Auteur Sujet: Infecté par l'agent AXN sur les périphériques - Rapport Usbfix [Résolu]  (Lu 5314 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Bonjour,

Je suis sous windows 7 64bits

Tous mes périphériques sont infectés par un trojan qui transforme mes fichiers en raccourcis et les rendent inutilisables. Avast le détecte mais ne le guéri pas.

Il le trouve sous le nom VBS: Agent-AXN.

J'ai branché mes périphériques (1 smartphone, une clef et une carte SD) avant de lancer Usbfix. Il faudra que je le fasse une deuxième fois pour mes deux autres périphériques infectés car je n'ai pas assez de ports.

Voici le rapport de l'analyse :

############################## | UsbFix V 7.165 | [Recherche]

Utilisateur: Sophie (Administrateur) # NABOO
Mis à jour le 20/02/2014 par El Desaparecido - Team SosVirus
Lancé à 10:36:52 | 20/02/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Hewlett-Packard (1672)
CPU: Intel(R) Core(TM) i3-2310M CPU @ 2.10GHz
RAM -> [Total : 4044 Mo| Free : 1575 Mo]
Bios: Hewlett-Packard
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16518

SC: Security Center [(!) Disabled]
WU: Windows Update [Enabled]
AV: Avira Desktop [Enabled | Updated]
AS: Avira Desktop [Enabled | Updated]
AS: Windows Defender [(!) Disabled | Updated]
FW: Windows FireWall [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 451 Go (229 Go libre(s) - 51%) [] # NTFS
D:\ -> Disque fixe # 15 Go (2 Go libre(s) - 11%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 99 Mo (89 Mo libre(s) - 90%) [HP_TOOLS] # FAT32
G:\ -> CD-ROM
H:\ -> CD-ROM
I:\ -> CD-ROM
J:\ -> Disque amovible # 2 Go (2 Go libre(s) - 91%) [] # FAT
L:\ -> Disque amovible # 30 Go (30 Go libre(s) - 100%) [PLATINUM] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 464 |ParentID: 432)
C:\Windows\system32\wininit.exe (ID: 620 |ParentID: 432)
C:\Windows\system32\csrss.exe (ID: 640 |ParentID: 628)
C:\Windows\system32\services.exe (ID: 680 |ParentID: 620)
C:\Windows\system32\lsass.exe (ID: 700 |ParentID: 620)
C:\Windows\system32\lsm.exe (ID: 712 |ParentID: 620)
C:\Windows\system32\svchost.exe (ID: 816 |ParentID: 680)
C:\Windows\system32\winlogon.exe (ID: 888 |ParentID: 628)
C:\Windows\system32\svchost.exe (ID: 968 |ParentID: 680)
C:\Windows\system32\atiesrxx.exe (ID: 116 |ParentID: 680)
C:\Windows\System32\svchost.exe (ID: 520 |ParentID: 680)
C:\Windows\System32\svchost.exe (ID: 556 |ParentID: 680)
C:\Windows\system32\svchost.exe (ID: 768 |ParentID: 680)
C:\Windows\system32\svchost.exe (ID: 952 |ParentID: 680)
C:\Program Files\IDT\WDM\STacSV64.exe (ID: 1048 |ParentID: 680)
C:\Windows\system32\atieclxx.exe (ID: 1320 |ParentID: 116)
C:\Windows\system32\svchost.exe (ID: 1356 |ParentID: 680)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1516 |ParentID: 680)
C:\Windows\System32\spoolsv.exe (ID: 1608 |ParentID: 680)
C:\Windows\system32\svchost.exe (ID: 1640 |ParentID: 680)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1744 |ParentID: 680)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 1776 |ParentID: 680)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 1920 |ParentID: 680)
C:\Windows\SysWOW64\ezSharedSvcHost.exe (ID: 1984 |ParentID: 680)
C:\Windows\system32\svchost.exe (ID: 2024 |ParentID: 680)
C:\Program Files (x86)\SFR\Pack_Securite\fshoster32.exe (ID: 1104 |ParentID: 680)
C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe (ID: 1860 |ParentID: 680)
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe (ID: 2108 |ParentID: 680)
C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe (ID: 2156 |ParentID: 680)
C:\ProgramData\InternetUpdater\InternetUpdaterService.exe (ID: 2188 |ParentID: 680)
C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (ID: 2240 |ParentID: 680)
C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE (ID: 2292 |ParentID: 680)
C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (ID: 2568 |ParentID: 680)
C:\Windows\system32\svchost.exe (ID: 2624 |ParentID: 680)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2980 |ParentID: 680)
C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe (ID: 2764 |ParentID: 680)
C:\Windows\system32\Dwm.exe (ID: 1856 |ParentID: 556)
C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (ID: 3056 |ParentID: 680)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 3176 |ParentID: 2980)
C:\Windows\Explorer.EXE (ID: 3244 |ParentID: 2084)
C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe (ID: 3268 |ParentID: 2764)
C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (ID: 3436 |ParentID: 680)
C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe (ID: 3588 |ParentID: 2764)
C:\Windows\system32\svchost.exe (ID: 3960 |ParentID: 680)
C:\Windows\System32\igfxtray.exe (ID: 4072 |ParentID: 3244)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3160 |ParentID: 816)
C:\Windows\system32\DllHost.exe (ID: 4124 |ParentID: 816)
C:\Windows\System32\hkcmd.exe (ID: 4436 |ParentID: 3244)
C:\Windows\System32\igfxpers.exe (ID: 4552 |ParentID: 3244)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 4612 |ParentID: 3244)
C:\Program Files\IDT\WDM\sttray64.exe (ID: 4700 |ParentID: 3244)
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE (ID: 4768 |ParentID: 3244)
C:\Users\Sophie\AppData\Local\Google\Update\GoogleUpdate.exe (ID: 4780 |ParentID: 3244)
C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe (ID: 4800 |ParentID: 3244)
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe (ID: 4820 |ParentID: 3244)
C:\Windows\System32\wscript.exe (ID: 4900 |ParentID: 3244)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (ID: 4952 |ParentID: 4612)
C:\Users\Sophie\AppData\Local\Google\Update\1.3.22.5\GoogleCrashHandler.exe (ID: 4996 |ParentID: 4780)
C:\Users\Sophie\AppData\Local\Google\Update\1.3.22.5\GoogleCrashHandler64.exe (ID: 5004 |ParentID: 4780)
C:\ProgramData\Updater\updater.exe (ID: 5092 |ParentID: 3244)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (ID: 4396 |ParentID: 5100)
C:\Users\Sophie\AppData\Roaming\Dropbox\bin\Dropbox.exe (ID: 2420 |ParentID: 3244)
C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe (ID: 2536 |ParentID: 5100)
C:\Program Files (x86)\Hewlett-Packard\HP On Screen Display\HPOSD.exe (ID: 5156 |ParentID: 5100)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 5232 |ParentID: 816)
C:\Program Files (x86)\MagicDisc\MagicDisc.exe (ID: 5376 |ParentID: 3244)
C:\Program Files (x86)\ScanSoft\OmniPageSE4\OpWareSE4.exe (ID: 5384 |ParentID: 5100)
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe (ID: 5396 |ParentID: 5100)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (ID: 5468 |ParentID: 5100)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 5496 |ParentID: 5100)
C:\Program Files (x86)\SFR\Pack_Securite\fshoster32.exe (ID: 5536 |ParentID: 5100)
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe (ID: 5608 |ParentID: 680)
C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe (ID: 5620 |ParentID: 5100)
C:\ProgramData\RHelpers\ChromeHelper\ChromeHelper.exe (ID: 5760 |ParentID: 5092)
C:\Program Files\iPod\bin\iPodService.exe (ID: 5868 |ParentID: 680)
C:\ProgramData\RHelpers\IEHelper\IeHelper.exe (ID: 4680 |ParentID: 5760)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 4356 |ParentID: 5100)
C:\ProgramData\RHelpers\FireFoxHelper\FireFoxHelper.exe (ID: 5744 |ParentID: 5092)
C:\Program Files\Rainmeter\Rainmeter.exe (ID: 5292 |ParentID: 3244)
C:\Windows\system32\SearchIndexer.exe (ID: 6012 |ParentID: 680)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (ID: 2500 |ParentID: 4292)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (ID: 2220 |ParentID: 2500)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 1808 |ParentID: 680)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 5256 |ParentID: 5292)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 6348 |ParentID: 5256)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 1624 |ParentID: 5256)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 6488 |ParentID: 5256)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 5272 |ParentID: 5256)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID: 5728 |ParentID: 6300)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 1428 |ParentID: 5256)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (ID: 5832 |ParentID: 680)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 1228 |ParentID: 680)
C:\Windows\System32\svchost.exe (ID: 3776 |ParentID: 680)
C:\Program Files (x86)\Hewlett-Packard\HP Connection Manager\hpCMSrv.exe (ID: 7600 |ParentID: 680)
C:\Windows\System32\svchost.exe (ID: 7664 |ParentID: 680)
C:\Windows\system32\DllHost.exe (ID: 7760 |ParentID: 816)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 7512 |ParentID: 680)
C:\Windows\system32\wuauclt.exe (ID: 8024 |ParentID: 952)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 6060 |ParentID: 5256)
C:\Windows\System32\WUDFHost.exe (ID: 3896 |ParentID: 556)
C:\Users\Sophie\AppData\Local\Google\Chrome\Application\chrome.exe (ID: 6168 |ParentID: 5256)
C:\Windows\system32\SearchProtocolHost.exe (ID: 7300 |ParentID: 6012)
\\?\C:\Windows\system32\wbem\WMIADAP.EXE (ID: 7176 |ParentID: 952)
C:\Windows\System32\svchost.exe (ID: 4964 |ParentID: 680)
C:\Windows\system32\SearchFilterHost.exe (ID: 8740 |ParentID: 6012)

################## | Regedit Run |

04 - HKCU\..\Run : [Google Update] "C:\Users\Sophie\AppData\Local\Google\Update\GoogleUpdate.exe" /c
04 - HKCU\..\Run : [Picasa Media Detector] C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
04 - HKCU\..\Run : [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
04 - HKCU\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKCU\..\Run : [iTunesHelper] wscript.exe //B "C:\Users\Sophie\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKCU\..\Run : [Updater] C:\ProgramData\Updater\updater.exe
04 - HKLM\..\Run : [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
04 - HKLM\..\Run : [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
04 - HKLM\..\Run : [HPConnectionManager] C:\Program Files (x86)\Hewlett-Packard\HP Connection Manager\HPCMDelayStart.exe
04 - HKLM\..\Run : []
04 - HKLM\..\Run : [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\..\Run : [HPOSD] C:\Program Files (x86)\Hewlett-Packard\HP On Screen Display\HPOSD.exe
04 - HKLM\..\Run : [SSBkgdUpdate] "C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
04 - HKLM\..\Run : [OpwareSE4] "C:\Program Files (x86)\ScanSoft\OmniPageSE4\OpwareSE4.exe"
04 - HKLM\..\Run : [HP Quick Launch] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
04 - HKLM\..\Run : [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
04 - HKLM\..\Run : [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
04 - HKLM\..\Run : [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [F-Secure Hoster (44996)] "C:\Program Files (x86)\SFR\Pack_Securite\fshoster32.exe" -app -hosterid:1
04 - HKLM\..\Run : [Magic Desktop for HP notification] "C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe"
04 - HKLM\..\Run : [CheckUpdate] fmaj5.exe
04 - HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\..\Run : [Updater] C:\ProgramData\Updater\Updater.exe
04 - HKLM\..\RunOnce : []
04 - HKLM64\..\Run : [IgfxTray] C:\Windows\system32\igfxtray.exe
04 - HKLM64\..\Run : [HotKeysCmds] C:\Windows\system32\hkcmd.exe
04 - HKLM64\..\Run : [Persistence] C:\Windows\system32\igfxpers.exe
04 - HKLM64\..\Run : [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
04 - HKLM64\..\Run : [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe
04 - HKLM64\..\Run : [CanonSolutionMenu] C:\Program Files (x86)\Canon\SolutionMenu\CNSLMAIN.exe /logon
04 - HKLM64\..\Run : [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-666040794-3702860742-941007281-1001\..\Run : [Google Update] "C:\Users\Sophie\AppData\Local\Google\Update\GoogleUpdate.exe" /c
04 - HKU\S-1-5-21-666040794-3702860742-941007281-1001\..\Run : [Picasa Media Detector] C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
04 - HKU\S-1-5-21-666040794-3702860742-941007281-1001\..\Run : [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
04 - HKU\S-1-5-21-666040794-3702860742-941007281-1001\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-666040794-3702860742-941007281-1001\..\Run : [iTunesHelper] wscript.exe //B "C:\Users\Sophie\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-21-666040794-3702860742-941007281-1001\..\Run : [Updater] C:\ProgramData\Updater\updater.exe
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! C:\Users\Sophie\AppData\Local\Temp\iTunesHelper.vbe
Présent! J:\iTunesHelper.vbe
Présent! L:\iTunesHelper.vbe
Présent! J:\DCIM.lnk
Présent! L:\trz20FB.lnk
Présent! L:\Ghost in the shell.lnk

