Fichiers de Cles usb remplaces a la source par un raccourcis Fermé

Question

Tout d'abord Bien  l'bonjour oubien l'bonsoir, comme dirait l'autre Tout depend d'ou tu pose ton...referentiel :0))) Tout en approchant gentillement l'hiver, je vous ecris de loins et de tres haut c est a dire La Paz, BOLIVIE, a pres de  4900m Alt. et avec 6h de moins que la contree du Liechtenstein pour n'en nominer qu'une.

Alors SVP on m excusera les accents, les apeaustrophes etc les phauttes daurtograffe, ici ya moins d oxygenes, voila le pourquoi...hehe 

Mesdames Messieurs les specialistes , vous aurez surement compris mon probleme .... je suis infecté (oh un accents recidiviste..) par je ne sais pas quoi qui m effaces me cache  et me range derriere des raccourcis tous mes mes fichiers present sur mes CLES USB, un pti coup de pouce serait plus que l'bien v'nu.

qq explication en images







Voili voila en remerciant d avance du temps consacre a mon mechant soucis.

kill them All.

Merci [=

Malekal_morte- · Answer

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

bon ton ordinateur est super infecté. Il y a des adwares et aussi deux trojans dont un Trojan FileLess. Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran]. Ouvre le bloc-notes : Touche Windows + R, Dans le champs "Exécuter", saisir notepad et OK. Copie/Colle dedans ce qui suit : CreateRestorePoint:CloseProcesses: HKU\S-1-5-21-3537128272-856611345-152970916-1001\...\Run: [{9A563B29-6BA6-4CEB-87D6-844BA6FC9D67}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\LQXBEZD').HNSDDGQZA))); HKU\S-1-5-21-3537128272-856611345-152970916-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msrvercu.exe <===== ATTENTION AutoConfigURL: [S-1-5-21-3537128272-856611345-152970916-1001] => hxxp://un-stop.net/wpad.dat?84a584585c665a4f3d3e846ef25a97267893399 [Pays US - 50.7.181.18] ManualProxies: 0hxxp://un-stop.net/wpad.dat?84a584585c665a4f3d3e846ef25a97267893399 [Pays US - 50.7.181.18] 2016-04-19 18:17 - 2016-04-19 18:17 - 00000000 ____D C:\Users\Guest\AppData\Roaming\SpringFiles 2016-03-24 06:19 - 2016-04-14 13:28 - 00000000 ____D C:\Users\Pietro Paolo Ghini\AppData\Roaming\TSv 2016-03-24 06:19 - 2016-03-24 06:20 - 00000000 ____D C:\ProgramData\eWdMe 2016-03-24 06:19 - 2016-03-24 06:19 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2016-03-24 06:18 - 2016-03-24 06:20 - 00000072 _____ C:\Windows\SysWOW64\123.html 2016-03-24 06:18 - 2016-03-24 06:18 - 00000000 ____D C:\Windows\SysWOW64\_tWm 2016-03-21 02:00 - 2016-03-21 02:00 - 00001877 _____ C:\Users\Pietro Paolo Ghini\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SprgFiles.lnk 2016-03-21 02:00 - 2016-03-21 01:46 - 00001865 _____ C:\Users\Pietro Paolo Ghini\Desktop\SprgFiles.lnk 2016-03-21 01:47 - 2016-04-17 23:15 - 00000000 ____D C:\ProgramData\boost_interprocess 2016-03-21 01:46 - 2016-05-02 12:12 - 00000000 ____D C:\Program Files (x86)\SprgFiles 2016-03-21 01:46 - 2016-04-14 10:51 - 00000000 ____D C:\Program Files (x86)\LuckyBrowse 2016-03-21 01:46 - 2016-03-21 01:47 - 00000000 ____D C:\Users\Pietro Paolo Ghini\AppData\Roaming\SpringFiles 2016-03-21 01:46 - 2016-03-21 01:46 - 00003086 _____ C:\Windows\System32\Tasks\LuckyBrowse 2016-03-21 01:46 - 2016-03-21 01:46 - 00001865 _____ C:\Users\Public\Desktop\SprgFiles.lnk 2016-03-21 01:46 - 2016-03-21 01:46 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\SprgFiles 2016-03-21 01:46 - 2016-03-21 01:46 - 00000000 ____D C:\ProgramData\LuckyBrowse 2016-03-11 22:42 - 2016-05-03 05:29 - 00000000 ____D C:\Ipod8G to pc TuneAid 2016-03-11 01:24 - 2016-04-20 10:49 - 00000000 ____D C:\Users\Pietro Paolo Ghini\AppData\Roaming\TuneAid Task: {D1C465E6-55B1-4226-8876-0B29A302B5E0} - System32\Tasks\LuckyBrowse => C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe <==== ATTENTIONShortcutWithArgument: C:\Users\Pietro Paolo Ghini\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0bShortcutWithArgument: C:\Users\Pietro Paolo Ghini\Desktop\Persona 1 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0bShortcutWithArgument: C:\Users\Pietro Paolo Ghini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0bShortcutWithArgument: C:\Users\Pietro Paolo Ghini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0bShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0bShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0bShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?uid=aeccdee9-6693-4451-a5fe-cfeb73869f0breg: reg delete "HKCU:\Software\Classes\LQXBEZD" 2015-09-07 20:45 - 2015-09-07 20:45 - 0000000 _____ () C:\Users\Pietro Paolo Ghini\AppData\Local\{30074B53-B309-4B6E-8F60-312D8F5339B2} 2015-05-15 00:33 - 2015-05-15 00:33 - 0000000 _____ () C:\Users\Pietro Paolo Ghini\AppData\Local\{A8DC716B-4600-4CCA-98E5-1D94ED7A246A} 2011-10-23 09:04 - 2011-10-23 09:04 - 0000000 _____ () C:\Users\Pietro Paolo Ghini\AppData\Local\{FE86F3D1-4AEE-450B-AAF9-5E9550626650} 2009-12-21 07:26 - 2009-12-21 07:26 - 0000056 ____H () C:\ProgramData\ezsidmv.dat 2009-11-29 19:17 - 2009-09-10 13:06 - 0131368 _____ () C:\ProgramData\FullRemove.exe 2011-01-09 07:18 - 2011-01-10 06:40 - 0012112 _____ () C:\ProgramData\hpzinstall.log 2010-06-25 17:47 - 2010-07-06 11:00 - 0000193 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.64.bc 2011-05-08 14:54 - 2010-11-20 08:17 - 88580864 ___SH () C:\ProgramData\msrvercu.exe 2016-03-24 06:19 - 2016-03-24 06:19 - 0000074 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat EmptyTemp:RemoveProxy:Reboot: Une fois, le texte collé dans le Bloc-notes, Menu "Fichier" puis "Enregistrer sous", A gauche, place toi sur le Bureau, Dans le champs en bas, nom du fichier mets : fixlist.txt Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau. Relance FRST et clique sur le bouton "Corriger / Fix" Un redémarrage sera peut-être nécessaire ( pas obligatoire ) Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur. 2°) Réinitialise manuellement tes navigateurs : Réinitialiser et réparer Mozilla Firefox Réinitialiser et réparer Google Chrome Réinitialiser et réparer Internet Explorer 3°) Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows ) En plus il se charge au démarrage, ce qui peut ralentir le démarrage. Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires. Refais un scan FRST et donne les rapports via pjjoint. Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

Supprime C:\Users\Pietro Paolo Ghini\AppData\Roaming\SpringFiles  
Désinstalle FileSeeker.


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc). 

~~

 Télécharger Remediate VBS Worm
 Lancer l'option B
 Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]

 Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Fichiers de Cles usb remplaces a la source par un raccourcis

3 réponses

Discussions similaires