Sujet Précédent Sujet Suivant

Virus clés USB/ Carte SD

Fermé
JU - 6 mars 2016 à 19:44
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 23 avril 2016 à 22:21
Bonjour,

C'est l'hiver j'ai donc attrapé un virus, mes dossiers se transforment en raccourcis, je ne plus supprimer les dossiers....
Je pensais au départ que ça ne concernerait que ma carte contaminé hors ça a touché mes clefs usb aussi.

Quelqu'un peut-il m'aider ?

Merci par avance.

Ju
A voir également:

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
6 mars 2016 à 19:47
Salut,

C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> https://forum.malekal.com/viewtopic.php?t=3350&start=

Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

0
Réponse 2 / 6
JU
18 avril 2016 à 18:11
Bonjour,

merci ça y est j'ai fait tout le nécessaire pour mes supports amovible, je vous envoie donc le rapport !

Rem-VBSworm v7.0

=========== - General info:

Running under: youpilala on profile: C:\Users\youpilala
Computer name: YOUPILALA-PC

Operating System:
Boot Mode:
Antivirus software installed:

Executed on: 18/04/2016 @ 17:45:33,54

=========== - Drive info:

Listing currently attached drives:

Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume4 NTFS
F: \Device\HarddiskVolume5 NTFS
Q: \Device\SftVol <Unknown>

=========== - Disinfection info:


=========== - USB drive info:

g: selected

USB Device ID:

Fichier supprim‚ - g:\MGMT.lnk
Fichier supprim‚ - g:\.fseventsd.lnk
Fichier supprim‚ - g:\courss.lnk
Fichier supprim‚ - g:\Joy Divison.lnk
Fichier supprim‚ - g:\.Trash-1000.lnk
Fichier supprim‚ - g:\Edward Sharpe - Here.lnk
Fichier supprim‚ - g:\Neil Young.lnk
Fichier supprim‚ - g:\dossier sujet bts.lnk
Fichier supprim‚ - g:\Serge Gainsbourg.lnk
Fichier supprim‚ - g:\Jack the ripper - The Book of Lies.lnk
Fichier supprim‚ - g:\System Volume Information.lnk
Fichier supprim‚ - g:\.Trashes.lnk
Fichier supprim‚ - g:\.Spotlight-V100.lnk
Fichier supprim‚ - g:\Photos Ben.lnk
Fichier supprim‚ - g:\dossier sujet bts\1 - PRODUIT - ISA SWISS U52\Pr‚sentation html\ENONCE CANDIDAT.lnk
Fichier supprim‚ - g:\~WRL0001.tmp
Fichier supprim‚ - g:\courss\dossier d‚tecteur de touche\conception pr‚liminaire outillage\Conception preliminaire\document\theme bts2\~WRL0001.tmp
Fichier supprim‚ - g:\courss\dossier d‚tecteur de touche\conception pr‚liminaire outillage\Conception preliminaire\document\theme bts2\~WRL0204.tmp
Fichier supprim‚ - g:\Autorun.inf
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of g:
Le volume dans le lecteur G s'appelle ALEX USB
Le num‚ro de s‚rie du volume est 100E-036C

R‚pertoire de G:\

15/06/2009 08:28 165 ~$empeneuse JANUSIK.pptx
26/02/2010 19:22 <REP> Jack the ripper - The Book of Lies
26/02/2010 19:42 <REP> Neil Young
21/10/2010 21:33 <REP> MGMT
10/11/2010 09:01 <REP> Joy Divison
04/11/2011 23:07 <REP> Serge Gainsbourg
24/08/2012 07:57 <REP> Edward Sharpe - Here
07/10/2012 17:34 4ÿ096 ._.Trashes
07/10/2012 17:34 <REP> .Trashes
07/10/2012 17:34 <REP> .Spotlight-V100
31/01/2014 11:08 <REP> courss
31/01/2014 11:12 <REP> dossier sujet bts
07/02/2014 16:54 <REP> .fseventsd
10/09/2015 20:40 <REP> .Trash-1000
01/03/2016 18:58 <REP> windows
22/03/2016 15:32 <REP> Photos Ben
01/04/2016 15:38 155ÿ665 attestation(2) de situation au 1 avril 2016.pdf
01/04/2016 15:39 155ÿ035 attestation de paiment pour f‚vrier.pdf
4 fichier(s) 314ÿ961 octets
15 R‚p(s) 323ÿ477ÿ504 octets libres

USB drive disinfected and files unhidden!!