################## | Registre |

Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|EnableShellExecuteHooks -> 1
Présent! HKU\S-1-5-21-666040794-3702860742-941007281-1001\Software\Microsoft\Windows\CurrentVersion\Run|Updater
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Updater
Présent! HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|Updater
Présent! HKU\S-1-5-21-666040794-3702860742-941007281-1001\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |


Merci pour votre aide,

Sophie.
« Modifié: février 20, 2014, 23:42:41 par Sophie_Ja »

Security-X


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #1 le: février 20, 2014, 11:31:43 »
Bonjour Sophie_Ja,

Bienvenue sur Security-X,

La priorité est de savoir d'où est venu l'infection, c'est à dire le pc qui a transmis l'infection à ton ou tes supports (pc de bureau, ami, famille).
Ceci afin de prévenir le responsable pour qu'il nettoie, sinon à la prochaine insertion d'un support, il continuera de transmettre l'infection.

à savoir aussi :
- Tous support amovible ayant été branché sur le pc scanné actuellement est potentiellement infecté, et devra être vérifié.
- Tous pc sur lequel un des support infecté à été branché peut être à son tour infecté et devra être vérifié (en créant un nouveau sujet)

à suivre pour compléter le scan d'USBFix :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton  Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.


Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #2 le: février 20, 2014, 11:48:39 »
C'est un PC d'un magasin d'impression et de photocopie qui me l'a transmis. Je vais le leur dire.

Voici les trois rapports :

FRST :
http://up.security-x.fr/file.php?h=R3861180ffccfd00970dcb69f6b497f83

Addition :
http://up.security-x.fr/file.php?h=Rb30d7c52cddbdbc330a5acb3c684a4a5

Usbfix :
http://up.security-x.fr/file.php?h=R2fd23d49aa1dd800064e4cbbaf66f5e7

« Modifié: février 20, 2014, 12:54:45 par Sophie_Ja »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #3 le: février 20, 2014, 13:54:04 »
Re,

Citer
C'est un PC d'un magasin d'impression et de photocopie qui me l'a transmis. Je vais le leur dire.

Oui, c'est une priorité ;)

à suivre pour toi :


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Auslogics DiskDefrag (peu ou pas utile, Windows 7 se défragmente tout seul)
- Bing Bar (barre d'outil, sauf réelle utilité)
- Java(TM) 6 Update 24 (64-bit)
- Java(TM) 6 Update 31 (versions obsolètes et vulnérables, tu possèdes une plus récente)

- Iminent (adware : logiciel publicitaire)
- Lollipop (idem)
- Websteroids (idem)

[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)



