Se connecter / S'enregistrer
Votre question
Résolu

Virus qui transforment fichiers sur clé en raccourcis

Tags :
  • Raccourcis
  • Virus
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
25 Octobre 2013 15:16:32

Bonjour à tous,
J'ai un soucis : lorsque je cherche à copier des fichiers sur une clef usb à partir de mon windows, je n'obtiens que des raccourcis sur la clef. Quand j'ouvre la clef sous Ubuntu j'ai d'une part mes fichiers, les raccourcis et un fichier ItunesHelper.vbe.
J'ai fait un examen avec MAlwarebytes qui m'a supprimé des Trojans qui reviennent. Suivi d'une recherche sur Internet et j'ai trouvé votre site où cela apparaît lié à un virus.
Je vous transmets donc les rapports d'analyse que vous demandez sous Farbar Recovery Scan Tool.
Ici : http://up.security-x.fr/file.php?h=R310b72f7d9038ff5213...
et là : http://up.security-x.fr/file.php?h=R8032c972a7ddc179880...

Je vous remercie d'avance pour votre aide.

Autres pages sur : virus transforment fichiers cle raccourcis

a c 547 8 Sécurité
25 Octobre 2013 22:36:31

Bonsoir,

C'ets effectivement une infection par support amovible.

Le fait d'être sous Linux a permit d'éviter une propagation peut-être ...

Où cette clé a-t-elle été insérée ?
Car tous les pc l'ayant reçu seront aussi infecté, et idem pour les clés ou autre support ayant ensuite été inséré dans un pc contaminé ...

à faire, tous support ayant pu être contaminé connecté au pc :
(y'a aussi d'autres infections moins grave, des adwares, sponsors publicitaires)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 22 (version obsolète et vulnérable, tu possèdes une plus récente)
- Spybot - Search & Destroy (inutile et obsolète)

- Babylon toolbar on IE (adware)
- Boxore Client (idem)
- FrameFox Extensions 1.0.7.0 (idem)
- Uninstall 1.0.0.1 (lié à un adware)

[Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

~~~~~~~~~~~~~~~~~~~~~~~~~~

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

    start
    (Safer Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
    (Safer-Networking Ltd.) C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
    (Duuqu Group) C:\Program Files (x86)\FrameFox\Extensions\InternetExplorer\framefox.exe
    HKCU\...\Run: [SpybotSD TeaTimer] - C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
    HKCU\...\Run: [iTunesHelper] - C:\Users\MF\AppData\Local\Temp\iTunesHelper.vbe [69558262 2013-10-14] () <===== ATTENTION
    HKLM-x32\...\Run: [FrameFox Extensions] - C:\Program Files (x86)\FrameFox\Extensions\InternetExplorer\framefox.exe [287216 2013-08-22] (Duuqu Group)
    Startup: C:\Users\MF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5zz.lnk
    ShortcutTarget: 5zz.lnk -> C:\Users\Public\Intel(TM)SD.exe (No File)
    Startup: C:\Users\MF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5zzz.lnk
    ShortcutTarget: 5zzz.lnk -> C:\Users\Public\mDNSResponder.exe (No File)
    Startup: C:\Users\MF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
    HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=113357&tt=3512_3&babsrc=HP_ss&mntrId=9872000900000000000000262d2c3761
    SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
    SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
    SearchScopes: HKLM-x32 - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
    SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
    SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113357&tt=3512_3&babsrc=SP_ss&mntrId=9872000900000000000000262d2c3761
    SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113357&tt=3512_3&babsrc=SP_ss&mntrId=9872000900000000000000262d2c3761
    SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2413} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}
    BHO-x32: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.9.12\bh\BabylonToolbar.dll (Babylon BHO)
    BHO-x32: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    Toolbar: HKLM-x32 - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.9.12\BabylonToolbarTlbr.dll (Babylon Ltd.)
    FF NewTab: user_pref("browser.newtab.url", "");
    FF DefaultSearchEngine: Search the web (Babylon)
    FF Keyword.URL: hxxp://search.babylon.com/?affID=113357&tt=3512_3&babsrc=KW_ss&mntrId=9872000900000000000000262d2c3761&q=
    FF Plugin-x32: @www.dlmanager.net/omaha/tools//Software Update;version=8 - C:\Program Files (x86)\Software\Update\1.2.201.0\npSoftwareOneClick8.dll No File
    FF Plugin-x32: @www.duuqu.com/omaha/tools//Duuqu Update;version=3 - C:\Program Files (x86)\Duuqu\Update\1.3.37.0\npDuuquUpdate3.dll (Duuqu Group)
    FF Plugin-x32: @www.duuqu.com/omaha/tools//Duuqu Update;version=9 - C:\Program Files (x86)\Duuqu\Update\1.3.37.0\npDuuquUpdate3.dll (Duuqu Group)
    FF SearchPlugin: C:\Users\MF\AppData\Roaming\Mozilla\Firefox\Profiles\fxcq83vj.default\searchplugins\Search_Results.xml
    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
    FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
    FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
    FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
    FF Extension: FrameFox - C:\Program Files (x86)\Mozilla Firefox\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF}
    FF Extension: FrameFox - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{D6F4FFAF-E3C9-4f3d-AD5B-F78CD969D7BF}
    S2 dqupdate; C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe [98360 2013-02-20] (Duuqu Group)
    S3 dqupdatem; C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe [98360 2013-02-20] (Duuqu Group)
    R2 SBSDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
    2013-10-18 20:15 - 2013-10-18 22:39 - 00000455 _____ C:\Users\Public\4zzz.VBE
    2013-10-18 20:15 - 2013-10-18 20:15 - 00000455 _____ C:\Users\Public\7zzz.VBE
    2013-10-24 10:59 - 2013-10-24 10:59 - 00000000 ____D C:\Users\MF\AppData\Local\{B7356F26-1A71-41D4-98F1-D24124348B1F}
    2013-10-23 22:33 - 2013-10-23 22:34 - 00000000 ____D C:\Users\MF\AppData\Local\{6F1317C1-AABE-4783-8C28-78FC0C94462A}
    2013-10-23 10:10 - 2013-10-23 10:10 - 00000000 ____D C:\Users\MF\AppData\Local\{0CA26B41-5891-4A86-90F5-04FE0ECF92C2}
