HELP !!! Clé USB infecté par LNK/Autorun... [Résolu/Fermé]

Signaler
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015
-
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015
-
Bonjour,

Je suis allée faire scanner des documents chez un buraliste et j'ai récupérer les scans sur ma clé USB... Sauf que quand j'ai voulu ouvrir ma clé tous mes documents ont été transformés en raccourcis impossible à ouvrir et mon anti-virus AVG détecte sur chaque document un virus : LNK / Autorun...
Je suis une bille en informatique et je n'ose plus rien faire de peur de perdre mes documents très importants...
Est ce que quelqu'un pourrait m'aider svp ?
Merci

5 réponses

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
Salut,

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

Comprendre les infections par disques amovibles : https://forum.malekal.com/viewtopic.php?t=3350&start=

Il te faut maintenant nettoyer tes clefs USB/disques dur externes
Suis bien le tutorial dans l'ordre : insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.


Branche toutes tes clefs USB et autres périphériques amovibles.
Télécharge Remediate VBS Worm : https://forum.malekal.com/viewtopic.php?t=48588&start=
Lance l'option A (Appuye A et entrée).
Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.

Ensuite :
Relance le programme, Lance l'option B.
Tape la lettre de la clef USB, par exemple, E et entrée - NE PAS INDIQUER LE LECTEUR DE TON DISQUE.
Cela va nettoyer la clef USB.
De màªme, Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.


Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Voici l'adresse du rapport que j'ai copier/coller sur le lien.... https://pjjoint.malekal.com/files.php?read=20150715_o8x667n5
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Et voici le deuxième rapport que j'ai obtenu après avoir fini toutes les étapes du tuto...
https://pjjoint.malekal.com/files.php?read=20150715_y10z1014z12z13
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

J'ai récupérer tous mes documents !!!! Merci beaucoup vraiment !!!!
Juste d'autres documents sont apparus sur ma clé usb :
.fseventsd
.Spotlight-V100
.Trashes
System Volume Information
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Je vois que ma clé est désinfecté, mais est ce que mon ordinateur l'est aussi ?

Autre question :
Mon ordinateur devient depuis quelque temps tout noir pendant que je l'utilise et se remet a fonctionner normalement.... Il s'éteint des fois tout seul, il est extrêmement lent, beug beaucoup quoi.... Il n'est plus sous garantie depuis 1 an (il a 4 ans), la batterie est morte donc il ne fonctionne qu'en étant branché... Est ce qu'il y a quelque chose à faire ?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
regarde la procédure donnée ci-dessous.
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
ok fais l'option B
en indiquant H comme lecteur.

ensuite :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
Tu as quelques adwares semble-t-il : Boxore, MySearchDial, Linkey
rien à voir avec LNK/Autorun.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


2014-01-22 00:46 - 2014-01-22 00:46 - 49940480 _____ () C:\Program Files (x86)\GUTE689.tmp
2014-01-30 10:39 - 2014-01-30 10:39 - 0366611 _____ () C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx
2015-07-15 10:41 - 2014-01-30 10:39 - 00000296 _____ C:\Windows\Tasks\MySearchDial.job
2015-07-15 10:34 - 2014-03-15 13:34 - 00000296 _____ C:\Windows\Tasks\SaveSense.job
CHR HKLM\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx [2014-01-30]
CHR HKU\S-1-5-21-576789680-152548768-2072586015-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx [2014-01-30]
CHR HKLM-x32\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx [2014-01-30]
CHR Extension: (Boxore) - C:\Users\Elodie\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba [2015-04-23]
AppInit_DLLs: C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll => C:\Program Files (x86)\Linkey\IEExtension\iedll64.dll [210960 2014-04-08] (Aztec Media Inc)
AppInit_DLLs-x32: C:\PROGRA~2\Linkey\IEEXTE~1\iedll.dll => C:\Program Files (x86)\Linkey\IEExtension\iedll.dll [182800 2014-04-08] (Aztec Media Inc)
C:\Program Files (x86)\Linkey

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.F
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

D'accord merci de la procédure, je vais le faire....
Juste une question : en quoi les logiciels publicitaires sont mauvais pour mon ordi ?
Si je n'ai plus de LNK / Autorun, ca veut dire que seule ma clé était infectée ? Elle n'a pas infectée mon ordinateur donc ?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Voilà le fichier texte qui est apparu à la fin de la procédure....

