Clé USB infectée par des raccourcis [Résolu/Fermé]

Signaler
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016
-
Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020
-
Bonjour,
J'ai donc une, voire deux clés USB infectées.
Ayant lu précédemment vos réponses sur le forum, concernant un autre utilisateur, j'ai suivi la procédure indiquée, et il ne me reste plus qu'à poster mes rapports via pjjoint.
Dois-je attendre une réponse préalable de votre part?
Merci.



4 réponses

Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020
21 044
Bonjour,

Tout à fait.
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016

Je pense avoir posté les 3 liens émis par pjjoints???
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016

Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020
21 044
Donne tous les rapports et ne créés pas de nouveaux sujets stp.
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016
>
Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020

Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016
>
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016

Rem-VBSworm v8.0

=========== - General info:

Running under: Bernard on profile: C:\Users\Bernard
Computer name: NARB

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

avast! Antivirus


Executed on: 25/08/2016 @ 18:05:14,76

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local OS

D: Disque mont‚ local DATA

E: Disque CD-ROM

F: Disque amovible NAR'B!

G: Disque CD-ROM U3 System

H: Disque amovible

I: Disque mont‚ local SAMSUNG




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume6 NTFS
F: \Device\HarddiskVolume13 FAT
H: \Device\HarddiskVolume14 FAT
G: \Device\CdRom1 CDFS
I: \Device\HarddiskVolume15 NTFS

=========== - Disinfection info:


=========== - USB drive info:

H: selected

USB Device ID:
SCSI\DISK&VEN_ATA&PROD_WDC_WD5000LPVX-8\4&1038A42F&0&000000

USBSTOR\DISK&VEN_USBDISK&PROD_RUNDISK&REV_1.00\0602141251312&0

SCSI\DISK&VEN_ATA&PROD_SANDISK_SSD_U100\4&1038A42F&0&010000

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01\026670112402CA90&0

USBSTOR\DISK&VEN_SAMSUNG&PROD_S2_PORTABLE&REV_2AR1\00000011E09310500352&0




Fichier supprim‚ - H:\System Volume Information.lnk
Fichier supprim‚ - H:\sources\etwproviders\etwproviderinstall.vbs
Fichier supprim‚ - H:\support\logging\etwproviderinstall.vbs
Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020
21 044 >
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016

y a du mieux ?
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016
>
Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016

Rem-VBSworm v8.0

=========== - General info:

Running under: Bernard on profile: C:\Users\Bernard
Computer name: NARB

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

avast! Antivirus


Executed on: 25/08/2016 @ 18:14:30,45

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local OS

D: Disque mont‚ local DATA

E: Disque CD-ROM

F: Disque amovible NAR'B!

G: Disque CD-ROM U3 System

H: Disque amovible

I: Disque mont‚ local SAMSUNG




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume6 NTFS
F: \Device\HarddiskVolume13 FAT
H: \Device\HarddiskVolume14 FAT
G: \Device\CdRom1 CDFS
I: \Device\HarddiskVolume15 NTFS

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
SCSI\DISK&VEN_ATA&PROD_WDC_WD5000LPVX-8\4&1038A42F&0&000000

USBSTOR\DISK&VEN_USBDISK&PROD_RUNDISK&REV_1.00\0602141251312&0

SCSI\DISK&VEN_ATA&PROD_SANDISK_SSD_U100\4&1038A42F&0&010000

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01\026670112402CA90&0

USBSTOR\DISK&VEN_SAMSUNG&PROD_S2_PORTABLE&REV_2AR1\00000011E09310500352&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F s'appelle NAR'B!
Le num‚ro de s‚rie du volume est 685F-77C4

R‚pertoire de F:\

28/08/2007 11:25 423ÿ736 avgarkt-setup-1.1.0.42.exe
22/04/2009 12:08 82 ._Fiches techniques - Le Prisme.pdf
16/09/2009 13:44 4ÿ096 ._pour Narbe
30/11/2009 22:55 4ÿ468ÿ390 Guide pour Wysiwyg 11 - Daniel Rouiller protec2.pdf
13/09/2010 13:45 102ÿ035 chrono.pdf
13/09/2010 14:08 <DIR> .Trashes
13/09/2010 14:08 4ÿ096 ._.Trashes
15/10/2010 11:00 4ÿ096 ._conditionnement.doc
27/03/2012 12:21 4ÿ096 ._pratos.pdf
20/03/2013 11:18 <DIR> .de0206.000
07/05/2013 19:29 <DIR> .Spotlight-V100
26/06/2013 14:15 <DIR> conduites ascii
15/01/2014 13:05 <DIR> conduites doc
26/03/2014 08:48 <DIR> … imprimer
03/10/2014 15:18 5ÿ294ÿ304 zadig_2.1.0.exe
27/10/2015 15:50 <DIR> FT CDN
14/11/2015 16:27 264 .apdisk
05/12/2015 17:32 4ÿ096 ._comment on freine 1.pptx
09/02/2016 16:07 1ÿ579ÿ550 DLight-manuel.pdf
03/03/2016 13:05 4ÿ096 ._Planning Nar'b! 2015_16.xls
05/03/2016 16:33 <DIR> DLight3.0.24
19/03/2016 13:56 5ÿ888 a.asc
08/04/2016 10:18 4ÿ096 ._ETUDE LUX RAVEL-Plan 1-100.pdf
08/04/2016 10:18 4ÿ096 ._ETUDE LUX RAVEL-Coupe 1-50.pdf
08/04/2016 10:18 4ÿ096 ._ETUDE LUX RAVEL-Plan 1-50.pdf
20/04/2016 19:29 27ÿ221 ravel mercredi 20-04.asc
20/04/2016 19:30 185ÿ011 ravel 20-04.ppl
20/04/2016 19:34 <DIR> Ravel
23/04/2016 16:29 27ÿ627 ravel 23-04-16.asc
23/04/2016 16:30 186ÿ045 ravel 23-04-16.ppl
19/05/2016 00:23 3ÿ082ÿ349 5 Un anno d'amore-Mina.mp3
19/05/2016 00:32 2ÿ961ÿ398 1 Patty Pravo - La bambola - 1968.mp3
23/05/2016 08:11 22ÿ627ÿ752 3 Mina - NON CREDERE Raccourci 2.wav
03/06/2016 18:01 36ÿ956 pret materiel.xlsx
06/06/2016 13:17 3ÿ060ÿ455 4 Dalida - Bang bang (avec choeur) Karaoke 16.mp3
07/06/2016 15:40 4ÿ096 ._pret materiel.xlsx
08/06/2016 14:46 26ÿ265ÿ644 2 24.000 Baci.wav
08/06/2016 15:08 4ÿ096 ._2 24.000 Baci.wav
09/06/2016 13:04 275ÿ330ÿ852 Montage berenice normalise_final.wav
25/08/2016 18:02 <DIR> Autorun.inf
30 fichier(s) 345ÿ710ÿ615 octets
11 R‚p(s) 115ÿ752ÿ960 octets libres

USB drive disinfected and files unhidden!!
Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020
21 044
Pas infecté,

si tu veux nettoyer les clefs utilise Remediate VBS.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

~~

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

Messages postés
9
Date d'inscription
mardi 12 mars 2013
Statut
Membre
Dernière intervention
25 août 2016

Apparemment tout est OK désormais, grâce à vos conseils.
Merci infiniment.
Messages postés
178422
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 mai 2020
21 044
Super =)