Virus clé USB - dossiers/fichiers transformés en raccourcis. Fermé

Question

Bonjour, 

Ma clé USB est infectée par un virus(IDM.vbs) qui transforme les dossiers/fichiers en raccourcis.

j'ai branchée ma clé dans un PC au travail donc c'est là ou la clé est d'infectée

Pouvez-vous m'indiquer la procédure à suivre?

Merci d'avance,

Cordialement,

Configuration: Windows 7 / Chrome 31.0.1650.63

Malekal_morte- · Answer

Salut,

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).   
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.   

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.   
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :   

Comprendre les infections par disques amovibles : https://forum.malekal.com/viewtopic.php?t=3350&start=  

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.   
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.   
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.   

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/

feed16 · Answer

############################## | UsbFix V 7.166 | [Recherche]

Utilisateur: hakim (Administrateur) # HAKIM-PC
Mis à jour le 26/02/2014 par El Desaparecido - Team SosVirus
Lancé à 12:24:26 | 11/03/2014

Site Web : https://www.usbfix.net/
Changelog : https://www.usb-antivirus.com/fr/maj/
Support : https://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/

PC: ASUSTeK Computer INC. (V-P5G31)
CPU: Intel(R) Core(TM)2 Duo CPU     E4600  @ 2.40GHz
RAM -> [Total : 2038 Mo| Free : 252 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Edition Intégrale  (6.1.7600 32-Bit) 
WB: Windows Internet Explorer : 9.0.8112.16421
WB: Mozilla Firefox : 26.0

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AS: Windows Defender [Enabled | Updated]
FW: Windows FireWall [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 68 Go (38 Go libre(s) - 56%) [] # NTFS
D:\ -> Disque fixe # 135 Go (114 Go libre(s) - 84%) [Taha] # NTFS
E:\ -> Disque fixe # 29 Go (27 Go libre(s) - 94%) [] # NTFS
F:\ -> Disque amovible # 954 Mo (950 Mo libre(s) - 100%) [GHIZLANE 1] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 372 |ParentID: 348)
C:\Windows\system32\wininit.exe (ID: 424 |ParentID: 348)
C:\Windows\system32\csrss.exe (ID: 432 |ParentID: 416)
C:\Windows\system32\winlogon.exe (ID: 464 |ParentID: 416)
C:\Windows\system32\services.exe (ID: 504 |ParentID: 424)
C:\Windows\system32\lsass.exe (ID: 520 |ParentID: 424)
C:\Windows\system32\lsm.exe (ID: 528 |ParentID: 424)
C:\Windows\system32\svchost.exe (ID: 668 |ParentID: 504)
C:\Windows\system32\svchost.exe (ID: 748 |ParentID: 504)
C:\Windows\System32\svchost.exe (ID: 808 |ParentID: 504)
C:\Windows\System32\svchost.exe (ID: 872 |ParentID: 504)
C:\Windows\system32\svchost.exe (ID: 920 |ParentID: 504)
C:\Windows\system32\svchost.exe (ID: 1088 |ParentID: 504)
C:\Windows\system32\svchost.exe (ID: 1232 |ParentID: 504)
C:\Windows\System32\spoolsv.exe (ID: 1392 |ParentID: 504)
C:\Windows\system32\svchost.exe (ID: 1424 |ParentID: 504)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1512 |ParentID: 504)
C:\Program Files\D-Link\DWA-125 revA\ANIWConnService.exe (ID: 1544 |ParentID: 504)
C:\Program Files\RealNetworks\RealDownloaderndlresolversvc.exe (ID: 1636 |ParentID: 504)
C:\Program Files\RelevantKnowledgelservice.exe (ID: 1668 |ParentID: 504)
C:\Users\hakim\AppData\Roaming\BaseFlash\protect\ProtectExtension.exe (ID: 1800 |ParentID: 504)
C:\Windows\system32	askhost.exe (ID: 1916 |ParentID: 504)
C:\Windows\system32\Dwm.exe (ID: 1956 |ParentID: 872)
C:\Windows\Explorer.EXE (ID: 2044 |ParentID: 1944)
C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe (ID: 376 |ParentID: 1968)
C:\Windows\system32\CNAB4RPK.EXE (ID: 1620 |ParentID: 1392)
C:\Windows\System32\igfxtray.exe (ID: 316 |ParentID: 2044)
C:\Windows\System32\hkcmd.exe (ID: 828 |ParentID: 2044)
C:\Windows\System32\igfxpers.exe (ID: 732 |ParentID: 2044)
C:\Windows\system32\igfxsrvc.exe (ID: 1444 |ParentID: 668)
C:\Program Files\D-Link\DWA-125 revA\AirNCFG.exe (ID: 1176 |ParentID: 2044)
C:\Program Files\Real\RealPlayer\Updateealsched.exe (ID: 1836 |ParentID: 2044)
C:\Program Files\Salaat Time\SalaatTime.exe (ID: 1828 |ParentID: 2044)
C:\Program Files\Skype\Phone\Skype.exe (ID: 1932 |ParentID: 2044)
C:\Program Files\Windows Sidebar\sidebar.exe (ID: 2052 |ParentID: 2044)
C:\Windows\System32\StikyNot.exe (ID: 2060 |ParentID: 2044)
C:\Program Files\Optimizer Pro\OptProReminder.exe (ID: 2092 |ParentID: 312)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Little transparency.exe (ID: 2256 |ParentID: 2044)
C:\Program Files\RocketDock\RocketDock.exe (ID: 2268 |ParentID: 2044)
C:\Windows\System32\WScript.exe (ID: 2440 |ParentID: 2044)
C:\Windows\system32\svchost.exe (ID: 2676 |ParentID: 504)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2728 |ParentID: 504)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2872 |ParentID: 2728)
C:\Windows\system32\svchost.exe (ID: 3152 |ParentID: 504)
C:\Windows\system32\SearchIndexer.exe (ID: 3380 |ParentID: 504)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3556 |ParentID: 668)
C:\Windows\system32\svchost.exe (ID: 3752 |ParentID: 504)
C:\Windows\System32\WUDFHost.exe (ID: 4084 |ParentID: 872)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 1228 |ParentID: 504)
C:\Program Files\RelevantKnowledgelvknlg.exe (ID: 3908 |ParentID: 1668)
C:\Windows\system32\wbem\unsecapp.exe (ID: 2288 |ParentID: 668)
C:\PROGRA~1\RELEVA~1lvknlg32.exe (ID: 2396 |ParentID: 3540)
C:\Windows\System32\svchost.exe (ID: 4668 |ParentID: 504)
C:\Windows\System32\svchost.exe (ID: 5872 |ParentID: 504)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 4892 |ParentID: 1724)
C:\Program Files\Opera\18.0.1284.68\opera_crashreporter.exe (ID: 3976 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 2628 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 636 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 1220 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 1132 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 2548 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 5096 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 5640 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 5488 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 6036 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 6040 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 4080 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 5860 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 5316 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 5008 |ParentID: 4892)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 2296 |ParentID: 4892)
C:\Windows\system32	askeng.exe (ID: 392 |ParentID: 920)
C:\Windows\system32undll32.exe (ID: 5864 |ParentID: 504)
c:\programdata\hostit\ws-booster\WS-Booster.exe (ID: 4864 |ParentID: 392)
C:\Program Files\Opera\18.0.1284.68\opera.exe (ID: 956 |ParentID: 4892)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 6480 |ParentID: 668)
C:\Windows\system32\SearchProtocolHost.exe (ID: 7276 |ParentID: 3380)
C:\Windows\system32\SearchFilterHost.exe (ID: 3692 |ParentID: 3380)
C:\Windows\System32\svchost.exe (ID: 4696 |ParentID: 504)

################## | Regedit Run |

04 - HKCU\..\Run : [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
04 - HKCU\..\Run : [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
04 - HKCU\..\Run : [Optimizer Pro] C:\Program Files\Optimizer Pro\OptProLauncher.exe
04 - HKCU\..\Run : [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 - HKCU\..\Run : [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
04 - HKCU\..\Run : [NextLive] C:\Windows\system32undll32.exe "C:\Users\hakim\AppData\Roaming
ewnext.me
engine.dll",EntryPoint -m l
04 - HKCU\..\RunOnce : [Del1457735] cmd.exe /Q /D /c del "C:\Users\hakim\AppData\Local\Temp\0.del"
04 - HKLM\..\Run : [IgfxTray] C:\Windows\system32\igfxtray.exe
04 - HKLM\..\Run : [HotKeysCmds] C:\Windows\system32\hkcmd.exe
04 - HKLM\..\Run : [Persistence] C:\Windows\system32\igfxpers.exe
04 - HKLM\..\Run : [D-Link D-Link DWA-125] C:\Program Files\D-Link\DWA-125 revA\AirNCFG.exe
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [TkBellExe] "C:\Program Files\Real\RealPlayer\updateealsched.exe"  -osboot
04 - HKLM\..\Run : [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe
04 - HKLM\..\RunOnce : [Del1457735] cmd.exe /Q /D /c del "C:\Users\hakim\AppData\Local\Temp\0.del"
04 - HKLM\..\RunOnce : [] 
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\Run : [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\Run : [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\Run : [Optimizer Pro] C:\Program Files\Optimizer Pro\OptProLauncher.exe
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\Run : [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\Run : [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\Run : [NextLive] C:\Windows\system32undll32.exe "C:\Users\hakim\AppData\Roaming
ewnext.me
engine.dll",EntryPoint -m l
04 - HKU\S-1-5-18\..\Run : [Welcome Center] C:\Windows\system32undll32.exe C:\Windows\system32\OobeFldr.dll,ShowWelcomeCenter LaunchedBy_StartMenuShortcut
04 - HKU\S-1-5-18\..\Run : [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\..\RunOnce : [Del1457735] cmd.exe /Q /D /c del "C:\Users\hakim\AppData\Local\Temp\0.del"

################## | Recherche générique |

Présent! C:\Users\hakim\AppData\Roaming\IDM.vbs
Présent! C:\Users\hakim\AppData\Roaming\165B.exe
Présent! C:\Users\hakim\AppData\Roaming\3077.exe
Présent! C:\Users\hakim\AppData\Roaming\808A.exe
Présent! F:\IDM.vbs
Présent! F:\Virus Shortcut Remover v2.1(Beta).lnk
Présent! C:\Users\hakim\AppData\Roaming\165B.tmp
Présent! C:\Users\hakim\AppData\Roaming\3077.tmp
Présent! C:\Users\hakim\AppData\Roaming\71C2.tmp
Présent! C:\Users\hakim\AppData\Roaming\71C3.tmp
Présent! C:\Users\hakim\AppData\Roaming\808A.tmp
Présent! C:\Users\hakim\AppData\Roaming\9D93.tmp
Présent! C:\Users\hakim\AppData\Roaming\9DA3.tmp
Présent! C:\Users\hakim\AppData\Roaming
ewnext.me
Présent! C:\Users\hakim\AppData\Local\Temp	emp
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Film\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Games\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Images\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Jeux\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Music\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\PES2014\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Programs\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Torrent\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Video\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\Video Porno\Setup.vbs
Présent! C:\Users\hakim\AppData\Local\Temp	emp\XNXX\Setup.vbs
Présent! C:\Users\hakim\AppData\Roaming\F2A5.exe

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|EnableLUA -> 0
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|ConsentPromptBehaviorAdmin -> 0
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|ConsentPromptBehaviorUser -> 0
Présent! HKU\S-1-5-21-1474826334-4231190606-2544766509-1000\Software\Microsoft\Windows\CurrentVersion\Run|NextLive
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|NextLive

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |

Malekal_morte- · Answer

fais suppression sur USBFix puis :




Un nettoyage AdwCleaner (environ 10/15min) : 
======================================
Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau. 
Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner]. 
Le scan peux durer plusieurs minutes, patienter. 
Une fois le scan terminé, clique sur [Nettoyer] 

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Virus clé USB - dossiers/fichiers transformés en raccourcis.

3 réponses

Discussions similaires