Problème avec ma clé USBRésolu/Fermé

Question

Bonjour, 

Alors voilà mon problème. Je viens d'analyser ma clé USB, et j'ai eu la surprise d'avoir contracté 20 virus (chevaux de Troie) depuis l'ordinateur de ma classe, du genre Trojan.Win32.Starter.lfh ou encore Backdoor.Win32.Azbreg.pyv . Jusque là, rien d'inquétant, mais lorsque je nettoie avec Kaspersky, tous les fichiers contaminés (importants) sont supprimés. Et lorsque je ré-analyse, les fichiers que j'avais avant sont analysés mais je ne les vois pas.
Si quelqu'un a une solution, merci de me l'indiquer.
Merci d'avance pour vos réponses.

-Tech.

Configuration: Windows 7 / Firefox 21.0

lilidurhone · Answer

Hello

Fais ceci

Recherche :
* Télécharge http://general-changelog-team.fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix (créé par El Desaparecido) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
* Si le premier lien ne marche pas utilises le second https://www.commentcamarche.net/download/s/USBfix
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

H-Tech · Answer

Voilà le rapport:

############################## | UsbFix V 7.127 | [Recherche]

Utilisateur: Utilisateur (Administrateur) # UTILISATEUR-PC
Mis à jour le 05/06/2013 par El Desaparecido
Lancé à 13:12:52 | 10/06/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://upload.sosvirus.org/
Contact: contact@sosvirus.org

PC: Acer            (TravelMate 5320                ) (X86-based PC)
CPU: Intel(R) Celeron(R) CPU          530  @ 1.73GHz (1729)
RAM -> [Total : 1014 | Free : 165]
BIOS: Ver 1.00PARTTBL
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Intégrale  (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16576

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Kaspersky Anti-Virus [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 39 Go (7 Go libre(s) - 18%) [] # NTFS
D:\ -> Disque fixe # 35 Go (13 Go libre(s) - 35%) [] # NTFS
E:\ -> CD-ROM
G:\ -> Disque amovible # 7 Go (6 Go libre(s) - 86%) [KINGSTON] # FAT32
L:\ -> CD-ROM

################## | Processus Actif |

C:\Windows\system32\csrss.exe (508)
C:\Windows\system32\wininit.exe (560)
C:\Windows\system32\csrss.exe (568)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (632)
C:\Windows\system32\lsm.exe (640)
C:\Windows\system32\winlogon.exe (708)
C:\Windows\system32\svchost.exe (812)
C:\Windows\system32\svchost.exe (888)
C:\Windows\System32\svchost.exe (944)
C:\Windows\System32\svchost.exe (1092)
C:\Windows\system32\svchost.exe (1128)
C:\Windows\system32\svchost.exe (1168)
C:\Windows\system32\AUDIODG.EXE (1248)
C:\Windows\system32\svchost.exe (1448)
C:\Windows\system32\Dwm.exe (1644)
C:\Windows\Explorer.EXE (1664)
C:\Windows\System32\spoolsv.exe (1756)
C:\Windows\system32	askhost.exe (1804)
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (1864)
C:\Windows\System32\igfxtray.exe (1872)
C:\Windows\System32\hkcmd.exe (1880)
C:\Windows\System32\igfxpers.exe (1888)
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe (1904)
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (1912)
C:\Program Files\Druide\Antidote 7\Programmes32\agentantidote.exe (1920)
C:\Program Files\Real\RealPlayer\Updateealsched.exe (1944)
C:\Program Files\iTunes\iTunesHelper.exe (1952)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (1960)
C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE (1968)
C:\Program Files\VoipGain.com\VoipGain\VoipGain.exe (1992)
C:\Windows\system32\svchost.exe (1420)
C:\Windows\system32\igfxsrvc.exe (1900)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2424)
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe (2488)
C:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (2652)
C:\Program Files\RealNetworks\RealDownloaderndlresolversvc.exe (2756)
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (2864)
C:\Windows\system32\svchost.exe (2936)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (3056)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (3452)
C:\Program Files\Google\Update\1.3.21.145\GoogleCrashHandler.exe (1540)
C:\Program Files\Mozilla Firefox\firefox.exe (3880)
C:\Windows\system32\SearchIndexer.exe (2348)
C:\Program Files\iPod\bin\iPodService.exe (1780)
C:\Windows\system32\svchost.exe (2540)
C:\Windows\system32\svchost.exe (3984)
C:\Program Files\Windows Media Player\wmpnetwk.exe (4224)
C:\Windows\System32\svchost.exe (5712)
C:\Windows\System32\svchost.exe (5824)
C:\Windows\system32\DllHost.exe (1136)
C:\Program Files\RealNetworks\RealDownloaderecordingmanager.exe (4460)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (5836)
C:\Windows\system32\sppsvc.exe (1568)
C:\Windows\system32	askhost.exe (4788)
C:\Program Files\Mozilla Firefox\plugin-container.exe (3492)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_202.exe (5196)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_202.exe (3876)
C:\Windows\system32	askeng.exe (3188)
C:\Windows\system32	askhost.exe (2052)
C:\UsbFix\Go.exe (908)
C:\UsbFix\Go.exe (4940)
C:\Windows\System32\WUDFHost.exe (2412)
C:\Windows\system32\wbem\wmiprvse.exe (784)
\?\C:\Windows\system32\wbem\WMIADAP.EXE (4524)
C:\Windows\system32\wbem\wmiprvse.exe (4616)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
HKLM\SOFTWARE | Run : [IgfxTray] - C:\Windows\system32\igfxtray.exe
HKLM\SOFTWARE | Run : [HotKeysCmds] - C:\Windows\system32\hkcmd.exe
HKLM\SOFTWARE | Run : [Persistence] - C:\Windows\system32\igfxpers.exe
HKLM\SOFTWARE | Run : [BCSSync] - "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
HKLM\SOFTWARE | Run : [AVP] - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe"
HKLM\SOFTWARE | Run : [VirtualCloneDrive] - "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
HKLM\SOFTWARE | Run : [agentantidote.exe] - "C:\Program Files\Druide\Antidote 7\Programmes32\agentantidote.exe" /LancementSession
HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\SOFTWARE | Run : [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM\SOFTWARE | Run : [TkBellExe] - "C:\Program Files\Real\RealPlayer\updateealsched.exe"  -osboot
HKLM\SOFTWARE | Run : [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-3753584772-3225965852-754549975-1000\SOFTWARE | Run : [E09FXLRD_1557279] - "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
HKU\S-1-5-21-3753584772-3225965852-754549975-1000\SOFTWARE | Run : [msnmsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
HKU\S-1-5-21-3753584772-3225965852-754549975-1000\SOFTWARE | Run : [Facebook Update] - "C:\Users\Utilisateur\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
HKU\S-1-5-21-3753584772-3225965852-754549975-1000\SOFTWARE | Run : [GarenaPlus] - "C:\Program Files\Garena Plus\GarenaMessenger.exe" -autolaunch
HKU\S-1-5-21-3753584772-3225965852-754549975-1000\SOFTWARE | Run : [VoipGain] - "C:\Program Files\VoipGain.com\VoipGain\VoipGain.exe" -nosplash -minimized
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Éléments infectieux |

