Virus raccourci d une clés USB , pc et disque dur externe

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3196562385-3082003419-1561053451-1001\...\MountPoints2: {35fdfc85-c628-11e7-8fdf-b0359f03c612} - "F:\Windows\AutoRun.exe" 
HKU\S-1-5-21-3196562385-3082003419-1561053451-1001\...\MountPoints2: {69304268-c7dd-11eb-9153-f430b9542b4c} - "F:\Windows\AutoRun.exe" 
HKLM-x32\...\Run: [AvastSvcZEg] => "C:\ProgramData\AvastSvcZEg\AvastSvc.exe" 954 (Pas de fichier)
HKU\S-1-5-21-3196562385-3082003419-1561053451-1001\...\Run: [AvastSvcZEg] => "C:\ProgramData\AvastSvcZEg\AvastSvc.exe" 954 (Pas de fichier)
HKU\S-1-5-21-3196562385-3082003419-1561053451-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [8160856 2020-07-12] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [29272 2020-07-12] (LAVASOFT SOFTWARE CANADA INC -> )
C:\Program Files (x86)\Lavasoft\Web Companion
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- Désinfecte à nouveau ta clé USB.

Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :

Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.

Bonjour.

Connecte les clés USB et disques infectés à ton pc.

Télécharge USBfix, puis installe-le et ouvre-le.

Clique sur Lancer une analyse.

 Clique sur Analyse complète.

S'il trouve des infections clique sur Réparer les éléments.

MERCI je l ai télécharger lancer l'analyse réparer les les éléments  et même les supprimer mais les raccourci sont toujours la 

a tu une autre solution

Le disque F correspond à quoi ? disque dur ? clé USB ? disque virtuel ?

Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :

Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.

Puis fait une analyse FRST.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur coche les cases comme indiqué, tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut.

Ensuite envoie les rapports FRST et ADDITION et Shortcut sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.

Le disque F correspond a une clé USB 

voici le fichier Rem-VBS.log   https://cjoint.com/c/MBpviltHXgl

le fichier FRST               https://cjoint.com/c/MBpvjqQCcTl

         le fichier ADDITION       https://cjoint.com/c/MBpvkEXlc3l

         le fichier Shortcut         https://cjoint.com/c/MBpvlOUPZjl

j ai pas pus envoyer les liens depuis PJJOINT a cause de l'erreur 

You do not have access to pjjoint.malekal.com.

The site owner may have set restrictions that prevent you from accessing the site.

Il y avait une tâche planifiée sur ton pc qui se lançait à intervalles réguliers et réinfectait ta clé USB, fait ce qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {88FF5127-077A-40FA-B11E-819025C473B9} - System32\Tasks\Window Update => C:\Users\ADMIN\AppData\Local\Updates\Run.vbs [1015 2022-05-09] () [Fichier non signé]
Task: {1F39FA5F-A8ED-447F-9218-BE5DB554F188} - System32\Tasks\Windows Service Task => C:\Users\ADMIN\AppData\Local\Updates\WindowsService.exe (Pas de fichier) 
Task: {9E6B698B-CFB8-4346-90E5-8EF48E2DBBA7} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Pas de fichier)
S2 TunnelBearMaintenance; "F:\TunnelBear\TunnelBear.Maintenance.exe" [X]
HKU\S-1-5-21-3196562385-3082003419-1561053451-1001\...\MountPoints2: {35fdfc85-c628-11e7-8fdf-b0359f03c612} - "F:\Windows\AutoRun.exe" 
HKU\S-1-5-21-3196562385-3082003419-1561053451-1001\...\MountPoints2: {3d453bec-d510-11ea-902a-b0359f03c612} - "G:\laucher.exe" 
U4 MsSecFlt; pas de ImagePath
U4 npcap_wifi; pas de ImagePath
U4 Sense; pas de ImagePath
U4 SgrmAgent; pas de ImagePath
U4 SgrmBroker; pas de ImagePath
U4 WdBoot; pas de ImagePath
U4 WdFilter; pas de ImagePath
U4 WdNisDrv; pas de ImagePath
U4 WdNisSvc; pas de ImagePath
U4 WinDefend; pas de ImagePath
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => F:\Notepad++\NppShell_06.dll -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
SearchScopes: HKU\S-1-5-21-3196562385-3082003419-1561053451-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
cmd: netsh advfirewall reset 
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- Désinfecte à nouveau ta clé USB.

Je te remet la procédure:

Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :

Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

Bonjour 

voici le fichier Fixlog  https://cjoint.com/c/MBquyT5cNG 

     et le fichier Rem-VBS.log https://cjoint.com/c/MBquArC1oPl 

mon problème et toujours présent , mais au début ça avait marcher mais quand j actualise le problème reviens et même si je débranche et que je rebranche la clés le raccourci réapparait . le raccourci se crée dans n importe  clés USB ou disque dur externe que je branche sur mon pc 

FRST                       https://cjoint.com/c/MBru4jxzjdl 

ADDITION               https://cjoint.com/c/MBru6jgZNyl 

SHORTCUT             https://cjoint.com/c/MBru63au4Rl 

j ai supprimer 3 fichier et puis désinfecte la clés avec Remediate VBS WORM le raccourci a disparut il y avais 3 dossier 

$RECYCLE.BIN 1et 2 dans le troisième il y avait mes fichier , je sais pas si c est réglé ou si c est temporaire ca donne quoi les rapports ?

          FRST https://cjoint.com/c/MBtueNFPkZl 

Fixlog               https://cjoint.com/c/MBvtUqmnYDl 

Rem-VBS.log    https://cjoint.com/c/MBvtXHqLTUl 

le probleme a disparut mais il y a un répertoire que j arrive pas a supprimer

Le fixlog est OK.

Vu que ton problème a disparu et que par conséquence il est résolu tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.