Se connecter / S'enregistrer
Votre question
Résolu

Virus Raccourcis clé usb

Tags :
  • virus raccourci cle usb
  • portable
Dernière réponse : dans Sécurité et virus
19 Octobre 2013 13:57:42

Bonjour,

Ce sujet fait suite au sujet de « Malgo » du 13 octobre 2013 à 14h50.

J’ai une clé usb dont je me sers à la fac. La semaine dernière j’ai branché la clé sur mon ordi et me suis rendue compte que j’avais été infecté puisque ma clé ne contenait que des raccourcis.
Les clés et l’ordi du salon ont été désinfectés et traités cette semaine.

Maintenant j’ouvre ce sujet afin de traiter mon ordi portable.
J'ai déja procédé aux téléchargements des outils FRST de Farbar et USBFix sur mon bureau.
J'ai lancé FRST et obtenu les 2 rapports de scan que j'ai posté sur le site security-x.fr :

--> FRST.txt : http://up.security-x.fr/file.php?h=Reabc29f49a1ff046ddd...
--> Addition.txt : http://up.security-x.fr/file.php?h=Rdae11a9c4d46263b726...

j'ai lancé USBfix et obtenu le rapport posté également sur ce site :

--> Usbfix.txt : http://up.security-x.fr/file.php?h=Ra797a91aace2c82f376...

Je vous remercie d’avance pour votre aide.
Malgo

Autres pages sur : virus raccourcis cle usb

19 Octobre 2013 16:27:49

Bonjour,

On va traiter cela ensemble, il faudra aussi si ce n'est pas fait, faire prévenir le responsable informatique de la Fac, car sinon, cela se reproduira et l'infection doit se répandre actuellement ...

à faire pour toi :

(on est d'accord que plus aucun support amovible n'est censé être infecté ? sinon l'infection reviendra ...)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Uninstall 1.0.0.1 (lié à un adware)

~~~~~~~~~~~~~~~~~~~~~~~~~~

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

    start
    (Intel Corporation) C:\Users\Public\Intel(R)TCP.exe
    HKLM\...\Run: [iTunesHelper] - C:\Users\ORDINA~1\AppData\Local\Temp\iTunesHelper.vbe [69554284 2013-10-13] () <===== ATTENTION
    HKLM\...\Run: [BBuJUuKs] - wscript.exe //B "C:\Users\ORDINA~1\AppData\Local\Temp\BBuJUuKs.vbs" <===== ATTENTION
    HKLM\...\Policies\Explorer\Run: [Intel(R)LSM] - C:\Users\Public\Intel(R)TCP.exe [93787592 2013-10-12] ( (Intel Corporation))
    HKCU\...\Run: [iTunesHelper] - C:\Users\ORDINA~1\AppData\Local\Temp\iTunesHelper.vbe [69554284 2013-10-13] () <===== ATTENTION
    HKCU\...\Run: [BBuJUuKs] - wscript.exe //B "C:\Users\ORDINA~1\AppData\Local\Temp\BBuJUuKs.vbs" <===== ATTENTION
    HKCU\...\Policies\Explorer\Run: [Intel(R)LSM] - C:\Users\Public\Intel(R)TCP.exe [93787592 2013-10-12] ( (Intel Corporation))
    HKLM-x32\...\Run: [Intel(R)TCP] - C:\Users\Public\Intel(R)TCP.exe [93787592 2013-10-12] (Intel Corporation)
    HKLM-x32\...\Run: [iTunesHelper] - C:\Users\ORDINA~1\AppData\Local\Temp\iTunesHelper.vbe [69554284 2013-10-13] ()
    Startup: C:\Users\ordinateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5zz.lnk
    ShortcutTarget: 5zz.lnk -> C:\Users\Public\Intel(TM)SD.exe (Intel Corporation)
    Startup: C:\Users\ordinateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)TCP.exe (Intel Corporation)
    Startup: C:\Users\ordinateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
    SearchScopes: HKLM - {3037D94C-D9C3-4EEE-88BA-BB1603652553} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd72&cd=2XzuyEtN2Y1L1QzuyE0C0E0D0D0EtCtD0FyC0DtByB0CyC0DtN0D0Tzu0SyDyCzztN1L2XzutBtFtBtFyEtFzzyDyDtN1L1Czu1L1C1H1B1QyBtB&cr=2035956976&ir=
    SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 - {7C0F173B-9C4C-AF95-09F2-0CE2A5C93872} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3128284
    SearchScopes: HKCU - DefaultScope {493F3E82-2D1F-6549-22C4-44A33A20B461} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d05f7c6d0000000000004cedde10f6d2&tlver=1.4.19.19&affID=17159
    SearchScopes: HKCU - {3037D94C-D9C3-4EEE-88BA-BB1603652553} URL =
    SearchScopes: HKCU - {493F3E82-2D1F-6549-22C4-44A33A20B461} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d05f7c6d0000000000004cedde10f6d2&tlver=1.4.19.19&affID=17159
    SearchScopes: HKCU - {6A1FB2CA-F4BB-4ED6-8852-43DE1B5E4CDC} URL =
    2013-10-12 23:55 - 2013-10-12 18:41 - 93787592 ____N (Intel Corporation) C:\Users\Public\Intel(R)TCP.exe
    2013-10-12 23:54 - 2013-10-12 23:55 - 00000448 _____ C:\Users\Public\4zz.VBE
    2013-10-12 23:54 - 2013-10-12 23:54 - 00000448 _____ C:\Users\Public\7zz.VBE
    2013-10-12 18:41 - 2013-10-12 18:41 - 93787592 _____ (Intel Corporation) C:\Users\Public\Intel(TM)SD.exe
    C:\Users\ORDINA~1\AppData\Local\Temp\iTunesHelper.vbe
    C:\Users\Kiosk\AppData\Local\Temp\vjqw-z5n.dll
    C:\Users\Kiosk\AppData\Local\Temp\_cgmdqv3.dll
    C:\Users\ordinateur\AppData\Local\Temp\7za.exe
    C:\Users\ordinateur\AppData\Local\Temp\86707uninstall.exe
    C:\Users\ordinateur\AppData\Local\Temp\AskSLib.dll
    C:\Users\ordinateur\AppData\Local\Temp\conduitinstaller.exe
    C:\Users\ordinateur\AppData\Local\Temp\ICReinstall_ffactory3_install.exe
    C:\Users\ordinateur\AppData\Local\Temp\ICReinstall_PDFCreatorSetup.exe
    C:\Users\ordinateur\AppData\Local\Temp\install_flashplayer11x32ax_gtba_chra_dy_au_aih[1].exe
    C:\Users\ordinateur\AppData\Local\Temp\ldjkjlrs.dll
    C:\Users\ordinateur\AppData\Local\Temp\MsgPlusUninstall.exe
    C:\Users\ordinateur\AppData\Local\Temp\MSNDFC3.exe
    C:\Users\ordinateur\AppData\Local\Temp\MyBabylonTB.exe
    C:\Users\ordinateur\AppData\Local\Temp\ose00000.exe
    C:\Users\ordinateur\AppData\Local\Temp\push.exe
    C:\Users\ordinateur\AppData\Local\Temp\rpidity.exe
    C:\Users\ordinateur\AppData\Local\Temp\Setup.exe
    C:\Users\ordinateur\AppData\Local\Temp\Sqlite3.dll
    C:\Users\ordinateur\AppData\Local\Temp\tb01NE.dll
    C:\Users\ordinateur\AppData\Local\Temp\wajam_install.exe
    end


  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~

    Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    Contenus similaires

    Meilleure solution

    19 Octobre 2013 20:00:02

    Re,

    Les rapports sont OK.

    Confirme-moi que le pc se comporte normalement s'il te plait.

    Si c'est ok, pour finir :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~

    2) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 10 . Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 17

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 9.3 - Français

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en validant une "meilleure réponse" (en bas à droite de ce message, ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    19 Octobre 2013 21:45:46

    Voilà, tout est bon je crois, mon pc se comprte normalement.
    Voici mon rapport Delfix : http://up.security-x.fr/file.php?h=Red871298ef9b225ec76...

    Une dernière question que j'aurai du poser dès le départ : Quel est le nom de ce virus ?

    J'ai fait toutes les mises à jour proposées et je vous remercie pour votre aide précieuse !
    m
    0
    l
    19 Octobre 2013 22:23:23

    Re,

    Le nom en soit ne veut pas dire grand chose (chaque laboratoire d'antivirus en donne un parfois obscur ...), c'est une infection par support amovible, donc surement genre small.vbs, worm.vbs.xxx

    Tu cherches des infos dessus ?

    Edit : à peu près le même, même famille en tout cas :
    https://www.virustotal.com/fr/file/ac73dc2ae0555b41d497...
    m
    0
    l
    20 Octobre 2013 12:26:51

    Merci beaucoup ! Je voulais simplement savoir ce que j'avais attrapé ;) 
    En tout cas merci pour tout : la patience, les explications, ... C'est Top !

    Malgo
    m
    0
    l
    30 Octobre 2013 22:26:20

    Finalement j'ai réglé le problème ^^ Désolée pour le dérangement . Merci!
    m
    0
    l
    30 Octobre 2013 22:34:00

    Bonsoir,

    Faudra surtout penser à ouvrir vos propres sujets pour obtenir des prises en charges, merci.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS