Infection d'une clé en cyber [Résolu]

Signaler
-
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
-
Bonjour,
J'ai été dans un cyber pour faire des photocopies de documents qu'il y a sur ma clé et quand je suis rentré, j'ai branché la clé sur l'ordi, les dossier était en petit et dans le chant 'type' il est écrit ''écran de veille''. j'ai voulu passer usbfix mais il ne se lance pas, j'ai essayé en mode sans échec mais je ne l'ai pas trouvé puis, au redémarrage de l'ordi, il n y est pas non plus.

Dans la clé il me manque un dossier important qui n'est pas dans la quarantaine d'avast.

J'ai un rapport de malwerbytes
https://pjjoint.malekal.com/files.php?id=20210606_w7b8v13d8y12


Je vous remercie de bien vouloir m'aider, je ne sais plus quoi faire.





Configuration: Windows / Firefox 89.0

18 réponses

Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
Bonjour,

Le rapport Malwarebytes indique "aucune action de l'utilisateur" .

Il te faut relancer le scan et tout mettre en quanrantaine
Messages postés
33386
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 642
Bonjour,
télécharge USBfix via CE LIEN clique avec le bouton droit de ta souris sur USBfix et choisi "exécuter en tant qu'administrateur" et lance une analyse.
Bonjour MisteryBean,

Effectivement, je n'ai rien mis en quarantaine je vais perdre tous mes dossiers ?

il y a déjà un dossier Clé 8Gb que je n'ai plus sur la clé.

La clé est toujours branchée sur l'ordi.
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

Effectivement, je n'ai rien mis en quarantaine je vais perdre tous mes dossiers ? 


Normalement non , mais il aurait fallu avoir une sauvegarde au cas où (ce sera une piqure de rappel pour les prochaines fois) .

Mets tout en quarantaine , ça va supprimer l'infection , et de toutes façons , quarantaine ne veut pas dire suppression mais mis de côté en attendant .

Ensuite , comme dit Bazfile , lances l'analyse avec USBFix et vois ce que ça donne
Bonjour bazfile,

je ne sais pas si j'ai fait la bonne analyse, voici le rapport.

https://pjjoint.malekal.com/files.php?id=20210606_i5f11o8d5z12

Dans la clé les dossiers sont redevenus normaux mais il en manque.

J'ai effectué les autres analyse, le log me dit, aucune menace détectée. Votre système est sain.
Messages postés
33386
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 642
L'infection est apparemment supprimée pour une ultime vérification fait ce que MisteryBean t'a indiqué ci-dessous.
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

Essaie de voir si Recuva gratuit peut récupérer les fichiers manquants .

Pour voir le reste du PC :

Bien lire toute la procédure avant de poster les rapports

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse (ou pjjoint)

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


Re

Quand je lance FRST64, avast me dit ça

https://zupimages.net/viewer.php?id=21%2F22%2Fb1xi.png
Que dois je faire ?
Messages postés
33386
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 642
Clique sur "autoriser l'appli" et continue.
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
Désactives le pendant le scan , FRST est sans risque
Re,

Voilà le rapport FRST.txt

https://up.security-x.fr/file.php?h=R115042c1fb005a9b0e10d70f7f7b2717

Et le rapport Addiction.txt

https://up.security-x.fr/file.php?h=Rd0655809306c94e38a51189f683f4630

Je vous remercie pour votre patience.
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

Il faudrait relancer FRST en désactivant Avast car il manque tout le début du rapport FRST
puis reposter ce dernier . https://www.windows8facile.fr/avast-desactiver-antivirus/

----------------
----------------------------

Je ne sais pas si tu es au courant , mais la migration vers Windows 10 est toujours gratuite:
https://www.commentcamarche.net/informatique/windows/119-passer-gratuitement-de-windows-7-a-windows-10/

----------------
----------------------------

Concernant les rapports , il n'y a pas d'infection , mais quelques petites choses à supprimer , comme par exemple un service Web advisor de McAfee qui tourne alors qu'il est désinstallé .
Je te ferais un correctif après que tu ai posté à nouveau le rapport FRST

----------------
----------------------------

Est ce que tu as pu récupérer tes dossiers avec Recuva ?

Voilà le rapport FRST.txt avec avast désactivé,

https://up.security-x.fr/file.php?h=R11af2cd5e421e7cca528e256f4506881

J'ai récupéré quelques dossiers mais pas tous.

Je vous prie de m'excuser.
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

J'ai récupéré quelques dossiers mais pas tous. 


Est ce que tu as regardé si dans la liste quarantaine Malwarebytes que tu as fournis , s'il y avait des fichiers/dossiers que tu n'as pas pu récupérer ?

Le problème ensuite , c'est que pour être supprimés par Malwarebytes , ils ont dû être corrompus par l'infection et donc irrécupérable.

-------------------
-------------------------------------

Si jamais tu veux migrer vers Windows 10 , il faudra désinstaller Avast et Malwarebytes avant afin de ne pas bloquer la migration .
Peut être créer un sujet dans la section Win10 pour voir si ton PC est assez puissant , à moins que Bazfile puisse te le dire . Pour moi , il l'est , mais je ne suis pas expert en configuration.

-------------------
-------------------------------------
Désinstalles => Java 8 Update 231 (version obsolète)

--> Copie ce qui se trouve ici : https://textup.fr/558182yJ de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le

Bonsoir MisteryBean,

Le rapport Fixlog

https://up.security-x.fr/file.php?h=R2e67619e718ab525f068e3d1e537b577

Oui, j'ai regardé dans la liste quarantaine Malwarebytes, il n y a rien.

Java 8 Update 231, désinstallé.

Pour Windows 10, je demanderai à la propriétaire si elle veut migrer.
Messages postés
33386
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021
13 642
Petit rajout à ce qu'a dit MiteryBean, tu pourras dire au patron du cybercafé qu'il a un ou peut-être plusieurs pc infectés qui infectent les clé USB de ses clients ce qui n'est pas top.
>
Messages postés
33386
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
10 juin 2021

Bonsoir bazfile,

Oui, ça je vais l'en informer, il ne doit même pas être au courent.

Merci pour votre aide et votre patience.
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

OK , tu peux vider la quarantaine de Malwarebytes :

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer

------
--------------

Pour moi c'est propre .

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.

La procédure nécessite un redémarrage

Bonne fin de week-end ;-)
Re,

Dans la quarantaine de Malewarebytes, il n y a rien.

Quand je lance UsbFix, dans la quarantaine il y a une ligne avec,

F:\Cle 8Gb\xxxxxxxxxxx..scr d'une taille de 40960Ko pourquoi scr puisque c'est un fichier Word a l'origine

J'ai mis xxxx pour ne pas mettre le nom du fichier.

puis je le restaurer ou pas ?
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

SCR c'est l'extension mise en place par l'infection . Ces dossiers / fichiers sont donc vérolés et irrécupérable . Ce qui m'étonne , c'est que , dans ton rapport USBFix , on voit que Clé 8 go a été restauré . La clé a peut être été corrompu ou est en fin de vie
Sauvegardes ce qu'il y a dessus sur un autre support au cas où
Bonsoir,

Je vais supprimer FRST et sauvegarder ce qu'il y a sur la clé.

Je vous remercie pour votre aide et votre patience, tant mieux qu'il y ait des gens comme vous pour nous aider.

Bon courage, prenez soin de vous et de vos proches.

Bonne fin de week-end à vous également.

Je ne sais pas mettre le sujet en résolu :(
Messages postés
3034
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
10 juin 2021
471
RE_

Je ne sais pas mettre le sujet en résolu :( 


Fait ;-)

Bonne continuation et prudence sur le net