des dossiers se créent sur ma clef USB ?Résolu/Fermé

Question

Bonjour à tous,
    Une chose bizarre se passe sur mes clefs USB : des dossiers se créent automatiquement dessus : ce sont en fait des raccourcis : "documents", "music", "video", "picture" et "new folder" (je précise que mon windows est en français). Il se cré aussi un .txt "passwords" et un autre fichier qui s'appelle "autorun.ini". Sur mon poste de travail, l'icone de la clef n'apparaît plus comme un lecteur externe mais come un dossier.
Je peux effacer tous les fichiers, sauf lautorun.ini qui refuse de s'effacer. Il m'est aussi impossible de formater la clef, cependant j'ai réussit à la reformater sur un autre ordi, ce qui a résoud le problème mais après quelques temps, c'est revenu !! Je possède plusieurs clefs et toutes ont été victimes de se problème. J'ai aussi 3 PC différents entre lesquels mes clefs se balladent.
    J'ai très peur que ce soit un virus, mais je possède Panda anti-virus 2009 pro, mis à jour, mais il ne détecte rien...
    Je suis très inquiet, bien plus pour les ordis que pour les clefs ! J'ai chercher sur le forum mais n'ai pas trouvé de problème similaire au mien... 
    Merci de bien vouloir me venir en aide, je suis très inquiet !!!!  :o(

Astucien · Answer

bonjours,

***************** Recherche avec USBFix ***********************
Télécharger UsbFix de C_XX & Chiquitine29.

* Double-cliquer sur USBFix.exe
* Tapez "F" pour français et pressez sur Entrée pour valider

* Choisissez l'option 1 Recherche

* Brancher vos tout vos périphériques USB, support amovibles et cliquer "OK"

* La recherche peut prendre quelques minutes ..

* Le rapport s'ouvrira à l'écran, postez ce rapport - C:\USBFix.txt


*********** Recherche d'infection avec Malwarebyte's *********** 

Téléchargez Malwarebyte's

Installation
* Laissez-vous guider : choix de la langue, acceptation de la licence, dossier par défaut ...

* Cocher la case "Créer une icône sur le Bureau".

* Cochez bien la case Mettre à jour

* Cliquez ensuite sur Terminer.

Utilisation
* Double-cliquez sur le raccourci créé sur votre bureau

* Aller dans "Recherche", cliquez sur "Exécuter un examen Rapide" et sur "Rechercher".

* Après le scan, sauvegarder le rapport (N'appuyer pas de suite sur "Supprimer la sélecton")

* Affichez le rapport de Malwarebyte's dans votre prochaine réponse. 


**************** Créer un rapport avec Hijackthis *******************

* Téléchargez - installez  HijackThis

* Ouvrez Hijackthis, appuyer sur [Do a system scan safe a Logfile]

* Un rapport va s'ouvrir, affichez ce rapport dans votre prochaine réponse.

skiperic · Answer

D'abord merci pour vote réponse ! J'ai téléchargé Malawarebyte's et HijackThis, dont voici les rapports, mais Panda a trouvé un virus dans UsbFix !! le download a évidemment été annulé...

Voici donc le rapport de Malawarebyte's :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2907
Windows 5.1.2600 Service Pack 3

05/10/2009 04:06:15
mbam-log-2009-10-05 (04-06-05).txt

Type de recherche: Examen rapide
Eléments examinés: 104447
Temps écoulé: 5 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Eric\iexplore.exe (Trojan.Agent) -> No action taken.


           Et cleui de HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:10:20, on 05/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE
C:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Documents and Settings\Ericiuom.exe
C:\Program Files\Micro Application\12 DICOS Indispensables\MediaDICO12.EXE
C:\Program Files\Micro Application\12 DICOS Indispensables\Rac12.EXE
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 

https://www.01net.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 

https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet 

Explorer fourni par IE 8 FOURNI PAR 01NET.COM
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program 

Files\Adobe/Adobe Contribute CS4/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} 

- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program 

Files\Adobe/Adobe Contribute CS4/contributeieplugin.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers 

communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 

9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 

9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0ENQBO] 

C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft 

Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 

2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 

2009\Inicio.exe"
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Program Files\Norton 

Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation
View
wiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' 

Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\12 DICOS 

Indispensables\LanceMediaDICO12.exe Lancement
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [riuom] C:\Documents and Settings\Ericiuom.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE 

LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE 

RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default 

user')
O4 - Global Startup: Register Mask Pro 3.0.lnk = ?
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop 

Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - 

res://C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - 

res://C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - 

res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.line6.net
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - 

https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - 

http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - 

http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program 

Files\Fichiers communs\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program 

Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - 

C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - 

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton 

Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - 

C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program 

Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program 

Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - 

C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - 

C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - 

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program 

Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program 

Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - 

C:\WINDOWS\system32\Tablet.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda 

Security\Panda Antivirus Pro 2009\TPSrv.exe

skiperic · Answer

Sinon j'ai un peu avancé...pas dans le bons sens !! Je me suis apperçut que je ne pouvais reformater mes clefs "infectées" que sur un de mes 3 PC. Car dès que j'insère la clef, Panda se lance et me bloque l'ouverture en détectant un virus nommé ZOAZU.EXE, je peux alors reformater ma clef qui redevient saine. Mais dès que je la rebranche sur un des deux PC infectés, c'est reparti !!! C'est pénible, d'autant que les 3 PC sont équipés du même Panda...  :o(
  J'ai regardé sur IExplorer le nom de ZOAZU.EXE, mais si ce virus à bien m'air d'exister, personne ne dit comment le combattre, seul un site me propose un anti-virus payant... Mais ça ressemble plus à une arnaque destiné à vendre leur anti-spyware qu'autre chose...  :o/     

 http://www.superantispyware.com/malwarefiles/ZOAZU.EXE.html

  Ces infos vous aident-elles ?? Je suis de plus en plus dépité...  :o((

Astucien · Answer

Vous n'avez pas fait le plus important, soit la rechercher avec USBFix.
************ Postez le rapport


***************** Suppressions avec Hijackthis *****************

* Ouvrez par double-clique Hijackthis, appuyer sur "Do a system scan only", 
* Cochez les ligne suivantes (en image) :

O4 - HKCU\..\Run: [riuom] C:\Documents and Settings\Eric\riuom.exe     

* Fermez Internet Explorer et toutes les autre applications.

* Appuyer sur "Fix Checked", une fenêtre de confirmation apparaitra, cliquer sur Oui



************** suppression de processus avec Hijakcthis ************

Toujours dans Hijackthis,
* Appuyer sur [Open the Misc Tools section] --> [Open process manager],
* Sélectionner C:\Documents and Settings\Eric\riuom.exe et appuyer [Kill process]



************** suppression de l'infection ************

* Afficher les fichiers et les dossiers cachés de Windows 

Aller supprimer ce fichier :
C:\Documents and Settings\Eric\riuom.exe


************** Suppression avec Malwarebytes ************

* Relancer Malwarebytes et faites un "Examen complet" 
* Lorsque compléter appuyer sur [supprimer la sélection]
* Postez ce rapport

******* Relancer Hijackthis et postez un nouveau rapport ne modifier pas le formatage.

Astucien · Answer

Trying2, ; 
Considérant le court délai entre votre intervention (5:06:24) et la mienne (04:53:13).
Vous n'aviez pas du remarquer ma réponse.

Skiperic => rapports

Astucien · Answer

Trying.. 
Avant d'intervenir en plaçant vos procédures(éthique) en début de sujet ou des rapports viennent d'être appelés par un autre intervenant. Attendez que celui-ci répondre. Et le cas échéant ou celui-ci prendrait trop de détour pour supprimer l'infection, alors l'intervention d'un tiers intervenant serait de rigueur. Non pas en plaçant vos procédures, mais en orientant le premier intervenant avec la procédure suivre !

Perso ..,
Quand je veux m'instruire en désinfection, j'observe les sujet des jlpjlp et quelques rare autre.. intervenants.

skiperic · Answer

Bonjour, 

    Je dois avouer que je ne comprends pas la démarche à suivre, mais étant très peu instruit en matière de virologie, je vais essayer de suivre vos instructions à la lettre !
    Par contre, Panda affiche toujours un virus trj/CI-A... Dois-je désactiver Panda et lancer quand même ce logiciel ?
   Merci et désolé de mon incompétence si je suis si inquiet devant mon PC infecté par un méchant virus, de ne pas vouloir en rajouter plus !!

 Merci encore !

skiperic · Answer

Sinon, j'ai fait une image de mon système (un ghost, quoi) il y a un mois, si je le réinstalle, cela me guérira-t-il du virus ? Car sinon, je pense que ça simplifiera de beaucoup les opérations... Qu'en penses-tu ?

Merci encore.

skiperic · Answer

Mon problème s'est trouvé résolu !! Panda a finalement détecté et supprimé le virus dont s'était la cause : riuom.exe. Et c'est grace au MacIntosh que j'ai pu reformaté mes périfériques infectés (les virus PC sont inoffensif sur Mac... j'espère  :o/  !!!) sans infecté le PC les recvant. Avant tout cela, j'ai quand même dû reformater deux de mes trois PC...

    En tous cas, je vous remercie d'avoir passé du temps à essayer de me sortir de cette galère. un grand merci donc à vous, qui prenez du temps pour aider les autres... de nos jours, c'est pas si courant !!!!
  
    Bonne continuation !

Des dossiers se créent sur ma clef USB ?

9 réponses

Discussions similaires

Newsletters