UsbFix V7.151 – Changelog

Nouvelle mise à jours UsbFix disponible : 7.151

Voici le descriptif de la mise à jours :

1. Amélioration des détections MD5 pour comparaison sur %AllDrives%
2. Grosse Mises à jours de la BDD.
3. Ajout d’une PopUp si keylogger présent + message sur le rapport
4. Ajout d’une fonction upload via requête http. (Envoi de la zone de quranatine sur notre serveur pour analyse)
5. Prise en charge de la dernière variante DorkBot|NrgBot
6. Suppression de Faux Positifs (FP) dans %Temp%

Voici un exemple de rapport :

############################## | UsbFix V 7.151 | [fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][Suppression]

Utilisateur: Zekhnini (Administrateur) # ZEKHNINI-PC
Mis à jour le 19/11/2013 par El Desaparecido – Team SosVirus
Lancé à 20:08:36 | 19/11/2013

Site Web : //www.usb-antivirus.com/fr
Forum : https://www.sosvirus.net/
Upload Malware : https://www.sosvirus.net/upload_malware.php
Contact : //www.usb-antivirus.com/fr/contact/

PC: MSI (Z77A-G43 (MS-7758))
CPU: Intel(R) Core(TM) i5-3570K CPU @ 3.40GHz
RAM -> [Total : 7878 | Free : 6321]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16428
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Microsoft Security Essentials [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 112 Go (45 Go libre(s) – 41%) [] # NTFS
D:\ -> Disque fixe # 466 Go (9 Go libre(s) – 2%) [My Book] # NTFS
E:\ -> Disque fixe # 932 Go (28 Go libre(s) – 3%) [MEDIA] # NTFS
F:\ -> Disque amovible # 15 Go (14 Go libre(s) – 99%) [] # NTFS
G:\ -> Disque amovible # 15 Go (2 Go libre(s) – 14%) [KINGSTON] # NTFS
H:\ -> Disque amovible # 7 Go (7 Go libre(s) – 100%) [USB DISK] # FAT32

################## | Processus Stoppés |

Stoppé! C:\Program Files\Microsoft Security Client\MsMpEng.exe (ID: 532 |ParentID: 812)
Stoppé! C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 37500 |ParentID: 812)
Stoppé! C:\Windows\explorer.exe (ID: 46836 |ParentID: 792)
Stoppé! C:\Windows\System32\WUDFHost.exe (ID: 44120 |ParentID: 656)
Stoppé! C:\Program Files\Intel\Intel(R) Smart Connect Technology Agent\iSCTAgent.exe (ID: 45440 |ParentID: 812)
Stoppé! C:\Program Files\ma-config.com\MaConfigAgent.exe (ID: 46948 |ParentID: 812)
Stoppé! C:\Windows\system32\SearchIndexer.exe (ID: 47040 |ParentID: 812)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 46628 |ParentID: 812)
Stoppé! C:\Users\Zekhnini\Videos\napsnap.exe (ID: 40792 |ParentID: 45096)
Stoppé! C:\Windows\system32\wuauclt.exe (ID: 46192 |ParentID: 376)
Stoppé! C:\Users\Zekhnini\Videos\mfcmifc.exe (ID: 1492 |ParentID: 40792)
Stoppé! C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe (ID: 5148 |ParentID: 45568)
Stoppé! C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 46912 |ParentID: 812)
Stoppé! C:\Windows\System32\spoolsv.exe (ID: 1572 |ParentID: 812)
Stoppé! C:\Windows\system32\taskeng.exe (ID: 3304 |ParentID: 376)
Stoppé! C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe (ID: 4720 |ParentID: 40792)

################## | Regedit Run |

04 – HKLM\SOFTWARE | Run : [USB3MON] – « C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe »
04 – HKLM\SOFTWARE | Run : [APSDaemon] – « C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe »
04 – HKLM\SOFTWARE | Run : [ControlCenterCount] – C:\Program Files (x86)\MSI\ControlCenter\ControlCenterCount.exe
04 – HKLM\SOFTWARE | Run : [QuickTime Task] – « C:\Program Files (x86)\QuickTime\QTTask.exe » -atboottime
04 – HKLM\SOFTWARE | Run : [Super-Charger] – C:\Program Files (x86)\MSI\Super-Charger\Super-Charger.exe
04 – HKLM\SOFTWARE | Run : [Fast Boot] – C:\Program Files (x86)\MSI\Fast Boot\StartFastBoot.exe
04 – HKLM\SOFTWARE | Run : [Adobe ARM] – « C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe »
04 – HKLM\SOFTWARE | Run : [] –
04 – HKLM\SOFTWARE | Run : [Acrobat Assistant 8.0] – « C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe »
04 – HKLM\SOFTWARE | Run : [iTunesHelper] – « C:\Program Files (x86)\iTunes\iTunesHelper.exe »
04 – HKLM\SOFTWARE | Run : [HFS Activator] – C:\Program Files (x86)\Paragon Software\HFS+ for Windows 9.0 Special Edition\activation\hfsactivator.exe
04 – HKLM\SOFTWARE | Run : [BlueStacks Agent] – C:\Program Files (x86)\BlueStacks\HD-Agent.exe
04 – HKLM\SOFTWARE | Run : [292068847_WindowsUpdate__] – wscript.exe //B « C:\Users\Zekhnini\AppData\Local\Temp\292068847_WindowsUpdate__.vbe »
04 – HKLM\SOFTWARE\wow6432Node | Run : [USB3MON] – « C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe »
04 – HKLM\SOFTWARE\wow6432Node | Run : [APSDaemon] – « C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe »
04 – HKLM\SOFTWARE\wow6432Node | Run : [ControlCenterCount] – C:\Program Files (x86)\MSI\ControlCenter\ControlCenterCount.exe
04 – HKLM\SOFTWARE\wow6432Node | Run : [QuickTime Task] – « C:\Program Files (x86)\QuickTime\QTTask.exe » -atboottime
04 – HKLM\SOFTWARE\wow6432Node | Run : [Super-Charger] – C:\Program Files (x86)\MSI\Super-Charger\Super-Charger.exe
04 – HKLM\SOFTWARE\wow6432Node | Run : [Fast Boot] – C:\Program Files (x86)\MSI\Fast Boot\StartFastBoot.exe
04 – HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] – « C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe »
04 – HKLM\SOFTWARE\wow6432Node | Run : [] –
04 – HKLM\SOFTWARE\wow6432Node | Run : [Acrobat Assistant 8.0] – « C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe »
04 – HKLM\SOFTWARE\wow6432Node | Run : [iTunesHelper] – « C:\Program Files (x86)\iTunes\iTunesHelper.exe »
04 – HKLM\SOFTWARE\wow6432Node | Run : [HFS Activator] – C:\Program Files (x86)\Paragon Software\HFS+ for Windows 9.0 Special Edition\activation\hfsactivator.exe
04 – HKLM\SOFTWARE\wow6432Node | Run : [BlueStacks Agent] – C:\Program Files (x86)\BlueStacks\HD-Agent.exe
04 – HKLM\SOFTWARE\wow6432Node | Run : [292068847_WindowsUpdate__] – wscript.exe //B « C:\Users\Zekhnini\AppData\Local\Temp\292068847_WindowsUpdate__.vbe »
04 – HKLM\SOFTWARE | RunOnce : [] –
04 – HKLM\SOFTWARE\wow6432Node | RunOnce : [] –
04 – HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] – %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 – HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] – %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 – HKU\S-1-5-21-229983672-989215680-320328254-1000\SOFTWARE | Run : [ApplePhotoStreams] – C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
04 – HKU\S-1-5-21-229983672-989215680-320328254-1000\SOFTWARE | Run : [Sidebar] – C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 – HKU\S-1-5-21-229983672-989215680-320328254-1000\SOFTWARE | Run : [iCloudServices] – C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
04 – HKU\S-1-5-21-229983672-989215680-320328254-1000\SOFTWARE | Run : [292068847_WindowsUpdate__] – wscript.exe //B « C:\Users\Zekhnini\AppData\Local\Temp\292068847_WindowsUpdate__.vbe »
04 – HKU\S-1-5-21-229983672-989215680-320328254-1000\SOFTWARE | Run : [1484895_WindowsUpdate__] – wscript.exe //B « C:\Users\Zekhnini\AppData\Local\Temp\1484895_WindowsUpdate__.vbe »
04 – HKU\S-1-5-21-229983672-989215680-320328254-1000\SOFTWARE | Run : [WindowsUpdate_] – wscript.exe //B « C:\Users\Zekhnini\AppData\Local\Temp\WindowsUpdate_.vbe »
04 – HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] – C:\Windows\System32\mctadmin.exe
04 – HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] – C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Supprimé! C:\Users\Zekhnini\AppData\Roaming\E68669CA\ak.tmp
Supprimé! C:\Users\Zekhnini\AppData\Roaming\E68669CA
Supprimé! C:\Users\Zekhnini\AppData\Local\Temp\1484895_WindowsUpdate__.vbe
Supprimé! C:\Users\Zekhnini\AppData\Local\Temp\292068847_WindowsUpdate__.vbe
Supprimé! C:\Users\Zekhnini\AppData\Local\Temp\WindowsUpdate_.vbe
Supprimé! C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1484895_WindowsUpdate__.vbe
Supprimé! C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\292068847_WindowsUpdate__.vbe
Supprimé! C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate_.vbe
Supprimé! F:\1484895_WindowsUpdate__.vbe
Supprimé! F:\292068847_WindowsUpdate__.vbe
Supprimé! F:\WindowsUpdate_.vbe
Supprimé! G:\1484895_WindowsUpdate__.vbe
Supprimé! G:\292068847_WindowsUpdate__.vbe
Supprimé! G:\WindowsUpdate_.vbe
Supprimé! H:\292068847_WindowsUpdate__.vbe
Supprimé! H:\WindowsUpdate_.vbe
Supprimé! H:\1484895_WindowsUpdate__.vbe
Supprimé! F:\1484895_WindowsUpdate__.lnk
Supprimé! F:\292068847_WindowsUpdate__.lnk
Supprimé! F:\WindowsUpdate_.lnk
Supprimé! G:\.fseventsd.lnk
Supprimé! G:\.lnk
Supprimé! G:\.Trashes.lnk
Supprimé! G:\1484895_WindowsUpdate__.lnk
Supprimé! G:\292068847_WindowsUpdate__.lnk
Supprimé! G:\adwcleaner.lnk
Supprimé! G:\apps android.lnk
Supprimé! G:\apps ios.lnk
Supprimé! G:\autorun.lnk
Supprimé! G:\BoardingPassDisplay – Ryanair.lnk
Supprimé! G:\films.lnk
Supprimé! G:\HD Widgets 3.lnk
Supprimé! G:\logiciels.lnk
Supprimé! G:\perso.lnk
Supprimé! G:\RyanairBoardingPass.lnk
Supprimé! G:\System Volume Information.lnk
Supprimé! G:\unInstaller.lnk
Supprimé! G:\urDrive.lnk
Supprimé! G:\WindowsUpdate_.lnk
Supprimé! H:\FAX TYPE.lnk
Supprimé! H:\WindowsUpdate_.lnk
Supprimé! H:\292068847_WindowsUpdate__.lnk
Supprimé! H:\1484895_WindowsUpdate__.lnk
Supprimé! C:\Users\Zekhnini\AppData\Local\Temp\Zekhnini7
Supprimé! C:\Users\Zekhnini\AppData\Local\Temp\Zekhnini8
Supprimé! G:\urDrive.exe
Supprimé! G:\autorun.inf

(!) Fichiers temporaires supprimés.

################## | Référence de comparaison MD5 |

Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1484895_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\292068847_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate_.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Local\Temp\1484895_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Local\Temp\292068847_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Local\Temp\WindowsUpdate_.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> F:\1484895_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> F:\292068847_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> F:\WindowsUpdate_.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> G:\1484895_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> G:\292068847_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> G:\WindowsUpdate_.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> H:\292068847_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> H:\WindowsUpdate_.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> H:\1484895_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1484895_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\292068847_WindowsUpdate__.vbe
Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsUpdate_.vbe

################## | Comparaison MD5 |

Supprimé! Md5 : 5172C6B6B798B6BF1C961019D76DA115 -> C:\Users\Zekhnini\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JXOFUEUK\57d0e59c76a0417d_WindowsUpdate_[1].vbe

################## | Registre |

Réparé ! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktop -> 0
Réparé ! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktopChanges -> 0
Réparé ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyGames -> 1
Supprimé! HKLM\Software\292068847_WindowsUpdate__
Supprimé! HKU\S-1-5-21-229983672-989215680-320328254-1000\Software\Microsoft\Windows\CurrentVersion\Run|1484895_WindowsUpdate__
Supprimé! HKU\S-1-5-21-229983672-989215680-320328254-1000\Software\Microsoft\Windows\CurrentVersion\Run|292068847_WindowsUpdate__
Supprimé! HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|292068847_WindowsUpdate__
Supprimé! HKU\S-1-5-21-229983672-989215680-320328254-1000\Software\Microsoft\Windows\CurrentVersion\Run|WindowsUpdate_

################## | Listing |

[03/11/2013 – 17:05:20 | SHD ] C:\$Recycle.Bin
[19/11/2013 – 06:20:27 | D ] C:\AdwCleaner
[03/11/2013 – 21:17:31 | D ] C:\ControlCenterCount
[14/07/2009 – 06:08:56 | SHD ] C:\Documents and Settings
[03/11/2013 – 21:08:45 | N | 0] C:\END
[19/11/2013 – 07:19:10 | ASH | 6195179520] C:\hiberfil.sys
[03/11/2013 – 22:34:11 | D ] C:\Intel
[03/11/2013 – 22:29:11 | D ] C:\msiFastBoot
[19/11/2013 – 07:19:12 | ASH | 8260239360] C:\pagefile.sys
[14/07/2009 – 04:20:08 | D ] C:\PerfLogs
[19/11/2013 – 06:26:07 | D ] C:\Program Files
[19/11/2013 – 06:26:07 | D ] C:\Program Files (x86)
[15/11/2013 – 22:47:26 | HD ] C:\ProgramData
[03/11/2013 – 17:05:14 | SHD ] C:\Recovery
[03/11/2013 – 22:24:40 | D ] C:\SuperChargerProfile
[19/11/2013 – 06:25:48 | SHD ] C:\System Volume Information
[19/11/2013 – 20:13:58 | D ] C:\UsbFix
[19/11/2013 – 20:14:01 | A | 13362] C:\UsbFix [Clean 1] ZEKHNINI-PC.txt
[19/11/2013 – 20:07:30 | N | 19087] C:\UsbFix [Scan 1] ZEKHNINI-PC.txt
[03/11/2013 – 17:05:16 | RD ] C:\Users
[19/11/2013 – 07:18:37 | D ] C:\Windows
[03/11/2013 – 17:05:20 | SHD ] D:\$RECYCLE.BIN
[08/09/2013 – 11:38:05 | N | 852] D:\hosts
[28/08/2013 – 18:55:27 | D ] D:\la famille perso
[28/08/2013 – 18:40:41 | D ] D:\logiciels
[26/09/2013 – 18:17:06 | N | 10205] D:\Nouveau document texte.txt
[26/06/2013 – 17:16:18 | D ] D:\one piece 501 A 520
[26/06/2013 – 17:16:25 | D ] D:\one piece ep 521 à 540
[25/05/2013 – 20:46:25 | D ] D:\sauvegarde imac
[07/09/2013 – 18:31:52 | D ] D:\Sygic
[14/04/2013 – 00:53:30 | SHD ] D:\System Volume Information
[21/05/2013 – 17:46:22 | D ] D:\talal
[29/10/2013 – 18:44:37 | D ] D:\Vuze Downloads
[01/09/2013 – 15:41:42 | N | 48] D:\windows 8.1 preview.txt
[03/11/2013 – 17:05:20 | SHD ] E:\$RECYCLE.BIN
[09/11/2013 – 16:59:28 | D ] E:\aaseries pas vu
[27/10/2013 – 20:33:56 | D ] E:\films HD
[09/11/2013 – 14:45:37 | D ] E:\itunes
[21/04/2013 – 11:49:12 | D ] E:\my book
[21/04/2013 – 11:33:57 | D ] E:\perso
[28/09/2013 – 13:32:54 | D ] E:\series
[29/01/2013 – 00:05:41 | SHD ] E:\System Volume Information
[19/11/2013 – 18:06:15 | D ] E:\vuze
[18/08/2013 – 18:34:53 | N | 15364] G:\.DS_Store
[18/08/2013 – 18:40:43 | D ] G:\.fseventsd
[18/08/2013 – 18:40:43 | SHD ] G:\.Trashes
[31/08/2013 – 09:25:57 | N | 994642] G:\adwcleaner.exe
[11/09/2013 – 18:54:33 | D ] G:\apps android
[02/06/2013 – 16:07:48 | D ] G:\apps ios
[01/05/2013 – 11:51:23 | N | 62024] G:\BoardingPassDisplay – Ryanair.pdf
[18/08/2013 – 18:36:00 | D ] G:\films
[05/12/2012 – 21:02:52 | N | 17140312] G:\HD Widgets 3.1.5.apk
[18/08/2013 – 18:28:46 | D ] G:\logiciels
[13/01/2013 – 18:59:00 | D ] G:\perso
[01/05/2013 – 11:50:14 | N | 476800] G:\RyanairBoardingPass.pdf
[19/11/2013 – 15:45:04 | SHD ] G:\System Volume Information
[14/09/2011 – 12:07:16 | N | 361248] G:\unInstaller.exe
[26/01/1994 – 11:04:46 | D ] G:\urDrive
[19/11/2013 – 15:26:16 | D ] H:\FAX TYPE

################## | UsbFix – Information |

UsbFix a détecté sur votre ordinateur, une infection qui dispose d’une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d’enviseager une opposition sur votre carte bancaire.

################## | Vaccin |

F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | //www.usb-antivirus.com/fr – https://www.sosvirus.net |

[wpdm_package id=’497′]

[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]