Question Virus clé USB Fermé

Question

Bonjour, 

Une personne de mon entourage travail dans un lycée qui il y a peu a été victime d'un virus sur son serveur infectant toute les clés USB qui étaient introduisent sur les ordinateurs du lycée.

Celle-ci a utilisé ensuite cette clé sur son ordinateur personnel. Effectivement les fichiers sur la clé sont différents. En effet tous les fichiers (y compris les dossiers) sont devenus des raccourcis (mais pas la sous fichiers à l'intérieur des dossiers qui y n'ont pas été modifiés).

Exemple très concret, quand j'ouvre un fichier doc avec Word du nom de "imparfait de l'indicatif.docx" une console s'ouvre (la console cmd.exe se trouvant dans le système 32) pendant une seconde puis se ferme et le fichier Docx s'ouvre finalement.

Dans l'onglet propriété du raccourci la cible m'indique ceci:

C:\Windows\system32\cmd.exe /c start Facebook.vbs&start imparfait" "de" "l'indicatif.docx & exit

J'y comprend quand ouvrant ce fichier "raccourci" sur ma clé il s'ouvre alors 3 choses dont le cmd.exe, le fichier de base Docx et Facebook.vbs

L'informaticien du lycée lui aurait répondu avoir retirer le virus de la clé depuis (elle ne devrait donc plus être infectée d'après lui) mais les fichiers sont restés eux modifiés (ce qui me semble logique).

Mes interrogations sont donc :

-Que fait réellement ce virus (quel est le but de la personne qui l'a inséré)
-Le virus c'est-il propagé sur son ordinateur personnel avant que celle-ci soi (soir-disant) réparée, en faite peut-il y avoir des complications du genre chaque clés que l'on va insérer sur le PC personnel peut-elle être infectée (je ne pense pas mais bon).

Évidemment toutes informations complémentaires sont les bienvenues.

Merci d'avance !

Configuration: Windows 7 / Firefox 19.0

Fish66 · Accepted Answer

Bonsoir, * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Suppression" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt ) @+

jacques.gache · Answer

bonjour, pour lecture  https://forum.malekal.com/viewtopic.php?t=5544&start=

et si tu recherche sur google tu trouvera surement d'autre du même genre !!!

Ashgane · Answer

Merci de vos réponses, voici le rapport de USBFix:



############################## | UsbFix V 7.120 | [Suppression]

Utilisateur: Alicia (Administrateur) # ALICIA-PC
Mis à jour le 30/03/2013 par El Desaparecido
Lancé à 19:44:31 | 05/04/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://upload.sosvirus.org/
Contact: contact@sosvirus.org

PC: Packard Bell (imedia S3840) (x64-based PC)
CPU: Intel(R) Core(TM) i3-2100 CPU @ 3.10GHz (3100)
RAM -> [Total : 4078 | Free : 2895]
BIOS: BIOS Date: 05/06/11 15:13:57 Ver: 04.06.04
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16521

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 456 Go (312 Go libre(s) - 68%) [Packard Bell] # NTFS
D:\ -> Disque fixe # 451 Go (451 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
H:\ -> CD-ROM
I:\ -> Disque amovible # 4 Go (2 Go libre(s) - 58%) [ALICIA] # FAT32

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [] - 
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE\wow6432Node | Run : [] - 
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | RunOnce : [] - 
HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1895492504-432084721-188573522-1000\SOFTWARE | Run : [Facebook.vbs] - "C:\Users\Alicia\AppData\Local\Temp\Facebook.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Processus Stoppés |

Stoppé! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1200)
Stoppé! C:\Windows\Explorer.EXE (1420)
Stoppé! C:\Windows\System32\spoolsv.exe (1512)
Stoppé! C:\Windows\system32	askhost.exe (1544)
Stoppé! C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1692)
Stoppé! C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE (1828)
Stoppé! C:\Windows\system32	askeng.exe (1900)
Stoppé! C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe (1760)
Stoppé! C:\Program Files (x86)\Common Files\Umbrella\Umbrella.exe (1756)
Stoppé! C:\Program Files (x86)\Google\Update\1.3.21.135\GoogleCrashHandler.exe (1848)
Stoppé! C:\Program Files (x86)\Google\Update\1.3.21.135\GoogleCrashHandler64.exe (1328)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2200)
Stoppé! C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe (2304)
Stoppé! C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2352)
Stoppé! C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE (2736)
Stoppé! C:\Windows\System32\WScript.exe (2812)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastUI.exe (1108)
Stoppé! C:\Users\Alicia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_10130102.exe (3368)
Stoppé! C:\Windows\System32\WUDFHost.exe (3444)
Stoppé! C:\Windows\system32\SearchIndexer.exe (3888)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (4008)
Stoppé! C:\Windows\system32\SearchProtocolHost.exe (2792)
Stoppé! C:\Windows\system32\SearchFilterHost.exe (3276)
Stoppé! C:\Program Files (x86)\Mozilla Firefox\firefox.exe (4300)
Stoppé! C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (4608)
Stoppé! C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (4652)
Stoppé! C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (4728)
Stoppé! C:\Windows\system32\DllHost.exe (4456)

