Infection après branchement d'une clé USB

Résolu
Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous ! :)

Après avoir branché une clé USB, qui une fois ouverte, m'a eu l'air bizarre, les soupçons se sont révélés juste puisque mon PC a ramassé une bestiole que je ne sais comment dégager.

Un raccourci 'PHOTO FAMILY' s'est ancré à la racine de mon disque, pointant vers un wscript.exe dans System32.
J'ai bien évidemment essayé de supprimer le raccourci, mais il revient en permanence. & impossible de modifier/supprimer le pointage de celui-ci.

Au niveau des scans:
- MBAM ne détecte rien;
- Même chose pour ADWCleaner
- Par contre, 2 alertes sur ZHDiag, même si ce ne sont que des 'Superfluous'. Log du scan: https://pjjoint.malekal.com/files.php?id=20160418_l14b7d11d7g6

En remerciant la personne plus douée que moi qui arrivera à me filer un coup de main ! :D
Merci ! :)

4 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    C'est le programme ManyCam qui est détecté en Superfluous.
    A toi de voir s'il faut le désinstaller.

    Pour ton virus USB :

    1°) Remediate VBS Worm

    1°) Brancher toutes les clefs USB et autres périphériques amovibles.
    • Télécharger Remediate VBS Worm
    • Lancer l'option A ( appuyer sur A et entrée )
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    2°) Relancer "Remediate VBS Worm"
    • Lancer l'option B
    • Taper la lettre de la clef USB, par exemple, E et entrée

    [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
  2. Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention   38
     
    Premier rapport:

    Rem-VBSworm v7.0

    =========== - General info:

    Running under: Moi on profile: C:\Users\Moi
    Computer name: Moi-PC

    Operating System:
    Microsoft Windows 7 Professionnel

    Boot Mode:
    Normal boot

    Antivirus software installed:
    AVG AntiVirus Free Edition

    Executed on: 18/04/2016 @ 11:32:02,10

    =========== - Drive info:

    Listing currently attached drives:
    Caption Description VolumeName

    C: Disque fixe local

    D: Disque CD-ROM

    E: Disque fixe local Data

    F: Disque CD-ROM Trackmania Turbo

    G: Disque CD-ROM godpc

    H: Disque CD-ROM Miroslav Philharmonik Sounds DVD

    I: Disque CD-ROM Miroslav Philharmonik Sounds DVD

    J: Disque amovible

    Physical drives information:
    C: \Device\HarddiskVolume3 NTFS
    E: \Device\HarddiskVolume1 NTFS
    F: \Device\CdRom1 UDFS
    G: \Device\CdRom2 CDFS
    H: \Device\CdRom3 UDFS
    I: \Device\CdRom4 UDFS
    J: \Device\HarddiskVolume4 FAT

    =========== - Disinfection info:

    Deleting Run key: Format
    Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
    Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.

    Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

    =========== - Shortcut info:

    =========== - Scheduled tasks info:

    Commentaire: Collecteur d'informations r‚seau

    Deuxième rapport:

    Rem-VBSworm v7.0

    =========== - General info:

    Running under: Moi on profile: C:\Users\Moi
    Computer name: Moi-PC

    Operating System:
    Microsoft Windows 7 Professionnel

    Boot Mode:
    Normal boot

    Antivirus software installed:
    AVG AntiVirus Free Edition

    Executed on: 18/04/2016 @ 11:32:02,10

    =========== - Drive info:

    Listing currently attached drives:
    Caption Description VolumeName

    C: Disque fixe local

    D: Disque CD-ROM

    E: Disque fixe local Data

    F: Disque CD-ROM Trackmania Turbo

    G: Disque CD-ROM godpc

    H: Disque CD-ROM Miroslav Philharmonik Sounds DVD

    I: Disque CD-ROM Miroslav Philharmonik Sounds DVD

    J: Disque amovible

    Physical drives information:
    C: \Device\HarddiskVolume3 NTFS
    E: \Device\HarddiskVolume1 NTFS
    F: \Device\CdRom1 UDFS
    G: \Device\CdRom2 CDFS
    H: \Device\CdRom3 UDFS
    I: \Device\CdRom4 UDFS
    J: \Device\HarddiskVolume4 FAT

    =========== - Disinfection info:

    Deleting Run key: Format
    Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
    Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.

    Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

    =========== - Shortcut info:

    =========== - Scheduled tasks info:

    Commentaire: Collecteur d'informations r‚seau

    =========== - USB drive info:

    J: selected

    USB Device ID:
    IDE\DISKSAMSUNG_SSD_840_SERIES__________________DXT08B0Q\5&1DE95152&0&1.0.0

    IDE\DISKST1000DM003-1ER162______________________CC43____\5&30A301F7&0&0.0.0

    USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.00\4C530201140124115251&0

    Fichier supprim‚ - J:\RunSanDiskSecureAccess_Win.lnk
    Fichier supprim‚ - J:\Attestation sur l'honneur.lnk
    Fichier supprim‚ - J:\SanDiskSecureAccess.lnk
    Fichier supprim‚ - J:\PHOTO FAMIlY.lnk
    Fichier supprim‚ - J:\Nouveau dossier.lnk
    Fichier supprim‚ - J:\VIDEO.lnk
    Fichier supprim‚ - J:\DCIM.lnk
    Fichier supprim‚ - J:\retour1.lnk
    Fichier supprim‚ - J:\retour2.lnk
    Listing root contents of J:
    Le volume dans le lecteur J n'a pas de nom.
    Le num‚ro de s‚rie du volume est 4BFB-6B10

    R‚pertoire de J:\

    05/02/2015 11:47 16ÿ024ÿ600 RunSanDiskSecureAccess_Win.exe
    23/02/2015 13:01 <REP> SanDiskSecureAccess
    12/10/2015 11:59 121ÿ030 Video.3gp
    21/03/2016 12:30 216ÿ175 retour2.pdf
    21/03/2016 12:31 152ÿ273 retour1.pdf
    22/03/2016 16:13 <REP> DCIM
    22/03/2016 16:13 <REP> VIDEO
    15/04/2016 10:41 130ÿ325 Attestation sur l'honneur.pdf
    5 fichier(s) 16ÿ644ÿ403 octets
    3 R‚p(s) 7ÿ978ÿ991ÿ616 octets libres

    USB drive disinfected and files unhidden

    Merci beaucoup ! :)

    --
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Video.3gp .. c'est cette infection : https://www.malekal.com/virus-vbs-crypt-virus-usb-raccourcis

    Pour te protéger des infections amovibles type Wscript (Windows Script Host)
    Télécharger et installer Marmiton
    (le mot de passe est malekal)
    Clic sur Désactiver au niveau de Windows Script Host.
    Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

    ~~

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Moi\AppData\Roaming\Video.3gp
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    0
    1. Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention   38
       
      & voici !

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:17-04-2016 01
      Exécuté par Moi (2016-04-18 12:14:45) Run:2
      Exécuté depuis C:\Users\Moi\Desktop
      Profils chargés: Moi (Profils disponibles: Moi)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Moi\AppData\Roaming\Video.3gp
      Reboot:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès


      Le système a dû redémarrer.

      Fin de Fixlog 12:14:48

      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention  
       
      ok =)

      supprime Video.3gp sur ton lecteur J aussi
      et vois ce que cela donne =)
      0
    3. Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention   38
       
      J'ai supprimé le Video.3gp, déranché/rebranché la clé USB, tout semble résolu !

      Il reste le raccourci 'PHOTO FAMILY' à la racine de mon DD, renvoyant au wscript.exe dans System32. Je supprime ça à la main aussi ?
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention  
       
      oui =)
      si tu as désactivé WSH avec Marmiton, l'ordinateur est immunisé.
      0
    5. Deserting Messages postés 100 Date d'inscription   Statut Membre Dernière intervention   38
       
      Okay c'est bon ! J'ai supprimé le raccourci, reboot, & il n'y a plus rien !

      La clé USB a été branchée dans un tabac-presse pour une impression. De ce que j'ai lu de tes liens sur Video.3gp, ça semble très fortement être la source de l'infection non ?
      Si c'est le cas, y a t'il un moyen de vacciner la clé pour ne pas avoir à la refix à chaque fois ?
      0