Clé USB infestée par un virus: ci-joint rapport usbfix [Résolu/Fermé]

Signaler
-
lilidurhone
Messages postés
43316
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
4 janvier 2020
-
Bonjour,

Ma clé 8 go est infestée par un virus tenace. Quelqu'un pourrait m'indiquer la marche à suivre?
Je joint le rapport usbfix.
Merci d'avance, j'espère que quelqu'un pourra m'aider!

############################## | UsbFix V 7.153 | [Recherche]

Utilisateur: Camille (Administrateur) # CAMILLE-PC
Mis à jour le 09/12/2013 par El Desaparecido - Team SosVirus
Lancé à 20:28:22 | 09/12/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: ASUSTeK Computer Inc. (K50IP )
CPU: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
RAM -> [Total : 4095 | Free : 1745]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16686
WB: Mozilla Firefox : 26.0

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Internet Security [Enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 75 Go (13 Go libre(s) - 18%) [OS] # NTFS
D:\ -> Disque fixe # 209 Go (70 Go libre(s) - 33%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 7 Go (6 Go libre(s) - 89%) [USB DISK] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 416 |ParentID: 408)
C:\Windows\system32\wininit.exe (ID: 464 |ParentID: 408)
C:\Windows\system32\csrss.exe (ID: 476 |ParentID: 456)
C:\Windows\system32\services.exe (ID: 524 |ParentID: 464)
C:\Windows\system32\lsass.exe (ID: 532 |ParentID: 464)
C:\Windows\system32\lsm.exe (ID: 544 |ParentID: 464)
C:\Windows\system32\winlogon.exe (ID: 596 |ParentID: 456)
C:\Windows\system32\svchost.exe (ID: 688 |ParentID: 524)
C:\Windows\system32\nvvsvc.exe (ID: 760 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 800 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 852 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 916 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 952 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1016 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 924 |ParentID: 524)
C:\Windows\system32\nvvsvc.exe (ID: 1144 |ParentID: 760)
C:\Windows\system32\FBAgent.exe (ID: 1212 |ParentID: 524)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1292 |ParentID: 524)
C:\Program Files\AVAST Software\Avast\afwServ.exe (ID: 1408 |ParentID: 524)
C:\Windows\System32\spoolsv.exe (ID: 1476 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1552 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1632 |ParentID: 524)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 1656 |ParentID: 524)
C:\Windows\SysWOW64\svchost.exe (ID: 1728 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1756 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1804 |ParentID: 524)
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (ID: 1840 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1900 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1932 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 2228 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 2576 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 2848 |ParentID: 524)
C:\Windows\system32\Dwm.exe (ID: 2928 |ParentID: 852)
C:\Windows\Explorer.EXE (ID: 2960 |ParentID: 2920)
C:\Windows\System32\rundll32.exe (ID: 3040 |ParentID: 688)
C:\Windows\AsScrPro.exe (ID: 2832 |ParentID: 1212)
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (ID: 2972 |ParentID: 1212)
C:\Windows\System32\wscript.exe (ID: 1864 |ParentID: 2960)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe (ID: 1400 |ParentID: 2960)
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe (ID: 2836 |ParentID: 2188)
C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe (ID: 2692 |ParentID: 2188)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (ID: 940 |ParentID: 2188)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 3100 |ParentID: 2188)
C:\Program Files\iPod\bin\iPodService.exe (ID: 3244 |ParentID: 524)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe (ID: 3672 |ParentID: 1400)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe (ID: 3748 |ParentID: 688)
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe (ID: 3852 |ParentID: 688)
C:\Windows\System32\svchost.exe (ID: 2300 |ParentID: 524)
C:\Windows\system32\DllHost.exe (ID: 3420 |ParentID: 688)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2400 |ParentID: 688)
C:\Windows\system32\wuauclt.exe (ID: 4436 |ParentID: 952)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID: 1236 |ParentID: 460)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID: 4456 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 4620 |ParentID: 524)
C:\Program Files (x86)\Microsoft Office\Office12\POWERPNT.EXE (ID: 4556 |ParentID: 2960)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 5048 |ParentID: 2960)
C:\Windows\splwow64.exe (ID: 4364 |ParentID: 4556)
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE (ID: 3168 |ParentID: 5048)
C:\Windows\System32\WUDFHost.exe (ID: 4832 |ParentID: 852)
C:\UsbFix\Go.exe (ID: 4972 |ParentID: 3576)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [] -
04 - HKLM\SOFTWARE | Run : [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
04 - HKLM\SOFTWARE | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE | Run : [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE\wow6432Node | Run : [] -
04 - HKLM\SOFTWARE\wow6432Node | Run : [GrooveMonitor] - "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKOSD2] - C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
04 - HKLM\SOFTWARE\wow6432Node | Run : [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-442063-3005387531-1285437692-1000\SOFTWARE | Run : [ApplePhotoStreams] - C:\Program Files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe
04 - HKU\S-1-5-21-442063-3005387531-1285437692-1000\SOFTWARE | Run : [DAEMON Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-442063-3005387531-1285437692-1000\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe
Présent! C:\Users\Camille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! H:\iTunesHelper.vbe
Présent! H:\.Spotlight-V100.lnk
Présent! D:\desktop.ini

################## | Référence de comparaison MD5 |

Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe
Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> H:\iTunesHelper.vbe

################## | Comparaison MD5 |

Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Local\Temp\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> C:\Users\Camille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : 2BCBCF86077A7E0F77BDB82F331F2957 -> H:\iTunesHelper.vbe

################## | Registre |

Présent! HKU\S-1-5-21-442063-3005387531-1285437692-1000\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

################## | Vaccin |

D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

5 réponses

Messages postés
43316
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
4 janvier 2020
3202
Hello

Suppression


* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Clique sur "Suppression"

* Laisse travailler l'outil

* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)


Merci Lilidurhone!

Je n'arrive pas a utiliser la fonction suppression d'usbfix. Je reçois un message disant "aucun programme n'est associé à ce fichier pour exécuter cette action. Installée un programme ou si c'est déjà fait, créez une association dans le panneau de configuration programme par défaut."

Comment on fait tout ça?
Messages postés
43316
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
4 janvier 2020
3202
Désactives avast et relances Usbfix
Je viens de faire une analyse au démarrage avec la clé connectée, et apparemment le virus a été calmé!
Merci en tout cas :)
Messages postés
43316
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
4 janvier 2020
3202
Le vie y est encore

Seul usbfix l'enlève