################## | Éléments infectieux |

Supprimé! C:\Users\Alicia\AppData\Roaming\MsnMessenger.exe
Non supprimé ! E:\AutoRun.exe 
Non supprimé ! E:\Sims2Deluxe_uninst.exe
Non supprimé ! E:\eauninstall.exe
Supprimé! I:\Thumbs.db.lnk
Supprimé! I:\TPE references bibliographiques 2012-2013.doc.lnk
Supprimé! I:\TPE.lnk
Supprimé! I:\Deatholic.docx.lnk
Supprimé! I:\Deatholic - Copie.docx.lnk
Supprimé! I:\carte géo.jpeg.lnk
Supprimé! I:\Cuba.odt.lnk
Supprimé! I:\Diapo.odp.lnk
Supprimé! I:\Euro.docx.lnk
Supprimé! I:\Diapo.pdf.lnk
Supprimé! I:\Diapo.ppt.lnk
Supprimé! I:\Fonds de carte 1ère (2012-2013).pdf.lnk
Supprimé! I:\~$Sports & Spare time.pptx.lnk
Supprimé! I:\~$Questionnaire sports aquatiques.pptx.lnk
Supprimé! I:\~$Diapo.pptx.lnk
Supprimé! I:\~$Sports & Spare time pays de galles.pptx.lnk
Supprimé! I:\~$Sports & Spare time pays de galles a finir.pptx.lnk
Supprimé! I:\seven.avi.lnk
Supprimé! I:\Safari.avi.lnk
Supprimé! I:\Mathématiques.lnk
Supprimé! I:\A imprimer.lnk
Supprimé! I:\TPE-Orale.lnk
Supprimé! I:\Français.lnk
Supprimé! I:\Euro.lnk
Supprimé! I:\RECYCLER.lnk
Supprimé! C:\Users\Alicia\AppData\Roaming\FlashPlayerMedia
Supprimé! C:\Users\Alicia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook.vbs
Supprimé! C:\Users\Alicia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug.lnk
Supprimé! C:\Users\Alicia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayerPlug_10130102.exe
Supprimé! C:\Users\Alicia\AppData\Local\Temp\Facebook.vbs
Supprimé! C:\Users\Alicia\AppData\Local\Temp\Lanceur.vbs
Supprimé! C:\Users\Alicia\AppData\Local\Temp\7za.exe
Supprimé! C:\Users\Alicia\AppData\Local\Temp\AutoRun.exe
Supprimé! C:\Users\Alicia\AppData\Local\Temp\FlashPlayerMsj.exe
Non supprimé ! E:\Autorun.exe
Supprimé! I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Non supprimé ! E:\autorun.inf
Supprimé! I:\Facebook.vbs
Supprimé! I:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
Supprimé! C:\Users\Alicia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OWAAA3F7\FlashPlayerUpdt[1].exe

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU|njq8
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Facebook.vbs

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{9a4f37b4-8cf2-11e0-8f42-806e6f6e6963}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ce9377d3-2f9c-11e1-b31f-c89cdc282221}

################## | Listing |

[16/07/2011 - 18:30:53 | SHD ] 	C:\$Recycle.Bin
[02/06/2011 - 10:40:04 | D ] 	C:\book
[15/03/2011 - 11:01:46 | N | 8192] 	C:\BOOTSECT.BAK
[26/03/2013 - 19:39:27 | D ] 	C:\Config.Msi
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[04/08/2012 - 16:40:32 | D ] 	C:\Downloads
[05/04/2013 - 19:42:21 | ASH | 3207073792] 	C:\hiberfil.sys
[15/03/2011 - 10:09:18 | D ] 	C:\Intel
[30/04/2012 - 10:27:03 | D ] 	C:\Jeux
[03/03/2013 - 20:05:10 | D ] 	C:\Logiciels
[16/07/2011 - 15:19:32 | D ] 	C:\OEM
[05/04/2013 - 19:42:25 | ASH | 4276101120] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[13/03/2013 - 21:07:56 | D ] 	C:\Program Files
[13/03/2013 - 21:07:56 | D ] 	C:\Program Files (x86)
[09/02/2013 - 21:28:49 | HD ] 	C:\ProgramData
[16/07/2011 - 15:18:02 | SHD ] 	C:\Recovery
[07/08/2011 - 10:48:36 | N | 426120] 	C:\Setup_FreeConverter.exe
[05/04/2013 - 19:47:33 | SHD ] 	C:\System Volume Information
[19/01/2013 - 23:05:29 | D ] 	C:\Temp
[05/04/2013 - 19:49:47 | D ] 	C:\UsbFix
[05/04/2013 - 19:49:53 | A | 7819] 	C:\UsbFix [Clean 1] ALICIA-PC.txt
[08/04/2012 - 17:36:42 | N | 1533] 	C:\user.js
[16/07/2011 - 15:18:11 | D ] 	C:\Users
[30/03/2013 - 17:41:41 | D ] 	C:\Windows
[16/07/2011 - 15:19:41 | SHD ] 	D:\$RECYCLE.BIN
[22/07/2011 - 19:17:20 | D ] 	D:\Firefox
[02/04/2013 - 21:45:44 | D ] 	D:\Nouveau dossier
[09/02/2013 - 21:22:27 | SHD ] 	D:\System Volume Information
[05/04/2007 - 04:04:07 | RAD ] 	E:\AutoRun
[05/04/2007 - 04:04:05 | RA | 700416] 	E:\AutoRun.exe
[05/04/2007 - 00:40:43 | RA | 667648] 	E:\AutoRunGUI.dll
[05/04/2007 - 04:04:09 | RAD ] 	E:\Base
[05/04/2007 - 04:03:42 | RAD ] 	E:\DirectX
[05/04/2007 - 04:13:29 | RAD ] 	E:\EP2
[05/04/2007 - 00:38:27 | RA | 10134] 	E:\Sims2Deluxe.ico
[05/04/2007 - 00:41:39 | RA | 290816] 	E:\Sims2Deluxe_uninst.exe
[05/04/2007 - 04:13:29 | RAD ] 	E:\Support
[05/04/2007 - 04:13:29 | RAD ] 	E:\VP6
[05/04/2007 - 04:14:01 | RA | 151] 	E:\autorun.inf
[05/04/2007 - 04:14:02 | RA | 119440] 	E:\common_filelist.txt
[05/04/2007 - 04:13:52 | RA | 37605063] 	E:\compressed.zip
[05/04/2007 - 04:04:05 | RA | 356352] 	E:\eauninstall.exe
[05/04/2007 - 00:38:27 | RA | 10134] 	E:\eauninstall.ico
[25/03/2013 - 08:41:56 | H | 136192] 	I:\Thumbs.db
[19/09/2012 - 08:15:40 | N | 212480] 	I:\TPE references bibliographiques 2012-2013.doc
[14/02/2013 - 12:09:00 | N | 16288] 	I:\Deatholic.docx
[14/02/2013 - 12:08:38 | N | 16441] 	I:\Deatholic - Copie.docx
[08/03/2013 - 17:06:34 | N | 443695] 	I:\carte géo.jpeg
[05/01/2013 - 18:06:48 | N | 15631] 	I:\Cuba.odt
[10/10/2012 - 08:43:02 | D ] 	I:\TPE
[05/01/2013 - 17:22:18 | N | 63652678] 	I:\Diapo.odp
[07/03/2013 - 19:44:46 | D ] 	I:\Mathématiques
[17/03/2013 - 22:45:06 | N | 16830] 	I:\Euro.docx
[06/01/2013 - 19:55:16 | N | 3175287] 	I:\Diapo.pdf
[06/01/2013 - 19:54:26 | N | 64359424] 	I:\Diapo.ppt
[22/03/2013 - 09:53:26 | D ] 	I:\A imprimer
[18/03/2013 - 21:54:36 | D ] 	I:\TPE-Orale
[15/09/2012 - 17:23:36 | N | 742812] 	I:\Fonds de carte 1ère (2012-2013).pdf
[04/02/2013 - 13:02:40 | D ] 	I:\Français
[04/02/2013 - 08:39:18 | N | 165] 	I:\~$Sports & Spare time.pptx
[04/02/2013 - 08:39:56 | N | 165] 	I:\~$Questionnaire sports aquatiques.pptx
[04/02/2013 - 08:40:18 | N | 165] 	I:\~$Diapo.pptx
[04/02/2013 - 08:49:02 | N | 165] 	I:\~$Sports & Spare time pays de galles.pptx
[04/02/2013 - 08:56:16 | N | 0] 	I:\~$Sports & Spare time pays de galles a finir.pptx
[04/02/2013 - 13:02:04 | D ] 	I:\Euro
[02/09/2011 - 12:43:22 | HD ] 	I:\RECYCLER
[15/12/2009 - 19:05:04 | N | 733693952] 	I:\seven.avi
[07/11/2009 - 05:04:00 | N | 728633344] 	I:\Safari.avi

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |

Fish66 · Answer

Bonsoir, Si tu veux continuer à désinfecter ton PC, fais ceci stp : * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag (de Nicolas Coolman) à partir : ce lien * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

Question Virus clé USB

4 réponses

Discussions similaires