Clé USB infecté

Résolu/Fermé
oiseau2nuit Messages postés 8 Date d'inscription samedi 16 avril 2011 Statut Membre Dernière intervention 2 mars 2020 - 9 nov. 2017 à 18:31
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 19 nov. 2017 à 19:28
Bonjour,
j'ai un gros problème avec les clés USB. Elles ont toutes un raccourci et je ne peux ouvrir aucun dossier. Après avoir consulté des forums j'ai effectué des analyses avec :
USB disk security
AVG
Roguekiller
Malwarebytes anti-Malware.
Tous me disent que mon ordi n'a aucun problème!!!! mais les clés sont toujours infectées. J'ai découvert dans mon dossier images un dossier "photo family" avec un raccourci et je pense que c'est le vecteur de virus. Quelqu'un peut-il m'aider à résoudre ce problème, je ne sais plus quel méthode utiliser.
Merci pour votre aide

7 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
9 nov. 2017 à 18:40
Salut,

Déjà pour voir si l'ordinateur est touché :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
oiseau2nuit Messages postés 8 Date d'inscription samedi 16 avril 2011 Statut Membre Dernière intervention 2 mars 2020
14 nov. 2017 à 20:31
Bonjour,
j'ai déjà essayé la semaine dernière q'envoyer les liens apparemment sans succès!
https://pjjoint.malekal.com/files.php?id=FRST_20171114_w10j9i109h5
j'espère que cette fois-çi ça ira!
Merci
0
Breizhux Messages postés 367 Date d'inscription vendredi 1 septembre 2017 Statut Membre Dernière intervention 17 novembre 2020 142
10 nov. 2017 à 17:06
Sinon, tu fais une copie de tes documents (sans ce qui sont louche...) puis tu reformate ta clé (fat 32 ou ntfs). Le mieux serai de réécrire des zéros partout... Je ne sais pas si c'est possible sous windaube !
Bonne journée !
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
10 nov. 2017 à 17:20
Si l'ordinateur est infecté, la clé usb sera aussitôt réinfectée...
et sinon formater en écrasant les données n'a aucun intérêt.
0
Breizhux Messages postés 367 Date d'inscription vendredi 1 septembre 2017 Statut Membre Dernière intervention 17 novembre 2020 142
10 nov. 2017 à 17:23
Comme il a dit dans son message plus haut... Son ordinateur n'est pas infecté.
Et écraser les données permet d'être sûr de ne laisser aucune trace d'un quelconque virus, et l'empêchera de manière certaine qu'il ne se réactive. Juste pour que la méthode soit la plus propre possible...
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582 > Breizhux Messages postés 367 Date d'inscription vendredi 1 septembre 2017 Statut Membre Dernière intervention 17 novembre 2020
10 nov. 2017 à 17:31
Les outils utilisées sont nazes pour détecter les infections amovibles.
Faut être sûr avec FRST.
0
Breizhux Messages postés 367 Date d'inscription vendredi 1 septembre 2017 Statut Membre Dernière intervention 17 novembre 2020 142
10 nov. 2017 à 17:44
Il n'y a aucun anti-virus de sûr :
https://www.leblogduhacker.fr/quel-est-vraiment-le-meilleur-antivirus/
ou
https://www.leblogduhacker.fr/pourquoi-les-antivirus-ne-sont-pas-vos-amis/

Après j'avous ne pas être un grand connaisseur sur les types d'anti virus... Je n'en utilise pas. Je suis sous linux et j'essais de faire tout le temps attention au opération que je fais, et j'ai très rarement des problèmes.

Je pense que le meilleur anti-virus est de faire toujours attention à ce que l'on fais.

Bonne journée !
0
Utilisateur anonyme > Breizhux Messages postés 367 Date d'inscription vendredi 1 septembre 2017 Statut Membre Dernière intervention 17 novembre 2020
Modifié le 10 nov. 2017 à 20:08
Bonjour,

Je me permet d'intervenir, car les 'tests' du site 'le blog du hacker' ne, pour moi, veulent rien dire...

Je m'explique:

On peut tous faire des tests de, allez, 10 virus de chaque types..Mais vers la fin ça ne nous avance pas trop... Je veux dire, çe n'est pas parce que tel ou tel antivirus n'as pas détecter tels virus qu'ils sont mauvais..;Pour avoir des résultats, il faudrait plutot faire:

-Des tests de virus d'une quantitée importante et dans des domaines différents(Des virus disponibles via un spam ou bien les virus s'attrapant en allant sur tel site ...ect) mais un nombre de fois élevé, puis représenter tout ça en faisant des comparatifs.

-Représenter les véritables détections en temps réel,également dans tous les domaines, mais çe ne sera pas des tests, les comparatifs se passeront selon des infections(bloqués ou non) en temps réelle, par tous les utilisateurs d'antivirus.

Et non en faisant des tests de 10 virus de chaque domaines grands max....Après cela reste mon avis(; J'ais donné ces deux exemples car Av-Tests et Av-Comparatives utilisent ces procédés.Après, il n'y a pas que Av-test et Av-Comparatives, le site Tom's guide avait déjà publié des résultats de test qui m'ont semblés trés complets.Mais, comme dit plus haut cela reste mon avis.



Quand au probléme initial, je suis sur que Malekal_Morte pourra donner des meilleurs solutions, mais si une clée usb vous semble suspectes, je vous conseille de consulter cette page: https://forums.commentcamarche.net/forum/affich-37636394-desinfecter-une-cle-usb-ou-un-disque-amovible (:

Amicalement

-Kragenskul
0
oiseau2nuit
12 nov. 2017 à 18:35
bonjour, apparemment mon problème a pu être réglé avec Remediate VBS Worm, les 2 clés infectées n'ont plus de raccourci et le dossier raccourci Photo Family de mon dossier photo a disparu! J'espère que ce virus a été réellement éradiqué.
Merci à Kragenskul
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
12 nov. 2017 à 18:36
ok,

Pour ceux qui ne connaissent pas Remediate VBS, voir là : Remediate VBS Worm
0
Utilisateur anonyme
12 nov. 2017 à 19:24
Derien (;
0
oiseau2nuit
12 nov. 2017 à 19:55
Rebonjour,
Hélas après avoir éteint mon ordinateur et rallumé, le dossier raccourci photo Family est réapparu dans mon dossier photos!!! Je suis désespérée!!
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
12 nov. 2017 à 19:56
Surement parce que ton ordinateur est infecté, donc faire FRST comme j'avais dit.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
12 nov. 2017 à 19:58
Aïe... Bon, je te laisse avec Malekal_Morte, en ésperant que le probléme soit résolu. Je suis étonné que la page que je t'ais fourni n'ait pas résolu ton probléme...

En vous souhaitant une bonne soirée,

-Kragenskul
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
Modifié le 14 nov. 2017 à 21:55
Désinstalle AVG PC TuneUp
Ca sert à rien.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
C:\Users\Admin\AppData\Roaming\Video.3g
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

3) Refais un nettoyage RemVBS sur tes clés USB.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
oiseau2nuit Messages postés 8 Date d'inscription samedi 16 avril 2011 Statut Membre Dernière intervention 2 mars 2020
17 nov. 2017 à 18:22
Bonjour,
J'ai enfin un peu de temps à consacrer au nettoyage de mon ordi. J'aidonc procédé à la correction par FRST.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-11-2017
Exécuté par Admin (17-11-2017 18:17:36) Run:1
Exécuté depuis C:\Users\Admin\Desktop\FRST
Profils chargés: Admin & UpdatusUser (Profils disponibles: Admin & UpdatusUser)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
C:\Users\Admin\AppData\Roaming\Video.3g
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
"C:\Users\Admin\AppData\Roaming\Video.3g" => non trouvé(e).

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 12582912 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29836862 B
Java, Flash, Steam htmlcache => 595 B
Windows/system/drivers => 2988478 B
Edge => 0 B
Chrome => 16611607 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 42956350 B
systemprofile32 => 66235 B
LocalService => 115860 B
NetworkService => 342431 B
Admin => 395260776 B
UpdatusUser => 0 B

RecycleBin => 1145535 B
EmptyTemp: => 478.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 18:18:10

J'espère que la procédure est la bonne.
Merci beaucoup
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582
17 nov. 2017 à 18:25
Tiens AVG ce serait pas réveillé dernièrement ?

"C:\Users\Admin\AppData\Roaming\Video.3g" => non trouvé(e).

Fais bien marmiton et nettoie bien tes clés USB à nouveau.
0
oiseau2nuit Messages postés 8 Date d'inscription samedi 16 avril 2011 Statut Membre Dernière intervention 2 mars 2020 > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
19 nov. 2017 à 18:20
Bonjour,
apparemment tout est rentré dans l'ordre, plus de dossier raccourci PhotoFamily et les clés USB sont également sans problème!
Par contre j'ai un dossier $RECYCLE.BIN qui est apparu! qu'est-ce donc?
Encore Merci
0
Utilisateur anonyme > oiseau2nuit Messages postés 8 Date d'inscription samedi 16 avril 2011 Statut Membre Dernière intervention 2 mars 2020
19 nov. 2017 à 18:27
Quand un fichier est supprimé, il est envoyé-généralement- dans la corbeille, et il apparait' $RECYCLE.BIN '.


-Kragenskul
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 582 > oiseau2nuit Messages postés 8 Date d'inscription samedi 16 avril 2011 Statut Membre Dernière intervention 2 mars 2020
19 nov. 2017 à 19:28
RECYCLE.BIN c'est la corbeille Windows de ta clé USB.

Mets bien marmiton pour te protéger de ce type d'infection.

Supprime le dossier C:\FRST
0