Posez votre question Signaler

Infection via clé USB

Philou22! 7Messages postés samedi 30 janvier 2010Date d'inscription 6 février 2010Dernière intervention - Dernière réponse le 14 févr. 2010 à 07:47
Bonjour,
Avant tout, je suis nouveau sur ce site. Je vous remercie d'avance pour votre aide.
J'ai un problème sur le PC de mon fils. J'ai son Antivirus qui s'est désactivé du fait d'une attaque virale par clé USB ( ceci a été détecté sur un autre forum).
Voici les actions que l'on m'avait demandé de faire!
J'ai vacciné le PC via USBfix sans que la clé infectée soit branchée vu qu'elle n'était pas en ma possession! Puis j'ai désactivé l'autorun sur tous les lecteur via un texte enregistré dans le bloc notes puis enregistrer sous regis.reg!
En branchant la clé USB incriminée j'ai Antivir qui décèle une Attaque Virale sur G:\autorun.inf d'un Virus Worm./Kido.IH.40!
Que dois je faire? Si je le supprime par le biais de l'antivirus, est ce suffisant?
A+
Lire la suite 
Réponse
+0
moins plus
Bonjour

Maintenant que tu disposes du support infecté ;fait ceci:

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



Télécharge et install UsbFix de C_XX
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Tutorial de Malekal_Morte si besoin, merci à lui : http://www.malekal.com/tutorial_USBFix.php

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


# Double clic sur le raccourci UsbFix présent sur ton bureau.

# Choisi l option 1 (Recherche)

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

@+
Ajouter un commentaire
Annonces
 
moins plus
Réponse
+0
moins plus
Hello ,

Je te cite :

ceci a été détecté sur un autre forum).
Voici les actions que l'on m'avait demandé de faire!


Pourquoi ne pas continuer sur ce forum ( quel est il dailleurs ? )
Ajouter un commentaire
Annonces
 
moins plus
Réponse
+0
moins plus
Re,

Merci à Guillaume pour sa réponse. Tu as raison sur Process.exe car mon fils vient de me dire par Tel que son Antivirus Antivir était de nouveau désactivé. Malheureusement, vu qu'il ne rentre pas avant le week-end prochain et vu qu'il n'a pas le Net sur son lieu d'étude, je ne pourrai rien faire avant!
-Le fait que l'Autorun soit désactivé, est ce que cela a une importance?
-Il faut que la clé infectée soit branchée mais l'antivirus me demande s'il faut supprimer cette attaque! Que dois je faire à ce moment là?

Pour répondre à Desaparecido, j'étais avant sur Zébulon et sur cette manip. le membre de l'équipe sécurité m'a pris un peu de haut vu que je posai trop de questions. Vu que je n'ai le PC entre les mains que le week-end et que mon fils en a besoin pour ses études et vu mon niveau en info., j'avoue que je suis un peu craintif sur ce genre de manip.

Comment faire pour vous recontacter le week-end prochain!

Merci de votre aide
Guillaume5188 47126Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 23 mai 2015Dernière intervention - 30 janv. 2010 à 18:32
Re

Process.exe ne désactive pas l'antivirus ,il est détecté comme nuisible.

Il est efficace de désactivé l'autorun;mais il est encore plus efficace de désinfecter cette clé Usb;elle véhicule "Conficker" et donc peut infecter un PC non à jour.
Mais je pense également qu'il y a autre chose qui désactive l'antivirus.

Pour me recontacter ,il suffit de répondre à la suite de ce post.Et je dirais qu'il faut absolument le faire ;-)

@+
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re Guillaume,

Je te recontacte vendredi prochain à la suite du Post! J'espère que l'infection ne va se propager d'ici là...

Merci d'avance pour ton aide!
Guillaume5188 47126Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 23 mai 2015Dernière intervention - 30 janv. 2010 à 22:16
Re

Pas de soucis ,bonne semaine

@+
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour,

Juste une question pour info. Avant de lancer UsbFix, faut il que je supprime ou mette en quarantaine via l'antivirus Antivir l'attaque virale? Quand je mets la clé cette question m'est posée! Du fait que l'autorun soit dorénavant désactivé, ai-je une action différente à effectuer?

Merci pour ces éclaircissements!
A+
Guillaume5188 47126Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 23 mai 2015Dernière intervention - 31 janv. 2010 à 09:49
Bonjour

L'infection sera traitée par UsbFix;donc cela ne sera pas nécessaire.

Voici un peu de lecture concernant kido

http://www.commentcamarche.net/...

@+
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Rebonjour,

Merci pour ton lien. Il y est dit qu'il faut:

• Déconnecter temporairement l'ordinateur du réseau (Net) après avoir télécharger USBFix, je pense.

• Arrêter temporairement le service serveur via une manip. Je ne sais pas trop si cela est nécessaire!

• Désinfecter et vacciner tous les disques amovibles (clés USB, disques durs externes, lecteurs mp3...etc) avec USBFix.

• Télécharger le patch de Microsoft pour corriger la vulnérabilité exploitée par Conficker : Microsoft France. A voir vu que son PC est neuf et sous Vista!

Merci pour ces dernières infos, comme cela je pourrai faire la manip. tout de suite samedi. Faut il que je fasse uniquement la recherhe via USBfix ( +post) ou recherche/suppression ( +post) et vaccination?

Bon dimanche.
A+
Guillaume5188 47126Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 23 mai 2015Dernière intervention - 31 janv. 2010 à 15:37
Re

Tu peux faire recherche ,suppression et tu postes

@+
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

Dernière question avant le week-end prochain. Est il nécessaire que je fasse la manip. concernant le serveur car j'avoue que je ne connais pas Vista, mon PC étant sous XP.

A+
Guillaume5188 47126Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 23 mai 2015Dernière intervention - 31 janv. 2010 à 16:14
Re

C'est sympa de poser pleins de questions ;on verra cela lors de la désinfection.

@+
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Re,

Tu as raison, on verra cela le week-end prochain. Bonne semaine.

A+
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour Guillaume,

J'ai enfin pu prendre possession du PC et donc commencer ta manip.
J'ai supprimé via Antivir le fichier néfaste qui apparaissait en mettant la clé USB!

J'ai fait une recherche avec USBFix et je te poste le rapport:


############################## | UsbFix V6.091 |

User : Hervé (Administrateurs) # PC-DE-HERVÉ
Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:52:27 | 06/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel® Core™2 Duo CPU T6600 @ 2.20GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 451,07 Go (321,52 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,88 Go (1,45 Go free) [PHILIPPE H] # FAT

############################## | Processus actifs |

C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\Dell\DellDock\DockLogin.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Dell DataSafe Online\DataSafeOnline.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

################## | Elements infectieux |

C:\drivers
G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{41a7711d-ca45-11de-b50d-0026b9098edf}
shell\Auto\command =Windows.scr
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Windows.scr

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.091 ! |

Voici le rapport lors de la suppression:

############################## | UsbFix V6.091 |

User : Hervé (Administrateurs) # PC-DE-HERVÉ
Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:06:16 | 06/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel® Core™2 Duo CPU T6600 @ 2.20GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 451,07 Go (322,39 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,88 Go (1,45 Go free) [PHILIPPE H] # FAT

############################## | Processus actifs |

C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\Dell\DellDock\DockLogin.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe
C:\Windows\SysWOW64\runonce.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe

################## | Elements infectieux |

Supprimé ! C:\drivers
Supprimé ! C:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-1000
Supprimé ! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé ! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{41a7711d-ca45-11de-b50d-0026b9098edf}\Shell\Auto\Command

################## | Listing des fichiers présent |

[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[05/02/2008 04:51|--a------|546872] C:\bootmgr.efi
[15/10/2009 21:59|-rah-----|3889] C:\dell.sdr
[?|?|?] C:\hiberfil.sys
[?|?|?] C:\pagefile.sys
[24/01/2010 12:49|--a------|547] C:\TCleaner.txt
[06/02/2010 10:10|--a------|2105] C:\UsbFix.txt
[28/04/2009 23:49|---hs----|7450] D:\Desktop.ini
[06/02/2010 10:06|--ahs----|232] D:\Master.log
[05/06/2009 18:42|---hs----|117133] D:\protect.chinese simplified
[05/06/2009 18:42|---hs----|117641] D:\protect.chinese traditional
[16/04/2009 17:10|---hs----|116238] D:\protect.danish
[16/04/2009 16:55|---hs----|119790] D:\protect.dutch
[17/04/2009 18:19|---hs----|47233] D:\protect.english
[16/04/2009 17:10|---hs----|116015] D:\protect.french
[16/04/2009 16:58|---hs----|116305] D:\protect.german
[16/04/2009 16:59|---hs----|115710] D:\protect.italian
[16/04/2009 17:00|---hs----|117842] D:\protect.japanese
[16/04/2009 17:00|---hs----|124495] D:\protect.korean
[16/04/2009 17:02|---hs----|116195] D:\protect.norwegian
[16/04/2009 17:03|---hs----|116564] D:\protect.portuguese brazilian
[16/04/2009 17:04|---hs----|116363] D:\protect.spanish
[16/04/2009 17:05|---hs----|116404] D:\protect.swedish
[21/10/2009 13:39|---hs----|173] D:\ST_InstallBackup.ini
[16/10/2009 11:20|--a------|1319936] G:\Licence professionnelle.ppt
[22/10/2009 15:40|--a------|75264] G:\Le d‚partement GESTION des ENTREPISES et des ADMINISTRATIONS.doc
[22/10/2009 16:06|--a------|533504] G:\LP gestionnaire des entreprises de l'agro-‚quipement.ppt
[17/12/2009 12:09|--a------|19968] G:\http.doc

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix .
# D:\autorun.inf -> Dossier créé par UsbFix .
# G:\autorun.inf -> Dossier créé par UsbFix .

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Herv‚.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.091 ! |

Lors du SCAN de suppression Antivir a detecté un Virus Worm/Conficker.Z.47 que j'ai supprimé

Puis option Vaccination:


############################## | UsbFix V6.091 |

User : Hervé (Administrateurs) # PC-DE-HERVÉ
Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:15:54 | 06/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel® Core™2 Duo CPU T6600 @ 2.20GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 451,07 Go (321,4 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,88 Go (1,45 Go free) [PHILIPPE H] # FAT

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix .
# D:\autorun.inf -> Dossier créé par UsbFix .
# G:\autorun.inf -> Dossier créé par UsbFix .

################## | ! Fin du rapport # UsbFix V6.091 ! |

Désinstallation USBFix

J'attends ta réponse pour poursuivre la manip.
Guillaume5188 47126Messages postés samedi 21 mars 2009Date d'inscription Contributeur sécuritéStatut 23 mai 2015Dernière intervention - 14 févr. 2010 à 07:47
Bonjour

De retour après une semaine de vacances au ski.

1)L'antivirus fonctionne à ce que je vois.

2)Lance une analyse complète du PC avec ton antivirus et poste le rapport;merci

3)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx

* Potasse le tuto pour te familiariser avec le prg :

http://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d’utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte’s.

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

4)Pour vérification plus approfondidu PC ;fait ceci:
Ouvre ce lien et télécharge ZHPDiag :

http://telechargement.zebulon.fr/zhpdiag.html

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit » exécuter en tant que administrateur »

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


Poste les rapports au fur et à mesure;merci

@+
Répondre
Ajouter un commentaire
Ce document intitulé «  Infection via clé USB  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.