2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
(Parallel Lines Development, LLC) C:\ProgramData\InternetUpdater\InternetUpdaterService.exe
(Conduit) C:\Program Files (x86)\SearchProtect\SearchProtect\bin\cltmng.exe
(Conduit) C:\Program Files (x86)\SearchProtect\UI\bin\cltmngui.exe
(Updater) C:\ProgramData\Updater\updater.exe
HKLM-x32\...\Run: [CheckUpdate] - fmaj5.exe
HKLM-x32\...\Run: [Updater] - C:\ProgramData\Updater\Updater.exe [486264 2013-12-18] (Updater)
HKU\S-1-5-21-666040794-3702860742-941007281-1001\...\Run: [iTunesHelper] - wscript.exe //B "C:\Users\Sophie\AppData\Local\Temp\iTunesHelper.vbe" <===== ATTENTION
HKU\S-1-5-21-666040794-3702860742-941007281-1001\...\Run: [Updater] - C:\ProgramData\Updater\updater.exe [486264 2013-12-18] (Updater)
AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\Program Files (x86)\SearchProtect\SearchProtect\bin\SPVC64Loader.dll [1351456 2014-02-06] (Conduit)
AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => C:\Program Files (x86)\SearchProtect\SearchProtect\bin\SPVC32Loader.dll [1047328 2014-02-06] (Conduit)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=4&UP=SP622B518C-0F16-404A-AAB1-D07973966A6B&SSPV=
URLSearchHook: HKCU - (No Name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No File
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SP622B518C-0F16-404A-AAB1-D07973966A6B&q={searchTerms}&SSPV=
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SP622B518C-0F16-404A-AAB1-D07973966A6B&q={searchTerms}&SSPV=
BHO-x32: Websteroids - {44ed99e2-16a6-4b89-80d6-5b21cf42e78b} - C:\ProgramData\Websteroids\IE\common.dll (Creative Island Media, LLC)
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Websteroids) - C:\Users\Sophie\AppData\Local\Google\Chrome\User Data\Default\Extensions\igjjkeeamkpihpncmmbgdkhdnjpcfmfb [2014-02-12]
CHR HKLM-x32\...\Chrome\Extension: [aaaamnjcfigiihfpfilaaiifgdgfogcg] - C:\Users\Sophie\AppData\Local\APN\GoogleCRXs\aaaamnjcfigiihfpfilaaiifgdgfogcg_7.17.1.0.crx [2012-11-29]
R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [2360608 2014-02-06] (Conduit)
R2 InternetUpdater; C:\ProgramData\InternetUpdater\InternetUpdaterService.exe [45568 2014-01-15] (Parallel Lines Development, LLC)
2014-02-12 00:05 - 2014-02-12 00:05 - 00000000 ____D () C:\ProgramData\Websteroids
2014-02-12 00:05 - 2014-02-12 00:05 - 00000000 ____D () C:\ProgramData\Updater
2014-02-12 00:05 - 2014-02-12 00:05 - 00000000 ____D () C:\ProgramData\RHelpers
2014-02-03 09:21 - 2014-02-03 09:21 - 00000000 ____D () C:\Windows\SysWOW64\SearchProtect
2014-02-02 17:46 - 2014-02-13 10:17 - 00000000 ____D () C:\Program Files (x86)\SearchProtect
2014-02-02 17:46 - 2014-02-02 17:47 - 00000000 ____D () C:\Users\Sophie\AppData\Local\SearchProtect
Task: {161B9B38-4671-4F4F-846E-ABFC03E675CF} - \Dealply No Task File
Task: {4F96D5D0-9415-442E-8C3E-693507913874} - \Browser Manager No Task File
Task: {50B9CB5C-E8D5-4A6B-AB21-324055A210E3} - \Scheduled Update for Ask Toolbar No Task File
Task: {636FB121-64CF-44BB-AA44-0607FE10C924} - \DealPlyLiveUpdateTaskMachineCore No Task File
Task: {75A971C8-1590-4ADF-B9E9-7237B98F6998} - \Funmoods No Task File
Task: {EBC8B6DC-C52A-45F8-906C-348EAA0C3485} - \DealPlyLiveUpdateTaskMachineUA No Task File
C:\ProgramData\InternetUpdater
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.



    4) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #4 le: février 20, 2014, 14:17:52 »
Alors juste par rapport aux logiciels :

- J'ai téléchargé un défragmenteur car celui de windows 7 ne fonctionne plus ; je vais ouvrir un autre topic pour cela.
- Je ne trouve pas Iminent dans les "programmes et fonctionnalités" pour pouvoir le désinstaller
- Quand j'essaye de désinstaller Windows Live, un message apparait : "Veuillez attendre la fin de la désinstallation ou de la modification du programme en cours" ; mais aucun programme n'est en cours de désinstallation.. Peut-être dois-je redémarrer mon PC ? :/

Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #5 le: février 20, 2014, 15:01:05 »
J'ai finalement pu désinstaller certains programme de Windows Live.


Je suis passée aux étapes suivantes et voici les rapports :

Fixlog :
http://up.security-x.fr/file.php?h=R1b01ace5767096c31ac158b106e8ad25

Adwcleaner :
http://up.security-x.fr/file.php?h=R8ab347cfcae2252ec40a7ac4f820b85e

Usbfix :
http://up.security-x.fr/file.php?h=R786e1e22e052caeaafe1d1ced3da1a80
(le bon rapport, je m'étais trompé en postant cette réponse)
« Modifié: février 20, 2014, 15:10:39 par Sophie_Ja »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #6 le: février 20, 2014, 18:32:30 »
Re,

Ok pour les rapports ;)

à suivre:

Relance Adwcleaner :

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~

    Si tu n'as pas redémarré le pc, fais-le, puis dis-moi si tu rencontres encore des problèmes sur le pc en dehors du souci de défragmentation ;)

Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #7 le: février 20, 2014, 18:56:25 »
Voici le rapport :
http://up.security-x.fr/file.php?h=R3c5b4e58d02a72ab9dfaa4c0c6826106

Merci beaucoup, mes 3 périph' sont comme neufs ! :)

Par contre je n'avais pas assez de ports pour brancher tous mes périph' infectés, il m'en reste deux encore...  :-\
Du coup qu'est-ce qu'on fait ? On recommence ?  ::)

J'ai débranché les périphériques fonctionnels et j'ai repris la procédure depuis le début avec les deux périphériques infectés. Voici les rapports :

Usbfix :
http://up.security-x.fr/file.php?h=R5d5a2f4a4d714925a7b70ef0340d1bb3

FRST :
http://up.security-x.fr/file.php?h=Rb57efc8c2f14cf52f39bb446fea3888f
« Modifié: février 20, 2014, 19:23:55 par Sophie_Ja »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #8 le: février 20, 2014, 22:02:57 »
Re ;)

Pas de souci pour les deux périphérique restant, on s'en occupe, à suivre :

Relance USBFix :

/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #10 le: février 20, 2014, 23:21:16 »
Re,

Sur le rapport de nettoyage, ton support amovible :
I:\ -> Disque amovible # 941 Mo (439 Mo libre(s) - 47%) [SPEEDO MP3] # FAT32
N'a pas été pris en compte.

Il est infecté, tu dois le brancher avant passage d'USBfix de nouveau en mode suppression.

 :AAN

Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #11 le: février 20, 2014, 23:23:50 »
Hmmm.. Il était pourtant branché, il doit y avoir un faux contact, ça fait quelques temps qu'il déconne...

Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #12 le: février 20, 2014, 23:27:39 »
En même temps je ne l'utilise plus vraiment, c'était un baladeur pour écouter de la musique sous l'eau, à la piscine par exemple. Mais je n'arrivais déjà que difficilement à recharger sa batterie ! Je pense que je vais plutôt m'en débarrasser car là je n'arrive même pas à le faire détecter par le PC...

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #13 le: février 20, 2014, 23:34:44 »
 :D Là c'est ton choix, le tout est de ne pas l'utiliser sur un pc d'ici là alors ;)

Pour conclure :


Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~~~

    ~ Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 8 . Si rien ne se passe, fais manuellement les mise à jour ici : http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées. Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java 7 Update 9

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader X (10.1.1) - Français

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)   


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    A bientôt sur Security-X
     :AAN

Hors ligne Sophie_Ja

  • Membres
  • Members
  • Messages: 31
Re : Infecté par l'agent AXN sur les périphériques - Rapport Usbfix
« Réponse #14 le: février 20, 2014, 23:42:14 »
Et voilà le dernier rapport :

http://up.security-x.fr/file.php?h=Rcb3082e818aae08771ff70e64b877af5

Ouf ! Merci beaucoup ! Quel soulagement... Purée ! :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re,

Ok, pense à prévenir le magasin à l'origine, et soit toujours très prudente lorsque tu mets des supports amovibles sur des pc "étranger" ;)

Bonne soirée  :AAN

Tags: