clé USB infectée par des raccourcisRésolu/Fermé

Question

Bonjour, je reviens sur le sujet déjà développé sur le forum concernant l'apparition de raccourcis présents sur les clés USB - j'ai effectué les recherches avec rem-vbsworm; virus effect remover et enfin usbfix dont voici le résultat de la recherche ; le problème persiste sur toutes les clés que j'insère sur mon ordi; j'ai scanné méthodiquement le système avec avast et mis en quarantaine la totalité des trouvailles.. je vous joints le rapport de usbfix que je viens d'utiliser encore à l'instant; je souhaiterais avoir votre avis sur le problème et trouver avec vous la solution. je vous remercie d'avance..


############################## | UsbFix V6.100 |

User : Alain (Administrateurs) # CADET74
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:39:47 | 14/01/2016
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Pentium(R) Dual-Core CPU       T4400  @ 2.20GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-bit) # Service Pack 1
Internet Explorer 9.11.9600.17843
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 451,07 Go (124,09 Go free) [Disque dur] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 124,47 Mo (111,23 Mo free) # FAT
F:\ -> Disque amovible # 7,53 Go (7,36 Go free) # NTFS
G:\ -> Disque CD-ROM # 702,31 Mo (0 Mo free) [scrabble2009] # UDF

################## | Elements infectieux |

C:\Windows\Temp\TS_174B.tmp  
C:\Windows\Temp\TS_3948.tmp  
C:\Windows\Temp\TS_3B6B.tmp  
C:\Windows\Temp\TS_83D.tmp  
C:\Windows\Temp\TS_E08E.tmp  
C:\Windows\Temp\TS_F142.tmp  
C:\Users\Alain\AppData\Local\Temp\pv.exe  
G:\autorun.inf  

################## | Registre |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDesktop"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFileMenu"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\ScrabbleAutorun.exe 

HKCU\..\..\Explorer\MountPoints2\{764a08e6-8b96-11e5-b164-a4badb996cb4}
shell\AutoRun\command =F:\ScrabbleAutorun.exe 

HKCU\..\..\Explorer\MountPoints2\{b22f4841-6b7a-11e0-91df-a4badb996cb4}
shell\AutoRun\command =F:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{e13959b5-83b6-11e5-99ec-a4badb996cb4}
shell\AutoRun\command =G:\ScrabbleAutorun.exe 

################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | ! Fin du rapport # UsbFix V6.100 ! |

Malekal_morte- · Answer

Salut,

La clef n'est pas infectée.
note que la clef peut être infecté par un autre ordinateur.

Si tu veux vérifier le PC en question :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

cadet74 · Answer

comme vous me l'avez demandé : voici les trois liens de fichiers PJ malekal que vous pourrez consulter afin de me sortir de ce piège.. merci encore une fois..
https://pjjoint.malekal.com/index.php

id=FRST_20160114_d6g9h6p6q15

https://pjjoint.malekal.com/index.php

id=20160114_m14o159k13o9

https://pjjoint.malekal.com/index.php

id=20160114_k5v8o15i12y14

Malekal_morte- · Answer

Le PC est infecté, tu as aussi changé les DNS surement pour contourner les blocages torrents :

DNS Servers: 178.32.122.65 - 37.187.0.40 

Sache que cela permet d'effectuer des attaques MITM pour éventuellement voler des accès.
Tu ne sais pas qui administrent ces serveurs, ce n'est pas du tout recommandé de les changer.


~~

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-CBA7023EBA39} 
 2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:\ProgramData\ylkcvsdfsgjtbrknlff.reg 
 C:\Users\Alain\AppData\Local\Temp\winlogon.bat 
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg 
 HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp\winlogon.bat [81 2016-01-11] () <===== ATTENTION 
 Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()  

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur


Ensuite Ouvre Mon Ordinateur 
puis le disque C 
Ouvre le dossier FRST. 
Dedans se trouve, le dossier Quarantine 
Fais un clic droit dessus puis envoyer vers le dossier compressé. 
Envoie le zip sur http://upload.malekal.com 

 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

cadet74 · Answer

Résultats de correction de Farbar Recovery Scan Tool (x64) 

Version:10-01-2015 01
Exécuté par Alain (2016-01-14 14:09:23) Run:1
Exécuté depuis C:\Users\Alain\Desktop
Profils chargés: Alain (Profils disponibles: Alain & 

Martine & phoenix & Shipy & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


2016-01-04 17:44 - 2016-01-04 17:44 - 00000000 ____D C:

\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-

CBA7023EBA39} 
 2013-08-31 10:43 - 2013-08-31 10:43 - 0000165 _____ () C:

\ProgramData\ylkcvsdfsgjtbrknlff.reg 
 C:\Users\Alain\AppData\Local\Temp\winlogon.bat 
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg 
 HKU\S-1-5-21-2504682391-2156521303-1188651563-1000\...

\Run: [winlogon] => C:\Users\Alain\AppData\Local\Temp

\winlogon.bat [81 2016-01-11] () <===== ATTENTION 
 Startup: C:\Users\Alain\AppData\Roaming\Microsoft\Windows

\Start Menu\Programs\Startup\winlogon.bat [2016-01-11] ()  



C:\Users\Alain\AppData\Local\{59AE7EF5-A1A8-42A3-8D41-

CBA7023EBA39} => déplacé(es) avec succès
C:\ProgramData\ylkcvsdfsgjtbrknlff.reg => déplacé(es) avec 

succès
C:\Users\Alain\AppData\Local\Temp\winlogon.bat => déplacé

(es) avec succès
"C:\ProgramData\ylkcvsdfsgjtbrknlff.reg" => non trouvé(e).
HKU\S-1-5-21-2504682391-2156521303-1188651563-

1000\Software\Microsoft\Windows\CurrentVersion\Run\

\winlogon => valeur supprimé(es) avec succès
C:\Users\Alain\AppData\Roaming\Microsoft\Windows\Start 

Menu\Programs\Startup\winlogon.bat => déplacé(es) avec 

succès
 Fin de Fixlog 14:09:24

Malekal_morte- · Answer

oki laisse le celui la.

Désactive les scripts WSH :  Malware VBS/WSH/Windows Script Host

Nettoye les clefs USB et vois ce que cela donne.

Malekal_morte- · Answer

Le PC avait encore l'air un peu infecté, bien qu'apparemment tu as dit que le .vbs n'était plus présent. 

Toute façon, ça n'a pas fait de mal =)


Désactive les WSH, ça devrait limiter ce type de merdouille.


Le reste de la sécurité : Sécuriser son ordinateur.

Clé USB infectée par des raccourcis

6 réponses

Fin de Fixlog 14:09:24

Fin de Fixlog 17:16:39

Newsletters