    2013-10-22 12:35 - 2013-10-22 12:35 - 00000000 ____D C:\Users\MF\AppData\Local\{FFCC17E1-0A65-4B4E-9898-52948F2BFF5F}
    2013-10-21 21:40 - 2013-10-21 21:40 - 00000000 ____D C:\Users\MF\AppData\Local\{3F4A662D-1657-4E9F-932F-85CAA546C488}
    2013-10-20 18:42 - 2013-10-20 18:42 - 00000000 ____D C:\Users\MF\AppData\Local\{451D39F9-05C3-4B4A-A42F-2D9356240A84}
    2013-10-18 19:50 - 2013-10-18 19:51 - 00000000 ____D C:\Users\MF\AppData\Local\{2043CA8F-AAE9-482C-8402-F3333F135A8C}
    2013-10-17 14:47 - 2013-10-17 14:47 - 00000000 ____D C:\Users\MF\AppData\Local\{8B2A3CC5-DB99-42EF-AF26-5E844DF5268C}
    2013-10-16 15:59 - 2013-10-16 15:59 - 00000000 ____D C:\Users\MF\AppData\Local\{64C00AA1-A800-4664-A2A8-ACF84DE7FC9F}
    2013-10-16 09:51 - 2013-10-16 09:51 - 00000000 ____D C:\Users\MF\AppData\Local\{75C073C0-739A-46A7-B086-206579ED541F}
    2013-10-15 17:42 - 2013-10-15 17:42 - 00000000 ____D C:\Users\MF\AppData\Local\{AC4AFFB8-00EE-4143-8EC0-823F69872502}
    2013-10-14 22:53 - 2013-10-14 22:53 - 00000000 ____D C:\Users\MF\AppData\Local\{033EC52C-BACD-402B-84EF-6E48ADCADA59}
    2013-10-14 14:02 - 2013-10-14 15:02 - 00000448 _____ C:\Users\Public\4zz.VBE
    2013-10-14 14:02 - 2013-10-14 14:57 - 00000448 _____ C:\Users\Public\7zz.VBE
    2013-10-14 10:52 - 2013-10-14 10:52 - 00000000 ____D C:\Users\MF\AppData\Local\{B6D65299-92A2-4D9C-9DD4-AAEF03C6D4DD}
    2013-10-14 09:23 - 2013-10-14 09:23 - 00000000 ____D C:\Users\MF\AppData\Local\{423E894A-F99A-4686-A7F5-3B04FA8C4406}
    2013-10-13 14:28 - 2013-10-13 14:29 - 00000000 ____D C:\Users\MF\AppData\Local\{00557F3D-AFC1-4534-B716-52DEE4B5E179}
    2013-10-13 09:28 - 2013-10-13 09:28 - 00000000 ____D C:\Users\MF\AppData\Local\{B0350575-F82C-4AF7-98D4-AE7E98F88F30}
    2013-10-12 12:50 - 2013-10-12 12:50 - 00000000 ____D C:\Users\MF\AppData\Local\{6EF909D2-25FE-4313-9F82-E40BA704ACAA}
    2013-10-12 11:08 - 2013-10-12 11:08 - 00000000 ____D C:\Users\MF\AppData\Local\{C9E00B8B-CBCC-4DE6-8198-A6015F829DC2}
    2013-10-11 22:58 - 2013-10-11 22:58 - 00000000 ____D C:\Users\MF\AppData\Local\{A5492666-C42F-4977-9B01-3F3096F129AB}
    2013-10-11 10:50 - 2013-10-11 10:50 - 00000000 ____D C:\Users\MF\AppData\Local\{D3516177-2165-46B4-A634-71CD829A9F47}
    2013-10-10 15:38 - 2013-10-10 15:38 - 00000000 ____D C:\Users\MF\AppData\Local\{26E2576F-9A64-4228-9E6C-7F30E1C6D12A}
    2013-10-09 20:53 - 2013-10-09 20:53 - 00000000 ____D C:\Users\MF\AppData\Local\{B8F3D5E3-C63A-48E8-B46B-7F90FD85A102}
    2013-10-08 19:47 - 2013-10-08 19:48 - 00000000 ____D C:\Users\MF\AppData\Local\{EAC07927-01E3-449B-9BE0-5EA6DEFF5A17}
    2013-10-07 14:21 - 2013-10-07 14:21 - 00000000 ____D C:\Users\MF\AppData\Local\{4A6A2E6B-6161-499A-9287-B44C1E040532}
    2013-10-06 19:43 - 2013-10-06 19:44 - 00000000 ____D C:\Users\MF\AppData\Local\{3BA2A723-A5CC-44C4-9707-245F72B7F824}
    2013-10-06 18:43 - 2013-10-06 18:43 - 00000000 ____D C:\Users\MF\AppData\Local\{4EA3B968-8488-4E0F-822A-BDCCCF865DD4}
    2013-10-05 23:22 - 2013-10-05 23:22 - 00000000 ____D C:\Users\MF\AppData\Local\{ABFD8956-0C91-41D8-9A7C-A22F648E3518}
    2013-10-05 10:04 - 2013-10-05 10:04 - 00000000 ____D C:\Users\MF\AppData\Local\{B7287098-177E-42A8-BFDB-9A01F86E2BAB}
    2013-10-04 09:47 - 2013-10-04 09:47 - 00000000 ____D C:\Users\MF\AppData\Local\{1FF590E1-17BA-4768-AB9B-B99AA71EFBD5}
    2013-10-03 14:38 - 2013-10-03 14:38 - 00000000 ____D C:\Users\MF\AppData\Local\{50BDD1A6-3588-45D7-871C-CFD8F0616A87}
    2013-10-03 11:20 - 2013-10-03 11:20 - 00000000 ____D C:\Users\MF\AppData\Local\{BA677FA7-F8A8-4BD7-9249-4F5191E03871}
    2013-10-02 12:09 - 2013-10-02 12:09 - 00000000 ____D C:\Users\MF\AppData\Local\{5A1B281C-A418-45B0-A5B7-F3CC34B5422C}
    2013-10-01 21:47 - 2013-10-01 21:47 - 00000000 ____D C:\Users\MF\AppData\Local\{536BBB25-4069-4167-9F06-955632EBE38C}
    2013-09-30 10:53 - 2013-09-30 10:53 - 00000000 ____D C:\Users\MF\AppData\Local\{752E68B8-3AE1-46BD-8761-E2138259CC53}
    2013-09-29 11:17 - 2013-09-29 11:17 - 00000000 ____D C:\Users\MF\AppData\Local\{BC706529-86AA-481A-A98C-DE67BBDDE553}
    2013-09-28 13:20 - 2013-09-28 13:20 - 00000000 ____D C:\Users\MF\AppData\Local\{A5D373A0-EE33-4BDB-9C29-635511C43699}
    2013-09-27 22:26 - 2013-09-27 22:26 - 00000000 ____D C:\Users\MF\AppData\Local\{E2FFECA9-7297-4136-8CB4-0496BF2F96B0}
    2013-09-27 09:37 - 2013-09-27 09:37 - 00000000 ____D C:\Users\MF\AppData\Local\{947CB8BD-E59E-43A5-B500-9F573F818C01}
    2013-09-26 10:59 - 2013-09-26 10:59 - 00000000 ____D C:\Users\MF\AppData\Local\{D710CB84-8A43-4B60-9923-223EE1B6FFFA}
    2013-09-25 09:19 - 2013-09-25 09:20 - 00000000 ____D C:\Users\MF\AppData\Local\{3F7D610F-DEA0-445C-8F70-DE2DD25709FE}
    C:\Users\MF\AppData\Local\Temp\iTunesHelper.vbe
    C:\Program Files (x86)\BabylonToolbar
    C:\Users\Public\mDNSResponder.exe
    C:\Users\Public\Intel(TM)SD.exe
    C:\Program Files (x86)\FrameFox
    C:\Program Files (x86)\Spybot - Search & Destroy
    Task: {2E3CFF0E-B9D2-49A1-85A9-25B4E30FAE43} - System32\Tasks\DuuquUpdateTaskMachineCore => C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe [2013-02-20] (Duuqu Group)
    Task: {3784FAC1-E8AC-4E86-A228-FCB257C92836} - System32\Tasks\SoftwareUpdateTaskMachineCore => C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe
    C:\Program Files (x86)\Duuqu
    C:\Program Files (x86)\Software
    Task: {ED2E6A4C-E079-4104-9FD1-0CF514550970} - System32\Tasks\DuuquUpdateTaskMachineUA => C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe [2013-02-20] (Duuqu Group)
    Task: {FBC91E65-AC49-4F67-87D5-A63B71AE315D} - System32\Tasks\SoftwareUpdateTaskMachineUA => C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe
    Task: C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job => C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe
    Task: C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job => C:\Program Files (x86)\Duuqu\Update\DuuquUpdate.exe
    Task: C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job => C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe
    Task: C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job => C:\Program Files (x86)\Software\Update\SoftwareUpdate.exe
    AlternateDataStreams: C:\ProgramData\TEMP:444C53BA
    AlternateDataStreams: C:\ProgramData\TEMP:93DE1838
    AlternateDataStreams: C:\ProgramData\TEMP:ABE89FFE
    AlternateDataStreams: C:\ProgramData\TEMP:E1F04E8D
    AlternateDataStreams: C:\ProgramData\TEMP:E3C56885
    end


  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~

    3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.


  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~~~~~

    4) Télécharge UsbFix (de El Desaparecido) sur ton Bureau.


    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    ~~~~~~~~~~~~

    Sont attendus dans ta prochaine réponse les rapports :
    - FRST fix
    - Adwcleaner en scanner
    - USBfix en recherche

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    27 Octobre 2013 14:30:17

    Bonjour,
    J'avais formulé une réponse mais j'ai dû faire une fausse manœuvre et elle n'a pas du aboutir.
    J'ai donc suivi les instructions de votre courrier du 25 octobre, et à part un programme qui ne s'est pas désinstallé (Boxore client) je pense que le reste de la procédure s'est
    déroulée correctement.
    Je ne sais pas comment ce pc a pu être infecté puisque cela fait des mois que nous n'avons pas utilisé de support amovible sur une machine extérieure et que cette infection est apparue
    vers le 13 octobre j'ai toutefois scanné les périphériques qui auraient pu être en cause.
    Je vous transmets les rapports que vous m'avez demandé :
    http://up.security-x.fr/file.php?h=R3e0cf365550f25e96aa...
    http://up.security-x.fr/file.php?h=R5d128a14b1fffadb66e...
    http://up.security-x.fr/file.php?h=Re5bb863da6cf701fa25...
    En vous remerciant encore de votre aide, je vous souhaite bonne réception de ce courrier.
    Bonne journée , JC

    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    27 Octobre 2013 14:40:22

    Re,

    Oui, l’apparition de l'infection est autour du 14 Octobre effectivement.

    Voir si aucun autre utilisateur n'a mis une clé dans cette période sans que vous le sachiez ... (enfant, ami, etc ...)
    Maintenant, l'infection peut aussi venir de mail piégé, ou bien lors de téléchargement illégaux (séries, films, etc ...)

    à priori la clé Kingston n'est plus infectée déjà, on va juste finir le nettoyage sur le pc

    à suivre :

    1) Relance Adwcleaner :

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

    ~~~~~~~~~~~~

    2) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    28 Octobre 2013 20:58:57

    Bonjour,
    Bien reçu votre courrier du 27/10. J'ai suivi les instructions et vais vous faire parvenir les 2 rapports produits.
    Ces derniers temps seul mon fils est venu ici et c'est lui qui vous a contacté en mon nom la première fois, je ne pense donc pas que l'infection vienne de ce côté-là.
    Ma femme a téléchargé quelques émissions sur Captvty, nous pensions ce site sûr, c'est peut être là qu'on s'est trompé ?
    En fait si la clé Kingston n'est pas infectée, c’est parce que je l'avais nettoyée sous Linux ( en particulier le fichier ItunesHelper.vbe et les raccourcis).Pour le scan et le nettoyage j'ai aussi rajouté un disque dur externe qui aurait pu être branché durant cette période.
    Voici donc les adresses des rapports :
    http://up.security-x.fr/file.php?h=Ref14b66a79b745ae73f...
    http://up.security-x.fr/file.php?h=Rfcd62ff2c1333e747e4...
    Merci encore de votre aide, bonne journée, JC

    Ps : J'ai envoyé cette réponse ce matin, mais comme elle n'apparaît pas sur la page, j'ai peut être raté mon envoi, donc je recommence.
    m
    0
    l
    a c 547 8 Sécurité
    28 Octobre 2013 22:10:22

    Re,

    Citation :
    En fait si la clé Kingston n'est pas infectée, c’est parce que je l'avais nettoyée sous Linux ( en particulier le fichier ItunesHelper.vbe et les raccourcis).Pour le scan et le nettoyage j'ai aussi rajouté un disque dur externe qui aurait pu être branché durant cette période.


    Oui, comme j'avais dit au début, c'est ce qui a empêché la réinfection du pc et de la clé, tant mieux ;) 

    As-tu encore des soucis/symptômes avec la clé, ou le pc ?

    Citation :
    Ps : J'ai envoyé cette réponse ce matin, mais comme elle n'apparaît pas sur la page, j'ai peut être raté mon envoi, donc je recommence.


    Parfois le forum est capricieux ... ;) 
    m
    0
    l
    30 Octobre 2013 00:32:59

    Bonsoir,

    Apparemment tout est revenu à la normale, j'ai réutilisé cette clé et l'enregistrement c'est fait normalement, quand au pc il ne souffre pas de comportement bizarre, j'ai même l'impression qu'il démarre plus rapidement.
    Je vous suis très reconnaissant de la diligence et de l'efficacité avec lesquels vous m'avez tiré de ce pétrin, car avec mes modestes connaissances en info j'étais pas prêt de m'en tirer.
    Merci encore,
    JC
    m
    0
    l

    Meilleure solution

    a c 547 8 Sécurité
    30 Octobre 2013 09:31:50

    Re,

    Très bien, pour conclure alors :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~~~~~

    Mise à jour des logiciels :

    Met à jour les programmes suivants :

    - Adobe reader vers XI (11.0.x) (Désinstalle auparavant la version Adobe Reader 9.5.5 MUI dans ta liste des programmes)

    - Mozilla Firefox vers la version 25.0, ou plus simplement en cliquant dans Firefox sur le bouton "Firefox" -> Aide -> "A propos de Firefox" -> Rechercher les mises à jour

    ~~~~~~~~~~~~

    Attention, ton disque dur système est à moins de 10 % d'espace libre :
    Citation :
    Drive c: (Packard Bell) (Fixed) (Total:291.45 GB) (Free:22.77 GB)


    Afin d'éviter des ralentissements et plantage du système, il devient urgent de :
    - Supprimer les programmes inutiles ou les réinstaller sur le disque D: (Data)
    - Archiver, déplacer ou supprimer les documents inutiles, vidéo, musiques, etc ...

    ~~~~~~~~~~~~~~~~~~~

    Antivir a subit dernièrement un "bug" qui a conduit à la création de fichiers inutiles qui prennent de la place pour rien.
    Va ici :
    C:\Windows\SysWOW64
    Et supprime tous les fichiers sans extension, nommé avec des lettres à caractères spéciaux (type asiatique) du genre :
    オáµツ
    Ils font tous environ 90 à 100 Mo

    ~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en validant une "meilleure réponse" (en bas à droite de ce message, ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    1 Novembre 2013 20:21:49

    Bonsoir,
    J'ai donc suivi les procédures décrites dans votre courrier du 30 octobre, je pense que tout s'est déroulé correctement.
    Voici l'adresse du rapport DelFix :
    http://up.security-x.fr/file.php?h=R52d9dd1ffbdfc15bf9d...
    Dans l'espoir de ne pas avoir à solliciter trop rapidement votre aide, je vous renouvelle mes remerciements.
    JC
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS