Se connecter / S'enregistrer
Votre question

Clé USB et PC infecté par iTunesHelper

Tags :
  • Raccourcis
  • ituneshelper.vbe
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
9 Novembre 2013 23:44:52

Bonjour à tous
J'ai prêté ma clé USB à un collègue et, quand je l'ai récupérée, tous les fichiers s'étaient transformés en raccourcis.
Mon antivirus Avast ne voit rien; l'outil RogueKiller le détecte, semble le supprimer et même réparer les fichiers, MAIS le virus est toujours présent.
Pouvez-vous m'aider, SVP ? Merci d'avance.

Autres pages sur : cle usb infecte ituneshelper

a c 940 8 Sécurité
10 Novembre 2013 08:09:26

Bonjour,

RogueKiller est inadapté pour cette infection.
Il ne faut utiliser ce type d'outils puissants qu'à bon escient.

Nous allons regarder ça en commençant par établir un rapport de diagnostic avec cet outil :

---------------------------------------------------------------------------------------------

FRST :

/!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)

  • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
      Autre lien de téléchargement USBFix
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche et laisse l'outil analyser ton système
    • La recherche se lance
    • Le rapport UsbFix.txt s'affiche. Poste le contenu du rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide


  • ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    @+
    m
    0
    l
    10 Novembre 2013 09:21:57

    Bonjour

    J'ai posté les 2 premiers rapports.
    Je n'arrive pas à télécharger USBFix : le filtre SmartScreen le bloque en tant que logiciel dangereux et je ne sais pas comment contourner l'interdiction. Il n'y a pas de boîte de dialogue qui s'ouvre.

    FRST :

    /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)

    • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
      Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

    • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
    • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
      Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
      Autre lien de téléchargement USBFix
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche et laisse l'outil analyser ton système
    • La recherche se lance
    • Le rapport UsbFix.txt s'affiche. Poste le contenu du rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide


  • ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    @+

  • [/quotemsg]
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    10 Novembre 2013 09:37:30

    Re,

    Ne cite pas mon message pour me répondre.
    Tu cliques simplement sur le bouton bleu Répondre.


    Citation :
    J'ai posté les 2 premiers rapports.

    Certes .... mais il faut m'indiquer les liens pour que je puisse visualiser les rapports.
    Je t'ai indiqué un lien pour une aide en images :
    http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884



    Citation :
    Je n'arrive pas à télécharger USBFix : le filtre SmartScreen le bloque en tant que logiciel dangereux et je ne sais pas comment contourner l'interdiction. Il n'y a pas de boîte de dialogue qui s'ouvre.

    Voici comment procéder :
    http://forum.security-x.fr/tutoriels-317/executer-une-application-bloquee-par-smartscreen-sous-internet-explorer/

    @+
    m
    0
    l
    a c 940 8 Sécurité
    10 Novembre 2013 16:28:55

    Re,

    Citation :
    sinon j'ai essayé avec USBFix en mode suppression

    Merci d'appliquer les procédures tel qu'elles sont indiquées.
    J'avais demandé de lancer USBFix en mode Recherche pour l'instant ....... et non, l'outil n'a pas supprimé toutes les infections présentes sur ce système.

    Tu as vu le nombre de fois que tu as passé RogueKiller ?
    Je le répète, c'est un outil puissant qui ne doit pas être lancé à la légère.
    D'autre part, cet outil est spécifique et n'est adapté que pour certaines infections.
    Donc totalement inadapté dans ton cas.

    ---------------------------------------------------------------------------------------------

    Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

    Ask Toolbar
    Dealio Toolbar


    Si un programme ne veut pas se désinstaller, tu passes au suivant.

    ---------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1673680 2013-10-15] (APN)
      HKLM\...\Run: [SearchSettings] - C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe [1379648 2013-10-24] (Spigot, Inc.)
      HKCU\...\Run: [iTunesHelper] - C:\Users\Marie-Laure\AppData\Local\Temp\iTunesHelper.vbe [69554284 2013-11-06] () <===== ATTENTION
      Startup: C:\Users\Marie-Laure\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
      URLSearchHook: HKCU - Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\8.1\dealioToolbarIE.dll (Spigot, Inc.)
      SearchScopes: HKCU - {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=L2cngyK4H1ZY-4dTZPb4fJYk5pk?q={searchTerms}
      BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\8.1\dealioToolbarIE.dll (Spigot, Inc.)
      Toolbar: HKLM - Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\8.1\dealioToolbarIE.dll (Spigot, Inc.)
      CHR Extension: (Ask Toolbar) - C:\Users\MARIE-~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaajpkhjdkhhnkmgfjodbkfpbmibkkk\25.60699_0
      CHR HKLM\...\Chrome\Extension: [aaaajpkhjdkhhnkmgfjodbkfpbmibkkk] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7\CRX\ToolbarCR.crx
      R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-10-15] (APN LLC.)
      R2 Application Updater; C:\Program Files\Application Updater\ApplicationUpdater.exe [807800 2013-10-24] (Spigot, Inc.)
      S2 McNASvc; "c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe" [x]
      2013-10-29 18:02 - 2013-10-29 18:02 - 00000000 ____D C:\Program Files\Dealio Toolbar
      2013-10-29 18:02 - 2013-10-29 18:02 - 00000000 ____D C:\Program Files\Common Files\Spigot
      2013-10-29 18:02 - 2013-10-29 18:02 - 00000000 ____D C:\Program Files\Application Updater
      C:\Users\Marie-Laure\AppData\Local\Temp\iTunesHelper.vbe
      C:\ProgramData\1798238.pad
      C:\ProgramData\nvUnsupRes.dat
      C:\Program Files\AskPartnerNetwork
      C:\Users\Marie-Laure\AppData\Local\Temp\APNSetup.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\aswV5Hlp.dll
      C:\Users\Marie-Laure\AppData\Local\Temp\FlashPlayerUpdate.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\FlashPlayerUpdate01.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\install_flashplayer11x32ax_gtbp_chra_aih[1].exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u20-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u21-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u23-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u24-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u26-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u29-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-6u39-windows-i586-iftw.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-7u25-windows-i586-iftw.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\ntdll_dump.dll
      C:\Users\Marie-Laure\AppData\Local\Temp\ose00000.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\Setup_{11616AB8-369C-4D17-AB42-C361A15194BD}.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\Setup_{9621B945-B11A-4822-AEC3-2050080D796E}.exe
      C:\Users\Marie-Laure\AppData\Local\Temp\u3q5ydm-.dll
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    AdwCleaner - Suppression :

    • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
    • Patiente le temps de l'analyse et valide le message d'informations
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).txt


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    ---------------------------------------------------------------------------------------------

    TFC - Nettoyage des fichiers temporaires :

    • Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
    • Ferme toutes les applications en cours
    • Double-clique sur TFC.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
    • Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage


  • --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    Fixlog
    AdwCleaner


    @+
    m
    0
    l
    a c 940 8 Sécurité
    15 Novembre 2013 11:58:20

    Bonjour,

    Des difficultés pour appliquer les dernières consignes indiquées ?

    La désinfection n'est pas terminée.

    @+
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS