Clé USB infectée par des raccourcis

Résolu
narbzinho Messages postés 10 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai donc une, voire deux clés USB infectées.
Ayant lu précédemment vos réponses sur le forum, concernant un autre utilisateur, j'ai suivi la procédure indiquée, et il ne me reste plus qu'à poster mes rapports via pjjoint.
Dois-je attendre une réponse préalable de votre part?
Merci.

4 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bonjour,

    Tout à fait.
    0
    1. narbzinho Messages postés 10 Statut Membre
       
      Je pense avoir posté les 3 liens émis par pjjoints???
      0
  2. narbzinho Messages postés 10 Statut Membre
     
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Donne tous les rapports et ne créés pas de nouveaux sujets stp.
      0
      1. narbzinho Messages postés 10 Statut Membre > narbzinho Messages postés 10 Statut Membre
         
        Rem-VBSworm v8.0

        =========== - General info:

        Running under: Bernard on profile: C:\Users\Bernard
        Computer name: NARB

        Operating System:
        Microsoft Windows 10 Professionnel

        Boot Mode:
        Normal boot

        Antivirus software installed:
        Windows Defender

        avast! Antivirus


        Executed on: 25/08/2016 @ 18:05:14,76

        =========== - Drive info:

        Listing currently attached drives:
        Caption Description VolumeName

        C: Disque mont‚ local OS

        D: Disque mont‚ local DATA

        E: Disque CD-ROM

        F: Disque amovible NAR'B!

        G: Disque CD-ROM U3 System

        H: Disque amovible

        I: Disque mont‚ local SAMSUNG




        Physical drives information:
        C: \Device\HarddiskVolume4 NTFS
        D: \Device\HarddiskVolume6 NTFS
        F: \Device\HarddiskVolume13 FAT
        H: \Device\HarddiskVolume14 FAT
        G: \Device\CdRom1 CDFS
        I: \Device\HarddiskVolume15 NTFS

        =========== - Disinfection info:


        =========== - USB drive info:

        H: selected

        USB Device ID:
        SCSI\DISK&VEN_ATA&PROD_WDC_WD5000LPVX-8\4&1038A42F&0&000000

        USBSTOR\DISK&VEN_USBDISK&PROD_RUNDISK&REV_1.00\0602141251312&0

        SCSI\DISK&VEN_ATA&PROD_SANDISK_SSD_U100\4&1038A42F&0&010000

        USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01\026670112402CA90&0

        USBSTOR\DISK&VEN_SAMSUNG&PROD_S2_PORTABLE&REV_2AR1\00000011E09310500352&0




        Fichier supprim‚ - H:\System Volume Information.lnk
        Fichier supprim‚ - H:\sources\etwproviders\etwproviderinstall.vbs
        Fichier supprim‚ - H:\support\logging\etwproviderinstall.vbs
        0
      2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > narbzinho Messages postés 10 Statut Membre
         
        y a du mieux ?
        0
      3. narbzinho Messages postés 10 Statut Membre > narbzinho Messages postés 10 Statut Membre
         
        Rem-VBSworm v8.0

        =========== - General info:

        Running under: Bernard on profile: C:\Users\Bernard
        Computer name: NARB

        Operating System:
        Microsoft Windows 10 Professionnel

        Boot Mode:
        Normal boot

        Antivirus software installed:
        Windows Defender

        avast! Antivirus


        Executed on: 25/08/2016 @ 18:14:30,45

        =========== - Drive info:

        Listing currently attached drives:
        Caption Description VolumeName

        C: Disque mont‚ local OS

        D: Disque mont‚ local DATA

        E: Disque CD-ROM

        F: Disque amovible NAR'B!

        G: Disque CD-ROM U3 System

        H: Disque amovible

        I: Disque mont‚ local SAMSUNG




        Physical drives information:
        C: \Device\HarddiskVolume4 NTFS
        D: \Device\HarddiskVolume6 NTFS
        F: \Device\HarddiskVolume13 FAT
        H: \Device\HarddiskVolume14 FAT
        G: \Device\CdRom1 CDFS
        I: \Device\HarddiskVolume15 NTFS

        =========== - Disinfection info:


        =========== - USB drive info:

        F: selected

        USB Device ID:
        SCSI\DISK&VEN_ATA&PROD_WDC_WD5000LPVX-8\4&1038A42F&0&000000

        USBSTOR\DISK&VEN_USBDISK&PROD_RUNDISK&REV_1.00\0602141251312&0

        SCSI\DISK&VEN_ATA&PROD_SANDISK_SSD_U100\4&1038A42F&0&010000

        USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01\026670112402CA90&0

        USBSTOR\DISK&VEN_SAMSUNG&PROD_S2_PORTABLE&REV_2AR1\00000011E09310500352&0




        WARNING... Possible Andromeda/Gamarue infection...
        Listing root contents of F:
        Le volume dans le lecteur F s'appelle NAR'B!
        Le num‚ro de s‚rie du volume est 685F-77C4

        R‚pertoire de F:\

        28/08/2007 11:25 423ÿ736 avgarkt-setup-1.1.0.42.exe
        22/04/2009 12:08 82 ._Fiches techniques - Le Prisme.pdf
        16/09/2009 13:44 4ÿ096 ._pour Narbe
        30/11/2009 22:55 4ÿ468ÿ390 Guide pour Wysiwyg 11 - Daniel Rouiller protec2.pdf
        13/09/2010 13:45 102ÿ035 chrono.pdf
        13/09/2010 14:08 <DIR> .Trashes
        13/09/2010 14:08 4ÿ096 ._.Trashes
        15/10/2010 11:00 4ÿ096 ._conditionnement.doc
        27/03/2012 12:21 4ÿ096 ._pratos.pdf
        20/03/2013 11:18 <DIR> .de0206.000
        07/05/2013 19:29 <DIR> .Spotlight-V100
        26/06/2013 14:15 <DIR> conduites ascii
        15/01/2014 13:05 <DIR> conduites doc
        26/03/2014 08:48 <DIR> … imprimer
        03/10/2014 15:18 5ÿ294ÿ304 zadig_2.1.0.exe
        27/10/2015 15:50 <DIR> FT CDN
        14/11/2015 16:27 264 .apdisk
        05/12/2015 17:32 4ÿ096 ._comment on freine 1.pptx
        09/02/2016 16:07 1ÿ579ÿ550 DLight-manuel.pdf
        03/03/2016 13:05 4ÿ096 ._Planning Nar'b! 2015_16.xls
        05/03/2016 16:33 <DIR> DLight3.0.24
        19/03/2016 13:56 5ÿ888 a.asc
        08/04/2016 10:18 4ÿ096 ._ETUDE LUX RAVEL-Plan 1-100.pdf
        08/04/2016 10:18 4ÿ096 ._ETUDE LUX RAVEL-Coupe 1-50.pdf
        08/04/2016 10:18 4ÿ096 ._ETUDE LUX RAVEL-Plan 1-50.pdf
        20/04/2016 19:29 27ÿ221 ravel mercredi 20-04.asc
        20/04/2016 19:30 185ÿ011 ravel 20-04.ppl
        20/04/2016 19:34 <DIR> Ravel
        23/04/2016 16:29 27ÿ627 ravel 23-04-16.asc
        23/04/2016 16:30 186ÿ045 ravel 23-04-16.ppl
        19/05/2016 00:23 3ÿ082ÿ349 5 Un anno d'amore-Mina.mp3
        19/05/2016 00:32 2ÿ961ÿ398 1 Patty Pravo - La bambola - 1968.mp3
        23/05/2016 08:11 22ÿ627ÿ752 3 Mina - NON CREDERE Raccourci 2.wav
        03/06/2016 18:01 36ÿ956 pret materiel.xlsx
        06/06/2016 13:17 3ÿ060ÿ455 4 Dalida - Bang bang (avec choeur) Karaoke 16.mp3
        07/06/2016 15:40 4ÿ096 ._pret materiel.xlsx
        08/06/2016 14:46 26ÿ265ÿ644 2 24.000 Baci.wav
        08/06/2016 15:08 4ÿ096 ._2 24.000 Baci.wav
        09/06/2016 13:04 275ÿ330ÿ852 Montage berenice normalise_final.wav
        25/08/2016 18:02 <DIR> Autorun.inf
        30 fichier(s) 345ÿ710ÿ615 octets
        11 R‚p(s) 115ÿ752ÿ960 octets libres

        USB drive disinfected and files unhidden!!
        0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas infecté,

    si tu veux nettoyer les clefs utilise Remediate VBS.

    1°) Remediate VBS Worm

    1°) Brancher toutes les clefs USB et autres périphériques amovibles.
    • Télécharger Remediate VBS Worm
    • Lancer l'option B
    • Taper la lettre de la clef USB, par exemple, E et entrée

    [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    ~~

    Pour te protéger des infections amovibles type Wscript (Windows Script Host)
    Télécharger et installer Marmiton
    (le mot de passe est malekal)
    Clic sur Désactiver au niveau de Windows Script Host.
    Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

    0
    1. narbzinho Messages postés 10 Statut Membre
       
      Apparemment tout est OK désormais, grâce à vos conseils.
      Merci infiniment.
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Super =)
    0