infection usb WORM/Lodbak.Gen2 Résolu/Fermé

Question

Bonjour,

Je n'arrive pas à faire fonctionner USB Fix avec assistance internet
pour savoir comment nettoyer mon fixe.

J'ai voulu installer ce logiciel sur un fixe fonctionnant sous Windows 7
et qui ne peut pas être connecté à internet

Quand j'ai ouvert la clé le logiciel avait disparu 
et je n'ai trouvé qu'un raccourci 
ayant le nom de la clé et son poids.

Quand j'ai lancé le logiciel USB Fix en diagnostic puis en nettoyage sur la clé sale
à partir de mon portable (qui fonctionne sous XP 3) 
celui-ci a restauré (!!!) l'exécutable USBFix qui avait disparu, 
un "pseudo" dossier (icone y ressemblant dépourvue de nom), 
et un certain nombre d'autre fichiers, notamment :
- un fichier desktop.ini ; 
- un indexer volume Guide ;
- et un fichier avec une extension JFU.

A noter par ailleurs que dans l'appareil fixe incriminé,
l'icone des Documents n'est pas normale
et que son contenu aurait "deux localisations".

Est ce que quelqu'un pourrait m'aider SVP...

Malekal_morte- · Answer

Salut,

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).   
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à  leur tour.   

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.   
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à  partir de ces liens :   

Comprendre les infections par disques amovibles : https://forum.malekal.com/viewtopic.php?t=3350&start=  

Il te faut maintenant nettoyer tes clefs USB/disques dur externes
Suis bien le tutorial dans l'ordre : insère tes clefs USB et disque dur externe que tu as pour les nettoyer.   
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.   


Branche toutes tes clefs USB et autres périphériques amovibles.
Télécharge Remediate VBS Worm : https://forum.malekal.com/viewtopic.php?t=48588&start=
Lance l'option A (Appuye A et entrée).
Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.


puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

touvabien · Answer

Bonsoir, 
merci pour la réponse
Le lien vers la première partie de la désinfection est le suivant :
https://pjjoint.malekal.com/files.php?id=20150804_i14w7f14x8g12

Par ailleurs antivir a identifié le virus comme un 
Worm/Lodback.Gen2
avec son raccourci.

touvabien · Answer

Ci dessous les trois liens 

pour FRST.txt

 https://pjjoint.malekal.com/files.php?id=20150804_c6r10p8d5b13

addition.txt

https://pjjoint.malekal.com/files.php?id=20150804_l15h5h7c12z8

et pour

shortcut.txt

https://pjjoint.malekal.com/files.php?id=20150804_u9j14b12i14y12

Malekal_morte- · Answer

Bon RemVBS a un peu fait n'importe quoi...
Vas falloir que tu désinstalles/réinstalles DropBox.

et sur les rapports, il n'y a rien d'anormal.


Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport 
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

touvabien · Answer

Bonjour, 
Merci pour la réponse.

Contente de savoir qu'il n'y a rien.
Fort possible que le résultat ait été modifié parce que j'avais lancé 
entre temps un scan avec antivir qui tournait en même temps que l'outil.
Je vais réinstaller la dropbox.

Je poste le résultat du scan NOD 32 en ligne dès que possible.

touvabien · Answer

pour des raisons de timing,
probablement dans la soirée.

touvabien · Answer

Bonsoir,

Pas moyen de me connecté hier
Ci-dessous le lien du scan en ligne avec Nod 32 réalisé aujourd'hui.

https://pjjoint.malekal.com/files.php?id=20150807_b15h11j11m12x13

J'ai déjà mis en quarantaine les 6 éléments identifiés.
Merci de cotinuer à me guider pour finaliser la désinfection.

touvabien · Answer

Bonjour,

Merci pour la réponse.

Peut-être ai-je oublié de précisé qu'actuellement j'écris de mon portable.

En effet, le fixe fonctionnant sur Windows 7
que j'avais incriminé ne peux pas être connecté à internet.
Il me semblait qu'il était infecté parce que 
lorsque j'avais voulu y installer USBFix 
l'outil avait disparu de la clé avec apparition d'un raccourci.

Quand j'ai formaté cette clé et que j'ai fais tourné USBFix 
a partir de mon portable avec la clé branchée dessus 
j'ai été étonné de voir que les éléments suspects avaient réapparu. 

J'ai donc reformaté la clé , renvoyé l'outil USBFix vers elle, 
l'ai rebranchée sur le fixe et là de nouveau 
disparition de l'outil et apparition d'un raccourci portant le nom de la clé
a l'intérieur de celle-ci.

J'ai refermé la clé, l'ai renommée "don't open" 
car je souhaitait faire tourner USB Fix en ligne dès que j'aurais une connection mais pas moyen, l'outil n'a pas pu démarré avec les éléments dedans, d'où ma demande d'aide sur le forum de CCM.

En attendant la réponse j'ai lancé Antivir qui a identifié 
et mis en quarantaine un ver et son raccourci (dans la clé).
Après quoi, il a été possible de fair tourner USBFix 
mais pas en ligne et de nouveau des éléments anormaux ont été restaurés.

Ci dessous  les liens vers les rapports successifs de Antivir (sur le portable)

https://pjjoint.malekal.com/files.php?id=20150807_t10t9o11v9b12
https://pjjoint.malekal.com/files.php?id=20150807_l5b7w10d8c6

et de USBFIx (clean) (à partir du portable, la clé étant branchée)

https://pjjoint.malekal.com/files.php?id=20150807_x10v10v10l8q13

Depuis que le ver a été supprimé de la clé par Antivir
je l'ai rebranchée sur le fixe 
et cette fois pas de problème pour y faire tourner USBFix ni pour
installer d'autres logiciels, 
et cet appareil parait avoir été suspecté à tort.

Si mon portable n'est pas non plus infecté
il apparait que seule l'a clé l'a été.

Cela étant l'infection de cette clé vient forcement d'autre part. 
Le fait est qu'elle a été utilisée (par un tiers) sur un autre fixe
fonctionnant sur Windows XP et qui n'a pas non plus de connection internet. 
 
Est-ce que tu pourrais me suivre également pour cet autre appareil ?
Si oui, est ce que je dois ouvrir un autre post ?

D'ores et déjà un grand merci pour l'aide apportée.

@+

Malekal_morte- · Answer

D:\ \
D:\ \lesatzjnmwsvcepkfllivyimzarwwz.cjq
  [RESULTAT]  Contient le modèle de détection du ver WORM/Lodbak.Gen2

yep c'est suspicieux mais bon, Antivir ne détecte rien, NOD32 est correct.

Donc il ne semble pas actif sur les PC.

touvabien · Answer

ok merci, je vais le faire

touvabien · Answer

PS : 

Je voudrais te signaler au passage que
Je viens de constater que ma boite yahoo à partir de laquelle 
je n'arrivais plus à faire d'upload depuis plusieurs semaines
(ce qui m'obligeais à passer par l'oulook d'une boite hotmail)
fonctionne à nouveau parfaitement.

Je ne sais pas trop si c'est lié au fait que j'ai du réinstaller la Dropbox
en tout cas merci.
Bon WE à toi aussi.

Infection usb WORM/Lodbak.Gen2

11 réponses

Discussions similaires