Besoin d'aide pour éradiquer un virus "Photo 018.exe"

Résolu
hgvln - 13 déc. 2024 à 17:25
bazfile Messages postés 56620 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 décembre 2024 - 13 déc. 2024 à 21:44

Bonjour à tous,

Je rencontre un problème persistant avec un fichier malveillant nommé "Photo 018.exe", qui semble se propager via clés USB et disques durs externes.

J'ai consulté les articles et discussions sur ce sujet, notamment les interventions de l'utilisateur "bazfile", qui semble particulièrement compétent dans ce domaine. J'ai suivi les instructions des cas similaires déjà résolus pour faciliter au maximum votre analyse.

Documents joints :

Voici les rapports générés par FRST :

  • Rapport FRST : https://www.cjoint.com/c/NLnpPiL7rMs
  • Rapport Addition : https://www.cjoint.com/c/NLnpPW7QUKs


Matériel utilisé / potentiellement infecté :

  • Ordinateur de bureau (configuration personnalisée).
  • Ordinateur portable ASUS Zenbook.
  • Clé USB Philips 64 Go.
  • Disque dur externe Seagate 1 To.

Chronologie des événements :

  1. Il y a 2 mois : Première détection du fichier "Photo 018.exe" sur une clé USB connectée à l'ordinateur de bureau (exécution automatique activée).

    • Action :
      • Suppression manuelle du fichier.
      • Formatage des supports externes.
      • Analyses avec Avast Premium et Windows Defender → Aucune menace détectée.
    • Problème supposé résolu.
  2. Récemment : Après un déplacement professionnel, branchement du disque dur externe sur l’ordinateur de bureau (exécution automatique toujours activée).

    • Symptôme : "Photo 018.exe" réapparaît immédiatement avec une date d’installation correspondant au moment de l'ouverture.
    • Action : Formatage immédiat du disque dur, sans interaction manuelle avec le fichier.

Démarches effectuées :

  • Installation de Kaspersky Virus Removal Tool :
    • Sur le PC de bureau :
      • Détection et suppression d’un fichier nommé "Agent".
      • Deuxième analyse approfondie post suppression → Aucun fichier détecté.
         
    • Sur le portable ASUS : Aucune menace détectée.
       
  • Désactivation de l'exécution automatique des supports externes.
  • Analyse individuelle des supports (disque dur et clé USB) après formatage et sans les ouvrir → Aucun fichier détecté.

Mes questions :

  1. Mon ordinateur principal est-il encore infecté ?
  2. Les démarches entreprises sont-elles suffisantes pour éradiquer ce virus ?
  3. Y a-t-il des outils ou démarches complémentaires que vous recommandez, sachant que l’infection semble avoir duré un moment ?

Merci d’avance pour le temps que vous consacrerez à m’aider. Je reste disponible pour fournir d’autres informations si nécessaire.

Cordialement,
Hugo

A voir également:

3 réponses

bazfile Messages postés 56620 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 décembre 2024 19 319
Modifié le 13 déc. 2024 à 18:10

Bonjour.

Tu as bien fait de suivre mes indications dans les autres posts, Kaspersky Virus Removal Tool a bien supprimé l'infection.

Il ne reste que quelques restes inactifs de l'infection et quelques processus orphelins/obsolètes, si tu souhaites les supprimer fait ce qui suit :

Pour information : désinstalle Wondershare Helper Compact c'est un adware.

Puis:

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
HKLM\...\RunOnce: [e323ed41-70f1-4565-8001-2cf08176f2e2] => "C:\Users\hugov\AppData\Local\Temp\{89b84009-b3c5-433d-bdf8-787def80d4de}\e323ed41-70f1-4565-8001-2cf08176f2e2.cmd" (Pas de fichier) 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
S3 EasyAntiCheat; "C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe" [X]
S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X]
S3 UElevationService; "C:\Program Files\Ultra\Application\8.0.1.18\elevation_service.exe" [X]
U4 AppMgmt; pas de ImagePath
U3 aswArDisk; pas de ImagePath
U4 CscService; pas de ImagePath
U4 napagent; pas de ImagePath
U4 PeerDistSvc; pas de ImagePath
CustomCLSID: HKU\S-1-5-21-3636227605-4139202428-2108584352-1001_Classes\CLSID\{2F81B25E-7507-4844-BFF2-77D2CC24CED4}\localserver32 -> "C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" -ToastActivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-3636227605-4139202428-2108584352-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\hugov\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5170]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdsPower Browser.lnk:E9BD082F00 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast One.lnk:BA4BA832A4 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeePass 2.lnk:CF2917E869 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook (classic).lnk:5465085A2F [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook (classic).lnk:BE800952D3 [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5170]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [4314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype Entreprise.lnk:127DED20AD [4314]
cmd: netsh advfirewall reset
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.

0

Bonsoir,

Merci infiniment pour ta réponse et ta réactivité !

Après de multiples analyses de mes supports externes et de mes ordinateurs, il semblerait que tout soit rentré dans l'ordre. J'ai également désinstallé manuellement l'adware, merci de me l'avoir indiqué ! J'espère que le dossier pirate ne réapparaîtra pas lors d'une nouvelle connexion à mes disques durs.

Tu trouveras ici l'accès au fichier fixlog : https://www.cjoint.com/c/NLnuqNz4fTs

Autre question, si je peux me permettre : ce genre d'attaque est-il susceptible d’avoir fait fuiter mes documents ? Serait-il plus prudent de changer l’intégralité de mes accès et de procéder à une analyse plus approfondie, ou bien une simple suppression du fichier pirate suffit-elle à se sécuriser à nouveau ?

Dans l'attente de ton retour, je te remercie encore une fois pour ton temps et ton assistance.

Bonne soirée,
Hugo

0
bazfile Messages postés 56620 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 décembre 2024 19 319
Modifié le 13 déc. 2024 à 21:46

Le fixlog est OK.

Pour ce qui est de l'infection par prudence change tes mots de passe en ligne qui sont sensibles et importants pour toi.

Pas besoin d'analyse plus approfondie, FRST suffit car il est très complet et il n'y a plus rien d'infectieux sur ton pc.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

.


0