Supports amovibles infectés,

Question

Bonjour, 

J'ai eu recourt à " USBfix " qui m'a trouvé plusieurs infections : or j'ai pu lire sur ce site même que : "En cas d'infection, il est vivement recommandé de demander de l'aide auprès des personnes expérimentées sur le forum Virus / Sécurité", 
=> Mais pourquoi ? Quels sont les risques (perte de documents ?)

Config : Win8 x64
Supports amovibles concernés : 
- 2 clés USB
- 1 DDE (qui était sur un ancien PC plein de virus)

Merci d'avance pour votre aide et vos explications, je voudrais être sûr de ne pas supprimer des trucs importants sur mon DDE.

lilidurhone · Answer

@Hedge 

Zéro pointé 

@ Nico

Poste le rapport d'Usbfix

Nico · Answer

Zéro pointé ? 

Merci de ton aide, voici le rapport : 

############################## | UsbFix V 7.167 | [Recherche]

Utilisateur: Nicolas (Administrateur) # NICOLAS
Mis à jour le 13/03/2014 par El Desaparecido - Team SosVirus
Lancé à 21:34:52 | 18/03/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: ASUSTeK COMPUTER INC. (N76VB)
CPU: Intel(R) Core(TM) i5-3230M CPU @ 2.60GHz
RAM -> [Total : 6030 Mo| Free : 3931 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 8.1 (6.3.9600 64-Bit) 
WB: Windows Internet Explorer : 11.0.9600.16521
WB: Google Chrome : 33.0.1750.154
WB: Mozilla Firefox : 27.0.1

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: Windows Defender [(!) Disabled | Updated]
AV: avast! Antivirus [Enabled | Updated]
AS: Windows Defender [(!) Disabled | Updated]
AS: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall [Enabled]
AS: Malwarebytes' Anti-Malware : 1.75.0001

C:\ (%systemdrive%) -> Disque fixe # 279 Go (232 Go libre(s) - 83%) [OS] # NTFS
D:\ -> Disque fixe # 398 Go (397 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 466 Go (105 Go libre(s) - 23%) [My Book] # FAT32
G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 97%) [CLIP-IT] # FAT32
H:\ -> CD-ROM
I:\ -> Disque amovible # 2 Go (1 Go libre(s) - 59%) [USB DISK] # FAT32

################## | Processus Actif |

C:\WINDOWS\system32\wininit.exe (ID: 724 |ParentID: 636)
C:\WINDOWS\system32\winlogon.exe (ID: 788 |ParentID: 736)
C:\WINDOWS\system32\lsass.exe (ID: 840 |ParentID: 724)
C:\WINDOWS\system32\svchost.exe (ID: 912 |ParentID: 832)
C:\WINDOWS\system32\svchost.exe (ID: 952 |ParentID: 832)
C:\WINDOWS\system32
vvsvc.exe (ID: 344 |ParentID: 832)
C:\WINDOWS\system32\dwm.exe (ID: 444 |ParentID: 788)
C:\Program Files\NVIDIA Corporation\Display
vxdsync.exe (ID: 660 |ParentID: 344)
C:\WINDOWS\system32
vvsvc.exe (ID: 640 |ParentID: 344)
C:\WINDOWS\System32\svchost.exe (ID: 480 |ParentID: 832)
C:\WINDOWS\system32\svchost.exe (ID: 980 |ParentID: 832)
C:\WINDOWS\system32\svchost.exe (ID: 1096 |ParentID: 832)
C:\WINDOWS\System32\svchost.exe (ID: 1144 |ParentID: 832)
C:\WINDOWS\system32\svchost.exe (ID: 1276 |ParentID: 832)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe (ID: 1384 |ParentID: 832)
C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe (ID: 1444 |ParentID: 832)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1464 |ParentID: 832)
C:\WINDOWS\System32\spoolsv.exe (ID: 1616 |ParentID: 832)
C:\WINDOWS\system32\svchost.exe (ID: 1708 |ParentID: 832)
C:\WINDOWS\system32\svchost.exe (ID: 1728 |ParentID: 832)
C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE (ID: 1116 |ParentID: 832)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1172 |ParentID: 832)
C:\WINDOWS\Explorer.EXE (ID: 1960 |ParentID: 1756)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe (ID: 1896 |ParentID: 1384)
C:\WINDOWS\system32	askhostex.exe (ID: 1904 |ParentID: 980)
C:\Program Files\ASUS\P4G\BatteryLife.exe (ID: 2168 |ParentID: 980)
C:\Program Files (x86)\ASUS\Splendid\ACMON.exe (ID: 2192 |ParentID: 980)
C:\Program Files (x86)\ASUS\Splendid\ColorUService.exe (ID: 2200 |ParentID: 980)
C:\Program Files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe (ID: 2212 |ParentID: 980)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 2248 |ParentID: 832)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe (ID: 2272 |ParentID: 1896)
C:\Program Files\ASUS\P4G\InsOnSrv.exe (ID: 2312 |ParentID: 832)
C:\Program Files\ASUS\P4G\InsOnWMI.exe (ID: 2344 |ParentID: 2312)
C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSWinService.exe (ID: 2472 |ParentID: 832)
C:\Program Files (x86)\Bluetooth Suite\adminservice.exe (ID: 2732 |ParentID: 832)
C:\WINDOWS\system32\dashost.exe (ID: 2800 |ParentID: 1144)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 2828 |ParentID: 832)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 2860 |ParentID: 832)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (ID: 2932 |ParentID: 832)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (ID: 2952 |ParentID: 832)
C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe (ID: 3028 |ParentID: 832)
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (ID: 248 |ParentID: 2952)
C:\WINDOWS\system32\svchost.exe (ID: 2756 |ParentID: 832)
C:\Program Files\NVIDIA Corporation\Display
vtray.exe (ID: 1080 |ParentID: 660)
C:\Program Files (x86)\sysTPL\sysTPLMonitor.exe (ID: 1496 |ParentID: 832)
C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe (ID: 3344 |ParentID: 832)
C:\WINDOWS\system32\wbem\wmiprvse.exe (ID: 3640 |ParentID: 912)
C:\WINDOWS\system32\wbem\wmiprvse.exe (ID: 3648 |ParentID: 912)
C:\WINDOWS\system32\SearchIndexer.exe (ID: 3724 |ParentID: 832)
C:\Windows\System32\WUDFHost.exe (ID: 4020 |ParentID: 1144)
C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe (ID: 4104 |ParentID: 2224)
C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe (ID: 4180 |ParentID: 2232)
C:\Windows\System32\skydrive.exe (ID: 4320 |ParentID: 912)
C:\Windows\System32\SettingSyncHost.exe (ID: 4376 |ParentID: 912)
C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe (ID: 4680 |ParentID: 1960)
C:\Program Files (x86)\Bluetooth Suite\ActivateDesktop.exe (ID: 4724 |ParentID: 4680)
C:\Windows\System32\igfxtray.exe (ID: 4804 |ParentID: 1960)
C:\WINDOWS\system32\igfxsrvc.exe (ID: 4832 |ParentID: 912)
C:\Windows\System32\hkcmd.exe (ID: 4908 |ParentID: 1960)
C:\Windows\system32\igfxpers.exe (ID: 4932 |ParentID: 4772)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 5108 |ParentID: 1960)
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (ID: 1528 |ParentID: 1960)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLoader.exe (ID: 3116 |ParentID: 2148)
C:\Users\Nicolas\AppData\Local\Google\Update\GoogleUpdate.exe (ID: 4416 |ParentID: 1960)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x64\QuickGesture64.exe (ID: 3380 |ParentID: 3116)
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (ID: 2628 |ParentID: 1960)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (ID: 4976 |ParentID: 2588)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe (ID: 5020 |ParentID: 3116)
C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe (ID: 5096 |ParentID: 2588)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 2396 |ParentID: 2588)
C:\Program Files (x86)\sysTPL\sysTPL.exe (ID: 4428 |ParentID: 2588)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 4796 |ParentID: 2588)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPCenter.exe (ID: 5268 |ParentID: 3116)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPHelper.exe (ID: 6012 |ParentID: 5268)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe (ID: 1512 |ParentID: 832)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 5404 |ParentID: 832)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 5996 |ParentID: 832)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 3388 |ParentID: 832)
C:\WINDOWS\system32\DllHost.exe (ID: 5452 |ParentID: 912)
C:\WINDOWS\system32\svchost.exe (ID: 3216 |ParentID: 832)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 5760 |ParentID: 1960)
C:\Program Files (x86)\sysTPL\sysTPLService.exe (ID: 3712 |ParentID: 832)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (ID: 1404 |ParentID: 5760)
C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_77.exe (ID: 2072 |ParentID: 1404)
C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_77.exe (ID: 2768 |ParentID: 2072)
C:\Program Files (x86)\Internet Explorer\IELowutil.exe (ID: 5924 |ParentID: 5536)
C:\WINDOWS\system32	askhost.exe (ID: 5228 |ParentID: 980)
C:\WINDOWS\system32\SearchProtocolHost.exe (ID: 1488 |ParentID: 3724)
C:\WINDOWS\system32\SearchFilterHost.exe (ID: 1164 |ParentID: 3724)

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [64bit] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe,
F2 - [64bit] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Google Update] "C:\Users\Nicolas\AppData\Local\Google\Update\GoogleUpdate.exe" /c
04 - HKCU\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKCU\..\Run : [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
04 - HKLM\..\Run : [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [ASUSPRP] "C:\Program Files (x86)\ASUS\APRP\APRP.EXE"
04 - HKLM\..\Run : [ASUSWebStorage] C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSPanel.exe /S
04 - HKLM\..\Run : [ASUS InstantKey] C:\Program Files (x86)\ASUS\ASUS Instant Key\Ikey_start.exe
04 - HKLM\..\Run : [RemoteControl10] "C:\Program Files (x86)\Cyberlink\PowerDVD10\PDVD10Serv.exe"
04 - HKLM\..\Run : [UpdatePSTShortCut] "C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Cyberlink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [sysTPL] C:\Program Files (x86)\sysTPL\sysTPL.exe
04 - HKLM\..\Run : [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\..\Run : [tuto4pc_fr_63] 
04 - HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\..\Policies\Explorerun : [BtvStack] "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe"
04 - [64bit] HKLM\..\Run : [IgfxTray] "C:\WINDOWS\system32\igfxtray.exe"
04 - [64bit] HKLM\..\Run : [HotKeysCmds] "C:\WINDOWS\system32\hkcmd.exe"
04 - [64bit] HKLM\..\Run : [Persistence] "C:\WINDOWS\system32\igfxpers.exe"
04 - [64bit] HKLM\..\Run : [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - [64bit] HKLM\..\Run : [RtHDVBg] C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe /MAXX3 
04 - [64bit] HKLM\..\Policies\Explorerun : [BtvStack] "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe"
04 - HKU\S-1-5-21-1896288523-41710596-1912718271-1002\..\Run : [Google Update] "C:\Users\Nicolas\AppData\Local\Google\Update\GoogleUpdate.exe" /c
04 - HKU\S-1-5-21-1896288523-41710596-1912718271-1002\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-1896288523-41710596-1912718271-1002\..\Run : [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

################## | Recherche générique |

Présent! C:\ProgramData\SetStretch.VBS
Présent! I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
Présent! I:\ZDRAVOOO
Présent! C:\Users\All Users\SetStretch.VBS

################## | Registre |


################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |





PS : Je ne comprends pas trop ce rapport (ce qu'il y a d'infecté ?), mais c'est au cours de l'analyse qu'il y avait marqué "éléments infectés : 1 puis 2..." jusqu'à 7 je crois

PS2 : Je veux connaitre ce qui est infecté avant de cliquer sur "suppression", car j'ai vu que ça pouvait supprimer beaucoup de choses telles que des photos/vidéos, comme vu sur ce rapport après suppression :
http://forums.cnetfrance.fr/topic/192629-besoin-daide-pour-interpretation-rapport-usbfix/

PS3 : Analyse de USBfix sans aucun disques amovibles : 3 éléments infectés... WTF ?! A quoi sert exactement USBfix ?

lilidurhone · Answer

Fais suppression

lilidurhone · Answer

Hello 

Zéro pointé car il voulait te faire formater ta clé

Ce sont des fichiers infectés tu peux faire suppression

Ensuite désinstalles SysTpl (responsable d'un proxy) et superantispyware(inefficace)

¡El Desaparecido! · Answer

Hello , 

 PS2 : Je veux connaitre ce qui est infecté avant de cliquer sur "suppression", car j'ai vu que ça pouvait supprimer beaucoup de choses telles que des photos/vidéos, comme vu sur ce rapport après suppression : 
https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/321937-besoin-d-aide-pour-interpretation-rapport-usbfix 
 

Je suppose que tu parles de cette détection : 

Présent! F:\MUSIQUE.lnk
Présent! F:\clip karaoké.lnk
Présent! F:\PHOTO.lnk
Présent! F:\photo et vidéo TOGO.lnk

C'est infectieux, ce ne sont pas des photos ou le dossier musique par exemple mais des raccourcis infectés (.lnk) 

L'utilisateur lance ce raccourcis : F:\PHOTO.lnk en croyant ce c'est une photo justement , mais au final ça lance le malware qui a installé ce raccourcis puis la photo. 

Comprendre : http://www.sosvirus.net/infection-dinihou-vous-explique-son-fonctionnement-t4852.html

Nico · Answer

D'accord, merci à tous !

lilidurhone · Answer

Ps pas résolu :(

https://forums.commentcamarche.net/forum/affich-29901558-supports-amovibles-infectes#5

Supports amovibles infectés,

7 réponses

Votre réponse

Discussions similaires

Newsletters