virus qui efface tous les fichiers de USBFermé

Question

Bonjour, 

ma machine est infectée, et je pense que j'ai porté le virus a partir de la clé usb

aussitot que l'on branche la clé, tous les dossiers disparaissent en option caché, et les fichiers.exe aussi. je ne sais pas quoi faire. 

merci

Configuration: Windows 7 / Chrome 33.0.1750.154

Utilisateur anonyme · Answer

Bonjour 

Je te conseille de passer un coup de ComboFix. C'est l'outil le plus radical que je connais.

Ils disent que son usage est à nos risques et périls. Je n'ai jamais eu de problème avec et il les a toujours résolus sur les machines.

Malekal_morte- · Answer

Salut,

Evite Combofix.

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).   
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.   

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.   
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :   

Comprendre les infections par disques amovibles : https://forum.malekal.com/viewtopic.php?t=3350&start=  

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.   
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.   
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.   

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/

zanu · Answer

j'ai fais l'opération avec usbfix, et les clés branchées. 

j'ai un samsung tab GT P5100, qui se connecte a mon ordi en Media device (MTP) et donc n'apparait pas comme un disque amovible, mais periphérique amovible. ça n'a d'ailleurs pas de lettre, je crois qu'il doit aussi etre infecté. comment faire pour que usbfix puisse le gérer?

zanu · Answer

############################## | UsbFix V 7.168 | [Suppression]

Utilisateur: TOSHIBA PC (Administrateur) # TOSHIBA
Mis à jour le 28/03/2014 par El Desaparecido - Team SosVirus
Lancé à 11:57:59 | 10/04/2014

Site Web : https://www.usbfix.net/
Changelog : https://www.usb-antivirus.com/fr/maj/
Support : https://depannageinformatique.org/acheter/reservation/?f=6
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/

PC: TOSHIBA (Portable PC)
CPU: Intel(R) Pentium(R) CPU 2020M @ 2.40GHz
RAM -> [Total : 3980 Mo| Free : 2384 Mo]
Bios: Insyde Corp.
Boot: Normal boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit) 
WB: Windows Internet Explorer : 10.0.9200.16798
WB: Mozilla Firefox : 15.0

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: Windows Defender [(!) Disabled | Updated]
AV: Norton Internet Security [(!) Disabled | (!) Outdated]
AS: Windows Defender [(!) Disabled | Updated]
AS: Norton Internet Security [Enabled | (!) Outdated]
FW: Norton Internet Security [(!) Disabled]
FW: Windows FireWall [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 233 Go (167 Go libre(s) - 72%) [TI10657300D] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 99%) [POCKET] # FAT32

################## | Processus Actif |

C:\windows\system32\csrss.exe (ID: 504 |ParentID: 496)
C:\windows\system32\wininit.exe (ID: 564 |ParentID: 496)
C:\windows\system32\services.exe (ID: 656 |ParentID: 564)
C:\windows\system32\lsass.exe (ID: 664 |ParentID: 564)
C:\windows\system32\svchost.exe (ID: 752 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 792 |ParentID: 656)
C:\windows\System32\svchost.exe (ID: 856 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 924 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 992 |ParentID: 656)
C:\windows\System32\svchost.exe (ID: 380 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 500 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 1040 |ParentID: 656)
C:\windows\System32\spoolsv.exe (ID: 1360 |ParentID: 656)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1464 |ParentID: 656)
C:\windows\system32\dashost.exe (ID: 1524 |ParentID: 380)
C:\ProgramData\DatacardService\HWDeviceService64.exe (ID: 1536 |ParentID: 656)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 1584 |ParentID: 656)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 1608 |ParentID: 656)
C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\NAT.exe (ID: 1636 |ParentID: 656)
C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe (ID: 1744 |ParentID: 656)
C:\Program Files (x86)\Norton PC Checkup\Engine\2.0.18.15\ccSvcHst.exe (ID: 1804 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 1868 |ParentID: 656)
C:\Windows\system32\TODDSrv.exe (ID: 1892 |ParentID: 656)
C:\Program Files\Toshiba\Teco\TecoService.exe (ID: 1984 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 1508 |ParentID: 656)
C:\windows\system32\svchost.exe (ID: 2276 |ParentID: 656)
C:\windows\system32\SearchIndexer.exe (ID: 2860 |ParentID: 656)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe (ID: 4076 |ParentID: 656)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 2700 |ParentID: 656)
C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe (ID: 3180 |ParentID: 656)
C:\Program Files (x86)\Norton PC Checkup\Engine\2.0.18.15\SymcPCCULaunchSvc.exe (ID: 3412 |ParentID: 656)
C:\Program Files\TOSHIBA\HDD Accelerator\THAccelSvc.exe (ID: 3992 |ParentID: 656)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 3424 |ParentID: 656)
C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe (ID: 3748 |ParentID: 656)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 2112 |ParentID: 656)
C:\Program Files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe (ID: 2196 |ParentID: 656)
C:\windows\system32\WLANExt.exe (ID: 4468 |ParentID: 380)
C:\windows\system32\conhost.exe (ID: 4572 |ParentID: 4468)
C:\Windows\System32\WUDFHost.exe (ID: 6432 |ParentID: 380)
C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe (ID: 5212 |ParentID: 656)
C:\windows\system32\csrss.exe (ID: 8044 |ParentID: 8996)
C:\windows\System32\WinLogon.exe (ID: 6752 |ParentID: 8996)
C:\windows\System32\dwm.exe (ID: 9140 |ParentID: 6752)
C:\windows\system32\taskhostex.exe (ID: 6556 |ParentID: 656)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 7860 |ParentID: 656)
C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\NAT.exe (ID: 7112 |ParentID: 1636)
C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe (ID: 2452 |ParentID: 3180)
C:\Program Files (x86)\Norton PC Checkup\Engine\2.0.18.15\ccSvcHst.exe (ID: 9076 |ParentID: 1804)
C:\windows\Explorer.EXE (ID: 8152 |ParentID: 2536)
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (ID: 7324 |ParentID: 2572)
C:\Windows\System32\igfxtray.exe (ID: 4700 |ParentID: 8152)
C:\Windows\System32\hkcmd.exe (ID: 1780 |ParentID: 8152)
C:\Windows\System32\igfxpers.exe (ID: 5128 |ParentID: 8152)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 9112 |ParentID: 8152)
C:\Program Files\Toshiba\Hotkey\TCrdMain_Win8.exe (ID: 8836 |ParentID: 8152)
C:\Program Files\Toshiba\Teco\TecoResident.exe (ID: 7028 |ParentID: 8152)
C:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exe (ID: 1676 |ParentID: 4180)
C:\Program Files (x86)\Smadav\SM?RTP.exe (ID: 3868 |ParentID: 8152)
C:\Program Files (x86)\Supercopier\supercopier.exe (ID: 8256 |ParentID: 8152)
C:\Windows\System32\wscript.exe (ID: 1696 |ParentID: 8152)
C:\Program Files\TOSHIBA\Toshiba Service Station\ToshibaServiceStation.exe (ID: 7612 |ParentID: 656)
C:\ProgramData\DatacardService\DCSHelper.exe (ID: 2364 |ParentID: 1536)
C:\ProgramData\DatacardService\DCSHelper.exe (ID: 9104 |ParentID: 1536)
C:\Program Files (x86)\Camtel EVDO-Huawei\Camtel EVDO-Huawei.exe (ID: 4444 |ParentID: 9104)
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE (ID: 2428 |ParentID: 8152)
C:\windows\splwow64.exe (ID: 9124 |ParentID: 2428)
C:\windows\system32\wbem\wmiprvse.exe (ID: 7800 |ParentID: 752)
C:\windows\system32\wbem\wmiprvse.exe (ID: 2252 |ParentID: 752)
C:\Windows\System32\WUDFHost.exe (ID: 7032 |ParentID: 380)
C:\windows\system32\taskhost.exe (ID: 5768 |ParentID: 656)
C:\windows\system32\cmd.exe (ID: 6944 |ParentID: 8152)
C:\windows\system32\conhost.exe (ID: 7040 |ParentID: 6944)
C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe (ID: 3208 |ParentID: 7668)
C:\windows\System32\svchost.exe (ID: 7796 |ParentID: 656)
C:\windows\system32\SearchProtocolHost.exe (ID: 4000 |ParentID: 2860)
C:\windows\system32\SearchFilterHost.exe (ID: 1876 |ParentID: 2860)

################## | Recherche générique |

Supprimé! C:\Users\TOSHIBA PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Supprimé! G:\updat.vbs
Supprimé! C:\Users\TOSHIB~1\AppData\Local\Temp\updat.vbs
Supprimé! G:\RogueKiller.lnk
Supprimé! G:\desktop.lnk
Supprimé! G:\Thumbs.lnk
Supprimé! G:\UsbFix.lnk
Supprimé! G:\tracteur aminou.lnk
Supprimé! G:\Devis quarantaine.lnk
Supprimé! G:\SUIVI FERMES.lnk
Supprimé! G:\ETATS PREPARATIFS ASSEMBLEE GENERALE ELITES.lnk
Supprimé! G:\Simulation budjet 2014 sur excell.lnk
Supprimé! G:\AGCO MoU Revised Update.lnk
Supprimé! G:\zhpdiag2.lnk
Supprimé! G:\adwcleaner (1).lnk
Supprimé! G:\ .lnk
Supprimé! G:\hive_dump.lnk

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKU\S-1-5-21-2207736939-436386201-1733804259-1001\Software\Microsoft\Windows\CurrentVersion\Run|updat
Supprimé! HKU\S-1-5-21-2207736939-436386201-1733804259-1001\Software\.\.\.\.\Mountpoints2\{359509ed-46f3-11e3-be78-008cfa34bdb2}
Supprimé! HKU\S-1-5-21-2207736939-436386201-1733804259-1001\Software\.\.\.\.\Mountpoints2\{6127f655-5b88-11e3-be7a-2016d8d20f7c}
Supprimé! HKU\S-1-5-21-2207736939-436386201-1733804259-1001\Software\.\.\.\.\Mountpoints2\{6127f793-5b88-11e3-be7a-2016d8d20f7c}
Supprimé! HKU\S-1-5-21-2207736939-436386201-1733804259-1001\Software\.\.\.\.\Mountpoints2\{97dd5ce1-4232-11e3-be75-008cfa34bdb2}
Supprimé! HKU\S-1-5-21-2207736939-436386201-1733804259-1001\Software\.\.\.\.\Mountpoints2\{ee33ee0a-6a07-11e3-be7f-2016d8d20f7c}

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [ultracopier] "C:\Program Files (x86)\Supercopier\supercopier.exe"
04 - HKLM\..\Run : [Norton Online Backup] C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe
04 - HKLM\..\Run : [ToshibaAppPlace] "C:\Program Files (x86)\Toshiba\Toshiba App Place\ToshibaAppPlace.exe"
04 - HKLM\..\RunOnce : [] 
04 - [x64] HKLM\..\Run : [] 
04 - [x64] HKLM\..\Run : [IgfxTray] C:\windows\system32\igfxtray.exe
04 - [x64] HKLM\..\Run : [HotKeysCmds] C:\windows\system32\hkcmd.exe
04 - [x64] HKLM\..\Run : [Persistence] C:\windows\system32\igfxpers.exe
04 - [x64] HKLM\..\Run : [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - [x64] HKLM\..\Run : [TCrdMain] %ProgramFiles%\TOSHIBA\Hotkey\TCrdMain_Win8.exe
04 - [x64] HKLM\..\Run : [TecoResident] C:\Program Files\TOSHIBA\Teco\TecoResident.exe
04 - [x64] HKLM\..\Run : [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
04 - [x64] HKLM\..\Run : [TODDMain] C:\Program Files (x86)\TOSHIBA\System Setting\TODDMain.exe
04 - HKU\S-1-5-21-2207736939-436386201-1733804259-1001\..\Run : [ultracopier] "C:\Program Files (x86)\Supercopier\supercopier.exe"

################## | Listing |

[20/08/2013 - 13:37:41 | SHD] - C:\$RECYCLE.BIN
[31/10/2013 - 15:17:47 | D] - C:\AVG Internet Security 2013 beta build 2013.0.2615 with Key(Working Like Full Version) [h33t][iahq76]
[26/07/2012 - 04:44:30 | RASH | 389 Ko] - C:\bootmgr
[02/06/2012 - 15:30:55 | N | 0 Ko] - C:\BOOTNXT
[26/07/2012 - 08:22:08 | SHD] - C:\Documents and Settings
[18/03/2014 - 22:56:40 | ASH | 3260592 Ko] - C:\hiberfil.sys
[07/05/2013 - 17:35:44 | D] - C:\Intel
[31/10/2013 - 14:31:39 | RHD] - C:\MSOCache
[18/03/2014 - 22:56:41 | ASH | 4194304 Ko] - C:\pagefile.sys
[26/07/2012 - 08:33:46 | D] - C:\PerfLogs
[07/04/2014 - 17:13:21 | D] - C:\pictures ipad
[31/10/2013 - 14:34:26 | D] - C:\Program Files
[10/04/2014 - 11:47:50 | D] - C:\Program Files (x86)
[09/04/2014 - 20:47:26 | HD] - C:\ProgramData
[16/07/2013 - 11:58:14 | D] - C:\sources
[18/03/2014 - 22:56:41 | ASH | 262144 Ko] - C:\swapfile.sys
[07/04/2014 - 15:58:26 | SHD] - C:\System Volume Information
[07/05/2013 - 17:45:21 | D] - C:\TOSHIBA
[10/04/2014 - 11:57:47 | D] - C:\UsbFix
[10/04/2014 - 11:59:45 | A | 11 Ko | 84D75CFD2A2B7B0D6705898C374A0A09] - C:\UsbFix [Clean 3] TOSHIBA.txt
[10/04/2014 - 11:56:30 | D] - C:\Users
[07/03/2014 - 17:33:37 | D] - C:\Windows
[10/04/2014 - 09:31:38 | D] - C:\[Smad-Cage]
[10/04/2014 - 11:32:40 | N | 3880 Ko | 240DDA08F6EE9290747D1A04A99D1CCA] - G:\RogueKiller.exe
[14/01/2014 - 11:34:44 | SH | 3 Ko] - G:\desktop.ini
[14/01/2014 - 11:34:44 | SH | 241 Ko] - G:\Thumbs.db
[10/04/2014 - 11:38:00 | N | 2936 Ko | 4E41A9559F603E5797B01A3BA55E8C7E] - G:\UsbFix.exe
[07/02/2014 - 21:50:12 | N | 15 Ko] - G:\tracteur aminou.docx
[14/01/2014 - 11:36:00 | N | 16 Ko] - G:\Devis quarantaine.xlsx
[24/03/2014 - 15:39:44 | N | 325 Ko] - G:\SUIVI FERMES.xls
[24/03/2014 - 15:42:42 | N | 160 Ko] - G:\ETATS PREPARATIFS ASSEMBLEE GENERALE ELITES.xls
[24/03/2014 - 16:26:24 | N | 52 Ko] - G:\Simulation budjet 2014 sur excell.xls
[10/04/2014 - 09:26:34 | N | 67 Ko] - G:\AGCO MoU Revised Update.docx
[10/04/2014 - 11:39:28 | N | 6702 Ko | 06353E5A99131244EB2347527F81AD38] - G:\zhpdiag2.exe
[10/04/2014 - 11:42:42 | N | 1393 Ko | 04B47DEEB298AE90A0C42DEAED71F8BA] - G:\adwcleaner (1).exe
[13/01/2014 - 15:14:52 | D] - G:\ 

################## | Vaccin |

G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |

zanu · Answer

il est la

Malekal_morte- · Answer

ca va mieux ?

zanu · Answer

oui mais je crois que je suis encore infecté. 

est ce que windows 8 a un moyen de defense autonome?

Malekal_morte- · Answer

Non qu'est ce qui te fait dire que tu es encore infecté?

Virus qui efface tous les fichiers de USB

8 réponses

Discussions similaires

Newsletters