Disque externe infecté ? Comment être sur ? Résolu/Fermé

Question

Bonjour,
Je voudrais etre certain que mes 3 disques externes sont propres car ils ont été en contact très bref avec mon pc portable infecté par 510 fichiers WIN32.VITRO, WIN32.VIRUT, TROJAN et compagnie... qui s attaque a tous mes fichiers .exe, dont certains ont littéralement disparu.
J ai déja analysé mes 3 disques externes sur un autre pc fixe non contaminé.
Première analyse du pc fixe avec avast : 1 fichier trojan supprimé.
Puis j ai analysé les 3 disques externes avec avast : rien trouvé.
Ensuite j ai analysé le pc fixe branché aux 3 disques externes avec malware = j ai trouvé et supprimé quelques virus dans le pc et les 3 disques externes, mais rien a voir avec des vitros, viruts, trojan et compagnie...
Je veux juste etre absolument certain pour mes 3 disques externes, et je voudrais savoir si mes analyses complètes avec avast et malware, sont fiables.
Existe t il un autre logiciel de scan pour les disques externes qui scan de maniere encore plus précise, et dresse un rapport que je pourrais poster sur le forum afin d avoir l avis de quelqu un ?
Sur les 3 disques externes, je peux en formater 2, mais pour le WD, je ne pourrais pas, c est trop volumineux, donc j ai besoin d etre certain pour ce dernier.
Quelqu un peut m aider svp ?

hubertaaz · Answer

Bonjour,

Une documentation ici : https://forums.commentcamarche.net/forum/affich-37636394-desinfecter-une-cle-usb-ou-un-disque-amovible

EDIT : Je viens de prendre connaissance de ton autre topic où tu n'es plus assisté pour l'instant. En fait Virut est très méchant et un formatage même de bas niveau ne suffit pas pour en être débarrassé, regarde ici : http://www.commentcamarche.net/faq/sujet-16138-comment-supprimer-virut

Cordialement

SGOUGOU · Answer

Ok merci, je vais d abord m occuper des 3 disques durs externes sur mon pc fixe sain ( enfin normalement ), puis je scannerais le portable infecté avec Dr.Web, AVPTool et eScan, mais je passerais directemenr a AVPTool car j ai deja fait 2 scan long avec DR WEB ( 8 h ! ), et a chaque fois que je cliquais sur ENRIGISTER LE RAPPORT, j avais un ecran bleu avec un texte en haut pendant une demi seconde puis redemarrage sans bien sur avoir pu enregistre le rapport.
En tout cas merci, et j espere vraiment que j aurais une aide sur ce site apres les analyses, car je ne vais pas m en sortir tout seul, ca c est sur.

SGOUGOU · Answer

Par contre, j ai oublié de préciser qu a la fin du premier scan long de dr web, j ai trouvé et supprimé 510 fichiers .exe pour la plupart, et apres le deuxieme scan long, dr web n a trouvé et supprimé seulement 11 fichiers.exe qui avaient pour destination c/:bureau/dr web.exe (????).
Qu en pensez vous ?
Dois je me réjouir de ces résultats ?

SGOUGOU · Answer

Voici le rapport de UsbFix :
Qu en pensez vous ?


############################## | UsbFix V6.050 |

User : snoopy (Administrateurs) # PC-DE-SNOOPY
Update on 09/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:19:48 | 12/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU            2140  @ 1.60GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,29 Go (23,39 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,04 Go (143,93 Go free) [DVD ] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 931,51 Go (726,15 Go free) [DVD] # NTFS
K:\ -> Disque amovible # 923,94 Mo (863,21 Mo free) [MP3] # FAT32
L:\ -> Disque fixe local # 74,53 Go (74,43 Go free) [MUSIQUE - VIDEO - PHOTO ] # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe 452
C:\Windows\system32\csrss.exe 584
C:\Windows\system32\wininit.exe 644
C:\Windows\system32\csrss.exe 660
C:\Windows\system32\services.exe 692
C:\Windows\system32\lsass.exe 704
C:\Windows\system32\lsm.exe 712
C:\Windows\system32\winlogon.exe 836
C:\Windows\system32\svchost.exe 912
C:\Windows\system32\svchost.exe 988
C:\Windows\System32\svchost.exe 1028
C:\Windows\system32\Ati2evxx.exe 1116
C:\Windows\System32\svchost.exe 1132
C:\Windows\System32\svchost.exe 1176
C:\Windows\system32\svchost.exe 1204
C:\Windows\system32\svchost.exe 1336
C:\Windows\system32\SLsvc.exe 1360
C:\Windows\system32\svchost.exe 1388
C:\Windows\system32\Ati2evxx.exe 1492
C:\Windows\system32\svchost.exe 1592
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1684
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1748
C:\Windows\System32\spoolsv.exe 400
C:\Windows\system32	askeng.exe 592
C:\Windows\system32\Dwm.exe 292
C:\Windows\system32\svchost.exe 908
C:\Windows\Explorer.EXE 1300
C:\Windows\system32	askeng.exe 2084
C:\Program Files\Windows Defender\MSASCui.exe 2132
C:\Windows\RtHDVCpl.exe 2140
C:\Acer\Empowering Technology\SysMonitor.exe 2172
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe 2208
C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe 2344
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe 2416
C:\Program Files\Common Files\Real\Update_OBealsched.exe 2428
C:\Windows\PixArt\Pac207\Monitor.exe 2436
C:\Program Files\Java\jre6\bin\jusched.exe 2444
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE 2472
C:\Program Files\Winamp\winampa.exe 2520
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE 2528
C:\Program Files\Alwil Software\Avast4\ashDisp.exe 2592
C:\Program Files\Windows Sidebar\sidebar.exe 2628
C:\Windows\ehome\ehtray.exe 2636
C:\Program Files\Windows Media Player\wmpnscfg.exe 2656
C:\Windows\ehome\ehmsas.exe 2788
C:\Program Files\Mozilla Firefox\firefox.exe 3076
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 3104
C:\Program Files\Bonjour\mDNSResponder.exe 3144
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 3164
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe 3288
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 3308
C:\Windows\system32\svchost.exe 3432
C:\Windows\system32\svchost.exe 3472
C:\Windows\System32\svchost.exe 3520
C:\Windows\system32\SearchIndexer.exe 3544
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE 3556
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 3696
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 3708
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE 3768
C:\Program Files\Canon\CAL\CALMAIN.exe 3964
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 4064
C:\Windows\system32\WUDFHost.exe 1480
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1708
C:\Program Files\Windows Media Player\wmpnetwk.exe 1072
C:\Windows\system32\wbem\wmiprvse.exe 2896
C:\Windows\system32\wbem\unsecapp.exe 4216
C:\Windows\system32\wbem\wmiprvse.exe 4268
C:\Windows\system32\conime.exe 4964
C:\Windows\system32	askeng.exe 5504
C:\Windows\system32\SearchProtocolHost.exe 4480
C:\Windows\system32\SearchFilterHost.exe 5456

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
shell\AutoRun\command =E:\wd_windows_tools\setup.exe 

HKCU\..\..\Explorer\MountPoints2\{22f85fd6-5335-11de-a5a9-0019213a4957}
shell\AutoRun\command =J:\MOBSYNC.EXE 

HKCU\..\..\Explorer\MountPoints2\{33112d2b-b80d-11dd-a4de-0019213a4957}
shell\AutoRun\command =J:\LaunchU3.exe -a

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:	emp\MP3 + DVD XPack with Serial\DVDMP3XPack.exe"  
28/03/2002 01:08 |Size 3562938 |Crc32 bb9eb1ce |Md5 7815e4b295dd81465170dcc1e297d67f  
 

################## | ! Fin du rapport # UsbFix V6.050 ! |

SGOUGOU · Answer

Suis je infecté ?

hubertaaz · Answer

Je ne suis pas expert en désinfection.
Je pense que le mieux sera de continuer sur l'autre topic avec Gen Hackman qui devrait être bientôt.

Dans le rapport UsbFix, il y a des clés de Registre  Mountpoints2 qui seraient infectées.

Il fraudait donc passer à l'option 2 afin de tenter de les supprimer.

SGOUGOU · Answer

Ok merci d avoir répondu, je poste le dernier rapport, et je pense  avoir résolu le problème des infections des 3 disques durs, mais j attends l avis d un spécialiste pour marquer ce sujet en résolu.


############################## | UsbFix V6.031 |

User : snoopy (Administrateurs) # PC-DE-SNOOPY
Update on 12/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:20:32 | 12/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU            2140  @ 1.60GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,29 Go (23,17 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,04 Go (143,93 Go free) [DVD ] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 931,51 Go (726,15 Go free) [DVD] # NTFS
K:\ -> Disque amovible # 923,94 Mo (863,21 Mo free) [MP3] # FAT32
L:\ -> Disque fixe local # 74,53 Go (74,43 Go free) [MUSIQUE - VIDEO - PHOTO ] # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\printfilterpipelinesvc.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{22f85fd6-5335-11de-a5a9-0019213a4957}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{33112d2b-b80d-11dd-a4de-0019213a4957}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[26/07/2007 05:19|--a------|3379] C:\-20070726.log 
[18/07/2009 08:51|--a------|714] C:\-20090718.log 
[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[26/07/2007 13:21|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/07/2009 09:38|--a------|90] C:\CLMS.log 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[23/05/2008 11:21|--a------|2127] C:\ExtractLog.txt 
[30/03/2008 16:13|-rahs----|0] C:\IO.SYS 
[18/07/2009 08:48|--a------|91] C:\MDisc.log 
[29/11/2006 16:35|--a------|512] C:\MDR.iss 
[18/07/2009 08:49|--a------|90] C:\MDR.log 
[30/03/2008 16:13|-rahs----|0] C:\MSDOS.SYS 
[03/07/2008 13:51|--a------|304160] C:\PA207.DAT 
[?|?|?] C:\pagefile.sys 
[18/07/2009 09:37|--a------|90] C:\PMovie.log 
[18/07/2009 09:39|--a------|1082] C:\PSD.log 
[26/07/2007 04:50|--a------|420] C:\RHDSetup.log 
[18/07/2009 09:38|--a------|90] C:\SDMA.log 
[23/05/2008 11:35|--a------|159] C:\Setup.log 
[12/11/2009 17:25|--a------|4233] C:\UsbFix.txt 
[25/10/2009 10:13|--a------|9707416] K:\i think i'm a mother.mp3 
[09/08/2009 00:27|--a------|8318614] K:\satellite.mp3 
[01/12/2008 17:45|--a------|3727364] K:\old friends.mp3 
[01/12/2008 17:44|--a------|2013946] K:\old friends 2.mp3 
[01/12/2008 17:48|--a------|5311630] K:\America.mp3 
[24/01/2008 07:01|--a------|5889252] K:\01 - Serpentine.mp3 
[24/01/2008 07:01|--a------|11055228] K:\03 - November.mp3 
[03/07/2009 07:42|--a------|3658523] K:\00 soul desert.mp3 
[03/07/2009 07:42|--a------|13947842] K:\00 Mother Sky.mp3 

################## | ! Fin du rapport # UsbFix V6.031 ! |

hubertaaz · Answer

En effet, les 3 clés infectées ont bien été supprimées. Concernant les supports externes c'est Ok.

Concernant l'infection Virut sur ton pc là c'est pas coton.
Bonne continuation avec Gen Hackman

@+

SGOUGOU · Answer

Oui encore merci d avoir répondu, mais le plus important était mes 230 go de données (10 années d archivages). Pour virut, je crois que je gagnerais du temps a reformater mais je ne sais pas comment faire, donc j attends gen-hackman, j éspère qu il va revenir...

hubertaaz · Answer

Je n'ai pas encore croisé gen-hackman aujourd'hui sur CCM, je pense qu'il ne devrait pas tarder.

Vu l'ampleur de l'infection, je pense perso que la meilleure formule est le formatage KillDisk comme indiqué dans le dernier chapitre du lien suivant : http://www.commentcamarche.net/faq/sujet-16138-comment-supprimer-virut

/!\ Pas de .exe, pas de .scr, pas de .htm, pas de .html dans les sauvegardes des fichiers personnels.

Cependant l'avis de gen-hackman est plus autorisé que le mien.

@+

SGOUGOU · Answer

Ok merci, mais je n archive que des photos, videos, musique, traitement de texte donc c est bon.

hubertaaz · Answer

Oui, c'est bon.

Une seule restriction, si tu possèdes un pc de grand marque avec "tatouage" du DD comme Packard Bell, HP et autres.

Si j'ai bien noté, te concernant il s'agit d'un Sony donc si tu possèdes le CD de réinstallation de Windows seul pas de problème.

@+

SGOUGOU · Answer

Oui oui j ai les 2 cds d installation.

hubertaaz · Answer

Bonjour,

Si tu possèdes les CD d'installation n'hésite pas suis mon conseil et celui de Bayadère sur l'autre topic.
Vu l'ampleur de l'infection (510 fichiers.exe supprimés), c'est la formule à utiliser et aussi la plus efficace.

L'infection sera complètement éradiquée. Quand elle resurgit, c'est comme je te l'ai mentionné avant si on a sauvegardé des fichiers .exe, .scr, .htm, .html 

@+

SGOUGOU · Answer

Ok merci, j attends gen-hackman et je vois.
Sinon mes doutes concernent la santé d un disque externe en particulier (WD 1TO), il a l air d etre ok, comme on l a vu tous les deux avant avec les rapports usbfix...
Mais je dois être certain car il y a trop de données (trop volumineux pour etre gravé) pour que je prenne le risque de l infecter apres le reformatage, et concernant les .exe, .scr, .htm, .html, comment etre sur qu il n y a pas ces extensions enregistré en cachette sur un des trois disques externes...
Voila je te tiens au courant donc.
Merci.

Disque externe infecté ? Comment être sur ?

15 réponses

Discussions similaires