Se connecter / S'enregistrer
Votre question
Résolu

Fichiers usb transformés en raccourcis (eh oui encore un...)

Tags :
  • Virus
  • Windows 8.1
  • USB
  • Sécurité
  • Raccourcis
Dernière réponse : dans Sécurité et virus
6 Novembre 2013 01:05:17

Bonsoir,

Comme le titre l'indique, j'ai moi aussi été infecté par un virus qui transforme les fichiers de ma clé en raccourcis (et en crée quand il n'y a rien dessus). J'ai pu constater un nombre assez impressionnants de sujet la dessus, mais chaque cas semble personnel je crée donc mon propre sujet.
Voici exactement ce qu'il s'est passé : un ami m'a emprunté ma clé, a constaté l'apparition de raccourcis étranges (après enquête dans mon entourage le virus vient du pc d'un autre ami). Moi pas très malin je me suis empressé de connecter cette clé sur mon ordi. Après avoir constaté le problème, j'ai supprimé mes fichiers (d'une importance limitée) et formaté la clé. Plusieurs fois. Cela n'a evidemment pas résolu le problème. J'ai donc voulu savoir si le problème venait uniquement de la clé ou si cela infectait aussi l'ordi, et ai pour cela branché une clé "crash test" qui a bien sur été infectée. J'ai donc cherché sur internet la démarche à suivre. Après avoir lu pas mal de sujet plusieurs questions se posent :

- j'ai jeté la clé crash test (j'ai par contre conservé la première clé infectée) et ne peux pas la récupérer, est ce important pour la suite ? (des fois la panique peut faire faire des choses étranges avant de se renseigner...)

- mon ordi étant neuf je n'ai pas grand chose dessus pour l'instant, je me demandais donc si une simple réinitialisation de celui-ci après stockage de mon peu de donnée sur un cloud quelconque suffirait à résoudre le problème et surtout si cela ne serait pas plus rapide et ne donnerait pas un résultat plus certain ?

- Si non : je n'ai pas trop compris si l'étape de vaccination de la clé usb était nécessaire pour nettoyer le pc ou s'il s'agissait juste de sauver la clé. S'il s'agit juste de la sauver je suis tout à fait disposé à sauter cette étape étant donnée que je possède une autre clé et un DDE eux non infectés (puisque jamais branchés sur l'ordi après apparition du problème) et que l'infectée ne me sert que très rarement.

- Enfin ce n'est pas une question mais pour ne pas donner l'impression de ne pas m'intéresser aux réponses que l'on pourrait me faire je signale que je ne pourrai poster les différents rapports qu'entre 21h et 7h30 (la nuit donc) ou bien le week end.

De plus et je terminerai par ça : je précise que je n'ai rien tenté, installé, supprimé, si ce n'est le formatage de la clé et un scan antivirus tout simple, et que mon pc tourne sous windows 8.1.

J'espère ne pas vous avoir trop ennuyé avec mon roman et vous remercie grandement par avance de l'aide que vous pourriez m'apporter !

Autres pages sur : fichiers usb transformes raccourcis

a c 940 8 Sécurité
6 Novembre 2013 07:32:36

Bonjour,

Bien entendu, tu réponds quand tu peux ... on arrivera bien à se croiser :) 

Nous allons regarder ça en commençant par établir un rapport de diagnostic avec cet outil :

---------------------------------------------------------------------------------------------

FRST :

/!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)

  • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
      Autre lien de téléchargement USBFix
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche et laisse l'outil analyser ton système
    • La recherche se lance
    • Le rapport UsbFix.txt s'affiche. Poste le contenu du rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide


  • ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    @+
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    6 Novembre 2013 14:10:01

    Re,

    Nous allons commencer par un script avec FRST.

    ---------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      HKCU\...\Run: [iTunesHelper] - C:\Users\Cédric\AppData\Local\Temp\iTunesHelper.vbe [69554284 2013-11-04] () <===== ATTENTION
      Startup: C:\Users\Cédric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
      S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.0.318\McCHSvc.exe [235216 2013-02-11] (McAfee, Inc.)
      C:\Users\Cédric\AppData\Local\Temp\iTunesHelper.vbe
      C:\Program Files (x86)\Sony\MSS\3.0.318\McCHSvc.exe
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST64.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    USBFix - Nettoyage :

    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Suppression et laisse l'outil travailler
    • Le rapport UsbFix.txt s'affiche. Poste le rapport en pièce jointe dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide


  • ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    Fixlog
    USBFix-Suppression


    @+

    m
    0
    l
    6 Novembre 2013 14:38:05

    Dois-je brancher ma clé usb durant l'étape avec FRST ?
    m
    0
    l
    a c 940 8 Sécurité
    6 Novembre 2013 14:49:26

    Re,

    Oui, tu peux connecter ta clé USB pour le correctif FRST.

    @+
    m
    0
    l
    a c 940 8 Sécurité
    6 Novembre 2013 23:00:52

    Bonsoir,

    OK pour les rapports.

    Citation :
    d'avoir laissé ma clé branchée après avoir utilisé FRST et avant de l'avoir vaccinée avec USBfix n'a pas réinfecté le pc ?

    Non, ne t'inquiète pas, USBFix a bien tout nettoyé.

    Tes fichiers sur la clé USB sont-ils maintenant accessibles et fonctionnels ?

    Nous allons mettre à jour des extensions présentant des failles de sécurité.

    ---------------------------------------------------------------------------------------------

    Installe la dernière version Java :

    Désinstalle ces versions obsolètes :
    Java 7 Update 9 (64-bit)
    Java 7 Update 9


    Télécharge et installe cette dernière version Java

    Pense à décocher la barre Ask qui est proposée


    ---------------------------------------------------------------------------------------------

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXCU.exe pour lancer l'application
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Rapport
    • Poste le rapport_SX.txt dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport SXCU

    Ensuite, si tout va bien, nous pourrons finaliser avec les dernières procédures.

    @+
    m
    0
    l
    6 Novembre 2013 23:13:04

    Citation :
    Après avoir constaté le problème, j'ai supprimé mes fichiers (d'une importance limitée) et formaté la clé

    Je n'ai donc plus de fichiers sur cette clé. En revanche quand je l'ouvre plus aucun raccourci n'est présent et aucun ne se crée.

    Voici le rapport demandé :

    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 8 64bits
    Aucun Service Pack
    UserName : Cédric
    06/11/2013
    23:10:09
    version = v0.4.6
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Nom : Google Chrome
    Version : 30.0.1599.101

    Java Information :
    Nom : Java 7 Update 45
    Version : 7.0.450
    Java 7 Update 45 est à jour

    Nom : Adobe Reader XI (11.0.05) MUI
    Version : 11.0.05
    Adobe Reader est à jour

    Nom (svc) : Internet Explorer
    Version : 11.0.9600.16384

    Nom : Flash Player Active X : Windows 8 :
    Version : 11.9.900.117

    m
    0
    l

    Meilleure solution

    a c 940 8 Sécurité
    7 Novembre 2013 07:16:19

    Bonjour,

    OK pour le rapport SXCU, tout est à jour.

    Nous allons donc pouvoir finaliser la procédure.

    ---------------------------------------------------------------------------------------------

    DelFix :

    • Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


    • Il faut être vigilant avec les supports amovibles. Nous avons vacciné ton système et les supports amovibles connectés.
      Il faudra le faire aussi pour tout autre nouveau support
      Guide sécurisation Windows face aux menaces infectieuses USB


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    7 Novembre 2013 11:04:31

    Bonjour,
    Voici le rapport demandé :

    # DelFix v10.5 - Rapport créé le 07/11/2013 à 10:37:54
    # Mis à jour le 17/10/2013 par Xplode
    # Nom d'utilisateur : Cédric - CÉDRICVAIO
    # Système d'exploitation : Windows 8.1 (64 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\USBFix
    Supprimé : C:\FRST
    Supprimé : C:\UsbFix [Clean 1] CÉDRICVAIO.txt
    Supprimé : C:\Users\Cédric\Desktop\Addition.txt
    Supprimé : C:\Users\Cédric\Desktop\Fixlog.txt
    Supprimé : C:\Users\Cédric\Desktop\FRST.txt
    Supprimé : C:\Users\Cédric\Desktop\FRST64.exe
    Supprimé : C:\Users\Cédric\Desktop\rapport_SX.txt
    Supprimé : C:\Users\Cédric\Desktop\SXCU.exe
    Supprimé : C:\Users\Cédric\Desktop\UsbFix [Clean 1] CÉDRICVAIO.txt
    Supprimé : C:\Users\Cédric\Desktop\UsbFix [Scan 1] CÉDRICVAIO.txt
    Supprimé : C:\Users\Cédric\Desktop\UsbFix.exe
    Supprimée : HKCU\Software\USBFix
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

    ~ Purge de la restauration système ...

    Supprimé : RP #2 [Installé VAIO Control Center | 11/01/2013 23:03:13]
    Supprimé : RP #3 [Virus 06/11/2013 | 11/06/2013 13:36:21]

    Nouveau point de restauration créé !

    ########## - EOF - ##########

    J'aurais juste une dernière petite question : puis-je brancher en toute sécurité mon DDE ? Je n'ai qu'une seule copie de ses données (ce que je vais m'empresser de changer) et j'y tiens énormément.

    En tout les cas merci beaucoup pour votre aide, rapide, détaillée et facile à mettre en application !
    m
    0
    l
    a c 940 8 Sécurité
    7 Novembre 2013 11:16:26

    Bonjour,

    OK pour le rapport Delfix.

    Citation :
    puis-je brancher en toute sécurité mon DDE ? Je n'ai qu'une seule copie de ses données (ce que je vais m'empresser de changer) et j'y tiens énormément.

    Oui, tu peux maintenant, il n'y a plus de souci.
    Le ver .vbs a été neutralisé.

    Bonne continuation :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS