+ Répondre à la discussion
Affichage des résultats 1 à 15 sur 15

Discussion: Virus Clé USB

  1. #1
    Invité de passage
    Homme Profil pro
    Inscrit en
    juillet 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : juillet 2013
    Messages : 3
    Points : 0
    Points
    0

    Par défaut Virus Clé USB

    Bonjour les amis,
    J'ai un virus s'intitulant Autorun.inf.ren et Facbook.vbs qui met tout les fichiers existant dans ma clé Usb en racourcis.
    j'ai essayé avec USBFIX mais je l'ai toujours en branchant la clé.
    merci de m'aider dans ce sens

  2. #2
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Si vous pouvez m'envoyer le fichier Facebook.vbs avant de faire cette MANIP pour l'analyse !

    Téléchargez sur le bureau Malwarebyte's Anti-Malware


    • => double-clic sur mbam-setup pour lancer l'installation
    • => Installer simplement sans rien modifier
    • => Faites les mises à jour (Clic sur "Mise à jour" puis "Recherche de mises à jour").
    • => si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
    • => Quand le programme lancé ==> Cocher Exécuter un examen complet
    • => Clic Rechercher
    • => Eventuellement décocher les disques à ne pas analyser
    • => Clic Lancer l'examen
    • => En fin de scan ( 1h environ), si infection trouvée
    • => Clic Afficher résultat
    • => Fermer vos applications en cours
    • => Si MalwareByte's n'a rien détecté, cliquez sur OK Un rapport va apparaître fermez-le.
    • => Si MalwareByte's a détecté des infections, cliquez sur Afficher les résultats ensuite Vérifier si tout est coché et clic Supprimer la sélection.
    • => Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur "OK".
      un rapport s'ouvre le copier et le coller dans la réponse





    et complétez le travail avec : AdwCleaner
    AdwCleaner est un outil visant à supprimer :


    • Les adware (programmes publicitaires)
    • Les PUP/LPIs (programmes potentiellement indésirables)
    • Les toolbar (barres d'outil greffées au navigateur)
    • Les hijacker (détournement de la page de démarrage)



    Adwcleaner dispose d'un mode recherche et d'un mode suppression.
    Si vous avez fait le mode recherche il faut alors passer au mode Suppression
    Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
    Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.


    Puis exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans la réponse aussi

    * Pour restaurer les fichiers et les dossiers cachés et supprimer les raccourcis infectés , Utilisez ShortcutRemover

  3. #3
    Invité de passage
    Homme Profil pro
    Inscrit en
    juillet 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : juillet 2013
    Messages : 3
    Points : 0
    Points
    0

    Par défaut

    Merci pour la reponse et ton soutien,
    voila j'ai mis en copie les rapports que tu m'a demandé, je ny comprend rien

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    Malwarebytes Anti-Malware (Essai) 1.75.0.1300
    www.malwarebytes.org
    
    Version de la base de données: v2013.04.04.07
    
    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 8.0.7601.17514
    mohammed_karouane :: WN7-G6X405J [administrateur]
    
    Protection: Activé
    
    7/5/2013 2:00:00 PM
    mbam-log-2013-07-05 (14-00-00).txt
    
    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 201479
    Temps écoulé: 3 minute(s), 58 seconde(s)
    
    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)
    
    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)
    
    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)
    
    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)
    
    (fin)

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    198
    199
    200
    201
    202
    203
    204
    205
    206
    207
    208
    209
    210
    211
    212
    213
    214
    215
    216
    217
    218
    219
    220
    221
    222
    223
    224
    225
    226
    227
    228
    229
    230
    231
    232
    233
    234
    235
    236
    237
    238
    239
    240
    241
    242
    243
    244
    245
    246
    247
    248
    249
    250
    251
    252
    253
    254
    255
    256
    257
    258
    259
    260
    261
    262
    263
    264
    265
    266
    267
    268
    269
    270
    271
    272
    273
    274
    275
    276
    277
    278
    279
    280
    281
    282
    283
    284
    285
    286
    287
    288
    289
    290
    291
    292
    293
    294
    295
    296
    297
    298
    299
    300
    301
    302
    303
    304
    305
    306
    307
    308
    309
    310
    311
    312
    313
    314
    315
    316
    317
    318
    319
    320
    321
    322
    323
    324
    325
    326
    327
    328
    329
    330
    331
    332
    333
    334
    335
    336
    337
    338
    339
    340
    341
    342
    343
    344
    345
    346
    347
    348
    349
    350
    351
    352
    353
    354
    355
    356
    357
    358
    359
    360
    361
    362
    363
    364
    365
    366
    367
    368
    369
    370
    371
    372
    373
    374
    375
    376
    377
    378
    379
    380
    381
    382
    383
    384
    385
    386
    387
    388
    389
    390
    391
    392
    393
    394
    395
    396
    397
    398
    399
    400
    401
    402
    403
    404
    405
    406
    407
    408
    409
    410
    411
    412
    413
    414
    415
    416
    417
    418
    419
    420
    421
    422
    423
    424
    425
    426
    427
    428
    429
    430
    431
    432
    433
    434
    435
    436
    437
    438
    439
    440
    441
    442
    443
    444
    445
    446
    447
    448
    449
    450
    451
    452
    453
    454
    455
    456
    457
    458
    459
    460
    461
    462
    463
    464
    465
    466
    467
    468
    469
    470
    471
    472
    BIOS DELL   - 15
    
    Nom de l'ordinateur : WN7-G6X405J
    Fabriquant: Dell Inc.
    Modèle : OptiPlex 960                 
    
    Microsoft Windows 7 Enterprise |C:\Windows|\Device\Harddisk0\Partition2
    Version 6.1.7601
    Service Pack 1.0
    Dossier de Windows: C:\Windows
    
    **************Liste des Processus en cours d'exécution le 7/5/2013 à 1:49:39 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane**************
    ********************************************************************************
    Numéro PID = 0
    Nom du Processus = System Idle Process
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 4
    Nom du Processus = System
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 384
    Nom du Processus = smss.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 512
    Nom du Processus = csrss.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 564
    Nom du Processus = wininit.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 652
    Nom du Processus = services.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 688
    Nom du Processus = lsass.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 696
    Nom du Processus = lsm.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 816
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 892
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1012
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1052
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1076
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1232
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1372
    Nom du Processus = ngvpnmgr.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1480
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1624
    Nom du Processus = spoolsv.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1652
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1772
    Nom du Processus = armsvc.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1824
    Nom du Processus = DTUpdate.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1956
    Nom du Processus = FireSvc.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2032
    Nom du Processus = FrameworkService.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 528
    Nom du Processus = mfevtps.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 744
    Nom du Processus = NomadBranch.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1740
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2200
    Nom du Processus = sftvsa.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2220
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2312
    Nom du Processus = mfefire.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2408
    Nom du Processus = sftlist.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2416
    Nom du Processus = naPrdMgr.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 2720
    Nom du Processus = CcmExec.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 3832
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 3916
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 756
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 3928
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 4892
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5104
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 4452
    Nom du Processus = SearchIndexer.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5620
    Nom du Processus = CmRcService.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5616
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5132
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 4172
    Nom du Processus = OSPPSVC.EXE
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5120
    Nom du Processus = csrss.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5252
    Nom du Processus = winlogon.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 4240
    Nom du Processus = taskhost.exe
    Ligne de Commande = "taskhost.exe"
    ****************************************************************************************************
    Numéro PID = 3696
    Nom du Processus = sftdcc.exe
    Ligne de Commande = "C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe"
    ****************************************************************************************************
    Numéro PID = 664
    Nom du Processus = dwm.exe
    Ligne de Commande = "C:\Windows\system32\Dwm.exe"
    ****************************************************************************************************
    Numéro PID = 6040
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\Explorer.EXE
    ****************************************************************************************************
    Numéro PID = 6020
    Nom du Processus = communicator.exe
    Ligne de Commande = "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
    ****************************************************************************************************
    Numéro PID = 5772
    Nom du Processus = UdaterUI.exe
    Ligne de Commande = "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
    ****************************************************************************************************
    Numéro PID = 1144
    Nom du Processus = igfxtray.exe
    Ligne de Commande = "C:\Windows\System32\igfxtray.exe" 
    ****************************************************************************************************
    Numéro PID = 2588
    Nom du Processus = hkcmd.exe
    Ligne de Commande = "C:\Windows\System32\hkcmd.exe" 
    ****************************************************************************************************
    Numéro PID = 4996
    Nom du Processus = igfxpers.exe
    Ligne de Commande = "C:\Windows\System32\igfxpers.exe" 
    ****************************************************************************************************
    Numéro PID = 2732
    Nom du Processus = smax4pnp.exe
    Ligne de Commande = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" 
    ****************************************************************************************************
    Numéro PID = 5712
    Nom du Processus = USBGuard.exe
    Ligne de Commande = "C:\Program Files\USB Disk Security\USBGuard.exe" 
    ****************************************************************************************************
    Numéro PID = 4524
    Nom du Processus = MSOSYNC.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" 
    ****************************************************************************************************
    Numéro PID = 4948
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" 
    ****************************************************************************************************
    Numéro PID = 5472
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System File [Not Delete].vbe" 
    ****************************************************************************************************
    Numéro PID = 3692
    Nom du Processus = McTray.exe
    Ligne de Commande = /load
    ****************************************************************************************************
    Numéro PID = 4076
    Nom du Processus = SCNotification.exe
    Ligne de Commande = "C:\Windows\CCM\SCNotification.exe"
    ****************************************************************************************************
    Numéro PID = 604
    Nom du Processus = UcMapi.exe
    Ligne de Commande = "C:\Program Files\Microsoft Lync\UcMapi.exe" -Embedding
    ****************************************************************************************************
    Numéro PID = 5872
    Nom du Processus = OUTLOOK.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" 
    ****************************************************************************************************
    Numéro PID = 7308
    Nom du Processus = dllhost.exe
    Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
    ****************************************************************************************************
    Numéro PID = 6216
    Nom du Processus = vstskmgr.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 5680
    Nom du Processus = mcshield.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 4320
    Nom du Processus = mfeann.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 3136
    Nom du Processus = conhost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 7416
    Nom du Processus = engineserver.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 3780
    Nom du Processus = taskhost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 8144
    Nom du Processus = POWERPNT.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\powerpnt.exe" "C:\Users\mohammed_karouane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z3VNDOJ2\EMEA Duplicates Update Q1FY14  Project D440 check Results for Q2 FY14.pptx"
    ****************************************************************************************************
    Numéro PID = 8068
    Nom du Processus = EXCEL.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /restore
    ****************************************************************************************************
    Numéro PID = 2860
    Nom du Processus = mbamscheduler.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 9944
    Nom du Processus = mbamservice.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 9248
    Nom du Processus = mbamgui.exe
    Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    ****************************************************************************************************
    Numéro PID = 7588
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
    ****************************************************************************************************
    Numéro PID = 6864
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
    ****************************************************************************************************
    Numéro PID = 8804
    Nom du Processus = policyHost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 8392
    Nom du Processus = taskeng.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 8208
    Nom du Processus = audiodg.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 8848
    Nom du Processus = FlashUtil32_11_6_602_171_ActiveX.exe
    Ligne de Commande = C:\Windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe -Embedding
    ****************************************************************************************************
    Numéro PID = 8420
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" 
    ****************************************************************************************************
    Numéro PID = 6032
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:71938
    ****************************************************************************************************
    Numéro PID = 9592
    Nom du Processus = mbam.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 7552
    Nom du Processus = taskhost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 1964
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203009
    ****************************************************************************************************
    Numéro PID = 8356
    Nom du Processus = SearchProtocolHost.exe
    Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124330_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124330 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"  "1"
    ****************************************************************************************************
    Numéro PID = 8412
    Nom du Processus = SearchFilterHost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 8224
    Nom du Processus = SearchProtocolHost.exe
    Ligne de Commande = 
    ****************************************************************************************************
    Numéro PID = 9704
    Nom du Processus = dllhost.exe
    Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
    ****************************************************************************************************
    Numéro PID = 1908
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ListProcessCmdLine.zip\ListProcessCmdLine.vbs" 
    ****************************************************************************************************
    Il y a 90 Processus en cours d'exécution le 7/5/2013 à 1:49:39 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane
    
    ************************************************** Les éléments à démarrage automatique ****************************************
    Nom: FlashPlayerPlug
    Description: FlashPlayerPlug
    Emplacement: Startup
    Commande: FlashPlayerPlug.lnk
    Utilisateur: EUROPE\mohammed_karouane
    ****************************************************************************************************
    Nom: System File [Not Delete]
    Description: System File [Not Delete]
    Emplacement: Startup
    Commande: System File [Not Delete].vbe
    Utilisateur: EUROPE\mohammed_karouane
    ****************************************************************************************************
    Nom: OfficeSyncProcess
    Description: OfficeSyncProcess
    Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"
    Utilisateur: EUROPE\mohammed_karouane
    ****************************************************************************************************
    Nom: Facebook.vbs
    Description: Facebook.vbs
    Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs"
    Utilisateur: EUROPE\mohammed_karouane
    ****************************************************************************************************
    Nom: BCSSync
    Description: BCSSync
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
    Utilisateur: Public
    ****************************************************************************************************
    Nom: Communicator
    Description: Communicator
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
    Utilisateur: Public
    ****************************************************************************************************
    Nom: Adobe ARM
    Description: Adobe ARM
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    Utilisateur: Public
    ****************************************************************************************************
    Nom: SoftGridTray
    Description: SoftGridTray
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart
    Utilisateur: Public
    ****************************************************************************************************
    Nom: McAfeeUpdaterUI
    Description: McAfeeUpdaterUI
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
    Utilisateur: Public
    ****************************************************************************************************
    Nom: ShStatEXE
    Description: ShStatEXE
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
    Utilisateur: Public
    ****************************************************************************************************
    Nom: IgfxTray
    Description: IgfxTray
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Windows\system32\igfxtray.exe
    Utilisateur: Public
    ****************************************************************************************************
    Nom: HotKeysCmds
    Description: HotKeysCmds
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Windows\system32\hkcmd.exe
    Utilisateur: Public
    ****************************************************************************************************
    Nom: Persistence
    Description: Persistence
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Windows\system32\igfxpers.exe
    Utilisateur: Public
    ****************************************************************************************************
    Nom: SoundMAXPnP
    Description: SoundMAXPnP
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\Analog Devices\Core\smax4pnp.exe
    Utilisateur: Public
    ****************************************************************************************************
    Nom: McAfee Host Intrusion Prevention Tray
    Description: McAfee Host Intrusion Prevention Tray
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe"
    Utilisateur: Public
    ****************************************************************************************************
    Nom: USB Security
    Description: USB Security
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\USB Disk Security\USBGuard.exe
    Utilisateur: Public
    ****************************************************************************************************

    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    198
    199
    200
    201
    202
    203
    204
    205
    206
    207
    208
    209
    210
    211
    212
    213
    214
    215
    216
    217
    218
    219
    220
    221
    222
    223
    224
    225
    226
    227
    228
    229
    230
    231
    232
    233
    234
    235
    236
    237
    238
    239
    240
    241
    242
    243
    244
    245
    246
    247
    248
    249
    250
    251
    252
    253
    254
    255
    256
    257
    258
    259
    260
    261
    262
    263
    264
    265
    266
    267
    268
    269
    270
    271
    272
    273
    274
    275
    276
    277
    278
    279
    280
    281
    282
    283
    284
    285
    286
    287
    288
    289
    290
    291
    292
    293
    294
    295
    296
    297
    298
    299
    300
    301
    302
    303
    304
    305
    306
    307
    308
    309
    310
    311
    312
    313
    314
    315
    316
    317
    318
    319
    320
    321
    322
    323
    324
    325
    326
    327
    328
    329
    330
    331
    332
    333
    334
    335
    336
    337
    338
    339
    340
    341
    342
    343
    344
    345
    346
    347
    348
    349
    350
    351
    352
    353
    354
    355
    356
    357
    358
    359
    360
    361
    362
    363
    364
    365
    366
    367
    368
    369
    370
    371
    372
    373
    374
    375
    376
    377
    378
    379
    380
    381
    382
    383
    384
    385
    386
    387
    388
    389
    390
    391
    392
    393
    394
    395
    396
    397
    398
    399
    400
    401
    402
    403
    404
    405
    406
    407
    408
    409
    410
    411
    412
    413
    414
    415
    416
    417
    418
    419
    420
    421
    422
    423
    424
    425
    426
    427
    428
    429
    430
    431
    432
    433
    434
    435
    436
    437
    438
    439
    440
    441
    442
    443
    444
    445
    446
    447
    448
    449
    450
    451
    452
    453
    454
    455
    456
    457
    458
    459
    460
    461
    462
    463
    464
    465
    466
    467
    468
    469
    470
    471
    472
    473
    474
    475
    476
    BIOS DELL   - 15
    
    Nom de l'ordinateur : WN7-G6X405J
    Fabriquant: Dell Inc.
    Modèle : OptiPlex 960                 
    
    Microsoft Windows 7 Enterprise |C:\Windows|\Device\Harddisk0\Partition2
    Version 6.1.7601
    Service Pack 1.0
    Dossier de Windows: C:\Windows
    
    **************Liste des Processus en cours d'exécution le 7/5/2013 à 1:54:47 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane**************
    ***********************************************************************************************************************************************
    Numéro PID = 0
    Nom du Processus = System Idle Process
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 4
    Nom du Processus = System
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 384
    Nom du Processus = smss.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 512
    Nom du Processus = csrss.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 564
    Nom du Processus = wininit.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 652
    Nom du Processus = services.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 688
    Nom du Processus = lsass.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 696
    Nom du Processus = lsm.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 816
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 892
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1012
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1052
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1076
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1232
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1372
    Nom du Processus = ngvpnmgr.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1480
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1624
    Nom du Processus = spoolsv.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1652
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1772
    Nom du Processus = armsvc.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1824
    Nom du Processus = DTUpdate.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1956
    Nom du Processus = FireSvc.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2032
    Nom du Processus = FrameworkService.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 528
    Nom du Processus = mfevtps.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 744
    Nom du Processus = NomadBranch.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1740
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2200
    Nom du Processus = sftvsa.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2220
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2312
    Nom du Processus = mfefire.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2408
    Nom du Processus = sftlist.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2416
    Nom du Processus = naPrdMgr.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 2720
    Nom du Processus = CcmExec.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 3832
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 3916
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 756
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 3928
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 4892
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5104
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 4452
    Nom du Processus = SearchIndexer.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5620
    Nom du Processus = CmRcService.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5616
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5132
    Nom du Processus = svchost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 4172
    Nom du Processus = OSPPSVC.EXE
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5120
    Nom du Processus = csrss.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5252
    Nom du Processus = winlogon.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 4240
    Nom du Processus = taskhost.exe
    Ligne de Commande = "taskhost.exe"
    ************************************************************************************************************************
    Numéro PID = 3696
    Nom du Processus = sftdcc.exe
    Ligne de Commande = "C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe"
    ************************************************************************************************************************
    Numéro PID = 664
    Nom du Processus = dwm.exe
    Ligne de Commande = "C:\Windows\system32\Dwm.exe"
    ************************************************************************************************************************
    Numéro PID = 6040
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\Explorer.EXE
    ************************************************************************************************************************
    Numéro PID = 6020
    Nom du Processus = communicator.exe
    Ligne de Commande = "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
    ************************************************************************************************************************
    Numéro PID = 5772
    Nom du Processus = UdaterUI.exe
    Ligne de Commande = "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
    ************************************************************************************************************************
    Numéro PID = 1144
    Nom du Processus = igfxtray.exe
    Ligne de Commande = "C:\Windows\System32\igfxtray.exe" 
    ************************************************************************************************************************
    Numéro PID = 2588
    Nom du Processus = hkcmd.exe
    Ligne de Commande = "C:\Windows\System32\hkcmd.exe" 
    ************************************************************************************************************************
    Numéro PID = 4996
    Nom du Processus = igfxpers.exe
    Ligne de Commande = "C:\Windows\System32\igfxpers.exe" 
    ************************************************************************************************************************
    Numéro PID = 2732
    Nom du Processus = smax4pnp.exe
    Ligne de Commande = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" 
    ************************************************************************************************************************
    Numéro PID = 5712
    Nom du Processus = USBGuard.exe
    Ligne de Commande = "C:\Program Files\USB Disk Security\USBGuard.exe" 
    ************************************************************************************************************************
    Numéro PID = 4524
    Nom du Processus = MSOSYNC.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" 
    ************************************************************************************************************************
    Numéro PID = 4948
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" 
    ************************************************************************************************************************
    Numéro PID = 5472
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System File [Not Delete].vbe" 
    ************************************************************************************************************************
    Numéro PID = 3692
    Nom du Processus = McTray.exe
    Ligne de Commande = /load
    ************************************************************************************************************************
    Numéro PID = 4076
    Nom du Processus = SCNotification.exe
    Ligne de Commande = "C:\Windows\CCM\SCNotification.exe"
    ************************************************************************************************************************
    Numéro PID = 604
    Nom du Processus = UcMapi.exe
    Ligne de Commande = "C:\Program Files\Microsoft Lync\UcMapi.exe" -Embedding
    ************************************************************************************************************************
    Numéro PID = 5872
    Nom du Processus = OUTLOOK.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" 
    ************************************************************************************************************************
    Numéro PID = 7308
    Nom du Processus = dllhost.exe
    Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
    ************************************************************************************************************************
    Numéro PID = 6216
    Nom du Processus = vstskmgr.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 5680
    Nom du Processus = mcshield.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 4320
    Nom du Processus = mfeann.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 3136
    Nom du Processus = conhost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 7416
    Nom du Processus = engineserver.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 3780
    Nom du Processus = taskhost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 8144
    Nom du Processus = POWERPNT.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\powerpnt.exe" "C:\Users\mohammed_karouane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z3VNDOJ2\EMEA Duplicates Update Q1FY14  Project D440 check Results for Q2 FY14.pptx"
    ************************************************************************************************************************
    Numéro PID = 8068
    Nom du Processus = EXCEL.EXE
    Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /restore
    ************************************************************************************************************************
    Numéro PID = 2860
    Nom du Processus = mbamscheduler.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 9944
    Nom du Processus = mbamservice.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 9248
    Nom du Processus = mbamgui.exe
    Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    ************************************************************************************************************************
    Numéro PID = 7588
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
    ************************************************************************************************************************
    Numéro PID = 6864
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
    ************************************************************************************************************************
    Numéro PID = 8208
    Nom du Processus = audiodg.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 8848
    Nom du Processus = FlashUtil32_11_6_602_171_ActiveX.exe
    Ligne de Commande = C:\Windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe -Embedding
    ************************************************************************************************************************
    Numéro PID = 8420
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" 
    ************************************************************************************************************************
    Numéro PID = 6032
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:71938
    ************************************************************************************************************************
    Numéro PID = 9592
    Nom du Processus = mbam.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 1964
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203009
    ************************************************************************************************************************
    Numéro PID = 6476
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203010
    ************************************************************************************************************************
    Numéro PID = 9288
    Nom du Processus = WUDFHost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 3196
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
    ************************************************************************************************************************
    Numéro PID = 8360
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ShortcutRemoverHTML[1].zip\ShortcutRemoverHTML.vbs" 
    ************************************************************************************************************************
    Numéro PID = 9620
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ShortcutRemoverHTML[1].zip\ShortcutRemoverHTML.vbs" 
    ************************************************************************************************************************
    Numéro PID = 8720
    Nom du Processus = SearchProtocolHost.exe
    Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124332_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124332 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"  "1"
    ************************************************************************************************************************
    Numéro PID = 7400
    Nom du Processus = SearchFilterHost.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Numéro PID = 10216
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
    ************************************************************************************************************************
    Numéro PID = 5540
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande = 
    ************************************************************************************************************************
    Il y a 91 Processus en cours d'exécution le 7/5/2013 à 1:54:47 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane
    
    ************************************************** Les éléments à démarrage automatique **************************************************
    Nom: FlashPlayerPlug
    Description: FlashPlayerPlug
    Emplacement: Startup
    Commande: FlashPlayerPlug.lnk
    Utilisateur: EUROPE\mohammed_karouane
    ************************************************************************************************************************
    Nom: System File [Not Delete]
    Description: System File [Not Delete]
    Emplacement: Startup
    Commande: System File [Not Delete].vbe
    Utilisateur: EUROPE\mohammed_karouane
    ************************************************************************************************************************
    Nom: OfficeSyncProcess
    Description: OfficeSyncProcess
    Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"
    Utilisateur: EUROPE\mohammed_karouane
    ************************************************************************************************************************
    Nom: Facebook.vbs
    Description: Facebook.vbs
    Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs"
    Utilisateur: EUROPE\mohammed_karouane
    ************************************************************************************************************************
    Nom: BCSSync
    Description: BCSSync
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: Communicator
    Description: Communicator
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: Adobe ARM
    Description: Adobe ARM
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: SoftGridTray
    Description: SoftGridTray
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: McAfeeUpdaterUI
    Description: McAfeeUpdaterUI
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: ShStatEXE
    Description: ShStatEXE
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: IgfxTray
    Description: IgfxTray
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Windows\system32\igfxtray.exe
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: HotKeysCmds
    Description: HotKeysCmds
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Windows\system32\hkcmd.exe
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: Persistence
    Description: Persistence
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Windows\system32\igfxpers.exe
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: SoundMAXPnP
    Description: SoundMAXPnP
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\Analog Devices\Core\smax4pnp.exe
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: McAfee Host Intrusion Prevention Tray
    Description: McAfee Host Intrusion Prevention Tray
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe"
    Utilisateur: Public
    ************************************************************************************************************************
    Nom: USB Security
    Description: USB Security
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\USB Disk Security\USBGuard.exe
    Utilisateur: Public
    ************************************************************************************************************************

  4. #4
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Je vais vous faire un Vbscript qui va récupérer les fichiers infectés de type VBS et VBE pour l'analyse juste une question de temps Patienter un peu

  5. #5
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Voila, copier et coller ce code dans votre notepad et enregistrez-le sous le nom : recherche.vbs et exécutez-le, il va vous créer deux dossiers dans le bureau VBE et VBS qui vont contenir les fichiers infectés et non infectés de type VBS et VBE, alors vous les compresser ces deux derniers avec WinRAR ou bien WinZIP et me l'envoyer en pièce-jointe par mail.
    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    '****************Programme principal de Recherche*****************
    Dim fso,sho,OutFile,sDrv,sFName,sReport,sFile,sTitle,strHTML
    sTitle      = "Recherche des Fichiers Par leurs Extensions © Hackoo"
    Set fso     = CreateObject("Scripting.FileSystemObject")
    Set sho     = CreateObject("Wscript.Shell")
    Set ws      = CreateObject("WScript.Shell")
    Set ProcessEnv = Ws.Environment("Process") 
    Computername = ProcessEnv("COMPUTERNAME")
    basefolder  = sho.SpecialFolders("desktop")'Bureau
    Set bf      = fso.GetFolder(basefolder)
    OutFile     = "Recherche_" & Day(Now) & "_" & Month(Now) & "_" & Year(Now) & "-" & Hour(Now) & "-" & Minute(Now) & ".hta"
    'If fso.FileExists(OutFile) Then fso.DeleteFile(OutFile)
    FolderType  = "vbs,vbe"
    Set sReport = fso.OpenTextFile(OutFile,8,True)
    'sDrv        = InputBox("Entrez la lettre du Lecteur pour la Recherche ( juste la Lettre )" & vbcr & _
    '"OU " & vbcrlf & " Entrez * pour Rechercher dans tous les lecteurs locales ", sTitle)
    'If sDrv = "" Then WScript.Quit
    sFName = InputBox ("Entrez l'extension du fichier à rechercher separé par virgule : " & vbcr & _
    "comme ceci " & qq(FolderType),sTitle,FolderType)
    Tab    = Split(sFname,",")
    
    For i = LBound(Tab) To UBound(Tab)
        CreateFolder(Tab(i))
        ws.Popup "Le Dossier " & qq(UCase(Tab(i))) & " est crée sur votre Bureau !"&vbcr&_
        "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(Tab(i))) & " est en cours .....",4,sTitle,0+64
        
        If sFName = "" Then WScript.Quit
        
        strHTML = "<html>" & vbcr & _
        "<title>Recherche des Fichiers et Sauvegarde Par leurs Extensions © Hackoo © 2013</title>" & vbcr & _
        "<HTA:APPLICATION" & vbcr & _
        "APPLICATIONNAME=""Recherche des Fichiers et Sauvegarde Par leurs Extensions © Hackoo © 2013""" & vbcr & _
        "SCROLL=""yes""" & vbcr & _
        "SINGLEINSTANCE=""No""" & vbcr & _
        "WINDOWSTATE=""Maximize""" & vbcr & _
        "icon=""Explorer.exe""" & vbcr & _
        ">" & vbcr & _
        "<body text=white bgcolor=#1234568><style type='text/css'>" & vbcr & _
        "a:link {color: #F19105;}" & vbcr & _
        "a:visited {color: #F19105;}" & vbcr & _
        "a:active {color: #F19105;}" & vbcr & _
        "a:hover {color: #FF9900;background-color: rgb(255, 255, 255);}" & vbcr & _
        "</style>" & vbcr & _
        "<SCRIPT LANGUAGE=""VBScript"">" & vbcr & _
        "Function Explore(filename)" & vbcr & _
        "Set ws = CreateObject(""WScript.Shell"")" & vbcr & _
        "ws.run ""Explorer /n,/select,""&filename&""""" & vbcr & _
        "End Function" & vbcr & _
        "</script>"
        
        strHTML = strHTML & "<center><h2><B> <font color=Red>[COUNT] </font>Fichiers Trouvés dont l'extension est <font color=red>""" & Tab(i) & """ </font> sur le PC de <font color=red>" & qq(UCase(Computername)) & "</B></font></h2></center>" & _
        "<center><table border='3' cellpadding='1' style='border-collapse: collapse; font size:11pt' bordercolor='#CCCCCC' width='100%' id='Table1'></center>" & _
        "<td><center><strong>Chemin</strong></center></td>" & _
        "<td><center><strong>Date de Création</strong></center></td>" & _
        "<td><center><strong>Date de Modification</strong></center></td>" & _
        "<td><center><strong>Taille</strong></center></td>" & _
        "<td><center><strong>Attributs</strong></center></td>"
        
        Dim d,dc,racine
        Set fso = CreateObject("Scripting.FileSystemObject")
        Set dc  = fso.Drives
        For Each d in dc
            If d.IsReady Then
                racine = d.Driveletter & ":"
                ws.Popup "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(Tab(i))) & " dans le Lecteur " & qq(racine) & " est en cours .....",4,sTitle,0+64
                GetResults racine , Tab(i)
            End If    
        Next    
        GetResults sDrv & ":", Tab(i)
        sReport.WriteLine strHTML & "</table>"
    Next
    
    Signature = "<br><center><img src='" & Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(110) & Chr(115) & Chr(109) & _
    Chr(48) & Chr(53) & Chr(46) & Chr(99) & Chr(97) & Chr(115) & Chr(105) & _
    Chr(109) & Chr(97) & Chr(103) & Chr(101) & Chr(115) & Chr(46) & Chr(99) & Chr(111) & Chr(109) & Chr(47) & Chr(105) & _
    Chr(109) & Chr(103) & Chr(47) & Chr(50) & Chr(48) & Chr(49) & Chr(49) & Chr(47) & Chr(48) & Chr(55) & Chr(47) & Chr(50) & _
    Chr(51) & Chr(47) & Chr(47) & Chr(49) & Chr(49) & Chr(48) & Chr(55) & _
    Chr(50) & Chr(51) & Chr(48) & Chr(55) & Chr(52) & Chr(49) & _
    Chr(52) & Chr(48) & Chr(49) & Chr(51) & Chr(49) & Chr(49) & Chr(48) & _
    Chr(52) & Chr(56) & Chr(53) & Chr(48) & Chr(54) & Chr(52) & Chr(49) & _
    Chr(57) & Chr(46) & Chr(103) & Chr(105) & Chr(102) & "' alt='" & Chr(104) & Chr(97) & _
    Chr(99) & Chr(107) & Chr(111) & Chr(111) & Chr(102) & Chr(114) & Chr(64) & _
    Chr(121) & Chr(97) & Chr(104) & Chr(111) & Chr(111) & Chr(46) & Chr(102) & Chr(114) & "'</img></center></body></html>"
    sReport.WriteLine Signature
    ws.Run OutFile
    
    Sub GetResults(drv,fname)
        On Error Resume Next
        Dim sWQL
        Dim oFile
        Dim sAttrib
        Dim sFilePath
        Dim size
        ext      = Array("png","jpg","jpeg","gif","bmp","psd","tif","ico")
        sWQL     = "select * from cim_datafile where Drive='" & _
        drv & "' AND Extension = '" & fname & "'"
        Results  = 0
        
        For Each oFile In GetObject("winmgmts:").execquery(sWQL)
            Results = Results + 1
            sFile   = oFile.Name
            Set f   = fso.GetFile(sFile)
            
            SizeKo  = Round(FormatNumber(f.Size)/(1024),0) & " Ko" 'Taille en Ko 
            SizeMo  = Round(FormatNumber(f.Size)/(1048576),0) & " Mo" 'Taille en Mo 
            SizeGo  = Round(FormatNumber(f.Size)/(1073741824),0) & " Go" 'Taille en Go 
            
            If f.size < 1024 Then
                Size     = f.size & " Octets"
            ElseIf f.size < 1048576 Then
                Size     = SizeKo
            ElseIf f.size < 1073741824 Then
                Size     = SizeMo
            Else
                Size     = SizeGo
            End If
            
            sFilePath = f.Path
            If oFile.Archive Then sAttrib = "Archive "
            If oFile.Compressed Then sAttrib = sAttrib & " Compressé "
            If oFile.Encrypted Then sAttrib = sAttrib & " Crypté "
            If oFile.Hidden Then sAttrib = sAttrib & " Caché "
            If oFile.System Then sAttrib = sAttrib & " Système "
            If oFile.Readable Then sAttrib = sAttrib & " Lecture "
            If oFile.Writeable Then sAttrib = sAttrib & " Ecriture "
            
            If UCase(ext(0)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(1)) = UCase(fso.GetExtensionName(oFile.Name))Or UCase(ext(2)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(3)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(4)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(5)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(6)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(7)) = UCase(fso.GetExtensionName(oFile.Name))Then
                
                strHTML = strHTML & "<tr><td><center><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & sFile & "<br><img src='" & sFilePath & "' border=1  height=80 width=100></center></td><td><center>" & f.DateCreated & "</center></td>" & _
                "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
                "<td><center>" & sAttrib & "</center></td></tr>"
            Else
                strHTML = strHTML & "<tr><td><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & _
                sFile & "</a></td><td><center>" & f.DateCreated & "</center></td>" & _
                "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
                "<td><center>" & sAttrib & "</center></td></tr>"
            End If
            
            CopyFile sFile,Tab(i)
        Next
        
        strHTML = Replace(strHTML, "[COUNT]", Results)
    End Sub
    
    Sub CreateFolder(name)
        Set fso    = CreateObject("Scripting.FileSystemObject")
        Set sho    = CreateObject("Wscript.Shell")
        basefolder = sho.SpecialFolders("desktop")'Creation du dossier dans le Bureau
        Set bf     = fso.GetFolder(basefolder)
        
        If Not FSO.FolderExists(bf & "\" & name) Then
            bf.subFolders.Add(name)
            
            Else : Exit Sub
        End If
        
    End Sub
    
    Function CopyFile(sFile,name)
        Dim  FSO
        Set FSO = CreateObject("Scripting.FileSystemObject")
        
        If FSO.FolderExists(bf & "\" & name) Then
    'MsgBox "Copie de : " & Chr(34) & FSO.GetFileName(sFile) & Chr(34) & " dans " & bf & "\" & name,64,"Copie....."
            FSO.GetFile(sFile).Copy bf & "\" & name & "\" & FSO.GetFileName(sFile),True
        End If
        
    End Function
    
    Function qq(strIn)
        qq = Chr(34) & strIn & Chr(34)
    End Function

  6. #6
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    J'attends toujours votre réponse pour mettre à jour le script ou bien de créer un autre c'est pas pour vous seulement, mais aussi pour tout le monde s'en profitent.
    vous avez un Vbscript Encodé je veux le décoder qui s'appelle :
    System File [Not Delete].vbe dans votre dossier de démarrage à part de Facebook.vbs
    http://r.virscan.org/551df9fe8f765d826f0eaa48eb6092bc

  7. #7
    Invité de passage
    Homme Profil pro
    Inscrit en
    juillet 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : juillet 2013
    Messages : 3
    Points : 0
    Points
    0

    Par défaut VIRUS CLE USB

    Bonjour,
    je viens de t'envoyer les fichier zipes dans ta boite email, et désolé pour le derangement, j'espere que tu trouvera une solution rapidement.

  8. #8
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut

    Citation Envoyé par simo700 Voir le message
    Bonjour,
    je viens de t'envoyer les fichier zipes dans ta boite email, et désolé pour le derangement, j'espere que tu trouvera une solution rapidement.
    Malheureusement, j'ai rien reçu dans ma boîte email ?? ceci peut-être du à un blocage d'envoi car le serveur ou bien son antivirus a détecté un virus.
    Essayez avec ceci http://www.partage-fichiers.com
    ou bien avec http://1fichier.com/
    et m'envoyer le lien et les identifiants par messagerie privé.

  9. #9
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Alors quoi de neuf chez vous ?
    Je n'ai rien encore reçu de votre part ? et aucune nouvelle de vous ?
    Vous êtes toujours infecté ?

  10. #10
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Je crois que c'est moi que j'attends la réponse ou quoi

  11. #11
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    J'attends toujours les fichiers ???

  12. #12
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut

    Citation Envoyé par aimerzuo Voir le message
    Je suis très intéressé par ce sujet.Merci pour l'info,bonne journée!
    et pour votre intérêt à ce sujet
    Je crois qu'il doit falloir écrire un article unique pour expliquer les raisons, le fonctionnement et l'utilité de la démarche à suivre, et dire quand l'utiliser ou pas etc.....
    Qu'en pensez-vous ?

