Clef USB infectée : tout apparaît en raccourcis
Résolu/Fermé
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
-
25 avril 2016 à 18:00
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 avril 2016 à 12:07
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 avril 2016 à 12:07
A voir également:
- Clef USB infectée : tout apparaît en raccourcis
- Cle usb non reconnu - Guide
- Medicat usb - Guide
- Formater clef usb - Guide
- Cle usb bootable - Guide
- Nettoyer port usb c - Guide
7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
25 avril 2016 à 18:02
25 avril 2016 à 18:02
Salut
je regarde cela.
--
je regarde cela.
--
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié par Malekal_morte- le 25/04/2016 à 18:31
Modifié par Malekal_morte- le 25/04/2016 à 18:31
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
~~
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
Démarre Rem-VBS.
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !/color
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Veuillez appuyer sur une touche pour continuer la désinfection...
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4122244407-1677882124-2242651390-1001\...\Run: [Microsoft Word] => wscript.exe //B C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF
HKLM\...\Run: [Microsoft Word] => wscript.exe //B C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF
2016-04-15 15:47 - 2016-04-15 15:47 - 00000000 ____D C:\Users\Xavier\AppData\Roaming\Microsoft Office
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
~~
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
- Télécharger Remediate VBS Worm
Démarre Rem-VBS.
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !/color
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Veuillez appuyer sur une touche pour continuer la désinfection...
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
25 avril 2016 à 18:56
25 avril 2016 à 18:56
Merci beaucoup ci dessous le rapport :
Rem-VBSworm v7.0
=========== - General info:
Running under: Xavier on profile: C:\Users\Xavier
Computer name: XAVIER
Operating System:
Microsoft Windows 8.1
Boot Mode:
Normal boot
Antivirus software installed:
Avira Antivirus
Windows Defender
Executed on: 25/04/2016 @ 18:53:25,78
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Local Fixed Disk TI31200600A
D: CD-ROM Disc
F: Removable Disk USB DISK
Physical drives information:
C: \Device\HarddiskVolume4 NTFS
F: \Device\HarddiskVolume6 FAT
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
USBSTOR\DISK&VEN_USB&PROD_FLASH_DISK&REV_1100\1409032440020645&0
USBSTOR\DISK&VEN_SCSI&PROD_DISK&REV_1.00\6&D6A7B3A&3
SCSI\DISK&VEN_TOSHIBA&PROD_MQ01ABD100\4&259BEB81&0&000000
Fichier supprim‚ - F:\201603_R‚conciliation_Pointages_R‚ceptions- Consignes.lnk
Fichier supprim‚ - F:\20160407_ING_Plan_d'action_V0 2_xbi.lnk
Fichier supprim‚ - F:\~$CF23 DU 19 JANVIER 2015 .lnk
Fichier supprim‚ - F:\~$201411_ActionComFo_PortailD‚cision.lnk
Fichier supprim‚ - F:\affaire non port‚e.lnk
Fichier supprim‚ - F:\ING Karina.lnk
Fichier supprim‚ - F:\.Trashes.lnk
Fichier supprim‚ - F:\affaires non port‚es.lnk
Fichier supprim‚ - F:\Archives.lnk
Fichier supprim‚ - F:\.fseventsd.lnk
Fichier supprim‚ - F:\FOUND.000.lnk
Fichier supprim‚ - F:\System Volume Information.lnk
Fichier supprim‚ - F:\.Spotlight-V100.lnk
Fichier supprim‚ - F:\Admin.lnk
Fichier supprim‚ - F:\20160321_REX affaires_RNM Concorde.lnk
Fichier supprim‚ - F:\FOUND.001.lnk
Fichier supprim‚ - F:\~$20160321_REX affaires_RNM Concorde.lnk
Fichier supprim‚ - F:\REX Client CR client envoy‚.lnk
Fichier supprim‚ - F:\201603_R‚conciliation STF_RS_vf.lnk
Fichier supprim‚ - F:\201603_R‚conciliation OIT_ASO_vf.lnk
Fichier supprim‚ - F:\20160421_R‚conciliation_Pointages_R‚ceptions.lnk
Fichier supprim‚ - F:\20160421_R‚conciliation_Pointages_R‚ceptions.lnk
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
R‚pertoire de F:\
17/11/2014 10:04 165 ~$201411_ActionComFo_PortailD‚cision.xlsx
19/01/2015 09:53 165 ~$CF23 DU 19 JANVIER 2015 .xls.xlsx
04/03/2015 10:54 <DIR> FOUND.000
29/04/2015 12:36 120ÿ659 Microsoft Word.WsF
14/12/2015 11:05 <DIR> .Spotlight-V100
14/12/2015 11:05 <DIR> .fseventsd
14/12/2015 11:05 <DIR> .Trashes
15/02/2016 09:55 <DIR> ING Karina
25/03/2016 10:01 <DIR> affaires non port‚es
25/03/2016 10:01 <DIR> Archives
31/03/2016 11:16 <DIR> affaire non port‚e
11/04/2016 09:52 <DIR> Admin
14/04/2016 09:16 445ÿ740 201603_R‚conciliation_Pointages_R‚ceptions- Consignes.pdf
14/04/2016 16:27 381ÿ320 20160407_ING_Plan_d'action_V0 2_xbi.pdf
15/04/2016 15:51 109ÿ554 20160321_REX affaires_RNM Concorde.pdf
21/04/2016 11:38 <DIR> FOUND.001
21/04/2016 11:41 <DIR> REX Client CR client envoy‚
21/04/2016 16:02 438ÿ639 20160421_R‚conciliation_Pointages_R‚ceptions.pdf
21/04/2016 16:09 63ÿ548 201603_R‚conciliation OIT_ASO_vf.pdf
21/04/2016 16:12 58ÿ687 201603_R‚conciliation STF_RS_vf.pdf
21/04/2016 16:13 0 20160421_R‚conciliation_Pointages_R‚ceptions.lnk
11 fichier(s) 1ÿ622ÿ573 octets
11 R‚p(s) 628ÿ195ÿ328 octets libres
USB drive disinfected and files unhidden!!
Rem-VBSworm v7.0
=========== - General info:
Running under: Xavier on profile: C:\Users\Xavier
Computer name: XAVIER
Operating System:
Microsoft Windows 8.1
Boot Mode:
Normal boot
Antivirus software installed:
Avira Antivirus
Windows Defender
Executed on: 25/04/2016 @ 18:53:25,78
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Local Fixed Disk TI31200600A
D: CD-ROM Disc
F: Removable Disk USB DISK
Physical drives information:
C: \Device\HarddiskVolume4 NTFS
F: \Device\HarddiskVolume6 FAT
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
USBSTOR\DISK&VEN_USB&PROD_FLASH_DISK&REV_1100\1409032440020645&0
USBSTOR\DISK&VEN_SCSI&PROD_DISK&REV_1.00\6&D6A7B3A&3
SCSI\DISK&VEN_TOSHIBA&PROD_MQ01ABD100\4&259BEB81&0&000000
Fichier supprim‚ - F:\201603_R‚conciliation_Pointages_R‚ceptions- Consignes.lnk
Fichier supprim‚ - F:\20160407_ING_Plan_d'action_V0 2_xbi.lnk
Fichier supprim‚ - F:\~$CF23 DU 19 JANVIER 2015 .lnk
Fichier supprim‚ - F:\~$201411_ActionComFo_PortailD‚cision.lnk
Fichier supprim‚ - F:\affaire non port‚e.lnk
Fichier supprim‚ - F:\ING Karina.lnk
Fichier supprim‚ - F:\.Trashes.lnk
Fichier supprim‚ - F:\affaires non port‚es.lnk
Fichier supprim‚ - F:\Archives.lnk
Fichier supprim‚ - F:\.fseventsd.lnk
Fichier supprim‚ - F:\FOUND.000.lnk
Fichier supprim‚ - F:\System Volume Information.lnk
Fichier supprim‚ - F:\.Spotlight-V100.lnk
Fichier supprim‚ - F:\Admin.lnk
Fichier supprim‚ - F:\20160321_REX affaires_RNM Concorde.lnk
Fichier supprim‚ - F:\FOUND.001.lnk
Fichier supprim‚ - F:\~$20160321_REX affaires_RNM Concorde.lnk
Fichier supprim‚ - F:\REX Client CR client envoy‚.lnk
Fichier supprim‚ - F:\201603_R‚conciliation STF_RS_vf.lnk
Fichier supprim‚ - F:\201603_R‚conciliation OIT_ASO_vf.lnk
Fichier supprim‚ - F:\20160421_R‚conciliation_Pointages_R‚ceptions.lnk
Fichier supprim‚ - F:\20160421_R‚conciliation_Pointages_R‚ceptions.lnk
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
R‚pertoire de F:\
17/11/2014 10:04 165 ~$201411_ActionComFo_PortailD‚cision.xlsx
19/01/2015 09:53 165 ~$CF23 DU 19 JANVIER 2015 .xls.xlsx
04/03/2015 10:54 <DIR> FOUND.000
29/04/2015 12:36 120ÿ659 Microsoft Word.WsF
14/12/2015 11:05 <DIR> .Spotlight-V100
14/12/2015 11:05 <DIR> .fseventsd
14/12/2015 11:05 <DIR> .Trashes
15/02/2016 09:55 <DIR> ING Karina
25/03/2016 10:01 <DIR> affaires non port‚es
25/03/2016 10:01 <DIR> Archives
31/03/2016 11:16 <DIR> affaire non port‚e
11/04/2016 09:52 <DIR> Admin
14/04/2016 09:16 445ÿ740 201603_R‚conciliation_Pointages_R‚ceptions- Consignes.pdf
14/04/2016 16:27 381ÿ320 20160407_ING_Plan_d'action_V0 2_xbi.pdf
15/04/2016 15:51 109ÿ554 20160321_REX affaires_RNM Concorde.pdf
21/04/2016 11:38 <DIR> FOUND.001
21/04/2016 11:41 <DIR> REX Client CR client envoy‚
21/04/2016 16:02 438ÿ639 20160421_R‚conciliation_Pointages_R‚ceptions.pdf
21/04/2016 16:09 63ÿ548 201603_R‚conciliation OIT_ASO_vf.pdf
21/04/2016 16:12 58ÿ687 201603_R‚conciliation STF_RS_vf.pdf
21/04/2016 16:13 0 20160421_R‚conciliation_Pointages_R‚ceptions.lnk
11 fichier(s) 1ÿ622ÿ573 octets
11 R‚p(s) 628ÿ195ÿ328 octets libres
USB drive disinfected and files unhidden!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
25 avril 2016 à 19:56
25 avril 2016 à 19:56
Tu peux zipper le fichier Microsoft Word.WsF qui doit se trouver sur ta clef USB, puis envoie le sur http://upload.malekal.com
Tu peux ensuite le supprimer.
Tu peux ensuite le supprimer.
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
26 avril 2016 à 09:51
26 avril 2016 à 09:51
ps : l'upload ne fonctionne pas je réessaye ce soir
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
26 avril 2016 à 09:25
26 avril 2016 à 09:25
Parfait merci, cela refonctionne parfaitement sur les 3 clefs!
J'upload le fichier
Bonne journée
J'upload le fichier
Bonne journée
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
26 avril 2016 à 10:14
26 avril 2016 à 10:14
Merci reçu, c'est étonnant car il est super bien détecté, notamment par les gratuits dont Antivir, que tu as.
A moins que l'ordinateur n'avait pas d'antivirus et tu as mis Antivir après ?
SHA256: 78acbdbb2dcf29926bd6e0981b2ecb5c082464d53041d9d1adff2deacb89bb1f
Nom du fichier : Microsoft Word.WsF
Ratio de détection : 39 / 56
Date d'analyse : 2016-04-26 08:10:33 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.VBS.UFC 20160426
AVG Worm/Generic_c.DBF 20160426
AVware Worm.VBS.Autorun.b (v) 20160426
Ad-Aware Trojan.VBS.UFC 20160426
AhnLab-V3 VBS/Agent 20160425
Antiy-AVL Worm/VBS.Crypt.a 20160426
Arcabit Trojan.VBS.UFC 20160426
Avast VBS:AutoRun-DD [Trj] 20160426
Avira (no cloud) VBS/Woordeezy.11239 20160426
Baidu VBS.Trojan.Kryptik.k 20160422
BitDefender Trojan.VBS.UFC 20160426
CAT-QuickHeal VBS/TrojanWorm.CE 20160426
Comodo UnclassifiedMalware 20160426
DrWeb VBS.Worm.49 20160426
ESET-NOD32 VBS/Kryptik.EI 20160426
Emsisoft Trojan.VBS.UFC (B) 20160426
F-Secure Trojan.VBS.UFC 20160426
Fortinet VBS/Kryptik.EI!tr 20160425
GData Trojan.VBS.UFC 20160426
Ikarus Trojan.VBS.Crypt 20160426
Jiangmin KVBASE 20160426
K7AntiVirus Trojan ( 0001140e1 ) 20160425
K7GW Trojan ( 0001140e1 ) 20160426
Kaspersky Worm.VBS.Crypt.a 20160426
McAfee VBS/Autorun.worm 20160426
McAfee-GW-Edition VBS/Autorun.worm 20160426
eScan Trojan.VBS.UFC 20160426
Microsoft Worm:VBS/Pordeezy.A 20160426
NANO-Antivirus Trojan.Html.Crypt.dyxegb 20160426
Panda VBS/Autorun.IQH 20160425
Qihoo-360 virus.vbs.download.8 20160426
Rising Worm.Padon!8.72 (Shepherd) 20160426
Sophos VBS/Agent-AOAK 20160426
Symantec Trojan.Malscript 20160426
Tencent Vbs.Worm.Crypt.Dzkj 20160426
TrendMicro TROJ_FRS.0NA004GF15 20160426
TrendMicro-HouseCall VBS_OTORUN.IC 20160426
VIPRE Worm.VBS.Autorun.b (v) 20160426
nProtect Trojan.VBS.UFC 20160425
A moins que l'ordinateur n'avait pas d'antivirus et tu as mis Antivir après ?
SHA256: 78acbdbb2dcf29926bd6e0981b2ecb5c082464d53041d9d1adff2deacb89bb1f
Nom du fichier : Microsoft Word.WsF
Ratio de détection : 39 / 56
Date d'analyse : 2016-04-26 08:10:33 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.VBS.UFC 20160426
AVG Worm/Generic_c.DBF 20160426
AVware Worm.VBS.Autorun.b (v) 20160426
Ad-Aware Trojan.VBS.UFC 20160426
AhnLab-V3 VBS/Agent 20160425
Antiy-AVL Worm/VBS.Crypt.a 20160426
Arcabit Trojan.VBS.UFC 20160426
Avast VBS:AutoRun-DD [Trj] 20160426
Avira (no cloud) VBS/Woordeezy.11239 20160426
Baidu VBS.Trojan.Kryptik.k 20160422
BitDefender Trojan.VBS.UFC 20160426
CAT-QuickHeal VBS/TrojanWorm.CE 20160426
Comodo UnclassifiedMalware 20160426
DrWeb VBS.Worm.49 20160426
ESET-NOD32 VBS/Kryptik.EI 20160426
Emsisoft Trojan.VBS.UFC (B) 20160426
F-Secure Trojan.VBS.UFC 20160426
Fortinet VBS/Kryptik.EI!tr 20160425
GData Trojan.VBS.UFC 20160426
Ikarus Trojan.VBS.Crypt 20160426
Jiangmin KVBASE 20160426
K7AntiVirus Trojan ( 0001140e1 ) 20160425
K7GW Trojan ( 0001140e1 ) 20160426
Kaspersky Worm.VBS.Crypt.a 20160426
McAfee VBS/Autorun.worm 20160426
McAfee-GW-Edition VBS/Autorun.worm 20160426
eScan Trojan.VBS.UFC 20160426
Microsoft Worm:VBS/Pordeezy.A 20160426
NANO-Antivirus Trojan.Html.Crypt.dyxegb 20160426
Panda VBS/Autorun.IQH 20160425
Qihoo-360 virus.vbs.download.8 20160426
Rising Worm.Padon!8.72 (Shepherd) 20160426
Sophos VBS/Agent-AOAK 20160426
Symantec Trojan.Malscript 20160426
Tencent Vbs.Worm.Crypt.Dzkj 20160426
TrendMicro TROJ_FRS.0NA004GF15 20160426
TrendMicro-HouseCall VBS_OTORUN.IC 20160426
VIPRE Worm.VBS.Autorun.b (v) 20160426
nProtect Trojan.VBS.UFC 20160425
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
26 avril 2016 à 11:54
26 avril 2016 à 11:54
Non avira était installé sur le pc...!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
26 avril 2016 à 11:56
26 avril 2016 à 11:56
ok bizarre qu'il ne te l'ait pas détecté.
Il est bien à jour et marqué comme protégeant l'ordinateur ?
Il est bien à jour et marqué comme protégeant l'ordinateur ?
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
26 avril 2016 à 12:03
26 avril 2016 à 12:03
mis a jour en 09/2015 donc pas à jour, mais protection active oui
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
>
Tsquare
Messages postés
25
Date d'inscription
dimanche 21 décembre 2008
Statut
Membre
Dernière intervention
2 mai 2017
26 avril 2016 à 12:07
26 avril 2016 à 12:07
Mets tout à jour =)
