Virus clé USB donées récupérables ?

Question

Bonjour, 
J'ai "attapé" des virus sur ma clé ce matin sur l'ordinateur de mon lycée (génial) alors qu'il y a tout mon book dessus... impossible de réouvrir mes fichiers et apparament impossible d'enlever ces virus...
Le problème étant que je n'ai pas envie que ma clé infecte mon ordi avec aussi...

Comment supprimer ces virus et récuperer mes fichiers si c'est possible :S ??

Merci d'avance


Configuration: Windows 7 / Internet Explorer 7.0

g3n-h@ckm@n · Answer

salut

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

oui

roulio01 · Answer

Utilise Folder size qui te permettra de recuper et même voir les fichiers infectés. Tu pourras supprimer aussi ces virus

flipi84 · Answer

le lien :

https://pjjoint.malekal.com/files.php?id=20120502_h12s11h13q6e5 

par contre jai mis les clé 10 secondes apres quil ai demarré ?

g3n-h@ckm@n · Answer

desinstalle adobe reader 9
desinstalle babylon

============

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"TkBellExe"=-
[HKU\S-1-5-21-2069224987-3568908195-3770529784-1001\Software\Microsoft\Windows\CurrentVersion\Run] 
"jiuod"=-
"Secret"=-
"Forever Glam"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[HKU\S-1-5-21-2069224987-3568908195-3770529784-1001\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\Software\Babylon]     

txt::
C:\ProgramData\PS.log 

file::
E:\Secret.exe
F:\Forever Glam.exe

Folder::
C:\Windows\XSxS 
C:\Users\Vivien\AppData\Roaming\Babylon        
C:\ProgramData\Babylon     
C:\Users\Vivien\AppData\Local\Babylon 
    
MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

oui je sais

repasse usbfix en mode suppression en mode sans echec

flipi84 · Answer

c'est fait par contre il marque windows n'a pas pu trouver le fichier "txt"

g3n-h@ckm@n · Answer

mmm.....c:\usbfix.txt tu veux dire je pense

g3n-h@ckm@n · Answer

ok les fichiers sont toujours presents ?

g3n-h@ckm@n · Answer

attends je comprends pas tu laisse pas les clés pour l utilisation d usbfix ?

flipi84 · Answer

Si bien sur ! c'est apres que je l'ai fait ça

g3n-h@ckm@n · Answer

change le nom de usbfix voir 


--  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

flipi84 · Answer

le nom du racourci sur mon ordinateur ?

g3n-h@ckm@n · Answer

?

non le logiciel 

et faut lancer le logiciel , pas son raccourci

flipi84 · Answer

Oui, je me comprend quand je dis racourci c'est le logiciel que jai mis sur le bureau  donc je l'ai renomé je le relance ?

g3n-h@ckm@n · Answer

oui

flipi84 · Answer

il me met qd il charge 

error saving file
C usb fix Back up Registry 02 05 2012 security
continue with 
reg  create key ex :5 acces refusé  

et la je dois dire oui ou  non il me le demande en plusieurs fois..

¡El Desaparecido! · Answer

Hello Vous deux ,

flipi , fais moi parvenir ce fichier infectieu stp : C:\Users\Vivien\jiuod.exe

Ici : http://eldesaparecido.com/upload.php : c'est une infection Vobfus. 

Avant , affiche les fichiers et dossiers cachés : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Attend ensuite mes instructions :) 



 --
El Desaparecido

flipi84 · Answer

c'est quoi AVG ? et les logiciels d'emulation ?

flipi84 · Answer

ah le messge a disparu ?

flipi84 · Answer

¡El Desaparecido Je ne trouve pas le fichier  C:\Users\Vivien\jiuod.exe ??


et il n'y a plus les virus sur a clé ? Kesako ?

¡El Desaparecido! · Answer

Re,

Désinstal ta version de UsbFix , télécharge celle ci : 

http://eldesaparecido.com/partage/flipi.exe

Execute le mode Recherche et post le rapport stp.

flipi84 · Answer

############################## | UsbFix V 7.086 | [Recherche]

Utilisateur: Vivien (Administrateur) # PORTABLE
Mis à jour le 01/04/2012 par El Desaparecido
Lancé à 19:06:18 | 02/05/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Acer (Aspire 5733) (x64-based PC) # Notebook
CPU: Intel(R) Core(TM) i3 CPU       M 370  @ 2.40GHz (2399)
RAM -> [ Total : 3767 | Free : 2061 ]
BIOS: InsydeH2O Version V1.02
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Pack Sécurité SFR 9.12 [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 450 Go (368 Go libre(s) - 82%) [Acer] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (5 Go libre(s) - 72%) [] # FAT32
F:\ -> Disque amovible # 7 Go (5 Go libre(s) - 71%) [] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (492)
C:\Windows\system32\wininit.exe (568)
C:\Windows\system32\csrss.exe (588)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (648)
C:\Windows\system32\lsm.exe (656)
C:\Windows\system32\svchost.exe (776)
C:\Windows\system32\svchost.exe (856)
C:\Windows\System32\svchost.exe (916)
C:\Windows\System32\svchost.exe (956)
C:\Windows\system32\svchost.exe (996)
C:\Windows\system32\winlogon.exe (120)
C:\Windows\system32\svchost.exe (652)
C:\Windows\system32\svchost.exe (1052)
C:\Windows\System32\spoolsv.exe (1180)
C:\Windows\system32\svchost.exe (1220)
C:\Program Files (x86)\Launch Manager\dsiwmis.exe (1468)
C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe (1520)
C:\Program Files (x86)\Launch Manager\LMutilps32.exe (1528)
C:\Program Files (x86)\SFR\Pack Sécurité\Anti-Virus\fsgk32st.exe (1564)
C:\Windows\system32\svchost.exe (1584)
C:\Program Files (x86)\SFR\Pack Sécurité\Common\FSMA32.EXE (1608)
C:\Program Files (x86)\Acer\Registration\GREGsvc.exe (1628)
C:\Program Files (x86)\SFR\Pack Sécurité\Anti-Virus\FSGK32.EXE (1684)
C:\Program Files\Acer\Acer Updater\UpdaterService.exe (1736)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (1808)
C:\Program Files (x86)\NTI\Acer Backup Manager\IScheduleSvc.exe (1900)
C:\Windows\system32\svchost.exe (1956)
C:\Windows\System32\svchost.exe (1992)
C:\Windows\system32\svchost.exe (2940)
C:\Program Files (x86)\SFR\Pack Sécurité\Anti-Virus\fssm32.exe (3068)
C:\Windows\system32	askhost.exe (3076)
C:\Windows\system32\Dwm.exe (3160)
C:\Windows\Explorer.EXE (3168)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (3320)
C:\Program Files\Elantech\ETDCtrl.exe (3332)
C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe (3340)
C:\Windows\System32\igfxtray.exe (3348)
C:\Windows\System32\hkcmd.exe (3360)
C:\Windows\System32\igfxpers.exe (3376)
C:\Windows\System32\StikyNot.exe (3420)
C:\Program Files\Elantech\ETDCtrlHelper.exe (3436)
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe (3460)
C:\Windows\system32\igfxsrvc.exe (3540)
C:\Program Files\Windows Sidebar\sidebar.exe (3548)
C:\Windows\system32\SearchIndexer.exe (3692)
C:\Windows\system32\igfxext.exe (3856)
C:\Windows\system32\wbem\unsecapp.exe (3940)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (3964)
C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe (3996)
C:\Windows\system32\wbem\wmiprvse.exe (4032)
C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe (4040)
C:\Windows\system32	askeng.exe (3728)
C:\Program Files (x86)\Acer\clear.fi\MVP\clear.fiAgent.exe (616)
C:\Program Files (x86)\NTI\Acer Backup Manager\BackupManagerTray.exe (4108)
C:\Program Files (x86)\Launch Manager\LManager.exe (4136)
C:\Program Files\Acer\Acer ePower Management\ePowerEvent.exe (4164)
C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe (4276)
C:\Program Files (x86)\Launch Manager\MMDx64Fx.exe (4304)
C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe (4324)
C:\Program Files (x86)\Launch Manager\LMworker.exe (4376)
C:\Program Files (x86)\Internet Explorer\iexplore.exe (4332)
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (4104)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (3684)
C:\Windows\System32\svchost.exe (3236)
C:\Program Files\Windows Media Player\wmpnetwk.exe (2196)
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe (5960)
C:\Windows\system32\WUDFHost.exe (5896)
C:\Program Files (x86)\Internet Explorer\iexplore.exe (2708)
C:\Windows\system32\SearchProtocolHost.exe (3716)
C:\Windows\system32\SearchFilterHost.exe (6136)
C:\UsbFix\Go.exe (5620)
C:\Windows\system32\wbem\wmiprvse.exe (3828)
C:\Program Files (x86)\SFR\Pack Sécurité\Common\FSLAUNCH.EXE (6796)

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |

Le pc m'affiche un message depuis que j'ai telechargé la 1ere version de usbfix a chaque connexionn internet il me dit que mes données ne sont pas securisés et que dautres utilisateurs peuvent les voirs.. ?

¡El Desaparecido! · Answer

Le pc m'affiche un message depuis que j'ai telechargé la 1ere version de usbfix a chaque connexionn internet il me dit que mes données ne sont pas securisés et que dautres utilisateurs peuvent les voirs.. ?

Sous quel navigateur ? IE9 ?

Ca me parait Ok sinon , pour verifier , laisse les 2 clés connectées , redémarre UsbFix et choisi listing , post ensuite le rapport stp.

flipi84 · Answer

############################## | UsbFix V 7.086 | [Listing]

Utilisateur: Vivien (Administrateur) # PORTABLE
Mis à jour le 01/04/2012 par El Desaparecido
Lancé à 19:36:19 | 02/05/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Acer (Aspire 5733) (x64-based PC) # Notebook
CPU: Intel(R) Core(TM) i3 CPU       M 370  @ 2.40GHz (2399)
RAM -> [ Total : 3767 | Free : 1784 ]
BIOS: InsydeH2O Version V1.02
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Pack Sécurité SFR 9.12 [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 450 Go (368 Go libre(s) - 82%) [Acer] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (5 Go libre(s) - 72%) [] # FAT32
F:\ -> Disque amovible # 7 Go (5 Go libre(s) - 71%) [] # FAT32

################## | Listing |

[02/05/2012 - 17:52:05 | SHD ] 	C:\$Recycle.Bin
[14/04/2012 - 15:45:52 | D ] 	C:\7e970f4ad12143719f7df8bf17cb6c
[02/05/2012 - 17:00:18 | RASHD ] 	C:\Autorun.inf
[20/12/2011 - 16:51:16 | D ] 	C:\book
[07/04/2011 - 12:13:39 | N | 8192] 	C:\BOOTSECT.BAK
[22/12/2011 - 00:26:38 | N | 74] 	C:\CMLoader.log
[02/05/2012 - 16:25:48 | D ] 	C:\Config.Msi
[22/12/2011 - 01:04:03 | N | 0] 	C:\conmgr.log
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[02/05/2012 - 17:01:40 | ASH | 2962255872] 	C:\hiberfil.sys
[20/12/2011 - 16:53:52 | D ] 	C:\Intel
[20/12/2011 - 22:11:13 | RD ] 	C:\MSOCache
[20/12/2011 - 17:46:34 | D ] 	C:\OEM
[02/05/2012 - 17:01:43 | ASH | 3949674496] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[02/05/2012 - 19:15:19 | D ] 	C:\Pre_Scan
[21/12/2011 - 00:35:21 | D ] 	C:\Program Files
[14/04/2012 - 14:46:44 | D ] 	C:\Program Files (x86)
[02/05/2012 - 16:38:56 | D ] 	C:\ProgramData
[20/12/2011 - 17:44:50 | SHD ] 	C:\Recovery
[01/05/2012 - 22:58:26 | SHD ] 	C:\System Volume Information
[02/05/2012 - 19:36:20 | D ] 	C:\UsbFix
[02/05/2012 - 19:36:12 | A | 2190] 	C:\UsbFix.txt
[20/12/2011 - 17:44:57 | D ] 	C:\Users
[02/05/2012 - 16:55:14 | D ] 	C:\Windows
[26/03/2012 - 10:14:12 | D ] 	E:\Scans
[02/05/2012 - 17:00:20 | SHD ] 	E:\Autorun.inf
[15/04/2012 - 15:47:16 | D ] 	E:\Numerique finaux
[29/04/2012 - 15:15:26 | D ] 	E:\Photo pour book
[02/04/2012 - 13:29:26 | D ] 	E:\Détourés
[02/05/2012 - 17:00:22 | SHD ] 	F:\Autorun.inf
[12/09/2011 - 08:50:00 | D ] 	F:\01 ALBUMS
[28/04/2012 - 22:19:12 | D ] 	F:\Forever Glam
[12/09/2011 - 08:50:00 | D ] 	F:\02 SINGLES

################## | E.O.F |

Oui sous Ie9 ça affiche ça !

¡El Desaparecido! · Answer

C'est effectivement Ok pour tes clés ;)  

Dans IE9 clic sur la roue dentelée en haut a droite , clic sur options internet , clic sur avancé et pour finir clic sur réinitialiser. 

Ferme IE et redémarre le .  

# Télécharge AdwCleaner par Xplode sur ton bureau.
# Exécute AdwCleaner.exe.
# Clic sur Suppression, puis patiente le temps du scan.

# Une fois le scan fini, un rapport s'ouvrira. Poste son contenu dans ta prochaine réponse. 
# Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

El Desaparecido

flipi84 · Answer

LE VOILA :

# AdwCleaner v1.604 - Rapport créé le 02/05/2012 à 19:45:38
# Mis à jour le 23/04/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Vivien - PORTABLE
# Exécuté depuis : C:\Users\Vivien\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Softonic

***** [Registre - GUID] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v11.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Vivien\AppData\Roaming\Mozilla\Firefox\Profiles\jbxukn66.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [957 octets] - [02/05/2012 19:45:38]

########## EOF - C:\AdwCleaner[S1].txt - [1084 octets] ##########

¡El Desaparecido! · Answer

Ca me parait Ok ,

Désinstal UsbFix et AdwCleaner

Effectue ce sacn généraliste : 

# Télécharge MBAM et installe le. 

# Lance Malwarebytes' Anti-Malware.
# Clique sur l'onglet "Mises à jours" puis sur "Rechercher des mises à jours". 
# Clique sur l'onglet "Recherche", coche "éxécuter un examen rapide" puis clic sur Rechercher. 

A la fin de l'analyse, si MBAM n'a rien trouvé :
# Clique sur OK, le rapport s'ouvre spontanément 

Si des menaces ont été détectées :
# Clique sur OK puis "Afficher les résultats" 
# Choisis l'option "Supprimer la sélection" 
# Si MBAM demande le redémarrage de Windows : Clique sur "Oui" 
# Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" 
# Sinon le rapport s'ouvre automatiquement après la suppression. 

Ensuite pour vérifier l'état général du PC : 

# Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau.

# Double-clique sur ZHPDiag2.exe pour lancer l'installation.
# Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
# N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

# L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
# Double-clique sur ZHPDiag pour lancer l'exécution.
# Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

# Clique sur la loupe pour lancer l'analyse.
# Tu patientes jusqu'à ce que le scan affiche 100%.
# Le rapport est sauvegardé sur le bureau.
# Ferme ZHPDiag.

# Héberger et transmettre un rapport.

# Rend toi sur Pjjoint de Malekal.
# Clique sur Parcourir et cherche le rapport de ZHPDiag sur ton bureau
# Clique ensuite sur Envoyer le fichier.
# Tu obtiendras un message de confirmation avec un lien.
# Transmet ce lien dans ta prochaine réponse.

g3n-h@ckm@n · Answer

@Flipi84  

avant de faire malwarebytes , envoie à el Desaparecido la quarantaine de C:\pre_scan zippée au lien qu il t a donné plus haut  sinon Malwarebytes va les bouffer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

flipi84 · Answer

> g3n-h@ckm@n : trop tard :S.... c'est grave ?

> ¡El Desaparecido!-  : le lien de  ZHPDiag de Nicolas Coolman ne marche pas ?

¡El Desaparecido! · Answer

Prend ZhpDiag ici : 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Virus clé USB donées récupérables ?

32 réponses

Votre réponse

Discussions similaires

Newsletters