Virus clé USB

Fermé
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016 - 19 avril 2016 à 16:37
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016 - 25 avril 2016 à 17:23
Bonjour,

J'ai un problème très similaire à celui relaté ici :
https://forums.commentcamarche.net/forum/affich-33407079-virus-cle-usb

Un ami a connecté ma clé USB à son ordinateur. Depuis, les données n'apparaissent plus excepté quelques unes sous forme de raccourcis. Et bien sur, je me suis rendu compte du problème après avoir connecté cette clé USB à mon ordinateur. Pour voir ce qui allait se passer j'ai connecté une autre clé USB à mon ordinateur avec des données dessus et le résultat est le même (que des raccourcis sur la clé USB). J'en conclu donc que le virus est sur mon ordi prêt à infecter toutes mémoires externes que je pourrais connecté à mes ports USB.

En suivant les instructions du topic qui relate déjà cette mésaventure, j'ai fais un scan avec FRST. Voici les liens des rapports :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160419_p15w8f9l12u9

ADDITION : https://pjjoint.malekal.com/files.php?id=20160419_d11l15h7c13n7

SHORTCUT : https://pjjoint.malekal.com/files.php?id=20160419_t8c5g12w11t7

Merci beaucoup.
A voir également:

4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 avril 2016 à 16:38
Salut,

Rapports corrects, faut nettoyer ta clef.


1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


1
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016
22 avril 2016 à 12:55
Bonjour,

Voici le rapport :

Rem-VBSworm v7.0

=========== - General info:

Running under: Robinson on profile: C:\Users\Robinson
Computer name: ROBINSONVOYAGE

Operating System:
Microsoft Windows 8

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender


Executed on: 21/04/2016 @ 1:11:51,57

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local Acer

D: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume22 FAT

=========== - Disinfection info:


=========== - USB drive info:

D:: selected

USB Device ID:
SD\DISK&VID_15&OID_0000&PID_MBG4GC&REV_0.3\4&25E573DA&0&1D5AB879

USBSTOR\DISK&VEN_SCSIDISK&PROD_SCSI_DISK_1234&REV_1.00\2013030121390780000015DF&0




Listing root contents of D::
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 24A8-D840

R‚pertoire de D:\


USB drive disinfected and files unhidden!!
0
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016
20 avril 2016 à 11:18
Bonjour,

Merci beaucoup pour ta réponse.

Voici le rapport :

Rem-VBSworm v7.0

=========== - General info:

Running under: Robinson on profile: C:\Users\Robinson
Computer name: ROBINSONVOYAGE

Operating System:
Microsoft Windows 8

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender


Executed on: 20/04/2016 @ 11:13:34,92

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local Acer




Physical drives information:
C: \Device\HarddiskVolume4 NTFS

=========== - Disinfection info:


=========== - USB drive info:

D:\: selected

USB Device ID:
SD\DISK&VID_15&OID_0000&PID_MBG4GC&REV_0.3\4&25E573DA&0&1D5AB879

USBSTOR\DISK&VEN_SCSIDISK&PROD_SCSI_DISK_1234&REV_1.00\2013030121390780000015DF&0




Listing root contents of D:\:
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 24A8-D840

R‚pertoire de D:\


USB drive disinfected and files unhidden!!

=========== - USB drive info:

C:\: selected

USB Device ID:
SD\DISK&VID_15&OID_0000&PID_MBG4GC&REV_0.3\4&25E573DA&0&1D5AB879

USBSTOR\DISK&VEN_SCSIDISK&PROD_SCSI_DISK_1234&REV_1.00\2013030121390780000015DF&0




Listing root contents of C:\:
Le volume dans le lecteur C s'appelle Acer
Le num‚ro de s‚rie du volume est A69C-ADB4

R‚pertoire de C:\


USB drive disinfected and files unhidden!!

=====================================================
Scan finished at: 11:16:59,25
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 avril 2016 à 11:27
heu tu as fait le scan sur quel lecteur là ?
C ?
Tu es censé indiquer le lecteur de ta clef USB en ayant branchée celle-ci.
0
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
21 avril 2016 à 00:27
J'avais bien indiqué D:\ après avoir branché la clé USB...
0
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
21 avril 2016 à 00:31
Je viens de réessayer, il ne se passe rien, il n'y a même pas de rapport créé cette fois-ci.
Aurais-je fais quelque chose qui ne fallait pas ?
0
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
21 avril 2016 à 01:14
Re !

Nouvelle tentative en inscrivant seulement "D:"

Voici le rapport :

Rem-VBSworm v7.0

=========== - General info:

Running under: Robinson on profile: C:\Users\Robinson
Computer name: ROBINSONVOYAGE

Operating System:
Microsoft Windows 8

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender


Executed on: 21/04/2016 @ 1:11:51,57

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local Acer

D: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume22 FAT

=========== - Disinfection info:


=========== - USB drive info:

D:: selected

USB Device ID:
SD\DISK&VID_15&OID_0000&PID_MBG4GC&REV_0.3\4&25E573DA&0&1D5AB879

USBSTOR\DISK&VEN_SCSIDISK&PROD_SCSI_DISK_1234&REV_1.00\2013030121390780000015DF&0




Listing root contents of D::
Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 24A8-D840

R‚pertoire de D:\


USB drive disinfected and files unhidden!!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 avril 2016 à 13:39
Au niveau du contenu de la clef, c'est bon ?


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

0
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016
25 avril 2016 à 00:45
Bonjour,

Marmiton est installé.

Pour ce qui est de la clé, je n'arrive pas à récupérer les données qui ont été transformées en raccourcis (il n'y a qu'un raccourcis qui porte le nom de SYTEM VOLUME INFORMATION). En revanche, lorsque je mets de nouvelles données dessus, celles-ci restent tel quel et sont accessible. Ais-je perdu les données transformées en raccourcis ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
25 avril 2016 à 08:30
oui manifestement ta clef est vide.
Faudrait tenter un logiciel de récupération de fichiers dessus.
0
Railway_ Messages postés 18 Date d'inscription lundi 25 novembre 2013 Statut Membre Dernière intervention 25 avril 2016
25 avril 2016 à 17:23
J'ai des copies de toute mes données sur mes disques durs externes (qui n'ont pas étés infectés), je ne les ais donc pas perdus.

Mais selon toi, ma clé est-elle encore infectée ?
Puis-je connecter d'autres clés USB ou disque durs externes sur les ports USB de mon ordi ?

Merci beaucoup pour ton aide.
0