Sujet Précédent Sujet Suivant

Trojan sur ma clé USB infectant mon ordi

Résolu/Fermé
Nikoshkaga - 31 juil. 2009 à 15:40
Nikoshlaga Messages postés 4 Date d'inscription vendredi 31 juillet 2009 Statut Membre Dernière intervention 31 juillet 2009 - 31 juil. 2009 à 21:13
Bonjour,

Il m'arrive un problème assez embêtant pour ne pas dire gênant. En effet j'ai contracté un trojan à partir d'une clé USB. Seulement il y a quelques complications, le cheval de troie se loge dans l'autorun de la clé. J'ai essayé de la supprimer sans succès. En outre j'ai l'impression que mon ordinateur est devenu le relais du Trojan car quand j'insère une clé (flash memory et en somme tout les appareils à connectiques USB...) "saine" et bien cette dernière ce trouve infecté. Mon logiciel antivirus (BITdefender) m'alerte en effet d'un virus : trojan.autorunINF.GEN.

Néanmoins j'ai essayé de faire une analyse de mon disque dur pour savoir si le virus ne s'était pas installé à la racine du disque C: mais sans succès. J'ai de plus accéder à la racine du C: pour supprimé un pseudo autorun qui aurait pu s'installer mais il n'y a rien.

Je suis donc un peu dans le brouillard, d'autant plus que je ne peux pas brancher mon disque dur externe pour sauvegarder mes fichiers et faire un reset complet.

En espérant que vous pourrez m'aider.

Nikoshlaga,
A voir également:

9 réponses

Réponse 1 / 9
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
31 juil. 2009 à 15:41
Bonjour,

--> Désactive l'UAC le temps de la désinfection.

--> Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
0
Réponse 2 / 9
Nikoshlaga Messages postés 4 Date d'inscription vendredi 31 juillet 2009 Statut Membre Dernière intervention 31 juillet 2009
31 juil. 2009 à 16:12
Voilà ce que j'ai obtenu lors de l'analyse avec USBFIX.

Néanmoins, j'ai une question : l'opération que je fais en ce moment supprimera t-elle l'infection qui se trouve sur mon ordinateur ou celle simplement sur la flash memory ? Ou bien les deux, résultat que j'espère d'ailleurs....




############################## | UsbFix V6.012 |

User : Romain (Administrateurs) # PC-DE-ROMAIN
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 16:05:10 | 31/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18783
Windows Firewall Status : Enabled
AV : BitDefender Antivirus 12.0 [ Enabled | Updated ]
FW : BitDefender Firewall[ (!) Disabled ]12.0

C:\ -> Disque fixe local # 138,97 Go (39,04 Go free) # NTFS
D:\ -> Disque amovible # 951,94 Mo (951,72 Mo free) # FAT
E:\ -> Disque amovible
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\system32\taskeng.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ArcSoft\Magic-i Visual Effects\Magic-i Visual Effects.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\winsvcs32.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Apoint\Apvfb.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\Windows\winsvcs32.exe
Présent ! D:\autorun.inf
Présent ! D:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "winsvc32"
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{71c68b98-7539-11de-af06-001a80190c8d}
shell\AutoRun\command =G:\AutoPlay.exe -auto

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |
0
Réponse 3 / 9
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
31 juil. 2009 à 16:14
On verra bien.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
0
Réponse 4 / 9
Nikoshlaga Messages postés 4 Date d'inscription vendredi 31 juillet 2009 Statut Membre Dernière intervention 31 juillet 2009
31 juil. 2009 à 16:36
Et voilà le résultat !

J'ai regardé un peu le résultat du log. cela me semble correct. Maintenant à vous de me le confirmer.


############################## | UsbFix V6.012 |

User : Romain (Administrateurs) # PC-DE-ROMAIN
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 16:21:07 | 31/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18783
Windows Firewall Status : Enabled
AV : BitDefender Antivirus 12.0 [ Enabled | Updated ]
FW : BitDefender Firewall[ (!) Disabled ]12.0

C:\ -> Disque fixe local # 138,97 Go (39,06 Go free) # NTFS
D:\ -> Disque amovible # 951,94 Mo (951,69 Mo free) # FAT
E:\ -> Disque amovible
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Windows\winsvcs32.exe
Supprimé ! D:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213

################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "winsvc32"
# HKLM\software\microsoft\security center\Svc "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{71c68b98-7539-11de-af06-001a80190c8d}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] -> C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] -> C:\bootmgr
[21/07/2007 03:27|-ra-s----|8192] -> C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] -> C:\config.sys
[30/07/2009 19:18|--a------|132] -> C:\httpdwl.dat
[27/02/2009 21:20|-rahs----|0] -> C:\IO.SYS
[27/02/2009 21:20|-rahs----|0] -> C:\MSDOS.SYS
[?|?|?] -> C:\pagefile.sys
[14/07/2008 09:49|--a------|668180] -> C:\SystemEvent.log
[31/07/2009 16:30|--a------|4297] -> C:\UsbFix.txt
[14/07/2008 09:46|--a------|68166] -> C:\WinSSEvent.log
[31/07/2009 16:20|--a------|1460] -> D:\BOOTEX.LOG

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by VaccinUsb.
# C:\adober.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\copy.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\comment.htt ( # Not infected ) -> Folder created by VaccinUsb.
# C:\host.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\info.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\msvcr71.dll ( # Not infected ) -> Folder created by VaccinUsb.
# C:\ravmon.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\ravmon.log ( # Not infected ) -> Folder created by VaccinUsb.
# C:\sqlserv.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\start.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\temp.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\temp1.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\temp2.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\winfile.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\ntdelect.com ( # Not infected ) -> Folder created by VaccinUsb.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
31 juil. 2009 à 16:57
---> Désinstalle UsbFix.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 6 / 9
wikifacien Messages postés 204 Date d'inscription dimanche 10 mai 2009 Statut Membre Dernière intervention 2 mars 2013 13
31 juil. 2009 à 16:59
ou simplement formater ta cle
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
31 juil. 2009 à 17:04
Salut wikifacien,

Ça ne retire pas l'infection qui infecte sa clé.
0
Réponse 7 / 9
Nikoshlaga Messages postés 4 Date d'inscription vendredi 31 juillet 2009 Statut Membre Dernière intervention 31 juillet 2009
31 juil. 2009 à 17:20
J'ai fait un scan de malware avec avec Bitdefender. Aucune menace de détecté. Ma clé aussi.

Je pense donc que 'est réglé !

Merci beaucoup.
0
Réponse 8 / 9
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 290
31 juil. 2009 à 17:22
1/

---> Désinstalle HijackThis.

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar).
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


2/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Réactive l'UAC.

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)
0
Réponse 9 / 9
Nikoshlaga Messages postés 4 Date d'inscription vendredi 31 juillet 2009 Statut Membre Dernière intervention 31 juillet 2009
31 juil. 2009 à 21:13
Merci beaucoup. Mais c'était un virus contracté par clé.

En tout cas, tout re-fonctionne à merveille !
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Que choisir pour boot sur clé usb ?
rolem -
Utilisateur anonyme -

1 réponse