Clé USB infectée par des raccourcis
Résolu/Fermé
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
-
14 janv. 2016 à 10:58
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 16 janv. 2016 à 12:22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 16 janv. 2016 à 12:22
A voir également:
- Clé USB infectée par des raccourcis
- Cle usb non reconnu - Guide
- Clé windows 10 gratuit - Guide
- Cle usb bootable - Guide
- Formater clé usb mac - Guide
- Medicat usb - Guide
6 réponses
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
14 janv. 2016 à 12:02
14 janv. 2016 à 12:02
comme vous me l'avez demandé : voici les trois liens de fichiers PJ malekal que vous pourrez consulter afin de me sortir de ce piège.. merci encore une fois..
https://pjjoint.malekal.com/index.php
id=FRST_20160114_d6g9h6p6q15
https://pjjoint.malekal.com/index.php
id=20160114_m14o159k13o9
https://pjjoint.malekal.com/index.php
id=20160114_k5v8o15i12y14
https://pjjoint.malekal.com/index.php
id=FRST_20160114_d6g9h6p6q15
https://pjjoint.malekal.com/index.php
id=20160114_m14o159k13o9
https://pjjoint.malekal.com/index.php
id=20160114_k5v8o15i12y14
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
14 janv. 2016 à 11:00
14 janv. 2016 à 11:00
Salut,
La clef n'est pas infectée.
note que la clef peut être infecté par un autre ordinateur.
Si tu veux vérifier le PC en question :
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
La clef n'est pas infectée.
note que la clef peut être infecté par un autre ordinateur.
Si tu veux vérifier le PC en question :
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 14/01/2016 à 12:59
Modifié par Malekal_morte- le 14/01/2016 à 12:59
Le PC est infecté, tu as aussi changé les DNS surement pour contourner les blocages torrents :
DNS Servers: 178.32.122.65 - 37.187.0.40
Sache que cela permet d'effectuer des attaques MITM pour éventuellement voler des accès.
Tu ne sais pas qui administrent ces serveurs, ce n'est pas du tout recommandé de les changer.
~~
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-CBA7023EBA39}
2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
C:\Users\Alain\AppData\Local\Temp\winlogon.bat
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp\winlogon.bat [81 2016-01-11] () <===== ATTENTION
Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
DNS Servers: 178.32.122.65 - 37.187.0.40
Sache que cela permet d'effectuer des attaques MITM pour éventuellement voler des accès.
Tu ne sais pas qui administrent ces serveurs, ce n'est pas du tout recommandé de les changer.
~~
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-CBA7023EBA39}
2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
C:\Users\Alain\AppData\Local\Temp\winlogon.bat
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp\winlogon.bat [81 2016-01-11] () <===== ATTENTION
Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
14 janv. 2016 à 14:13
14 janv. 2016 à 14:13
Résultats de correction de Farbar Recovery Scan Tool (x64)
Version:10-01-2015 01
Exécuté par Alain (2016-01-14 14:09:23) Run:1
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain &
Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:
\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-
CBA7023EBA39}
2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:
\ProgramData\ylkcvsdfsgjtbrknlff.reg
C:\Users\Alain\AppData\Local\Temp\winlogon.bat
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...
\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp
\winlogon.bat [81 2016-01-11] () <===== ATTENTION
Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows
\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()
C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-
CBA7023EBA39} => déplacé(es) avec succès
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg => déplacé(es) avec
succès
C:\Users\Alain\AppData\Local\Temp\winlogon.bat => déplacé
(es) avec succès
"C:\ProgramData\ylkcvsdfsgjtbrknlff.reg" => non trouvé(e).
HKU\S-1-5-21-2504682391-2156521303-1188651563-
1000\Software\Microsoft\Windows\CurrentVersion\Run\
\winlogon => valeur supprimé(es) avec succès
C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup\winlogon.bat => déplacé(es) avec
succès
Version:10-01-2015 01
Exécuté par Alain (2016-01-14 14:09:23) Run:1
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain &
Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:
\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-
CBA7023EBA39}
2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:
\ProgramData\ylkcvsdfsgjtbrknlff.reg
C:\Users\Alain\AppData\Local\Temp\winlogon.bat
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...
\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp
\winlogon.bat [81 2016-01-11] () <===== ATTENTION
Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows
\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()
C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-
CBA7023EBA39} => déplacé(es) avec succès
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg => déplacé(es) avec
succès
C:\Users\Alain\AppData\Local\Temp\winlogon.bat => déplacé
(es) avec succès
"C:\ProgramData\ylkcvsdfsgjtbrknlff.reg" => non trouvé(e).
HKU\S-1-5-21-2504682391-2156521303-1188651563-
1000\Software\Microsoft\Windows\CurrentVersion\Run\
\winlogon => valeur supprimé(es) avec succès
C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup\winlogon.bat => déplacé(es) avec
succès
Fin de Fixlog 14:09:24
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
14 janv. 2016 à 14:26
14 janv. 2016 à 14:26
d'abord;je vais remettre immédiatement les DNS par défaut -
et attendre la suite de ton aide - merci du conseil important -
et attendre la suite de ton aide - merci du conseil important -
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
Modifié par Malekal_morte- le 14/01/2016 à 14:33
Modifié par Malekal_morte- le 14/01/2016 à 14:33
est-ce que ce fichier existe: C:\Users\Alain\AppData\Local\Temp\winlogon.vbs ?
si oui tu pourrais le zipper et l'envoyer sur http://upload.malekal.com
si oui tu pourrais le zipper et l'envoyer sur http://upload.malekal.com
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
Modifié par cadet74 le 14/01/2016 à 14:49
Modifié par cadet74 le 14/01/2016 à 14:49
je regarde...non, je n'ai pas trouvé ce fichier dans le "temp" ni dans la totalité de l'ordi dans la "recherche"..
il y a parcontre un "winlogon.exe" dans le systeme32
il y a parcontre un "winlogon.exe" dans le systeme32
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
14 janv. 2016 à 15:51
14 janv. 2016 à 15:51
oki laisse le celui la.
Désactive les scripts WSH : Malware VBS/WSH/Windows Script Host
Nettoye les clefs USB et vois ce que cela donne.
Désactive les scripts WSH : Malware VBS/WSH/Windows Script Host
Nettoye les clefs USB et vois ce que cela donne.
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
Modifié par cadet74 le 14/01/2016 à 16:30
Modifié par cadet74 le 14/01/2016 à 16:30
ah? comment ferais-tu sous win 7 ..? je n'ai plus l'onglet "types de fichiers" dans les options..!!...ah.!! j'ai trouvé noscript sur Symantec et j'ai fait "disable"..!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
14 janv. 2016 à 16:26
14 janv. 2016 à 16:26
essaye cette correction :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileUrl] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoNetHood] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetTaskBar] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [Nosecuritytab] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoUpdateCheck] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoWindowsUpdate] 0
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileUrl] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoNetHood] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetTaskBar] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [Nosecuritytab] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoUpdateCheck] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoWindowsUpdate] 0
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
14 janv. 2016 à 17:18
14 janv. 2016 à 17:18
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par Alain (2016-01-14 17:16:39) Run:2
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain & Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileUrl] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoNetHood] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetTaskBar] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [Nosecuritytab] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoUpdateCheck] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoWindowsUpdate] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableChangePassword => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableLockWorkstation => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\NoDispSettingsPage => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\NoDispAppearancePage => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileUrl => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoLogoff => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetFolders => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoNetHood => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileMenu => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFind => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetTaskBar => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Nosecuritytab => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoUpdateCheck => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoWindowsUpdate => valeur supprimé(es) avec succès
Exécuté par Alain (2016-01-14 17:16:39) Run:2
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain & Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileUrl] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoNetHood] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetTaskBar] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [Nosecuritytab] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoUpdateCheck] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoWindowsUpdate] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableChangePassword => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableLockWorkstation => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\NoDispSettingsPage => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\NoDispAppearancePage => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileUrl => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoLogoff => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetFolders => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoNetHood => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileMenu => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFind => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetTaskBar => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Nosecuritytab => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoUpdateCheck => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoWindowsUpdate => valeur supprimé(es) avec succès
Fin de Fixlog 17:16:39
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
14 janv. 2016 à 16:49
14 janv. 2016 à 16:49
Bien et bonnes nouvelles : après avoir désactivé le script via "noscript" de Symantec, j'ai formaté mes deux clés USB et j'ai envoyé dessus des photos au hasard, il n'y a plus de fichiers ni dossiers en "raccourci", cela viendrait donc des scripts WSH..?
Comment te remercier pour ton aide, je n'y serais jamais arrivé seul..
je te dis MERCI encore une fois et bonne année mon ami.
Comment te remercier pour ton aide, je n'y serais jamais arrivé seul..
je te dis MERCI encore une fois et bonne année mon ami.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
14 janv. 2016 à 16:53
14 janv. 2016 à 16:53
Le PC avait encore l'air un peu infecté, bien qu'apparemment tu as dit que le .vbs n'était plus présent.
Toute façon, ça n'a pas fait de mal =)
Désactive les WSH, ça devrait limiter ce type de merdouille.
Le reste de la sécurité : Sécuriser son ordinateur.
Toute façon, ça n'a pas fait de mal =)
Désactive les WSH, ça devrait limiter ce type de merdouille.
Le reste de la sécurité : Sécuriser son ordinateur.
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
14 janv. 2016 à 17:20
14 janv. 2016 à 17:20
je t'ai mis ci-dessus, le résultat du dernier fixlog que tu m'as demandé d'éxécuter..
je l'ai exécuté juste après t'avoir annoncé la réussite.. des opérations..
j'espère avoir bien fait..?
je l'ai exécuté juste après t'avoir annoncé la réussite.. des opérations..
j'espère avoir bien fait..?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
14 janv. 2016 à 17:26
14 janv. 2016 à 17:26
oui pas de soucis =)
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
14 janv. 2016 à 17:43
14 janv. 2016 à 17:43
Merci, c'est nickel pour les clés maintenant, j'espère que ton aide et ton travail servira à d'autres internautes qui ont le même souci; bonne année encore une fois, et merci.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
Modifié par Malekal_morte- le 14/01/2016 à 19:09
Modifié par Malekal_morte- le 14/01/2016 à 19:09
oui, merci =)
cadet74
Messages postés
20
Date d'inscription
jeudi 14 janvier 2016
Statut
Membre
Dernière intervention
2 mai 2016
1
15 janv. 2016 à 15:50
15 janv. 2016 à 15:50
oups.!! le problème vient de revenir....! lorsque j'ai inséré une clé usb , avast a détecté "winlogon.vbs" que j'ai mis en quarantaine.. j'ai fait un essai de copier-coller quatre fichiers photos qui se sont transformés en raccourci comme hier..!
j'ai installé AVG antivirus qui a également détecté winlogon.vbs aussitôt mis en quarantaine. j'ai lancé "noscript" et cliqué sur disable, mais çà se remet toujours sur cette position..donc je ne sais pas comment bloquer définitivement ces scripts WSH VBS sur win7..
Qu'en penses-tu.?
j'ai installé AVG antivirus qui a également détecté winlogon.vbs aussitôt mis en quarantaine. j'ai lancé "noscript" et cliqué sur disable, mais çà se remet toujours sur cette position..donc je ne sais pas comment bloquer définitivement ces scripts WSH VBS sur win7..
Qu'en penses-tu.?