Trojan-GameThief.Win32 sur Clé USB
azuwee
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonsoir,
En connectant la clé USB d'un ami sur mon PC, mon antivirus à découvert et, à priori, neutralisé:
Trojan-GameThief.Win32.Magania.azha
Les analyses ne révèlent plus rien mais dois-je passer un coup de USBFix ou autre pour m'assurer que la clé ne contient pas d'autres "surprises"?
Je joint un rapport ZHPFix de façon à être sûr que rien ne soit passé au travers du filet:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111125_q10k15g15r14w7
Merci, bonne soirée.
En connectant la clé USB d'un ami sur mon PC, mon antivirus à découvert et, à priori, neutralisé:
Trojan-GameThief.Win32.Magania.azha
Les analyses ne révèlent plus rien mais dois-je passer un coup de USBFix ou autre pour m'assurer que la clé ne contient pas d'autres "surprises"?
Je joint un rapport ZHPFix de façon à être sûr que rien ne soit passé au travers du filet:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111125_q10k15g15r14w7
Merci, bonne soirée.
A voir également:
- Trojan-GameThief.Win32 sur Clé USB
- Clé usb non détectée - Guide
- Clé usb - Accueil - Stockage
- Formater clé usb - Guide
- Clé windows 8 - Guide
- Télécharger windows 7 sur clé usb gratuit - Télécharger - Systèmes d'exploitation
3 réponses
Bonjour ZHPDiag sert à établir un diagnostic... Rien de plus !
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
▶ Télécharge ici : USBFIX sur ton bureau
OU lien alternatif : http://general-changelog-team.fr/telechargements/logiciels/viewdownload/80-outils-de-el-desaparecido/32-usbfix
branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=9
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
▶ Télécharge ici : USBFIX sur ton bureau
OU lien alternatif : http://general-changelog-team.fr/telechargements/logiciels/viewdownload/80-outils-de-el-desaparecido/32-usbfix
branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :
▶ choisi l option Suppression
▶ UsbFix scannera ton pc , laisse travailler l outil.
▶ Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=9
je le vois pas sur le rapport :(
tu as déjà essayé de formater la clé ?
tu as déjà essayé de formater la clé ?
Et bien la clé ne m'appartient pas et elle contient des documents de travail importants, j'ai juste un rapport a récupérer dessus ensuite je dois la rendre à son propriétaire, je voulais juste profiter de cette occasion pour la désinfecter et annoncer à mon ami que son PC est infecté.
Quoi qu'il en soit, il est possible de récupérer les fichiers .txt et .docx qu'elle contient sans infecter mon PC via clique droit -> explorer non?? Après je laisserai son propriétaire décider s'il formate ou non sa clé.
Quoi qu'il en soit, il est possible de récupérer les fichiers .txt et .docx qu'elle contient sans infecter mon PC via clique droit -> explorer non?? Après je laisserai son propriétaire décider s'il formate ou non sa clé.
Voici le rapport, très bref, des actions entreprises par mon antivirus:
https://www.cjoint.com/?3Kzv6qSCENR
Je ne suis pas sûr que l'infection soit entrée dans mon système (d'autant que, par précaution, mon PC est programmé pour ne pas permettre l'exécution automatique des disques amovibles), c'est bien pour cela que j'avais établi un premier rapport ZHPDiag pour vous permettre de vérifier cet état de fait.
La suite (USBFix) était une simple mesure de précaution pour être sûr de ne pas ouvrir une quelconque boite de Pandore... Avec les bébêtes qui trainent sur le net de nos jours, mieux vaut rester prudent... J'ai demandé votre assistance pour m'assurer de ne pas faire de bêtises que j'aurais pu regretter par la suite...
https://www.cjoint.com/?3Kzv6qSCENR
Je ne suis pas sûr que l'infection soit entrée dans mon système (d'autant que, par précaution, mon PC est programmé pour ne pas permettre l'exécution automatique des disques amovibles), c'est bien pour cela que j'avais établi un premier rapport ZHPDiag pour vous permettre de vérifier cet état de fait.
La suite (USBFix) était une simple mesure de précaution pour être sûr de ne pas ouvrir une quelconque boite de Pandore... Avec les bébêtes qui trainent sur le net de nos jours, mieux vaut rester prudent... J'ai demandé votre assistance pour m'assurer de ne pas faire de bêtises que j'aurais pu regretter par la suite...
Voici le rapport de USBFix:
############################## | UsbFix V 7.069 | [Suppression]
Utilisateur: Gregory (Administrateur) # PC-DE-GREGORY
Mis à jour le 20/11/2011 par El Desaparecido
Lancé à 20:43:43 | 25/11/2011
Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com
PC: Acer, inc. (Aspire 7730ZG ) (X86-based PC) # Desktop Computer
CPU: Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz (2166)
RAM -> [ Total : 3066 | Free : 1627 ]
BIOS: ZY2 v0.3611 3F11
BOOT: Normal boot
OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 9.0.8112.16421
SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Kaspersky Internet Security [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]
C:\ (%systemdrive%) -> Disque fixe # 70 Go (24 Go libre(s) - 34%) [ACER] # NTFS
D:\ -> Disque fixe # 70 Go (47 Go libre(s) - 67%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 492 Mo (473 Mo libre(s) - 96%) [ART TRAVAIL] # FAT
################## | Processus Actif |
C:\Windows\system32\csrss.exe (672)
C:\Windows\system32\wininit.exe (724)
C:\Windows\system32\csrss.exe (732)
C:\Windows\system32\services.exe (780)
C:\Windows\system32\lsass.exe (796)
C:\Windows\system32\lsm.exe (804)
C:\Windows\system32\svchost.exe (972)
C:\Windows\system32\nvvsvc.exe (1024)
C:\Windows\system32\svchost.exe (1064)
C:\Windows\System32\svchost.exe (1128)
C:\Windows\System32\svchost.exe (1160)
C:\Windows\System32\svchost.exe (1192)
C:\Windows\system32\svchost.exe (1240)
C:\Windows\system32\winlogon.exe (1296)
C:\Windows\system32\svchost.exe (1380)
C:\Windows\system32\SLsvc.exe (1404)
C:\Windows\system32\svchost.exe (1456)
C:\Windows\system32\svchost.exe (1572)
C:\Windows\System32\spoolsv.exe (1788)
C:\Windows\system32\svchost.exe (1820)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (2036)
C:\Windows\system32\nvvsvc.exe (124)
C:\Windows\system32\taskeng.exe (1676)
C:\Windows\system32\Dwm.exe (2104)
C:\Windows\system32\taskeng.exe (2156)
C:\Windows\Explorer.EXE (2176)
C:\Program Files\Windows Defender\MSASCui.exe (2516)
C:\Windows\RtHDVCpl.exe (2524)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2548)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2820)
C:\Users\Gregory\AppData\Local\Temp\RtkBtMnt.exe (2832)
C:\Windows\system32\agrsmsvc.exe (2856)
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe (2892)
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe (2928)
C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe (2960)
C:\Windows\system32\dgdersvc.exe (2984)
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (3044)
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe (3068)
C:\Windows\system32\FsUsbExService.Exe (3460)
C:\Program Files\Common Files\LightScribe\LSSrvc.exe (3524)
C:\Acer\Mobility Center\MobilityService.exe (3568)
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe (3604)
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe (3668)
C:\Windows\system32\svchost.exe (3732)
C:\Program Files\Cyberlink\Shared files\RichVideo.exe (3780)
C:\Windows\system32\svchost.exe (3832)
C:\Windows\System32\svchost.exe (3884)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (3908)
C:\Windows\system32\SearchIndexer.exe (3976)
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (4024)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2140)
C:\Windows\system32\wbem\unsecapp.exe (3324)
C:\Windows\system32\wbem\wmiprvse.exe (3644)
C:\Program Files\Launch Manager\QtZgAcer.EXE (2284)
C:\Windows\PLFSetI.exe (1992)
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe (2616)
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (2404)
C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe (2076)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (1940)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4928)
C:\Windows\system32\svchost.exe (5272)
C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (5660)
C:\Windows\system32\WUDFHost.exe (840)
C:\Windows\system32\conime.exe (4444)
C:\UsbFix\UsbFix.exe (988)
C:\Windows\system32\wbem\wmiprvse.exe (5192)
C:\Windows\system32\SearchProtocolHost.exe (980)
C:\Windows\system32\SearchFilterHost.exe (6048)
################## | Processus Stoppés |
Stoppé! C:\Windows\system32\nvvsvc.exe (1024)
Stoppé! C:\Windows\system32\SLsvc.exe (1404)
Stoppé! C:\Windows\System32\spoolsv.exe (1788)
Stoppé! C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (2036)
Stoppé! C:\Windows\system32\nvvsvc.exe (124)
Stoppé! C:\Windows\system32\taskeng.exe (1676)
Stoppé! C:\Windows\system32\taskeng.exe (2156)
Stoppé! C:\Program Files\Windows Defender\MSASCui.exe (2516)
Stoppé! C:\Windows\RtHDVCpl.exe (2524)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2548)
Stoppé! C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2820)
Stoppé! C:\Users\Gregory\AppData\Local\Temp\RtkBtMnt.exe (2832)
Stoppé! C:\Windows\system32\agrsmsvc.exe (2856)
Stoppé! C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe (2892)
Stoppé! C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe (2928)
Stoppé! C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe (2960)
Stoppé! C:\Windows\system32\dgdersvc.exe (2984)
Stoppé! C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (3044)
Stoppé! C:\Program Files\Acer\Empowering Technology\Service\ETService.exe (3068)
Stoppé! C:\Windows\system32\FsUsbExService.Exe (3460)
Stoppé! C:\Program Files\Common Files\LightScribe\LSSrvc.exe (3524)
Stoppé! C:\Acer\Mobility Center\MobilityService.exe (3568)
Stoppé! C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe (3604)
Stoppé! C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe (3668)
Stoppé! C:\Program Files\Cyberlink\Shared files\RichVideo.exe (3780)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (3908)
Stoppé! C:\Windows\system32\SearchIndexer.exe (3976)
Stoppé! C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (4024)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2140)
Stoppé! C:\Program Files\Launch Manager\QtZgAcer.EXE (2284)
Stoppé! C:\Windows\PLFSetI.exe (1992)
Stoppé! C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe (2616)
Stoppé! C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (2404)
Stoppé! C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe (2076)
Stoppé! C:\Program Files\Common Files\Java\Java Update\jusched.exe (1940)
Stoppé! C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (4928)
Stoppé! C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (5660)
Stoppé! C:\Windows\system32\WUDFHost.exe (840)
Stoppé! C:\Windows\system32\conime.exe (4444)
Stoppé! C:\Windows\system32\SearchProtocolHost.exe (980)
Stoppé! C:\Windows\system32\SearchFilterHost.exe (6048)
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3684292585-2480568842-2895514707-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2510503473-1743007766-1253452646-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3684292585-2480568842-2895514707-1000
(!) Fichiers temporaires supprimés.
################## | Registre |
################## | Mountpoints2 |
################## | Listing |
[25/11/2011 - 20:44:35 | SHD ] C:\$RECYCLE.BIN
[04/05/2011 - 15:41:37 | D ] C:\ACER
[02/07/2011 - 18:54:43 | N | 2006] C:\aqua_bitmap.cpp
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[31/10/2008 - 18:27:47 | D ] C:\Book
[05/05/2011 - 15:34:33 | D ] C:\Boot
[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
[01/11/2008 - 01:21:00 | N | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[25/11/2011 - 18:18:31 | ASH | 3215839232] C:\hiberfil.sys
[31/10/2008 - 17:23:17 | D ] C:\Intel
[17/08/2011 - 08:19:18 | D ] C:\NVIDIA
[25/11/2011 - 18:18:29 | ASH | 3529629696] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[25/11/2011 - 18:54:52 | N | 512] C:\PhysicalDisk0_MBR.bin
[25/11/2011 - 18:52:32 | D ] C:\Program Files
[17/08/2011 - 08:25:25 | HD ] C:\ProgramData
[25/11/2011 - 18:25:19 | SHD ] C:\System Volume Information
[25/11/2011 - 20:44:35 | D ] C:\UsbFix
[25/11/2011 - 20:43:52 | A | 8791] C:\UsbFix.txt
[17/08/2011 - 08:27:27 | D ] C:\Users
[25/11/2011 - 18:29:40 | D ] C:\Windows
[25/11/2011 - 18:54:54 | D ] C:\ZHP
[25/11/2011 - 20:44:35 | D ] D:\$RECYCLE.BIN
[25/06/2010 - 11:30:46 | D ] D:\1410e388b10c32780a3eb279e1
[14/08/2011 - 21:50:39 | D ] D:\Age Of Conan
[17/02/2011 - 17:51:47 | RASHD ] D:\Autorun.inf
[07/11/2007 - 07:00:40 | N | 17734] D:\eula.1028.txt
[07/11/2007 - 07:00:40 | N | 17734] D:\eula.1031.txt
[07/11/2007 - 07:00:40 | N | 10134] D:\eula.1033.txt
[07/11/2007 - 07:00:40 | N | 17734] D:\eula.1040.txt
[07/11/2007 - 07:00:40 | N | 118] D:\eula.1041.txt
[07/11/2007 - 07:00:40 | N | 17734] D:\eula.1042.txt
[07/11/2007 - 07:00:40 | N | 17734] D:\eula.2052.txt
[07/11/2007 - 07:00:40 | N | 17734] D:\eula.3082.txt
[07/11/2007 - 07:03:18 | N | 76304] D:\install.res.1028.dll
[07/11/2007 - 07:03:18 | N | 96272] D:\install.res.1031.dll
[07/11/2007 - 07:03:18 | N | 91152] D:\install.res.1033.dll
[07/11/2007 - 07:03:18 | N | 95248] D:\install.res.1040.dll
[07/11/2007 - 07:03:18 | N | 81424] D:\install.res.1041.dll
[07/11/2007 - 07:03:18 | N | 79888] D:\install.res.1042.dll
[07/11/2007 - 07:03:18 | N | 75792] D:\install.res.2052.dll
[07/11/2007 - 07:03:18 | N | 96272] D:\install.res.3082.dll
[14/08/2011 - 22:02:59 | D ] D:\msdownld.tmp
[12/12/2008 - 02:29:16 | SHD ] D:\System Volume Information
[18/03/2011 - 13:36:16 | D ] F:\.Trashes
[18/03/2011 - 13:36:16 | N | 4096] F:\._.Trashes
[22/11/2010 - 11:22:40 | N | 2703964] F:\04 il faut savoir.m4a
[18/03/2011 - 13:37:18 | N | 82] F:\._04 il faut savoir.m4a
[01/03/2011 - 16:38:22 | N | 3776955] F:\09 mes amours mes emmerdes.m4a
[18/03/2011 - 13:37:22 | N | 82] F:\._09 mes amours mes emmerdes.m4a
[01/03/2011 - 16:39:50 | N | 3439465] F:\12 lui.m4a
[18/03/2011 - 13:37:28 | N | 82] F:\._12 lui.m4a
[01/03/2011 - 16:39:30 | N | 4287273] F:\11 me voilà seul.m4a
[18/03/2011 - 13:37:32 | N | 82] F:\._11 me voilà seul.m4a
[01/03/2011 - 16:40:08 | N | 1539864] F:\13 Reste encore.m4a
[18/03/2011 - 13:37:36 | N | 82] F:\._13 Reste encore.m4a
[01/03/2011 - 16:41:26 | N | 2268111] F:\16 formi formidable.m4a
[18/03/2011 - 13:37:38 | N | 82] F:\._16 formi formidable.m4a
[18/03/2011 - 13:40:40 | N | 296] F:\WMPInfo.xml
[09/10/2011 - 23:15:02 | N | 125845] F:\Datos personales.pdf
[09/10/2011 - 23:15:30 | N | 11525] F:\Datos personales.docx
[09/10/2011 - 23:15:48 | N | 4984] F:\Datos personales.odt
[21/11/2011 - 00:04:02 | D ] F:\Arthur travail
[21/11/2011 - 14:37:14 | N | 15039] F:\PENIN Thomas lettre motivation espagnol.docx
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-GREGORY.zip
http://eldesaparecido.com/upload.htmlp
Merci de votre contribution.
################## | Reboot |
L'ordinateur à été redémarré!
################## | E.O.F |