Fix result of Farbar Recovery Scan Tool (x64) Version:13-07-2015
Ran by Elodie at 2015-07-15 11:45:16 Run:1
Running from C:\Users\Elodie\Desktop
Loaded Profiles: Elodie (Available Profiles: Elodie)
Boot Mode: Normal
==============================================

fixlist content:

2014-01-22 00:46 - 2014-01-22 00:46 - 49940480 _____ () C:\Program Files (x86)\GUTE689.tmp
2014-01-30 10:39 - 2014-01-30 10:39 - 0366611 _____ () C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx
2015-07-15 10:41 - 2014-01-30 10:39 - 00000296 _____ C:\Windows\Tasks\MySearchDial.job
2015-07-15 10:34 - 2014-03-15 13:34 - 00000296 _____ C:\Windows\Tasks\SaveSense.job
CHR HKLM\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx [2014-01-30]
CHR HKU\S-1-5-21-576789680-152548768-2072586015-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx [2014-01-30]
CHR HKLM-x32\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx [2014-01-30]
CHR Extension: (Boxore) - C:\Users\Elodie\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba [2015-04-23]
AppInit_DLLs: C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll => C:\Program Files (x86)\Linkey\IEExtension\iedll64.dll [210960 2014-04-08] (Aztec Media Inc)
AppInit_DLLs-x32: C:\PROGRA~2\Linkey\IEEXTE~1\iedll.dll => C:\Program Files (x86)\Linkey\IEExtension\iedll.dll [182800 2014-04-08] (Aztec Media Inc)
C:\Program Files (x86)\Linkey


C:\Program Files (x86)\GUTE689.tmp => moved successfully.
C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx => moved successfully.
C:\Windows\Tasks\MySearchDial.job => moved successfully.
C:\Windows\Tasks\SaveSense.job => moved successfully.
"HKLM\SOFTWARE\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff" => key removed successfully
"C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx" => File/Folder not found.
"HKU\S-1-5-21-576789680-152548768-2072586015-1001\SOFTWARE\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff" => key removed successfully
"C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx" => File/Folder not found.
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff" => key removed successfully
"C:\Users\Elodie\AppData\Local\mysearchdial-speeddial.crx" => File/Folder not found.
C:\Users\Elodie\AppData\Local\Google\Chrome\User Data\Default\Extensions\engaigpbgdjjmanonjcjkcmomgibneba => moved successfully.
"C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll" => value data removed successfully.
"C:\PROGRA~2\Linkey\IEEXTE~1\iedll.dll" => value data removed successfully.
C:\Program Files (x86)\Linkey => moved successfully.

End of Fixlog 11:45:17

Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
=)

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

il fortement conseillé de désactiver les scripts VBS / WSH, comme expliqué sur le dossier : Malware VBS/WSH

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Merci beaucoup....

Pour les autres conseils afin de sécurisé mon ordinateur, j'ai désactivé les scripts VBS / WSH comme expliquer. Je voudrais poursuivre la procédure recommandée et télécharger AnalogX Script Defender mais lorsque je le télécharge à l'aide du lien donné : https://telecharger.malekal.com/download/analogx-script-defender/
J'ai une page bloc-note qui s'ouvre avec :

"Sorry! Download is not available yet."

???
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
Je vais corriger cela.

VBS Remediate epermet de désactiver les VBS/WSH.

C'est l'option D.
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

J'ai lu le programme mais je ne trouve pas comment activer les détections LPIs ?
Messages postés
180117
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 octobre 2020
22 280
Ca c'est sur ton antivirus.
Messages postés
14
Date d'inscription
mercredi 15 juillet 2015
Statut
Membre
Dernière intervention
15 juillet 2015

Ok merci :)