  13. #13
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    J'ai enfin trouvé quelqu'un qui est infecté par le même virus: System File [Not Delete].vbe
    Voila ce qu'il crée comme fichiers supplémentaires :
    c:\documents and settings\Nom d'utilisateur\local settings\application data\ares\my shared folder\linda.vbe Taille 33 Ko Archive Lecture Ecriture
    c:\documents and settings\Nom d'utilisateur\menu démarrer\programmes\démarrage\system file [not delete].vbe Taille 33 Ko Archive Lecture Ecriture
    c:\documents and settings\Nom d'utilisateur\microsoft\linda.vbe Taille 33 Ko Archive Lecture Ecriture
    c:\documents and settings\Nom d'utilisateur\securities\scan.vbe Taille 33 Ko Archive Caché Système Lecture Ecriture
    c:\program files\emule\incoming\linda.vbe Taille 33 Ko Archive Lecture Ecriture
    c:\program files\limewire\linda.vbe Taille 33 Ko Archive Lecture Ecriture
    Je l'ai décoder par cet outil : [HTA] Encoder VBS2VBE & Decoder VBE2VBS
    et voila un aperçu des fonctions qu'il utilise ce virus :
    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    ' **************************************************************************************
    ' DO NOT EDIT OR DELETE THIS FILE . 
    ' Copyright (c) 1998-2011 Microsoft Corporation .      
    ' All Rights Reserved (R) Microsoft Corporation .  
    ' End User License Agreement for use with Microsoft operating system products only.
    ' Built Version : 27.2011
    '$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    '
    '  ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    '  ||||||| satan v 25.11 ¤ Be Hacker Be free |||||||    
    '  ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    On error resume Next
    '
    '======================================================================= Var.Declar
    '
    '
    '======================================================================= Diversion
    
    '
    '======================================================================= CMD & REG enable
    '
    '
    '======================================================================= Deactive UAC 
    '
    '
    '======================================================================= Self Install & spreadding 
    '
    '
    '======================================================================= Worm tester
    
    '
    '======================================================================= RootKit function
    '
    
    '====================================================================== Backdoor
    '
    '
    '======================================================================= Profiles Deleter 
    'IE
    
            'LANCEMENT DE LA FONCTION ICI
    '
    '======================================================================= Compt.Bot
    '
    '
    '======================================================================= kill av
    '
    '
    '======================================================================= RDP 32_termsrv.dll Patcher
    '
    '
    '======================================================================= File Updater
    '
    '
    '========= kill Proc && Delete Temp File
    
    '
    '======================================================================= Bot install tunnelling / Persistent File  
    '
     
    '========= kill Proc && Delete Temp File
    
    '
    '======================================================================= Usb Detection & Worm header
    '
    detecterracines
    sub detecterracines()
    '
    '======================================================================= Usb Functions
    '
    ' Force Hidding Files
    '
    
    ' End FHF -- Usb Functions 
    '
    
    '======================================================================= Usb spreader
    '
      
    '
    '======================================================================= LNK Creater
    '
    ' inFormations / about :
    ' Code Name : Satan 
    ' Functions : Worm && Bot installer
    ' Language : Vbscript and encoded by Vbscript Encoder

  14. #14
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Il faut passer maintenant un scan avec Spybot Search and Destroy


  15. #15
    Expert Confirmé Sénior
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    juin 2009
    Messages
    2 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : juin 2009
    Messages : 2 805
    Points : 6 843
    Points
    6 843

    Par défaut


    Pour tout membre qui veut localiser et mettre les fichiers suspects de type VBE dans un Dossier nommé : VBE_Quarantaine dans son bureau,il peut exécuter ce Vbscript.
    Donc;copier et coller ce code Vbscript dans votre notepad et enregistrez-le sous le nom : MoveFileVBE.vbs et exécutez-le.
    Code :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    Dim fso,sho,OutFile,sDrv,sFName,sReport,sFile,sTitle,strHTML
    sTitle      = "Recherche des Fichiers Vbscript Encodés de type VBE © Hackoo © 2013"
    Set fso     = CreateObject("Scripting.FileSystemObject")
    Set sho     = CreateObject("Wscript.Shell")
    Set ws      = CreateObject("WScript.Shell")
    Set ProcessEnv = Ws.Environment("Process") 
    Computername = ProcessEnv("COMPUTERNAME")
    basefolder  = sho.SpecialFolders("desktop")'Bureau
    Set bf      = fso.GetFolder(basefolder)
    OutFile     = "Recherche_VBE_" & Computername & "_" & Day(Now) & "_" & Month(Now) & "_" & Year(Now) & "-" & Hour(Now) & "-" & Minute(Now) & ".hta"
    ExtensionType  = "vbe"
    DossierQuarantaine = Ucase(ExtensionType) & "_Quarantaine"
    Set sReport = fso.OpenTextFile(OutFile,8,True)
        CreateFolder(DossierQuarantaine)
        ws.Popup "Le Dossier " & qq(UCase(ExtensionType)) & " est crée sur votre Bureau !"&vbcr&_
        "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(ExtensionType)) & " est en cours .....",4,sTitle,0+64
        strHTML = "<html>" & vbcr & _
        "<title>" & sTitle & "</title>" & vbcr & _
        "<HTA:APPLICATION" & vbcr & _
        "APPLICATIONNAME=""" & sTitle & "" & vbcr & _
        "SCROLL=""yes""" & vbcr & _
        "SINGLEINSTANCE=""No""" & vbcr & _
        "WINDOWSTATE=""Maximize""" & vbcr & _
        "icon=""Explorer.exe""" & vbcr & _
        ">" & vbcr & _
        "<body text=white bgcolor=#1234568><style type='text/css'>" & vbcr & _
        "a:link {color: #F19105;}" & vbcr & _
        "a:visited {color: #F19105;}" & vbcr & _
        "a:active {color: #F19105;}" & vbcr & _
        "a:hover {color: #FF9900;background-color: rgb(255, 255, 255);}" & vbcr & _
        "</style>" & vbcr & _
        "<SCRIPT LANGUAGE=""VBScript"">" & vbcr & _
        "Function Explore(filename)" & vbcr & _
        "Set ws = CreateObject(""WScript.Shell"")" & vbcr & _
        "ws.run ""Explorer /n,/select,""&filename&""""" & vbcr & _
        "End Function" & vbcr & _
        "</script>"
        
        strHTML = strHTML & "<center><h2><B> <font color=Red>[COUNT] </font>Fichiers Trouvés dont l'extension est <font color=red>""" & ExtensionType & """ </font> sur le PC de <font color=red>" & qq(UCase(Computername)) & "</B></font></h2></center>" & _
        "<center><table border='3' cellpadding='1' style='border-collapse: collapse; font size:11pt' bordercolor='#CCCCCC' width='100%' id='Table1'></center>" & _
        "<td><center><strong>Chemin</strong></center></td>" & _
        "<td><center><strong>Date de Création</strong></center></td>" & _
        "<td><center><strong>Date de Modification</strong></center></td>" & _
        "<td><center><strong>Taille</strong></center></td>" & _
        "<td><center><strong>Attributs</strong></center></td>"
        
        Dim d,dc,racine
        Set fso = CreateObject("Scripting.FileSystemObject")
        Set dc  = fso.Drives
        For Each d in dc
            If d.IsReady Then
                racine = d.Driveletter & ":"
                ws.Popup "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(ExtensionType)) & " dans le Lecteur " & qq(racine) & " est en cours .....",4,sTitle,0+64
                GetResults racine , ExtensionType
            End If    
        Next    
        GetResults sDrv & ":", ExtensionType
        sReport.WriteLine strHTML & "</table>"
    
    Signature = "<br><center><img src='" & Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(110) & Chr(115) & Chr(109) & _
    Chr(48) & Chr(53) & Chr(46) & Chr(99) & Chr(97) & Chr(115) & Chr(105) & _
    Chr(109) & Chr(97) & Chr(103) & Chr(101) & Chr(115) & Chr(46) & Chr(99) & Chr(111) & Chr(109) & Chr(47) & Chr(105) & _
    Chr(109) & Chr(103) & Chr(47) & Chr(50) & Chr(48) & Chr(49) & Chr(49) & Chr(47) & Chr(48) & Chr(55) & Chr(47) & Chr(50) & _
    Chr(51) & Chr(47) & Chr(47) & Chr(49) & Chr(49) & Chr(48) & Chr(55) & _
    Chr(50) & Chr(51) & Chr(48) & Chr(55) & Chr(52) & Chr(49) & _
    Chr(52) & Chr(48) & Chr(49) & Chr(51) & Chr(49) & Chr(49) & Chr(48) & _
    Chr(52) & Chr(56) & Chr(53) & Chr(48) & Chr(54) & Chr(52) & Chr(49) & _
    Chr(57) & Chr(46) & Chr(103) & Chr(105) & Chr(102) & "' alt='" & Chr(104) & Chr(97) & _
    Chr(99) & Chr(107) & Chr(111) & Chr(111) & Chr(102) & Chr(114) & Chr(64) & _
    Chr(121) & Chr(97) & Chr(104) & Chr(111) & Chr(111) & Chr(46) & Chr(102) & Chr(114) & "'</img></center></body></html>"
    sReport.WriteLine Signature
    ws.Run OutFile
    
    Sub GetResults(drv,fname)
        'On Error Resume Next
        Dim sWQL
        Dim oFile
        Dim sAttrib
        Dim sFilePath
        Dim size
        ext      = Array("png","jpg","jpeg","gif","bmp","psd","tif","ico")
        sWQL     = "select * from cim_datafile where Drive='" & _
        drv & "' AND Extension = '" & fname & "'"
        Results  = 0
        
        For Each oFile In GetObject("winmgmts:").execquery(sWQL)
            Results = Results + 1
            sFile   = oFile.Name
            Set f   = fso.GetFile(sFile)
            
            SizeKo  = Round(FormatNumber(f.Size)/(1024),0) & " Ko" 'Taille en Ko 
            SizeMo  = Round(FormatNumber(f.Size)/(1048576),0) & " Mo" 'Taille en Mo 
            SizeGo  = Round(FormatNumber(f.Size)/(1073741824),0) & " Go" 'Taille en Go 
            
            If f.size < 1024 Then
                Size     = f.size & " Octets"
            ElseIf f.size < 1048576 Then
                Size     = SizeKo
            ElseIf f.size < 1073741824 Then
                Size     = SizeMo
            Else
                Size     = SizeGo
            End If
            
            sFilePath = f.Path
            If oFile.Archive Then sAttrib = "Archive "
            If oFile.Compressed Then sAttrib = sAttrib & " Compressé "
            If oFile.Encrypted Then sAttrib = sAttrib & " Crypté "
            If oFile.Hidden Then sAttrib = sAttrib & " Caché "
            If oFile.System Then sAttrib = sAttrib & " Système "
            If oFile.Readable Then sAttrib = sAttrib & " Lecture "
            If oFile.Writeable Then sAttrib = sAttrib & " Ecriture "
            
            If UCase(ext(0)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(1)) = UCase(fso.GetExtensionName(oFile.Name))Or UCase(ext(2)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(3)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(4)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(5)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(6)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(7)) = UCase(fso.GetExtensionName(oFile.Name))Then
                strHTML = strHTML & "<tr><td><center><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & sFile & "<br><img src='" & sFilePath & "' border=1  height=80 width=100></center></td><td><center>" & f.DateCreated & "</center></td>" & _
                "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
                "<td><center>" & sAttrib & "</center></td></tr>"
            Else
                strHTML = strHTML & "<tr><td><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & _
                sFile & "</a></td><td><center>" & f.DateCreated & "</center></td>" & _
                "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
                "<td><center>" & sAttrib & "</center></td></tr>"
            End If
            MoveFile sFile,DossierQuarantaine
        Next
        strHTML = Replace(strHTML, "[COUNT]", Results)
    End Sub
    
    Sub CreateFolder(name)
        Set fso    = CreateObject("Scripting.FileSystemObject")
        Set sho    = CreateObject("Wscript.Shell")
        basefolder = sho.SpecialFolders("desktop")'Creation du dossier dans le Bureau
        Set bf     = fso.GetFolder(basefolder)
        If Not FSO.FolderExists(bf & "\" & name) Then
            bf.subFolders.Add(name)
            Else : Exit Sub
        End If
        
    End Sub
    
    Function MoveFile(sFile,name)
        Dim  FSO
        Set FSO = CreateObject("Scripting.FileSystemObject")
        If FSO.FolderExists(bf & "\" & name) Then
            FSO.GetFile(sFile).Move bf & "\" & name & "\"
        End If
    End Function
    
    Function qq(strIn)
        qq = Chr(34) & strIn & Chr(34)
    End Function
    et si par hasard vous voulez les décoder pour voir leurs codes sources, il suffit de de télécharger cet outil : [HTA] Encoder VBS2VBE & Decoder VBE2VBS

    Bonne Chance à vous

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •