Virus raccourci clé usb

Résolu
Horoe -  
 Utilisateur anonyme -
Bonjour,

Je vient d'être infecté par le virus qui créer des raccourci sur les clés usb.

Pouvez vous m'aider à m'en débarrasser et me dire si c'est possible de récupérer les fichiers qu'il y avait dessus (ils ont été supprimés par un antivirus d'un autre pc sur lequel j'ai branché la clé, mais ma clé dit toujours qu'il y a 5 go dessus.)

Merci

30 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Bonsoir

    Ton infection est une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
    Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

    Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
    Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

    https://forum.malekal.com/viewtopic.php?t=5544&start=

    Pour remédier à cela :
    Télécharge et installe UsbFix de El Desaparecido & g3n-h@ckm@n

    http://general-changelog-team.fr/fr/outils/71-usbfix

    Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
    *
    Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.

    * Double clic sur UsbFix (pour les utilisateurs de windows Vista , windows 7 , windows 8) , clique droit => exécuter en tant qu'administrateur"
    * Cliquer sur recherche.
    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix [Scan ].txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+

    1
  2. Horoe
     
    C'est fait

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140109_h7i11k14w8o5
    1
  3. Utilisateur anonyme
     
    Re

    Utilisation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    Script ZHPFix
    ShortcutFix
    O4 - HKCU\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe
    O4 - HKUS\S-1-5-21-2613245926-3574014760-4208713533-1001\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft ® Windows Based Script Host.) -- C:\Windows\System32\wscript.exe
    O43 - CFD: 05/01/2014 - 16:15:24 - [0,004] ----D C:\ProgramData\CDTEST 3
    O43 - CFD: 09/01/2014 - 17:44:50 - [0,015] --H-D C:\Users\Lancelot2\AppData\Roaming\A66329C5
    O43 - CFD: 23/11/2013 - 13:03:15 - [0,001] ----D C:\Users\Lancelot2\AppData\Roaming\com.northwayGames.Incredipede
    O51 - MPSK:{adb3c596-f5ae-11e1-be6f-806e6f6e6963}\AutoRun\command. (...) -- D:\.\CDTEST.exe
    O51 - MPSK:{cac76602-b061-11e2-be87-50b7c3430c45}\AutoRun\command. (.UBISOFT - Pas de description.) -- G:\autorun.exe
    [MD5.F936FA87EC52A3373E254E1D559E8609] [SPRF][09/12/2013] (.Hôte de la fenêtre de la console - Hôte de la fenêtre de la console.) -- C:\Users\Lancelot2\AppData\Local\Temp\DATA.exe [83404540] => Temporary file not necessary

    FirewallRAZ
    Emptytemp
    EmptyCLSID

    --------------------------------------------------------------------------------------------
    Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

    Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix

    NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".

    * Clique sur le bouton GO pour lancer le nettoyage.

    -> laisse travailler l'outil et ne touche à rien ...
    -> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
    Ce rapport est copié sur le bureau

    ( ce rapport est en outre sauvegardé dans ce dossier :
    - Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
    - Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt
    )

    @+
    1
  4. Horoe
     
    Merci, j'ai téléchargé usbfix mais quand je clique pour l'installer ça me met "ce logiciel ne s'est peut être pas installé correctement" et il s'installe pas du tout enfaîte.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Et tu le télécharges et installes où?
    0
  7. Horoe
     
    Re, il se télécharge dans "telechargements" , je peut même pas choisir l'emplacement d'installation dès que je clique sur usbfix.exe il me met le message "ce logiciel ne s'est peut être pas installé correctement" .
    0
    1. Horoe
       
      Quand je reclique dessus maintenant ça ne fait plus rien
      0
  8. Utilisateur anonyme
     
    Re

    T'inquiète pas je l'ai renommé.

    http://sd-2.archive-host.com/membres/up/19387509578328357/winlogon.exe

    @+
    0
  9. Horoe
     
    Merci, ça fait la même chose...

    Ce qui est bizarre c'est que quand je le télécharge ça me met qu'il fait 1,6mo et pendant le téléchargement à 1,4mo il se bloque 2sc et finit le téléchargement d'un coup. Le fichier au final fait 1,4mo et pas 1,6 comme annoncé.
    0
  10. Utilisateur anonyme
     
    Re

    On passe à autre chose.

    [*] Télécharger sur le bureau RogueKiller (by tigzy) (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+

    0
  11. Horoe
     
    Merci, ça marche

    RogueKiller V8.8.0 _x64_ [Dec 27 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://www.adlice.com

    Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Lancelot2 [Droits d'admin]
    Mode : Suppression -- Date : 01/09/2014 20:24:57
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : SURVIVAL (wscript.exe //B "C:\Users\Lancelot2\AppData\Local\Temp\SURVIVAL.vbe" [x][-]) -> SUPPRIMÉ
    [RUN][HJNAME] HKCU\[...]\Run : APS (C:\Users\Public\conhost.exe [-]) -> SUPPRIMÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 1 ¤¤¤
    [Lancelot2][HJNAME] conhost.exe : C:\Users\Lancelot2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\conhost.exe [-] -> SUPPRIMÉ

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Addons navigateur : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547575A9E384 +++++
    --- User ---
    [MBR] 603e1893a4188e19a4983d72f9c8cfc1
    [BSP] fbe29bb9749710ff71ab69cad9226367 : Empty MBR Code
    Partition table:
    0 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 3.0 USB Device +++++
    --- User ---
    [MBR] 3981adb953f8492e61aa9845f216193c
    [BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 29569 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR! ([0x32] Cette demande n?est pas prise en charge. )

    Termine : << RKreport[0]_D_01092014_202457.txt >>
    RKreport[0]_S_01092014_202045.txt;RKreport[0]_S_01092014_202338.txt
    0
  12. Utilisateur anonyme
     
    Re

    Télécharge Malwaresbytes anti malware ici
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    A la fin de l'installation : Décoches « activer l'esssai gratuit de malwarebytes PRO »

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Rapide"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+

    0
  13. Horoe
     
    C'est fait:

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2014.01.09.07

    Windows 8 x64 NTFS
    Internet Explorer 10.0.9200.16688
    Lancelot2 :: LANCELOT [administrateur]

    09/01/2014 20:47:03
    mbam-log-2014-01-09 (20-47-03).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 210676
    Temps écoulé: 4 minute(s), 47 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 7
    C:\Users\LANCELOT2\AppData\Local\Temp\bitool.dll (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\LANCELOT2\AppData\Local\Temp\nsf5E9D.tmp (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\LANCELOT2\AppData\Local\Temp\is42483369\7370577_stp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\LANCELOT2\AppData\Local\Temp\is42483369\7370867_stp\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\LANCELOT2\Local Settings\Temporary Internet Files\Content.IE5\Z4STTRJG\BiTool[1].dll (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\LANCELOT2\Local Settings\Temporary Internet Files\Content.IE5\ZS3FUBV6\bi_downloader[1].exe (PUP.Optional.Somoto.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Public\conhost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Par contre il reste encore les fichiers raccourcis sur la clé usb, et il y a le dossier RK Quarantaine sur le bureau avec des fichiers .dll, je dois les supprimés ?

    merci
    0
  14. Utilisateur anonyme
     
    Re

    Tu reprends un téléchargement d'UsbFix

    @+
    0
  15. Utilisateur anonyme
     
    Re

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé,

    Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »

    Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"

    Clique sur la loupe en bas à gauche avec le signe plus pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau

    Pour transmettre le rapport clique sur ce lien:
    http://pjjoint.malekal.com/

    Si problème utilise un des suivants

    https://forums-fec.be/upload
    https://www.cjoint.com/

    Regarde sur le bureau

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+

    0
  16. Horoe
     
    Ma connexion internet va se couper, je fais la suite demain si ça ne vous dérange pas... Merci pour votre aide
    0
  17. Horoe
     
    Rebonjour,

    voilà le rapport:

    Rapport de ZHPFix 2013.12.14.5 par Nicolas Coolman, Update du 06/12/2013
    Fichier d'export Registre :
    Run by Lancelot2 at 10/01/2014 17:04:34
    High Elevated Privileges : OK
    Windows 8 Home Premium Edition, 64-bit (Build 9200)

    Corbeille vidée (00mn 03s)
    Réparation des raccourcis navigateur

    ========== Processus mémoire ==========
    SUPPRIMÉ: Memory Process: C:\Users\Lancelot2\AppData\Local\Temp\DATA.exe

    ========== Clés du Registre ==========
    SUPPRIMÉ CLSID MPSK: {adb3c596-f5ae-11e1-be6f-806e6f6e6963}
    SUPPRIMÉ CLSID MPSK: {cac76602-b061-11e2-be87-50b7c3430c45}

    ========== Valeurs du Registre ==========
    SUPPRIMÉ RunValue: SURVIVAL
    Aucune Valeur Standard Profile: FirewallRaz :
    Aucune Valeur Domain Profile: FirewallRaz :
    SUPPRIMÉ: FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
    SUPPRIMÉ: FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
    SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
    SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
    SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
    SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
    SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
    SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
    SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP
    SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
    SUPPRIMÉ: FirewallRaz (Private) : TCP Query User{DA8074B1-D8C2-421F-91D8-F6506D04E819}C:\program files (x86)\intel\intelappstore\bin\ismagent.exe
    SUPPRIMÉ: FirewallRaz (Private) : UDP Query User{ED8B0262-1562-4C4B-9D97-2E4325538430}C:\program files (x86)\intel\intelappstore\bin\ismagent.exe
    SUPPRIMÉ: FirewallRaz (Public) : {42267DC4-03DC-4A3C-A22E-A753ECD0B977}
    SUPPRIMÉ: FirewallRaz (Public) : {00060402-FBB6-4913-BC9F-1ECA9AAA4074}
    SUPPRIMÉ: FirewallRaz (Public) : {E2CAA992-93E2-4B51-96C8-B47DDAFDEBD7}
    SUPPRIMÉ: FirewallRaz (Public) : {515AD0BD-F8D9-4824-A1EE-10BCDB95535E}

    ========== Dossiers ==========
    Aucun dossiers CLSID Local utilisateur vide

    ========== Fichiers ==========
    SUPPRIMÉ Redémarrage: c:\windows\system32\wscript.exe
    SUPPRIMÉ Redémarrage: d:\.\cdtest.exe
    SUPPRIMÉ Redémarrage: g:\autorun.exe
    SUPPRIMÉS Temporaires Windows (1281) (1 079 289 795 octets)

    ========== Récapitulatif ==========
    1 : Processus mémoire
    2 : Clés du Registre
    19 : Valeurs du Registre
    1 : Dossiers
    4 : Fichiers

    End of clean in 00mn 10s

    ========== Chemin de fichier rapport ==========
    C:\Users\Lancelot2\AppData\Roaming\ZHP\ZHPFix[R1].txt - 10/01/2014 17:04:37 [2423]

    merci
    0
  • 1
  • 2