Infection après branchement d'une clé USB [Résolu/Fermé]

Signaler
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour à tous ! :)

Après avoir branché une clé USB, qui une fois ouverte, m'a eu l'air bizarre, les soupçons se sont révélés juste puisque mon PC a ramassé une bestiole que je ne sais comment dégager.

Un raccourci 'PHOTO FAMILY' s'est ancré à la racine de mon disque, pointant vers un wscript.exe dans System32.
J'ai bien évidemment essayé de supprimer le raccourci, mais il revient en permanence. & impossible de modifier/supprimer le pointage de celui-ci.

Au niveau des scans:
- MBAM ne détecte rien;
- Même chose pour ADWCleaner
- Par contre, 2 alertes sur ZHDiag, même si ce ne sont que des 'Superfluous'. Log du scan: https://pjjoint.malekal.com/files.php?id=20160418_l14b7d11d7g6

En remerciant la personne plus douée que moi qui arrivera à me filer un coup de main ! :D
Merci ! :)

4 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 898
Salut,

C'est le programme ManyCam qui est détecté en Superfluous.
A toi de voir s'il faut le désinstaller.

Pour ton virus USB :


1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option A ( appuyer sur A et entrée )
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

2°) Relancer "Remediate VBS Worm"
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
37
Premier rapport:

Rem-VBSworm v7.0

=========== - General info:

Running under: Moi on profile: C:\Users\Moi
Computer name: Moi-PC

Operating System:
Microsoft Windows 7 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
AVG AntiVirus Free Edition


Executed on: 18/04/2016 @ 11:32:02,10

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local

D: Disque CD-ROM

E: Disque fixe local Data

F: Disque CD-ROM Trackmania Turbo

G: Disque CD-ROM godpc

H: Disque CD-ROM Miroslav Philharmonik Sounds DVD

I: Disque CD-ROM Miroslav Philharmonik Sounds DVD

J: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\CdRom1 UDFS
G: \Device\CdRom2 CDFS
H: \Device\CdRom3 UDFS
I: \Device\CdRom4 UDFS
J: \Device\HarddiskVolume4 FAT

=========== - Disinfection info:

Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau





Deuxième rapport:

Rem-VBSworm v7.0

=========== - General info:

Running under: Moi on profile: C:\Users\Moi
Computer name: Moi-PC

Operating System:
Microsoft Windows 7 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
AVG AntiVirus Free Edition


Executed on: 18/04/2016 @ 11:32:02,10

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local

D: Disque CD-ROM

E: Disque fixe local Data

F: Disque CD-ROM Trackmania Turbo

G: Disque CD-ROM godpc

H: Disque CD-ROM Miroslav Philharmonik Sounds DVD

I: Disque CD-ROM Miroslav Philharmonik Sounds DVD

J: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\CdRom1 UDFS
G: \Device\CdRom2 CDFS
H: \Device\CdRom3 UDFS
I: \Device\CdRom4 UDFS
J: \Device\HarddiskVolume4 FAT

=========== - Disinfection info:

Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

J: selected

USB Device ID:
IDE\DISKSAMSUNG_SSD_840_SERIES__________________DXT08B0Q\5&1DE95152&0&1.0.0

IDE\DISKST1000DM003-1ER162______________________CC43____\5&30A301F7&0&0.0.0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.00\4C530201140124115251&0




Fichier supprim‚ - J:\RunSanDiskSecureAccess_Win.lnk
Fichier supprim‚ - J:\Attestation sur l'honneur.lnk
Fichier supprim‚ - J:\SanDiskSecureAccess.lnk
Fichier supprim‚ - J:\PHOTO FAMIlY.lnk
Fichier supprim‚ - J:\Nouveau dossier.lnk
Fichier supprim‚ - J:\VIDEO.lnk
Fichier supprim‚ - J:\DCIM.lnk
Fichier supprim‚ - J:\retour1.lnk
Fichier supprim‚ - J:\retour2.lnk
Listing root contents of J:
Le volume dans le lecteur J n'a pas de nom.
Le num‚ro de s‚rie du volume est 4BFB-6B10

R‚pertoire de J:\

05/02/2015 11:47 16ÿ024ÿ600 RunSanDiskSecureAccess_Win.exe
23/02/2015 13:01 <REP> SanDiskSecureAccess
12/10/2015 11:59 121ÿ030 Video.3gp
21/03/2016 12:30 216ÿ175 retour2.pdf
21/03/2016 12:31 152ÿ273 retour1.pdf
22/03/2016 16:13 <REP> DCIM
22/03/2016 16:13 <REP> VIDEO
15/04/2016 10:41 130ÿ325 Attestation sur l'honneur.pdf
5 fichier(s) 16ÿ644ÿ403 octets
3 R‚p(s) 7ÿ978ÿ991ÿ616 octets libres

USB drive disinfected and files unhidden





Merci beaucoup ! :)

--
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 898
Video.3gp .. c'est cette infection : https://www.malekal.com/virus-vbs-crypt-virus-usb-raccourcis

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

~~

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
37
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 898
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Moi\AppData\Roaming\Video.3gp
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 898 >
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017

oui =)
si tu as désactivé WSH avec Marmiton, l'ordinateur est immunisé.
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
37
Okay c'est bon ! J'ai supprimé le raccourci, reboot, & il n'y a plus rien !

La clé USB a été branchée dans un tabac-presse pour une impression. De ce que j'ai lu de tes liens sur Video.3gp, ça semble très fortement être la source de l'infection non ?
Si c'est le cas, y a t'il un moyen de vacciner la clé pour ne pas avoir à la refix à chaque fois ?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 898 >
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017

oui pour l'infection.
Non y a pas de vaccination possible pour ce type d'infection.
Tout ce que tu peux faire c'est désactiver WSH avec Marmiton, l'infection ne pourra plus s'installer sur l'ordinateur mais il te faudra nettoyer la clef.

AVG ne le détecte pas, Avast! oui.
Mais bon, AVG est pas trop mal.

Faudrait direct au bureau de tabac de nettoyer leur ordinateur et désactiver WSH.
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
37
Bah écoute, si tu vois un topic 'Mon PC dans mon bureau de tabac est infecté', tu sais d'où ça vient ! :D

Merci mille fois encore pour le temps pris & tes conseils. Ça fait 2 fois en 3 mois que tu me sauves la mise ! Haha
Grand merci donc, & bonne journée à toi :)
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 898 >
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017

lol ok =)

Merci à toi aussi !