Sujet Précédent Sujet Suivant

Virus Clé USB et bureau

Fermé
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017 - 10 juin 2017 à 09:41
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017 - 10 juin 2017 à 17:57
Bonjour,
Après avoir prêté ma clé à une amie, j'ai retrouvé 4 dossiers "new folder" "nouveau dossier" , un autre avec mon prénom, et un dernier. Voulant vérifier ce qu'il y avait dedans avant de les supprimer j'ai double cliqué sur l'un d'entre eux... erreur ! Je me suis rendu compte qu'il s'agissait de raccourcis. Depuis, deux icônes "internet explorer" et "google chrome" apparaissent sur mon bureau. Soit les raccourcis de la clé, soit les icônes de bureau réapparaissent quelque temps après leur suppression.
En cherchant sur les forums, j'ai essayé USBfix, adwcleaner et Malwarebytes, sans succès.
Avez-vous une idée ?
A voir également:

3 réponses

Réponse 1 / 3
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
10 juin 2017 à 09:48
Petite précision, après avoir "nettoyé" USB fix ma clé USB, les raccoucis se sont transformés en trois fichier .rar: "Skype.rar", "Vlc.rar", "Vlce.rar" et un autre fichier sans extension "07".
0
Réponse 2 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
10 juin 2017 à 12:23
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
10 juin 2017 à 12:35
Merci,
Voici les liens:
https://pjjoint.malekal.com/files.php?id=FRST_20170610_w9l1513y6e5
https://pjjoint.malekal.com/files.php?id=20170610_l12u9k10c5s6
https://pjjoint.malekal.com/files.php?id=20170610_o15z9v12l9b5
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
Modifié le 10 juin 2017 à 12:54
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Geoffroy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpGeoffroy.lnk [2017-06-10]
Startup: C:\Users\Geoffroy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualGeoffroy.lnk [2017-06-10]
2017-06-09 11:06 - 2017-06-09 11:06 - 00000000 ____D C:\Geoffroy
ShortcutWithArgument: C:\Users\Geoffroy\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://chercheztout.com/tram/120
ShortcutWithArgument: C:\Users\Geoffroy\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
ShortcutWithArgument: C:\Users\Geoffroy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

~~
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
10 juin 2017 à 13:16
Dois-je faire tout cela en laissant ma clé usb infectée sur le port usb ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651 > geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
10 juin 2017 à 13:17
oui cela devrait la nettoyer.
0
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
10 juin 2017 à 14:59
C'est fait. Les fichier ".rar" sont encore présent dans ma clé, et un dossier "System volume information" y a été créé. Les icones IE et Chromes sont encore sur mon bureau. Voici le rapport:
Rem-VBSworm v8.0

=========== - General info:

Running under: Geoffroy on profile: C:\Users\Geoffroy
Computer name: PC-GEOFFROY

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Avast Antivirus

Windows Defender


Executed on: 10/06/2017 @ 14:56:54.41

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local OS

D: Disque mont‚ local DATA

E: Disque CD-ROM

H: Disque amovible GEO 8G BLEU




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume7 NTFS
H: \Device\HarddiskVolume9 FAT

=========== - Disinfection info:


=========== - USB drive info:

h: selected

USB Device ID:
USBSTOR\DISK&VEN_UFD_2.0&PROD_SILICON-POWER8G&REV_PMAP\12040194059E60024B604178745&0

SCSI\DISK&VEN_HITACHI&PROD_HTS547575A9E384\4&128ED900&0&000000




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of h:
Le volume dans le lecteur H s'appelle GEO 8G BLEU
Le num‚ro de s‚rie du volume est A497-8F4B

R‚pertoire de H:\

19/08/2004 19:10 126ÿ976 07
03/11/2015 14:50 716 Vlc.rar
03/11/2015 14:50 794 Vlce.rar
03/11/2015 15:42 26ÿ135 Skype.rar
09/06/2017 22:22 3ÿ269ÿ396 LivretR‚habiliterlesmaisonsordinairesDrac 2012 - 3Mo.pdf
10/06/2017 14:55 <DIR> Autorun.inf
5 fichier(s) 3ÿ424ÿ017 octets
2 R‚p(s) 7ÿ723ÿ761ÿ664 octets libres

USB drive disinfected and files unhidden!!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651 > geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
Modifié le 10 juin 2017 à 17:40
Supprime ces fichiers du lecteur H :
Vlc.rar
Vlce.rar
Skype.rar
0
geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017 > geoffroybracq Messages postés 8 Date d'inscription samedi 10 juin 2017 Statut Membre Dernière intervention 10 juin 2017
10 juin 2017 à 17:40
Une idée ? Est-ce que ça risque de détruire des fichier sur mon PC ?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment télécharger de la musique sur une clé USB ?
kuperminc -
Hurbain -

5 réponses