Contenu Cle USB introuvable [Résolu/Fermé]

Signaler
Messages postés
63
Date d'inscription
lundi 31 août 2015
Statut
Membre
Dernière intervention
17 octobre 2020
-
Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
-
Bonjour/bonsoir
Alors voilà, j'ai connecté mon USB a mon Pc, je lance une analyse, il y trouve un cheval de Troie, le supprime.
J'ouvre l'un et je n'y trouve rien à part l'icône d'un raccourci vers un disque amovible...
Je sais que j'ai des fichiers dedans, et pourtant, aucune trace.
Une solution ?

5 réponses

Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 652
Salut,


Branche toutes tes clefs USB et autres périphériques amovibles.
Télécharge Remediate VBS Worm : https://forum.malekal.com/viewtopic.php?t=48588&start=
Lance l'option A (Appuye A et entrée).
Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.

Ensuite :
Lance l'option B.
Tape la lettre de la clef USB, par exemple, E et entrée - NE PAS INDIQUER LE LECTEUR DE TON DISQUE.
Cela va nettoyer la clef USB.
De même, Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.


Messages postés
63
Date d'inscription
lundi 31 août 2015
Statut
Membre
Dernière intervention
17 octobre 2020

Rem-VBSworm v4.0
======================================================== - General info:
Ran by Dant on profile C:\Users\Dant
Ran on DANY-GENESYS
IPv4: 192.168.1.10

Microsoft Windowsÿ7 dition Familiale Basique

Normal boot


27/09/2015
21:03:20,70
======================================================== - Drive info:
Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local SYSTEME

D: Disque fixe local DATA

E: Disque CD-ROM

F: Disque fixe local R'serv' au systSme

G: Disque amovible UDISK




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS
F: \Device\HarddiskVolume1 NTFS
G: \Device\HarddiskVolume6 FAT
======================================================== - Disinfection info:
Cleaning all TEMP files...
Disabling Autorun...
Temporarily disabling the WSH...
Windows Script Host disabled!
Fixing system/user policies and registry hijacks...
Killing, hijacking and deleting malicious processes and files...:
Adding image hijacks...
Deleting malicious Run keys...
Killing malicious processes...

Informationÿ: aucune tfche en service ne correspond aux critSres sp'cifi's.

Informationÿ: aucune tfche en service ne correspond aux critSres sp'cifi's.
Deleting malicious files...
Windows Script Host re-enabled!

Done cleaning up infection!
========================================================
Messages postés
63
Date d'inscription
lundi 31 août 2015
Statut
Membre
Dernière intervention
17 octobre 2020

La première étape a fonctionné, et l'usb s'est relancé et tout mes fichiers sont la, mais la deuxième étape (option B) ne donne rien, ca m'indique 'IMPOSSIBLE DE TROUVER (le nom du disque en question)
Ca suffit quand même l'option A ?
Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 652
ok,

on va vérifier l'ordinateur :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 652
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-2484430617-759827073-1744502803-1000\...\Run: [iLivid] => C:\Users\Dant\AppData\Local\iLivid\iLivid.exe [7913472 2014-05-25] (Bandoo Media Inc.)
Startup: C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk [2015-05-25]
Startup: C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk [2014-10-09]
Startup: C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk [2015-05-25]
Task: {354B4341-5184-4139-B1CC-3FD22D8E3340} - System32\Tasks\LaunchApp => C:\Program Files\MyPC Backup\MyPC Backup.exe <==== ATTENTION
Task: {E0A15426-C3DC-4F8F-B228-364DD6A1769B} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe <==== ATTENTION
C:\Users\Dant\AppData\Local\iLivid

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


Messages postés
63
Date d'inscription
lundi 31 août 2015
Statut
Membre
Dernière intervention
17 octobre 2020

La réinitialisation des navigateurs est obligatoire ?

--
Messages postés
63
Date d'inscription
lundi 31 août 2015
Statut
Membre
Dernière intervention
17 octobre 2020

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:27-09-2015 01
Exécuté par Dant (2015-09-27 21:26:43) Run:1
Exécuté depuis C:\Users\Dant\Desktop
Profils chargés: Dant (Profils disponibles: Dant)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

HKU\S-1-5-21-2484430617-759827073-1744502803-1000\...\Run: [iLivid] => C:\Users\Dant\AppData\Local\iLivid\iLivid.exe [7913472 2014-05-25] (Bandoo Media Inc.)
Startup: C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk [2015-05-25]
Startup: C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk [2014-10-09]
Startup: C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk [2015-05-25]
Task: {354B4341-5184-4139-B1CC-3FD22D8E3340} - System32\Tasks\LaunchApp => C:\Program Files\MyPC Backup\MyPC Backup.exe <==== ATTENTION
Task: {E0A15426-C3DC-4F8F-B228-364DD6A1769B} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe <==== ATTENTION
C:\Users\Dant\AppData\Local\iLivid


HKU\S-1-5-21-2484430617-759827073-1744502803-1000\Software\Microsoft\Windows\CurrentVersion\Run\\iLivid => valeur impossible à supprimer.
"C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk" => Impossible de déplacer.
"C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk" => Impossible de déplacer.
"C:\Users\Dant\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk" => Impossible de déplacer.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{354B4341-5184-4139-B1CC-3FD22D8E3340} => clé impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{354B4341-5184-4139-B1CC-3FD22D8E3340} => clé impossible à supprimer. Accès refusé.
C:\Windows\System32\Tasks\LaunchApp => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LaunchApp => clé impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0A15426-C3DC-4F8F-B228-364DD6A1769B} => clé impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0A15426-C3DC-4F8F-B228-364DD6A1769B} => clé impossible à supprimer. Accès refusé.
C:\Windows\System32\Tasks\LaunchSignup => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LaunchSignup => clé impossible à supprimer. Accès refusé.
C:\Users\Dant\AppData\Local\iLivid => déplacé(es) avec succès

Fin de Fixlog 21:26:44

Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 652
voila je pense que l'on a terminé =)
Messages postés
63
Date d'inscription
lundi 31 août 2015
Statut
Membre
Dernière intervention
17 octobre 2020

Merci merci mercii :D

--
Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 652
de rien =)


Eventuellement, il est fortement conseillé de désactiver les scripts VBS / WSH, comme expliqué sur le dossier : Malware VBS/WSH/Windows Script Host

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html