=========== - USB drive info:

g: selected

USB Device ID:

WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of g:
Le volume dans le lecteur G s'appelle ALEX USB
Le num‚ro de s‚rie du volume est 100E-036C

R‚pertoire de G:\

15/06/2009 08:28 165 ~$empeneuse JANUSIK.pptx
26/02/2010 19:22 <REP> Jack the ripper - The Book of Lies
26/02/2010 19:42 <REP> Neil Young
21/10/2010 21:33 <REP> MGMT
10/11/2010 09:01 <REP> Joy Divison
04/11/2011 23:07 <REP> Serge Gainsbourg
24/08/2012 07:57 <REP> Edward Sharpe - Here
07/10/2012 17:34 4ÿ096 ._.Trashes
07/10/2012 17:34 <REP> .Trashes
07/10/2012 17:34 <REP> .Spotlight-V100
31/01/2014 11:08 <REP> courss
31/01/2014 11:12 <REP> dossier sujet bts
07/02/2014 16:54 <REP> .fseventsd
10/09/2015 20:40 <REP> .Trash-1000
01/03/2016 18:58 <REP> windows
22/03/2016 15:32 <REP> Photos Ben
01/04/2016 15:38 155ÿ665 attestation(2) de situation au 1 avril 2016.pdf
01/04/2016 15:39 155ÿ035 attestation de paiment pour f‚vrier.pdf
18/04/2016 17:56 <REP> Autorun.inf
4 fichier(s) 314ÿ961 octets
16 R‚p(s) 323ÿ473ÿ408 octets libres

USB drive disinfected and files unhidden!!

=========== - USB drive info:

h: selected

USB Device ID:

Fichier supprim‚ - h:\.Trashes.lnk
Fichier supprim‚ - h:\.Spotlight-V100.lnk
Fichier supprim‚ - h:\.fseventsd.lnk
Fichier supprim‚ - h:\System Volume Information.lnk
Fichier supprim‚ - h:\Sortie Explosives Montagnes de Kaw (pk19).lnk
Fichier supprim‚ - h:\DCIM.lnk
Fichier supprim‚ - h:\MISC.lnk
Fichier supprim‚ - h:\Autorun.inf
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of h:
Le volume dans le lecteur H s'appelle CANON_DC
Le num‚ro de s‚rie du volume est 2613-0158

R‚pertoire de H:\

07/11/2015 09:09 4ÿ096 ._.Trashes
07/11/2015 09:09 <REP> .fseventsd
07/11/2015 09:09 <REP> .Trashes
07/11/2015 09:09 <REP> .Spotlight-V100
12/11/2015 03:23 <REP> DCIM
13/12/2015 14:15 <REP> MISC
01/01/2016 23:42 <REP> windows
06/01/2016 19:57 <REP> Sortie Explosives Montagnes de Kaw (pk19)
1 fichier(s) 4ÿ096 octets
8 R‚p(s) 10ÿ328ÿ375ÿ296 octets libres

USB drive disinfected and files unhidden!!

=========== - USB drive info:

g: selected

USB Device ID:

Fichier supprim‚ - g:\musique.lnk
Fichier supprim‚ - g:\.Trashes.lnk
Fichier supprim‚ - g:\System Volume Information.lnk
Fichier supprim‚ - g:\boite fac.lnk
Fichier supprim‚ - g:\.Spotlight-V100.lnk
Fichier supprim‚ - g:\.fseventsd.lnk
Fichier supprim‚ - g:\zic.lnk
Fichier supprim‚ - g:\r‚p‚titions Vid‚os.lnk
Fichier supprim‚ - g:\Autorun.inf
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of g:
Le volume dans le lecteur G s'appelle USB DISK
Le num‚ro de s‚rie du volume est 0012-D687

R‚pertoire de G:\

28/04/2015 14:33 <REP> .Spotlight-V100
28/04/2015 14:33 4ÿ096 ._.Trashes
28/04/2015 14:33 <REP> .Trashes
15/09/2015 18:16 2ÿ117ÿ725 P1270561.JPG
14/01/2016 01:12 <REP> windows
14/01/2016 01:12 1ÿ288ÿ704 CV.doc
14/01/2016 01:13 157ÿ100 CV.pdf
20/01/2016 16:04 155ÿ670 attestation.pdf
20/01/2016 16:21 169ÿ056 attestation(1).pdf
20/01/2016 16:27 322ÿ490 imprim ‚cran.docx
20/01/2016 20:02 31ÿ097 12584006_10206482154946237_646187843_n.jpg
21/01/2016 14:58 35ÿ821 AttestationIndemnitesJournalieres(1).pdf
21/01/2016 16:04 75ÿ881 12606958_10153925228518453_204187540_n.jpg
21/01/2016 16:09 108ÿ736 12565465_10153908993223453_7928328186562065617_n.jpg
17/02/2016 07:27 <REP> boite fac
17/02/2016 08:09 <REP> musique
21/02/2016 22:55 <REP> .fseventsd
21/02/2016 23:10 <REP> zic
23/02/2016 13:42 <REP> r‚p‚titions Vid‚os
03/03/2016 17:05 35ÿ886 quatriŠme jet.odt
12 fichier(s) 4ÿ502ÿ262 octets
9 R‚p(s) 615ÿ108ÿ608 octets libres

USB drive disinfected and files unhidden!!

=========== - USB drive info:

h: selected

USB Device ID:

Fichier supprim‚ - h:\DCIM.lnk
Fichier supprim‚ - h:\MISC.lnk
Fichier supprim‚ - h:\FOUND.000.lnk
Fichier supprim‚ - h:\.Trash-1000.lnk
Fichier supprim‚ - h:\Autorun.inf
Listing root contents of h:
Le volume dans le lecteur H n'a pas de nom.
Le num‚ro de s‚rie du volume est F84E-1690

R‚pertoire de H:\

28/11/2014 10:36 <REP> DCIM
11/03/2015 03:28 512 NIKON001.DSC
19/06/2015 15:52 4 _disk_id.pod
25/09/2015 09:39 <REP> MISC
15/10/2015 11:49 <REP> FOUND.000
15/10/2015 11:49 1ÿ880 BOOTEX.LOG
26/01/2016 11:22 <REP> windows
02/02/2016 17:52 <REP> .Trash-1000
3 fichier(s) 2ÿ396 octets
5 R‚p(s) 7ÿ766ÿ016 octets libres

USB drive disinfected and files unhidden!!
0
JU
18 avril 2016 à 18:13
merci beaucoup
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
18 avril 2016 à 18:28
ok voici les deux étapes à suivre :


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).



et pour vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
JU
18 avril 2016 à 18:47
Merci, il me dit que la version frst n'est pas compatible avec mon ordinateur !

Que dois-je faire ?

Merci, et est-il nécessaire que je fasse tous ces scan en + ?

est-ce qu'avec ce que j'ai déjà fait je peux utiliser d'autre disque amovible sans les contaminer ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > JU
18 avril 2016 à 18:58
Tu as dû prendre la mauvaise version (32/64 bits), quel est le message exact ?
Attends avant d'utiliser tes médias amovibles.
0
JU
18 avril 2016 à 20:41
ok je prends une autre version !
je suis entrain de le faire je vous envoie ensuite les rapports , merci
0
JU
18 avril 2016 à 20:50
c'est bon, je vous ai envoyé les rapports!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > JU
18 avril 2016 à 23:42
il faut donner les liens ici.
Lis les instructions =)
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
23 avril 2016 à 20:42
oui =)
Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

~~

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\youpilala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sirewa__.cpl [2015-02-27] ()
 EmptyTemp:
 Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
JU
23 avril 2016 à 20:50
ok, super merci, je vais tenter de désinstaller mc affee !
pour ce qui est de mes supports amovibles, là c'est bon du coup je peux les mettre sur d'autre ordi et d'autres clefs peuvent s’insérer dans mon ordi ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
23 avril 2016 à 20:51
Attends pas trop vite, fais déjà tout =)
Installe Marmiton sur tous tes PC aussi, tu auras la paix contre ces infections.
0
Réponse 6 / 6
JU
23 avril 2016 à 21:00
tout quoi ?

j'ai l'impression d'avoir tout fait ça fait des heures que j'y suis ..
j'ai mis marmiton !
je dois faire quoi d'autres ?
:-(
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 23/04/2016 à 22:21
La suite : Le fix FRST.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Arnaque ou pas?
Pauline -
bonjour -

24 réponses
Carte bancaire passée à la machine à laver
Nicolas -
kusanagi79 -

5 réponses