Clé USB infectée par des raccourcis

Résolu
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour, je reviens sur le sujet déjà développé sur le forum concernant l'apparition de raccourcis présents sur les clés USB - j'ai effectué les recherches avec rem-vbsworm; virus effect remover et enfin usbfix dont voici le résultat de la recherche ; le problème persiste sur toutes les clés que j'insère sur mon ordi; j'ai scanné méthodiquement le système avec avast et mis en quarantaine la totalité des trouvailles.. je vous joints le rapport de usbfix que je viens d'utiliser encore à l'instant; je souhaiterais avoir votre avis sur le problème et trouver avec vous la solution. je vous remercie d'avance..


############################## | UsbFix V6.100 |

User : Alain (Administrateurs) # CADET74
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:39:47 | 14/01/2016
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-bit) # Service Pack 1
Internet Explorer 9.11.9600.17843
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 451,07 Go (124,09 Go free) [Disque dur] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 124,47 Mo (111,23 Mo free) # FAT
F:\ -> Disque amovible # 7,53 Go (7,36 Go free) # NTFS
G:\ -> Disque CD-ROM # 702,31 Mo (0 Mo free) [scrabble2009] # UDF

################## | Elements infectieux |

C:\Windows\Temp\TS_174B.tmp
C:\Windows\Temp\TS_3948.tmp
C:\Windows\Temp\TS_3B6B.tmp
C:\Windows\Temp\TS_83D.tmp
C:\Windows\Temp\TS_E08E.tmp
C:\Windows\Temp\TS_F142.tmp
C:\Users\Alain\AppData\Local\Temp\pv.exe
G:\autorun.inf

################## | Registre |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDesktop"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFileMenu"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\ScrabbleAutorun.exe

HKCU\..\..\Explorer\MountPoints2\{764a08e6-8b96-11e5-b164-a4badb996cb4}
shell\AutoRun\command =F:\ScrabbleAutorun.exe

HKCU\..\..\Explorer\MountPoints2\{b22f4841-6b7a-11e0-91df-a4badb996cb4}
shell\AutoRun\command =F:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{e13959b5-83b6-11e5-99ec-a4badb996cb4}
shell\AutoRun\command =G:\ScrabbleAutorun.exe

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.100 ! |
A voir également:

6 réponses

Réponse 1 / 6
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
comme vous me l'avez demandé : voici les trois liens de fichiers PJ malekal que vous pourrez consulter afin de me sortir de ce piège.. merci encore une fois..
https://pjjoint.malekal.com/index.php

id=FRST_20160114_d6g9h6p6q15

https://pjjoint.malekal.com/index.php

id=20160114_m14o159k13o9

https://pjjoint.malekal.com/index.php

id=20160114_k5v8o15i12y14
1
Réponse 2 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686
 
Salut,

La clef n'est pas infectée.
note que la clef peut être infecté par un autre ordinateur.

Si tu veux vérifier le PC en question :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686
 
Le PC est infecté, tu as aussi changé les DNS surement pour contourner les blocages torrents :

DNS Servers: 178.32.122.65 - 37.187.0.40

Sache que cela permet d'effectuer des attaques MITM pour éventuellement voler des accès.
Tu ne sais pas qui administrent ces serveurs, ce n'est pas du tout recommandé de les changer.


~~

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-CBA7023EBA39}
2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
C:\Users\Alain\AppData\Local\Temp\winlogon.bat
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp\winlogon.bat [81 2016-01-11] () <===== ATTENTION
Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 4 / 6
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
Résultats de correction de Farbar Recovery Scan Tool (x64)

Version:10-01-2015 01
Exécuté par Alain (2016-01-14 14:09:23) Run:1
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain &

Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:

\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-

CBA7023EBA39}
2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:

\ProgramData\ylkcvsdfsgjtbrknlff.reg
C:\Users\Alain\AppData\Local\Temp\winlogon.bat
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...

\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp

\winlogon.bat [81 2016-01-11] () <===== ATTENTION
Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows

\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()


C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-

CBA7023EBA39} => déplacé(es) avec succès
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg => déplacé(es) avec

succès
C:\Users\Alain\AppData\Local\Temp\winlogon.bat => déplacé

(es) avec succès
"C:\ProgramData\ylkcvsdfsgjtbrknlff.reg" => non trouvé(e).
HKU\S-1-5-21-2504682391-2156521303-1188651563-

1000\Software\Microsoft\Windows\CurrentVersion\Run\

\winlogon => valeur supprimé(es) avec succès
C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start

Menu\Programs\Startup\winlogon.bat => déplacé(es) avec

succès

Fin de Fixlog 14:09:24

0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
d'abord;je vais remettre immédiatement les DNS par défaut -
et attendre la suite de ton aide - merci du conseil important -
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686 > cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
est-ce que ce fichier existe: C:\Users\Alain\AppData\Local\Temp\winlogon.vbs ?
si oui tu pourrais le zipper et l'envoyer sur http://upload.malekal.com
0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1 > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
je regarde...non, je n'ai pas trouvé ce fichier dans le "temp" ni dans la totalité de l'ordi dans la "recherche"..
il y a parcontre un "winlogon.exe" dans le systeme32
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686
 
oki laisse le celui la.

Désactive les scripts WSH : Malware VBS/WSH/Windows Script Host

Nettoye les clefs USB et vois ce que cela donne.
0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
ah? comment ferais-tu sous win 7 ..? je n'ai plus l'onglet "types de fichiers" dans les options..!!...ah.!! j'ai trouvé noscript sur Symantec et j'ai fait "disable"..!
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686 > cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
essaye cette correction :

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileUrl] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoNetHood] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetTaskBar] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [Nosecuritytab] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoUpdateCheck] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoWindowsUpdate] 0

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1 > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par Alain (2016-01-14 17:16:39) Run:2
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain & Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispSettingsPage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\system: [NoDispAppearancePage] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileUrl] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoLogoff] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetFolders] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoNetHood] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFileMenu] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoFind] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoSetTaskBar] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [Nosecuritytab] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoUpdateCheck] 0
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Policies\Explorer: [NoWindowsUpdate] 0


HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableChangePassword => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableLockWorkstation => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\NoDispSettingsPage => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\system\\NoDispAppearancePage => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileUrl => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoLogoff => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetFolders => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoNetHood => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFileMenu => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoFind => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoSetTaskBar => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Nosecuritytab => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoUpdateCheck => valeur supprimé(es) avec succès
HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoWindowsUpdate => valeur supprimé(es) avec succès

Fin de Fixlog 17:16:39

0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
Bien et bonnes nouvelles : après avoir désactivé le script via "noscript" de Symantec, j'ai formaté mes deux clés USB et j'ai envoyé dessus des photos au hasard, il n'y a plus de fichiers ni dossiers en "raccourci", cela viendrait donc des scripts WSH..?
Comment te remercier pour ton aide, je n'y serais jamais arrivé seul..
je te dis MERCI encore une fois et bonne année mon ami.
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686
 
Le PC avait encore l'air un peu infecté, bien qu'apparemment tu as dit que le .vbs n'était plus présent.

Toute façon, ça n'a pas fait de mal =)


Désactive les WSH, ça devrait limiter ce type de merdouille.


Le reste de la sécurité : Sécuriser son ordinateur.


0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
je t'ai mis ci-dessus, le résultat du dernier fixlog que tu m'as demandé d'éxécuter..
je l'ai exécuté juste après t'avoir annoncé la réussite.. des opérations..
j'espère avoir bien fait..?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686 > cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
oui pas de soucis =)
0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
Merci, c'est nickel pour les clés maintenant, j'espère que ton aide et ton travail servira à d'autres internautes qui ont le même souci; bonne année encore une fois, et merci.
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 686 > cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
oui, merci =)
0
cadet74 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   1
 
oups.!! le problème vient de revenir....! lorsque j'ai inséré une clé usb , avast a détecté "winlogon.vbs" que j'ai mis en quarantaine.. j'ai fait un essai de copier-coller quatre fichiers photos qui se sont transformés en raccourci comme hier..!
j'ai installé AVG antivirus qui a également détecté winlogon.vbs aussitôt mis en quarantaine. j'ai lancé "noscript" et cliqué sur disable, mais çà se remet toujours sur cette position..donc je ne sais pas comment bloquer définitivement ces scripts WSH VBS sur win7..
Qu'en penses-tu.?
0

Discussions similaires

Adaptateur USB pour le WIFI 7 ...
toinou90 -
brupala -

14 réponses