[07/11/2011 - 09:22:10 | D] - E:\2 PORTABLE 07-11-11
[04/03/2012 - 11:00:30 | D] - E:\A TRIER
[04/03/2012 - 14:55:42 | D] - E:\4 PORTABLE 05-03-2012
[23/09/2012 - 11:08:00 | D] - E:\5 PORTABLE 23-09-2012
[26/01/2013 - 14:51:12 | D] - E:\3 PORTABLE 26-01-2012
[15/03/2013 - 09:33:46 | D] - E:\6 PORTABLE 15-03-2013
[24/05/2013 - 10:12:18 | D] - E:\7 PORTABLE 24-05-2013
[05/01/2014 - 12:15:08 | D] - E:\8 PORTABLE 05-01-2014
[16/02/2014 - 12:24:40 | D] - E:\9 PORTABLE 16-02-2014
[01/04/2014 - 10:12:58 | D] - E:\10 partiel CELG 01-04-2014
[01/04/2014 - 10:41:16 | D] - E:\ART
[27/04/2014 - 12:50:24 | D] - E:\(11) PORTABLE PARTIELLEMENT CRYPTE 27-04-2014
[11/05/2014 - 18:03:58 | D] - E:\12 PORTABLE-PARTIEL 11-05-2014

################## | Vaccin |

C:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.sosvirus.net/ | http://www.usbfix.net/ |

Bernie

[g3n-h@ckm@n]

re

ben le fichier a disparu ^^

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint