Infection après branchement d'une clé USB
Résolu/Fermé
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
-
18 avril 2016 à 11:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 avril 2016 à 16:50
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 avril 2016 à 16:50
A voir également:
- Infection après branchement d'une clé USB
- Cle usb non reconnu - Guide
- Clé windows 10 gratuit - Guide
- Cle usb bootable - Guide
- Formater clé usb mac - Guide
- Branchement chromecast - Guide
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 18/04/2016 à 11:29
Modifié par Malekal_morte- le 18/04/2016 à 11:29
Salut,
C'est le programme ManyCam qui est détecté en Superfluous.
A toi de voir s'il faut le désinstaller.
Pour ton virus USB :
1°) Remediate VBS Worm
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
2°) Relancer "Remediate VBS Worm"
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Veuillez appuyer sur une touche pour continuer la désinfection...
C'est le programme ManyCam qui est détecté en Superfluous.
A toi de voir s'il faut le désinstaller.
Pour ton virus USB :
1°) Remediate VBS Worm
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
- Télécharger Remediate VBS Worm
- Lancer l'option A ( appuyer sur A et entrée )
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
2°) Relancer "Remediate VBS Worm"
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Veuillez appuyer sur une touche pour continuer la désinfection...
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
38
18 avril 2016 à 11:36
18 avril 2016 à 11:36
Premier rapport:
Rem-VBSworm v7.0
=========== - General info:
Running under: Moi on profile: C:\Users\Moi
Computer name: Moi-PC
Operating System:
Microsoft Windows 7 Professionnel
Boot Mode:
Normal boot
Antivirus software installed:
AVG AntiVirus Free Edition
Executed on: 18/04/2016 @ 11:32:02,10
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Data
F: Disque CD-ROM Trackmania Turbo
G: Disque CD-ROM godpc
H: Disque CD-ROM Miroslav Philharmonik Sounds DVD
I: Disque CD-ROM Miroslav Philharmonik Sounds DVD
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\CdRom1 UDFS
G: \Device\CdRom2 CDFS
H: \Device\CdRom3 UDFS
I: \Device\CdRom4 UDFS
J: \Device\HarddiskVolume4 FAT
=========== - Disinfection info:
Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
Deuxième rapport:
Rem-VBSworm v7.0
=========== - General info:
Running under: Moi on profile: C:\Users\Moi
Computer name: Moi-PC
Operating System:
Microsoft Windows 7 Professionnel
Boot Mode:
Normal boot
Antivirus software installed:
AVG AntiVirus Free Edition
Executed on: 18/04/2016 @ 11:32:02,10
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Data
F: Disque CD-ROM Trackmania Turbo
G: Disque CD-ROM godpc
H: Disque CD-ROM Miroslav Philharmonik Sounds DVD
I: Disque CD-ROM Miroslav Philharmonik Sounds DVD
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\CdRom1 UDFS
G: \Device\CdRom2 CDFS
H: \Device\CdRom3 UDFS
I: \Device\CdRom4 UDFS
J: \Device\HarddiskVolume4 FAT
=========== - Disinfection info:
Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=========== - USB drive info:
J: selected
USB Device ID:
IDE\DISKSAMSUNG_SSD_840_SERIES__________________DXT08B0Q\5&1DE95152&0&1.0.0
IDE\DISKST1000DM003-1ER162______________________CC43____\5&30A301F7&0&0.0.0
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.00\4C530201140124115251&0
Fichier supprim‚ - J:\RunSanDiskSecureAccess_Win.lnk
Fichier supprim‚ - J:\Attestation sur l'honneur.lnk
Fichier supprim‚ - J:\SanDiskSecureAccess.lnk
Fichier supprim‚ - J:\PHOTO FAMIlY.lnk
Fichier supprim‚ - J:\Nouveau dossier.lnk
Fichier supprim‚ - J:\VIDEO.lnk
Fichier supprim‚ - J:\DCIM.lnk
Fichier supprim‚ - J:\retour1.lnk
Fichier supprim‚ - J:\retour2.lnk
Listing root contents of J:
Le volume dans le lecteur J n'a pas de nom.
Le num‚ro de s‚rie du volume est 4BFB-6B10
R‚pertoire de J:\
05/02/2015 11:47 16ÿ024ÿ600 RunSanDiskSecureAccess_Win.exe
23/02/2015 13:01 <REP> SanDiskSecureAccess
12/10/2015 11:59 121ÿ030 Video.3gp
21/03/2016 12:30 216ÿ175 retour2.pdf
21/03/2016 12:31 152ÿ273 retour1.pdf
22/03/2016 16:13 <REP> DCIM
22/03/2016 16:13 <REP> VIDEO
15/04/2016 10:41 130ÿ325 Attestation sur l'honneur.pdf
5 fichier(s) 16ÿ644ÿ403 octets
3 R‚p(s) 7ÿ978ÿ991ÿ616 octets libres
USB drive disinfected and files unhidden
Merci beaucoup ! :)
--
Rem-VBSworm v7.0
=========== - General info:
Running under: Moi on profile: C:\Users\Moi
Computer name: Moi-PC
Operating System:
Microsoft Windows 7 Professionnel
Boot Mode:
Normal boot
Antivirus software installed:
AVG AntiVirus Free Edition
Executed on: 18/04/2016 @ 11:32:02,10
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Data
F: Disque CD-ROM Trackmania Turbo
G: Disque CD-ROM godpc
H: Disque CD-ROM Miroslav Philharmonik Sounds DVD
I: Disque CD-ROM Miroslav Philharmonik Sounds DVD
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\CdRom1 UDFS
G: \Device\CdRom2 CDFS
H: \Device\CdRom3 UDFS
I: \Device\CdRom4 UDFS
J: \Device\HarddiskVolume4 FAT
=========== - Disinfection info:
Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
Deuxième rapport:
Rem-VBSworm v7.0
=========== - General info:
Running under: Moi on profile: C:\Users\Moi
Computer name: Moi-PC
Operating System:
Microsoft Windows 7 Professionnel
Boot Mode:
Normal boot
Antivirus software installed:
AVG AntiVirus Free Edition
Executed on: 18/04/2016 @ 11:32:02,10
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque CD-ROM
E: Disque fixe local Data
F: Disque CD-ROM Trackmania Turbo
G: Disque CD-ROM godpc
H: Disque CD-ROM Miroslav Philharmonik Sounds DVD
I: Disque CD-ROM Miroslav Philharmonik Sounds DVD
J: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
E: \Device\HarddiskVolume1 NTFS
F: \Device\CdRom1 UDFS
G: \Device\CdRom2 CDFS
H: \Device\CdRom3 UDFS
I: \Device\CdRom4 UDFS
J: \Device\HarddiskVolume4 FAT
=========== - Disinfection info:
Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 2956 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 2120 a ‚t‚ termin‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=========== - USB drive info:
J: selected
USB Device ID:
IDE\DISKSAMSUNG_SSD_840_SERIES__________________DXT08B0Q\5&1DE95152&0&1.0.0
IDE\DISKST1000DM003-1ER162______________________CC43____\5&30A301F7&0&0.0.0
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_1.00\4C530201140124115251&0
Fichier supprim‚ - J:\RunSanDiskSecureAccess_Win.lnk
Fichier supprim‚ - J:\Attestation sur l'honneur.lnk
Fichier supprim‚ - J:\SanDiskSecureAccess.lnk
Fichier supprim‚ - J:\PHOTO FAMIlY.lnk
Fichier supprim‚ - J:\Nouveau dossier.lnk
Fichier supprim‚ - J:\VIDEO.lnk
Fichier supprim‚ - J:\DCIM.lnk
Fichier supprim‚ - J:\retour1.lnk
Fichier supprim‚ - J:\retour2.lnk
Listing root contents of J:
Le volume dans le lecteur J n'a pas de nom.
Le num‚ro de s‚rie du volume est 4BFB-6B10
R‚pertoire de J:\
05/02/2015 11:47 16ÿ024ÿ600 RunSanDiskSecureAccess_Win.exe
23/02/2015 13:01 <REP> SanDiskSecureAccess
12/10/2015 11:59 121ÿ030 Video.3gp
21/03/2016 12:30 216ÿ175 retour2.pdf
21/03/2016 12:31 152ÿ273 retour1.pdf
22/03/2016 16:13 <REP> DCIM
22/03/2016 16:13 <REP> VIDEO
15/04/2016 10:41 130ÿ325 Attestation sur l'honneur.pdf
5 fichier(s) 16ÿ644ÿ403 octets
3 R‚p(s) 7ÿ978ÿ991ÿ616 octets libres
USB drive disinfected and files unhidden
Merci beaucoup ! :)
--
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 18/04/2016 à 11:54
Modifié par Malekal_morte- le 18/04/2016 à 11:54
Video.3gp .. c'est cette infection : https://www.malekal.com/virus-vbs-crypt-virus-usb-raccourcis
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
~~
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
~~
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
38
18 avril 2016 à 12:03
18 avril 2016 à 12:03
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160418_n6w11f13b8f5
Shortcut: https://pjjoint.malekal.com/files.php?id=20160418_f14t15s10f11z12
Additionnal: https://pjjoint.malekal.com/files.php?id=20160418_w11q1212p13j10
& pour la 15ème fois, merci ! :D
Shortcut: https://pjjoint.malekal.com/files.php?id=20160418_f14t15s10f11z12
Additionnal: https://pjjoint.malekal.com/files.php?id=20160418_w11q1212p13j10
& pour la 15ème fois, merci ! :D
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
18 avril 2016 à 12:05
18 avril 2016 à 12:05
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Moi\AppData\Roaming\Video.3gp
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
38
18 avril 2016 à 12:16
18 avril 2016 à 12:16
& voici !
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:17-04-2016 01
Exécuté par Moi (2016-04-18 12:14:45) Run:2
Exécuté depuis C:\Users\Moi\Desktop
Profils chargés: Moi (Profils disponibles: Moi)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Moi\AppData\Roaming\Video.3gp
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Le système a dû redémarrer.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:17-04-2016 01
Exécuté par Moi (2016-04-18 12:14:45) Run:2
Exécuté depuis C:\Users\Moi\Desktop
Profils chargés: Moi (Profils disponibles: Moi)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Moi\AppData\Roaming\Video.3gp
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-3967476977-3902796107-2560119347-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 12:14:48
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
18 avril 2016 à 12:28
18 avril 2016 à 12:28
ok =)
supprime Video.3gp sur ton lecteur J aussi
et vois ce que cela donne =)
supprime Video.3gp sur ton lecteur J aussi
et vois ce que cela donne =)
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
38
18 avril 2016 à 12:31
18 avril 2016 à 12:31
J'ai supprimé le Video.3gp, déranché/rebranché la clé USB, tout semble résolu !
Il reste le raccourci 'PHOTO FAMILY' à la racine de mon DD, renvoyant au wscript.exe dans System32. Je supprime ça à la main aussi ?
Il reste le raccourci 'PHOTO FAMILY' à la racine de mon DD, renvoyant au wscript.exe dans System32. Je supprime ça à la main aussi ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
Modifié par Malekal_morte- le 18/04/2016 à 12:34
Modifié par Malekal_morte- le 18/04/2016 à 12:34
oui =)
si tu as désactivé WSH avec Marmiton, l'ordinateur est immunisé.
si tu as désactivé WSH avec Marmiton, l'ordinateur est immunisé.
Deserting
Messages postés
108
Date d'inscription
mardi 3 juillet 2007
Statut
Membre
Dernière intervention
9 janvier 2017
38
18 avril 2016 à 12:40
18 avril 2016 à 12:40
Okay c'est bon ! J'ai supprimé le raccourci, reboot, & il n'y a plus rien !
La clé USB a été branchée dans un tabac-presse pour une impression. De ce que j'ai lu de tes liens sur Video.3gp, ça semble très fortement être la source de l'infection non ?
Si c'est le cas, y a t'il un moyen de vacciner la clé pour ne pas avoir à la refix à chaque fois ?
La clé USB a été branchée dans un tabac-presse pour une impression. De ce que j'ai lu de tes liens sur Video.3gp, ça semble très fortement être la source de l'infection non ?
Si c'est le cas, y a t'il un moyen de vacciner la clé pour ne pas avoir à la refix à chaque fois ?
