Posez votre question Signaler

Trojan sur ma clé USB infectant mon ordi [Résolu]

Nikoshkaga - Dernière réponse le 31 juil. 2009 à 21:13
Bonjour,
Il m'arrive un problème assez embêtant pour ne pas dire gênant. En effet j'ai contracté un trojan à partir d'une clé USB. Seulement il y a quelques complications, le cheval de troie se loge dans l'autorun de la clé. J'ai essayé de la supprimer sans succès. En outre j'ai l'impression que mon ordinateur est devenu le relais du Trojan car quand j'insère une clé (flash memory et en somme tout les appareils à connectiques USB...) "saine" et bien cette dernière ce trouve infecté. Mon logiciel antivirus (BITdefender) m'alerte en effet d'un virus : trojan.autorunINF.GEN.
Néanmoins j'ai essayé de faire une analyse de mon disque dur pour savoir si le virus ne s'était pas installé à la racine du disque C: mais sans succès. J'ai de plus accéder à la racine du C: pour supprimé un pseudo autorun qui aurait pu s'installer mais il n'y a rien.
Je suis donc un peu dans le brouillard, d'autant plus que je ne peux pas brancher mon disque dur externe pour sauvegarder mes fichiers et faire un reset complet.
En espérant que vous pourrez m'aider.
Nikoshlaga,
Lire la suite 

Trojan sur ma clé USB infectant mon ordi »

Suggestions
Plus
10 réponses
Réponse
+0
moins plus
Destrio5 66678Messages postés 18 septembre 2005Date d'inscription 30 mai 2012Dernière intervention 31 juil. 2009 à 15:41
Bonjour,

--> Désactive l'UAC le temps de la désinfection.

--> Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nikoshlaga 4Messages postés 31 juillet 2009Date d'inscription 31 juil. 2009 à 16:12
Voilà ce que j'ai obtenu lors de l'analyse avec USBFIX.

Néanmoins, j'ai une question : l'opération que je fais en ce moment supprimera t-elle l'infection qui se trouve sur mon ordinateur ou celle simplement sur la flash memory ? Ou bien les deux, résultat que j'espère d'ailleurs....




############################## | UsbFix V6.012 |

User : Romain (Administrateurs) # PC-DE-ROMAIN
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 16:05:10 | 31/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18783
Windows Firewall Status : Enabled
AV : BitDefender Antivirus 12.0 [ Enabled | Updated ]
FW : BitDefender Firewall[ (!) Disabled ]12.0

C:\ -> Disque fixe local # 138,97 Go (39,04 Go free) # NTFS
D:\ -> Disque amovible # 951,94 Mo (951,72 Mo free) # FAT
E:\ -> Disque amovible
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\system32\taskeng.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\ArcSoft\Magic-i Visual Effects\Magic-i Visual Effects.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\winsvcs32.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Apoint\Apvfb.exe
C:\Program Files\Brother\Brmfcmon\BrMfimon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\Windows\winsvcs32.exe
Présent ! D:\autorun.inf
Présent ! D:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "winsvc32"
Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{71c68b98-7539-11de-af06-001a80190c8d}
shell\AutoRun\command =G:\AutoPlay.exe -auto

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66678Messages postés 18 septembre 2005Date d'inscription 30 mai 2012Dernière intervention 31 juil. 2009 à 16:14
On verra bien.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nikoshlaga 4Messages postés 31 juillet 2009Date d'inscription 31 juil. 2009 à 16:36
Et voilà le résultat !

J'ai regardé un peu le résultat du log. cela me semble correct. Maintenant à vous de me le confirmer.


############################## | UsbFix V6.012 |

User : Romain (Administrateurs) # PC-DE-ROMAIN
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 16:21:07 | 31/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18783
Windows Firewall Status : Enabled
AV : BitDefender Antivirus 12.0 [ Enabled | Updated ]
FW : BitDefender Firewall[ (!) Disabled ]12.0

C:\ -> Disque fixe local # 138,97 Go (39,06 Go free) # NTFS
D:\ -> Disque amovible # 951,94 Mo (951,69 Mo free) # FAT
E:\ -> Disque amovible
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Windows\winsvcs32.exe
Supprimé ! D:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213

################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "winsvc32"
# HKLM\software\microsoft\security center\Svc "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{71c68b98-7539-11de-af06-001a80190c8d}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] -> C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] -> C:\bootmgr
[21/07/2007 03:27|-ra-s----|8192] -> C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] -> C:\config.sys
[30/07/2009 19:18|--a------|132] -> C:\httpdwl.dat
[27/02/2009 21:20|-rahs----|0] -> C:\IO.SYS
[27/02/2009 21:20|-rahs----|0] -> C:\MSDOS.SYS
[?|?|?] -> C:\pagefile.sys
[14/07/2008 09:49|--a------|668180] -> C:\SystemEvent.log
[31/07/2009 16:30|--a------|4297] -> C:\UsbFix.txt
[14/07/2008 09:46|--a------|68166] -> C:\WinSSEvent.log
[31/07/2009 16:20|--a------|1460] -> D:\BOOTEX.LOG

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by VaccinUsb.
# C:\adober.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\copy.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\comment.htt ( # Not infected ) -> Folder created by VaccinUsb.
# C:\host.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\info.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\msvcr71.dll ( # Not infected ) -> Folder created by VaccinUsb.
# C:\ravmon.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\ravmon.log ( # Not infected ) -> Folder created by VaccinUsb.
# C:\sqlserv.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\start.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\temp.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\temp1.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\temp2.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\winfile.exe ( # Not infected ) -> Folder created by VaccinUsb.
# C:\ntdelect.com ( # Not infected ) -> Folder created by VaccinUsb.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66678Messages postés 18 septembre 2005Date d'inscription 30 mai 2012Dernière intervention 31 juil. 2009 à 16:57
---> Désinstalle UsbFix.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
wikifacien 157Messages postés 10 mai 2009Date d'inscription 23 décembre 2011Dernière intervention 31 juil. 2009 à 16:59
ou simplement formater ta cle

 Ajouter un commentaire
Destrio5- 31 juil. 2009 à 17:04
Salut wikifacien,

Ça ne retire pas l'infection qui infecte sa clé.
Ajouter un commentaire
Réponse
+0
moins plus
Nikoshlaga 4Messages postés 31 juillet 2009Date d'inscription 31 juil. 2009 à 17:20
J'ai fait un scan de malware avec avec Bitdefender. Aucune menace de détecté. Ma clé aussi.

Je pense donc que 'est réglé !

Merci beaucoup.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Destrio5 66678Messages postés 18 septembre 2005Date d'inscription 30 mai 2012Dernière intervention 31 juil. 2009 à 17:22
1/

---> Désinstalle HijackThis.

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar).
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


2/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Réactive l'UAC.

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nikoshlaga 4Messages postés 31 juillet 2009Date d'inscription 31 juil. 2009 à 21:13
Merci beaucoup. Mais c'était un virus contracté par clé.

En tout cas, tout re-fonctionne à merveille !

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Trojan sur ma clé USB infectant mon ordi » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?