Présent! G:\slui.exe    
Présent! C:\Program Files\GUMD816.tmp
Présent! C:\Program Files\GUTD817.tmp
Présent! C:\Users\UTILIS~1\AppData\Local\Temp\228412-663351-minecraft.exe
Présent! D:\Setup.exe
Présent! D:\Autorun.inf
Présent! G:\autorun.inf

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.sosvirus.net/ |

lilidurhone · Answer

Hello Tech

Si la suppression  bloque en mode normal passe en mode sans échec


Suppression

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Clique sur "Suppression"

* Laisse travailler l'outil

* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

H-Tech · Answer

Qu'est ce qu'il faudrait supprimer?
Ces éléments infectieux qui ont été mentionné dans le rapport?
Plus de précisions, please.

lilidurhone · Answer

Hello

Tes fichiers ne sont pas perdus mais masqués par l'infection :)

lilidurhone · Answer

Hello

Le rapport n'est pas complet héberge le

H-Tech · Answer

OK

H-Tech · Answer

Voilà c'est fait.
Le rapport est ici:
https://textup.fr/62421z9 .
C'est bon j'ai récupéré tous les fichiers qui étaient dans ma clé USB.
Merci encore une fois lilidurhone pour ton aide.

lilidurhone · Answer

Hello

C'est pas fini je te propose de vérifier ton ordinateur qu'en penses tu?

H-Tech · Answer

Sauf que j'ai remarqué que des fichiers tel que "autorun.inf" (qui appartenait au logiciel Corel DVD MovieFactory) ou "GUTD817.tmp" ont été placé en quarantaine (je crois que c'était des fichiers inoffensifs, les un appartenait au disque C: , et l'autre à un simple logiciel), et une extension .vir a été ajoutée.
Qu'est ce que veut dire cette extension?

P.S: J'ai remarqué dans le dossier GUTD816.tmp des fichiers comme GoogleCrashHandler.exe(avec .vir à côté) ,
je crois que ça appartenait à Google Chrome.
Pourquoi on-t-il été mis en quarantaine?

lilidurhone · Answer

Hello

Ils ont été infecté c'est pour cela :)

 * Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, clique sur la flèche bleue ce qui va te diriger vers Pjjoint
pour héberger ce rapport.

* Clique sur Parcourir pour chercher le rapport dans ton PC.

* Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Clique sur envoyer le fichier, puis poste le lien en bleu qu'on va te fournir.

* Si problème d'hébergement sur Pjoint passe par cjoint 

* Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html

H-Tech · Answer

Voilà j'ai diagnostiqué avec ZHPDiag.
Voici le lien du rapport: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130611_s5y7l128q15

lilidurhone · Answer

Ton Windows est il légal?

juju666 · Answer

Salut,

Lili : c'est sûrement à cause du mode sans échec ;)
Tech : l'extension .VIR est ajoutée par USBFIX, cela sert à rendre les fichiers VIRaux inoffensifs :)

H-Tech · Answer

Merci juju pour ta réponse.
Sauf que maintenant j'ai un nouveau problème.
Je suis coincé en mode sans échec.
Dès que j'essaie de revenir en mode normal, l'écran de bienvenue est affiché, mais au lieu de laisser place au bureau, l'écran est noir.

H-Tech · Answer

C'est bon maintenant tout est réglé.
J'ai récupéré les fichiers perdus à cause de l'infection, l'ordinateur a été réparé, j'ai enfin pu entrer le Product Key, j'ai activé le système.
Merci à tous ceux et celles qui ont pris la peine de m'aider.
Je marque comme résolu.

juju666 · Answer

:)

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Problème avec ma clé USB

17 réponses

Discussions similaires

Newsletters