Alerte Avast Virus LNK:JENXCUS - Branchement port externe.

Voici le copier-coller de la clé USB (il y d'autres ports infectés). J'ai désactivé Avast car il y avait un bruit incessant.


Rem-VBSworm v7.0

=========== - General info:

Running under: *** on profile: C:\Users\***
Computer name: ***

Operating System:
Microsoft Windows 8.1 avec Bing
Boot Mode:
Normal boot
Antivirus software installed:
Windows Defender
avast! Antivirus

Executed on: 18/03/2016 @ 13:17:31,71

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Acer
D: Disque CD-ROM
F: Disque amovible


Physical drives information:
C: \Device\HarddiskVolume4 NTFS
F: \Device\HarddiskVolume10 FAT

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD10JPVX-22JC3T0\4&34E6404&0&000000
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.27\4C530003510820107102&0


WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est A326-CBAC

R‚pertoire de F:\

10/10/2013 14:56 <DIR> SanDiskSecureAccessV2.0
16/12/2015 10:37 <DIR> Concours d‚partemental chevaux 26 sept 2015
18/03/2016 13:14 <DIR> Autorun.inf
0 fichier(s) 0 octets
4 R‚p(s) 12ÿ845ÿ809ÿ664 octets libres

USB drive disinfected and files unhidden!!

F (la clé USB).

Fait pour Spybot. Le voici. Merci bcp.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par *** (2016-03-19 08:49:24) Run:1
Exécuté depuis C:\Users\YoYo\Desktop
Profils chargés: *** (Profils disponibles: *** & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CloseProcesses:
HKU\S-1-5-21-238786661-4102638638-172908160-1001\...\Run: [m6f74] => wscript.exe //B C:\Users\YoYo\AppData\Local\Temp\m6f74.vbs <===== ATTENTION
2016-03-08 13:21 - 2016-03-09 08:27 - 00000000 ____D C:\Users\YoYo\AppData\Roaming\Xnufrnkwgrrx
2016-03-08 13:21 - 2016-03-08 13:21 - 00000006 ____S C:\ProgramData\122668fb64efc7f339170b5e8da878e93b12bf22
2016-03-08 13:21 - 2016-03-08 13:21 - 00000000 ____D C:\ProgramData\816748
2016-03-08 13:21 - 2016-03-08 13:21 - 00000000 ____D C:\ProgramData\816648
2016-03-08 12:27 - 2016-03-09 08:26 - 00000000 ____D C:\Users\***\AppData\Roaming\Uvuknufr
2016-03-08 08:16 - 2016-03-08 08:16 - 00000000 __SHD C:\m6f74m6f74
2016-03-08 13:21 - 2016-03-08 13:21 - 0000006 ____S () C:\ProgramData\122668fb64efc7f339170b5e8da878e93b12bf22
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:

Processus fermé avec succès.
HKU\S-1-5-21-238786661-4102638638-172908160-1001\Software\Microsoft\Windows\CurrentVersion\Run\\m6f74 => valeur supprimé(es) avec succès
C:\Users\YoYo\AppData\Roaming\Xnufrnkwgrrx => déplacé(es) avec succès
C:\ProgramData\122668fb64efc7f339170b5e8da878e93b12bf22 => déplacé(es) avec succès
C:\ProgramData\816748 => déplacé(es) avec succès
C:\ProgramData\816648 => déplacé(es) avec succès
C:\Users\YoYo\AppData\Roaming\Uvuknufr => déplacé(es) avec succès
C:\m6f74m6f74 => déplacé(es) avec succès
"C:\ProgramData\122668fb64efc7f339170b5e8da878e93b12bf22" => non trouvé(e).

========= reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========



Le système a dû redémarrer.

Fin de Fixlog 08:49:27

https://pjjoint.malekal.com/files.php?id=FRST_20160319_u9v136c10r15
https://pjjoint.malekal.com/files.php?id=20160319_b9g12p12m15m12
https://pjjoint.malekal.com/files.php?id=20160319_c5v15c1310p11

Les voici ci-dessus.

Merci. Voilà :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par ** (2016-03-19 15:25:24) Run:2
Exécuté depuis C:\Users\YoYo\Desktop
Profils chargés: ** (Profils disponibles: *** & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
2016-03-17 11:40 - 2016-03-17 11:40 - 00003212 _____ C:\WINDOWS\System32\Tasks\{2DC01DAA-EBFC-4B3B-AD55-5EE46D7C03F1}
2016-03-17 10:15 - 2015-07-28 17:52 - 00821920 _____ (Safer-Networking Ltd. ) C:\Users\Public\Desktop\Post Win10 Spybot-install.exe
2016-03-17 10:14 - 2016-03-17 10:14 - 00000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
2016-03-17 10:13 - 2016-03-19 08:40 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2016-03-17 10:13 - 2016-03-19 08:39 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotPostWindows10UpgradeReInstall => valeur supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{2DC01DAA-EBFC-4B3B-AD55-5EE46D7C03F1} => déplacé(es) avec succès
C:\Users\Public\Desktop\Post Win10 Spybot-install.exe => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Safer-Networking => déplacé(es) avec succès
C:\Program Files (x86)\Spybot - Search & Destroy 2 => déplacé(es) avec succès
C:\ProgramData\Spybot - Search & Destroy => déplacé(es) avec succès

Fin de Fixlog 15:25:26

A priori, c'est résolu! Grand merci pour votre aide et votre temps.

Bien noté. C'est fait pour les scripts. Encore merci pour vos envois, très riches en informations.

Salut,

Voir mon premier message: https://forums.commentcamarche.net/forum/affich-33297552-alerte-avast-virus-lnk-jenxcus-branchement-port-externe#1

Ok, merci.
Voici le rapport Rem :



Rem-VBSworm v7.0

=========== - General info:

Running under: Hery on profile: C:\Users\Hery
Computer name: HRISSON_ASUS

Operating System:
Microsoft Windows 8.1

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

avast! Antivirus


Executed on: 01/04/2016 @ 20:03:45,52

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local OS

D: Disque fixe local Data

E: Disque CD-ROM

G: Disque amovible HERY




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume5 NTFS
G: \Device\HarddiskVolume13 FAT

=========== - Disinfection info:


=========== - USB drive info:

g: selected

USB Device ID:
SCSI\DISK&VEN_SANDISK&PROD_SSD_U100_24GB\4&1304E180&0&020000

SCSI\DISK&VEN_ST1000LM&PROD_ST1000LM024_HN-M\4&1304E180&0&000000

USBSTOR\DISK&VEN_GENERAL&PROD_USB_FLASH_DISK&REV_1.0\000000000000066B&0




Fichier supprim‚ - g:\Anesth‚sie Montreuil\Raccourci vers OPH COURT CIRCUIT.lnk
Fichier supprim‚ - g:\urctjdizmf..vbe
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of g:
Le volume dans le lecteur G s'appelle HERY
Le num‚ro de s‚rie du volume est BC91-88CD

R‚pertoire de G:\

10/02/2006 01:26 <DIR> Dossier location
02/01/2013 20:28 <DIR> Dossier
30/07/2014 08:26 3ÿ644ÿ097 STRATEGIES EN HEMODYNAMIQUE 2014.pptx
22/08/2014 13:07 <DIR> mapar
28/10/2014 20:38 <DIR> Office 2013
18/11/2014 09:29 989ÿ149 EMC - Anest‚hsiques Halog‚n‚s.pdf
19/11/2014 07:15 467ÿ171 Anestheïsie Neuro-chir EMC (1).pdf
18/06/2015 15:20 <DIR> Anesth‚sie Montreuil
25/06/2015 08:42 4ÿ096 ._.Trashes
25/06/2015 08:42 <DIR> .Trashes
25/06/2015 08:42 <DIR> .Spotlight-V100
29/06/2015 17:58 <DIR> GR
04/07/2015 12:27 <DIR> Anesth‚sie Argenteuil
12/08/2015 17:05 <DIR> ALR Iphone
22/10/2015 09:13 <DIR> .fseventsd
24/12/2015 15:10 <DIR> Manuel pratique d'anestheïsie
27/01/2016 11:29 262ÿ043 Crash 2.pdf
02/02/2016 17:34 594ÿ211 NM.pdf
12/02/2016 14:57 601ÿ600 Pr‚sentation CURARES au 12-02-16.ppt
24/03/2016 18:27 56ÿ631 R‚clamation train retard‚.pdf
24/03/2016 19:03 1ÿ935ÿ428 RIB Hery ANDRIAN.JPG
24/03/2016 19:15 1ÿ949ÿ856 Billet train hery.JPG
24/03/2016 19:28 57ÿ978 R‚clamation train supprim‚.pdf
25/03/2016 18:17 <DIR> STAR AC
30/03/2016 09:51 <DIR> FOUND.000
31/03/2016 21:07 35ÿ710 Staff academy D‚curarisation.pptx
12 fichier(s) 10ÿ597ÿ970 octets
15 R‚p(s) 4ÿ750ÿ643ÿ200 octets libres

USB drive disinfected and files unhidden!!

Ok, voici les 3 liens :

https://pjjoint.malekal.com/files.php?id=FRST_20160401_v6v7u11y10m9

https://pjjoint.malekal.com/files.php?id=20160401_j1113q8u11s5

https://pjjoint.malekal.com/files.php?id=20160401_w8v12n8f13l12

Je suis vraiment désolé de vous précipiter mais pourriez-vous m'indiquer les dernières étapes à suivre ? Me retrouvant dans l'urgence, je dois pouvoir récupérer mes documents et avoir ma clé USB fonctionnelle le plus rapidement possible pour pouvoir terminer ma présentation dans les plus brefs délais. Et étant de garde demain, je ne pourrai pas terminer la démarche avant dimanche sinon...
Je vous remercie sincèrement pour votre aide et votre temps.

OK, donc si j'ai bien compris mon ordi et ma clé USB sont désormais désinfectés ?

Et pour une éventuelle prochaine fois, pour désinfecter ma clé si nécessaire, il suffit de lancer l'option B, mais comment puis-je savoir ensuite (sans te réembêter) si l'affaire est réglée ?

Aussi, je viens d'essayer de désactiver WSH mais sans succès :
1) Je n'arrive pas à le désactiver depuis Marmiton (quand je lance Marmiton, en bas à droite de la fenêtre il y a marqué "Configuration Windows Script Host : WSH est activé" mais le bouton "MODIFIER" est en gris et je ne peux pas cliquer dessus

2) J'ai ensuite essayé via DisableWSH.reg mais quand je le lance, le fichier (bloc note) qui s'ouvre marque : "Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"
"IgnoreUserSettings"="1"
"LogSecurityFailures"="1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"="0"

Que dois-je faire..?

Merci d'avance

OK, c'est bon j'ai réussi.

Du coup normalement je ne devrais plus avoir de problème..?

Et il n'y a pas de risque à ce que WSH soit désactivé ? Ca ne va pas m'empêcher d'utiliser certaines fonctions ou je ne sais quoi ?