Clé Usb infectée - les dossiers deviennent des raccourcisFermé

Question

Bonjour, 

Mon PC contamine les clés qui y sont mises en transformant son contenu en raccourcis.

J'ai fait un scan avec usbfix voici le rapport :

############################## | UsbFix V 7.153 | [Recherche]

Utilisateur: PIMMS_10 (Administrateur) # PIMMS_10-HP
Mis à jour le 09/12/2013 par El Desaparecido - Team SosVirus
Lancé à 14:27:20 | 13/12/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: FOXCONN (2AAF)
CPU: AMD Athlon(tm) II X2 220 Processor
RAM -> [Total : 2815 | Free : 626]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16476
WB: Google Chrome : 31.0.1650.63

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 455 Go (405 Go libre(s) - 89%) [COMPAQ] # NTFS
D:\ -> Disque fixe # 10 Go (1 Go libre(s) - 10%) [FACTORY_IMAGE] # NTFS
F:\ -> CD-ROM
H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 96%) [] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 436 |ParentID: 424)
C:\Windows\system32\wininit.exe (ID: 508 |ParentID: 424)
C:\Windows\system32\csrss.exe (ID: 520 |ParentID: 500)
C:\Windows\system32\services.exe (ID: 556 |ParentID: 508)
C:\Windows\system32\lsass.exe (ID: 580 |ParentID: 508)
C:\Windows\system32\lsm.exe (ID: 588 |ParentID: 508)
C:\Windows\system32\winlogon.exe (ID: 644 |ParentID: 500)
C:\Windows\system32\svchost.exe (ID: 744 |ParentID: 556)
C:\Windows\system32\svchost.exe (ID: 840 |ParentID: 556)
C:\Windows\system32\atiesrxx.exe (ID: 888 |ParentID: 556)
C:\Windows\System32\svchost.exe (ID: 960 |ParentID: 556)
C:\Windows\System32\svchost.exe (ID: 1016 |ParentID: 556)
C:\Windows\system32\svchost.exe (ID: 348 |ParentID: 556)
C:\Windows\system32\svchost.exe (ID: 428 |ParentID: 556)
C:\Windows\system32\atieclxx.exe (ID: 1108 |ParentID: 888)
C:\Windows\system32\svchost.exe (ID: 1164 |ParentID: 556)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1316 |ParentID: 556)
C:\Windows\System32\spoolsv.exe (ID: 1624 |ParentID: 556)
C:\Windows\system32\svchost.exe (ID: 1664 |ParentID: 556)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1816 |ParentID: 556)
C:\Windows\SysWOW64\ezSharedSvcHost.exe (ID: 2016 |ParentID: 556)
c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (ID: 1268 |ParentID: 556)
C:\Program Files (x86)\PDF Complete\pdfsvc.exe (ID: 1280 |ParentID: 556)
C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe (ID: 1296 |ParentID: 556)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 1364 |ParentID: 556)
C:\Windows\system32\svchost.exe (ID: 2340 |ParentID: 556)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2640 |ParentID: 1364)
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (ID: 2140 |ParentID: 556)
C:\Windows\System32\svchost.exe (ID: 2724 |ParentID: 556)
C:\Windows\system32	askhost.exe (ID: 1096 |ParentID: 556)
C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesApp64.exe (ID: 752 |ParentID: 1296)
C:\Windows\system32\Dwm.exe (ID: 2988 |ParentID: 1016)
C:\Windows\Explorer.EXE (ID: 1028 |ParentID: 2080)
C:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe (ID: 1592 |ParentID: 1028)
C:\Windows\System32\wscript.exe (ID: 1608 |ParentID: 1028)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 2100 |ParentID: 2832)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (ID: 2592 |ParentID: 2116)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (ID: 3100 |ParentID: 2592)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3440 |ParentID: 744)
C:\Program Files\Internet Explorer\IEXPLORE.EXE (ID: 3588 |ParentID: 3336)
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE (ID: 2128 |ParentID: 3588)
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE (ID: 3428 |ParentID: 3588)
C:\Windows\system32\Macromed\Flash\FlashUtil64_11_9_900_170_ActiveX.exe (ID: 3204 |ParentID: 744)
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE (ID: 3708 |ParentID: 3588)
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE (ID: 5232 |ParentID: 3588)
C:\Windows\System32\WUDFHost.exe (ID: 4444 |ParentID: 1016)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 4744 |ParentID: 744)
C:\UsbFix\Go.exe (ID: 932 |ParentID: 4036)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [] - 
04 - HKLM\SOFTWARE | Run : [Magic Desktop for HP notification] - "C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe"
04 - HKLM\SOFTWARE | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE\wow6432Node | Run : [] - 
04 - HKLM\SOFTWARE\wow6432Node | Run : [Magic Desktop for HP notification] - "C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE | RunOnce : [] - 
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] - 
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1850363642-1584860010-650980369-1000\SOFTWARE | Run : [flashmemory] - wscript.exe //B "C:\Users\PIMMS_10\AppData\Local\Temp\flashmemory.vbe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Users\PIMMS_10\AppData\Local\Temp\flashmemory.vbe
Présent! C:\Users\PIMMS_10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\flashmemory.vbe
Présent! H:\flashmemory.vbe
Présent! H:\CV.lnk
Présent! H:\COURRIER CAF.lnk
Présent! H:	est.lnk
Présent! H:\lettre.lnk

################## | Référence de comparaison MD5 |

Md5 : BCDEF9A6D179F4C587F9B742DE82EEF0 -> C:\Users\PIMMS_10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\flashmemory.vbe
Md5 : BCDEF9A6D179F4C587F9B742DE82EEF0 -> C:\Users\PIMMS_10\AppData\Local\Temp\flashmemory.vbe
Md5 : E1B82F88E2D2FF7486C6F527E2DE5442 -> H:\flashmemory.vbe

################## | Comparaison MD5 |

Présent! Md5 : BCDEF9A6D179F4C587F9B742DE82EEF0 -> C:\Users\PIMMS_10\AppData\Local\Temp\flashmemory.vbe
Présent! Md5 : BCDEF9A6D179F4C587F9B742DE82EEF0 -> C:\Users\PIMMS_10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\flashmemory.vbe
Présent! Md5 : E1B82F88E2D2FF7486C6F527E2DE5442 -> H:\flashmemory.vbe

################## | Registre |

Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|EnableShellExecuteHooks -> 1
Présent! HKU\S-1-5-21-1850363642-1584860010-650980369-1000\Software\Microsoft\Windows\CurrentVersion\Run|flashmemory
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|flashmemory

################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |


merci de vos recommandations et de votre aide

Configuration: Windows 7 / Mozilla 11.0

juju666 · Answer

Salut

Tu peux faire le nettoyage et poster le rapport

sybiline01 · Answer

Bonsoir,

J'ai le même problème avec des fichiers en .ink  sur mes clées. As tu trouvé une solution ?

Merci

Sybiline

Clé Usb infectée - les dossiers deviennent des raccourcis

2 réponses

Newsletters