Signaler

Clé USB infecté [Résolu]

Posez votre question oiseau2nuit 7Messages postés samedi 16 avril 2011Date d'inscription 19 novembre 2017 Dernière intervention - Dernière réponse le 19 nov. 2017 à 19:28 par Malekal_morte-
Bonjour,
j'ai un gros problème avec les clés USB. Elles ont toutes un raccourci et je ne peux ouvrir aucun dossier. Après avoir consulté des forums j'ai effectué des analyses avec :
USB disk security
AVG
Roguekiller
Malwarebytes anti-Malware.
Tous me disent que mon ordi n'a aucun problème!!!! mais les clés sont toujours infectées. J'ai découvert dans mon dossier images un dossier "photo family" avec un raccourci et je pense que c'est le vecteur de virus. Quelqu'un peut-il m'aider à résoudre ce problème, je ne sais plus quel méthode utiliser.
Merci pour votre aide
Utile
+0
plus moins
Salut,

Déjà pour voir si l'ordinateur est touché :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


oiseau2nuit 7Messages postés samedi 16 avril 2011Date d'inscription 19 novembre 2017 Dernière intervention - 14 nov. 2017 à 20:31
Bonjour,
j'ai déjà essayé la semaine dernière q'envoyer les liens apparemment sans succès!
https://pjjoint.malekal.com/files.php?id=FRST_20171114_w10j9i109h5
j'espère que cette fois-çi ça ira!
Merci
Répondre
Donnez votre avis
Utile
+0
plus moins
Sinon, tu fais une copie de tes documents (sans ce qui sont louche...) puis tu reformate ta clé (fat 32 ou ntfs). Le mieux serai de réécrire des zéros partout... Je ne sais pas si c'est possible sous windaube !
Bonne journée !
Malekal_morte- 141526Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 19 novembre 2017 Dernière intervention - 10 nov. 2017 à 17:31
Les outils utilisées sont nazes pour détecter les infections amovibles.
Faut être sûr avec FRST.
Répondre
Breizhux 184Messages postés vendredi 1 septembre 2017Date d'inscription 16 novembre 2017 Dernière intervention - 10 nov. 2017 à 17:44
Il n'y a aucun anti-virus de sûr :
https://www.leblogduhacker.fr/quel-est-vraiment-le-meilleur-antivirus/
ou
https://www.leblogduhacker.fr/pourquoi-les-antivirus-ne-sont-pas-vos-amis/

Après j'avous ne pas être un grand connaisseur sur les types d'anti virus... Je n'en utilise pas. Je suis sous linux et j'essais de faire tout le temps attention au opération que je fais, et j'ai très rarement des problèmes.

Je pense que le meilleur anti-virus est de faire toujours attention à ce que l'on fais.

Bonne journée !
Répondre
Kragenskul 99Messages postés samedi 14 octobre 2017Date d'inscription 19 novembre 2017 Dernière intervention - 10 nov. 2017 à 20:07
Bonjour,

Je me permet d'intervenir, car les 'tests' du site 'le blog du hacker' ne, pour moi, veulent rien dire...

Je m'explique:

On peut tous faire des tests de, allez, 10 virus de chaque types..Mais vers la fin ça ne nous avance pas trop... Je veux dire, çe n'est pas parce que tel ou tel antivirus n'as pas détecter tels virus qu'ils sont mauvais..;Pour avoir des résultats, il faudrait plutot faire:

-Des tests de virus d'une quantitée importante et dans des domaines différents(Des virus disponibles via un spam ou bien les virus s'attrapant en allant sur tel site ...ect) mais un nombre de fois élevé, puis représenter tout ça en faisant des comparatifs.

-Représenter les véritables détections en temps réel,également dans tous les domaines, mais çe ne sera pas des tests, les comparatifs se passeront selon des infections(bloqués ou non) en temps réelle, par tous les utilisateurs d'antivirus.

Et non en faisant des tests de 10 virus de chaque domaines grands max....Après cela reste mon avis(; J'ais donné ces deux exemples car Av-Tests et Av-Comparatives utilisent ces procédés.Après, il n'y a pas que Av-test et Av-Comparatives, le site Tom's guide avait déjà publié des résultats de test qui m'ont semblés trés complets.Mais, comme dit plus haut cela reste mon avis.



Quand au probléme initial, je suis sur que Malekal_Morte pourra donner des meilleurs solutions, mais si une clée usb vous semble suspectes, je vous conseille de consulter cette page: http://www.commentcamarche.net/faq/9959-desinfecter-une-cle-usb-ou-un-disque-amovible (:

Amicalement

-Kragenskul
Répondre
Breizhux 184Messages postés vendredi 1 septembre 2017Date d'inscription 16 novembre 2017 Dernière intervention - 10 nov. 2017 à 21:54
Parfaitement d'accord avec toi... C'était pour montrer qu'on ne peut pas dire que tel ou tel anti-virus est plus sûr que les autres. Tout dépend du type d'attaque.
J'ai pris l'exemple du blog du hacker parce que j'ai peu de connaissance sur windows, et encore moins des anti-virus :-) !!

Bonne soirée !
Répondre
Kragenskul 99Messages postés samedi 14 octobre 2017Date d'inscription 19 novembre 2017 Dernière intervention - 11 nov. 2017 à 10:21
Tu as tout compris (:
Répondre
Donnez votre avis
Utile
+0
plus moins
bonjour, apparemment mon problème a pu être réglé avec Remediate VBS Worm, les 2 clés infectées n'ont plus de raccourci et le dossier raccourci Photo Family de mon dossier photo a disparu! J'espère que ce virus a été réellement éradiqué.
Merci à Kragenskul
Malekal_morte- 141526Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 19 novembre 2017 Dernière intervention - 12 nov. 2017 à 18:36
ok,

Pour ceux qui ne connaissent pas Remediate VBS, voir là : Remediate VBS Worm
Répondre
Kragenskul 99Messages postés samedi 14 octobre 2017Date d'inscription 19 novembre 2017 Dernière intervention - 12 nov. 2017 à 19:24
Derien (;
Répondre
Donnez votre avis
Utile
+0
plus moins
Rebonjour,
Hélas après avoir éteint mon ordinateur et rallumé, le dossier raccourci photo Family est réapparu dans mon dossier photos!!! Je suis désespérée!!
Malekal_morte- 141526Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 19 novembre 2017 Dernière intervention - 12 nov. 2017 à 19:56
Surement parce que ton ordinateur est infecté, donc faire FRST comme j'avais dit.
Répondre
Donnez votre avis
Utile
+0
plus moins
Aïe... Bon, je te laisse avec Malekal_Morte, en ésperant que le probléme soit résolu. Je suis étonné que la page que je t'ais fourni n'ait pas résolu ton probléme...

En vous souhaitant une bonne soirée,

-Kragenskul
Donnez votre avis
Utile
+0
plus moins
Désinstalle AVG PC TuneUp
Ca sert à rien.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
C:\Users\Admin\AppData\Roaming\Video.3g
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

3) Refais un nettoyage RemVBS sur tes clés USB.

Donnez votre avis
Utile
+0
plus moins
Bonjour,
J'ai enfin un peu de temps à consacrer au nettoyage de mon ordi. J'aidonc procédé à la correction par FRST.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-11-2017
Exécuté par Admin (17-11-2017 18:17:36) Run:1
Exécuté depuis C:\Users\Admin\Desktop\FRST
Profils chargés: Admin & UpdatusUser (Profils disponibles: Admin & UpdatusUser)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Admin\AppData\Roaming\Video.3gp <==== ATTENTION
C:\Users\Admin\AppData\Roaming\Video.3g
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
"C:\Users\Admin\AppData\Roaming\Video.3g" => non trouvé(e).

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1320375795-3806774912-3039614592-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 12582912 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29836862 B
Java, Flash, Steam htmlcache => 595 B
Windows/system/drivers => 2988478 B
Edge => 0 B
Chrome => 16611607 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 42956350 B
systemprofile32 => 66235 B
LocalService => 115860 B
NetworkService => 342431 B
Admin => 395260776 B
UpdatusUser => 0 B

RecycleBin => 1145535 B
EmptyTemp: => 478.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 18:18:10

J'espère que la procédure est la bonne.
Merci beaucoup
Malekal_morte- 141526Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 19 novembre 2017 Dernière intervention - 17 nov. 2017 à 18:25
Tiens AVG ce serait pas réveillé dernièrement ?

"C:\Users\Admin\AppData\Roaming\Video.3g" => non trouvé(e).

Fais bien marmiton et nettoie bien tes clés USB à nouveau.
Répondre
oiseau2nuit 7Messages postés samedi 16 avril 2011Date d'inscription 19 novembre 2017 Dernière intervention - 19 nov. 2017 à 18:20
Bonjour,
apparemment tout est rentré dans l'ordre, plus de dossier raccourci PhotoFamily et les clés USB sont également sans problème!
Par contre j'ai un dossier $RECYCLE.BIN qui est apparu! qu'est-ce donc?
Encore Merci
Répondre
Kragenskul 99Messages postés samedi 14 octobre 2017Date d'inscription 19 novembre 2017 Dernière intervention - 19 nov. 2017 à 18:27
Quand un fichier est supprimé, il est envoyé-généralement- dans la corbeille, et il apparait' $RECYCLE.BIN '.


-Kragenskul
Répondre
Malekal_morte- 141526Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 19 novembre 2017 Dernière intervention oiseau2nuit - 19 nov. 2017 à 19:28
RECYCLE.BIN c'est la corbeille Windows de ta clé USB.

Mets bien marmiton pour te protéger de ce type d'infection.

Supprime le dossier C:\FRST
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !