Se connecter / S'enregistrer
Votre question

Clé usb virus

Tags :
  • Raccourcis
  • Virus
  • Windows 8
  • 64 bit
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
29 Novembre 2013 14:02:51

Bonjour comme beaucoup je suis infecté par ce P*** de virus. Je travaille chez moi avec mon pc, je suis hyper dans la panade là...
Votre aide me serais très précieuse et vous en remercie d'avance...

Un grand merci même.

J'ai lancé USBfix:

Voici le rapport:

Spoiler
############################## | UsbFix V 7.152 | [Recherche]

Utilisateur: ced (Administrateur) # PC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 16:14:04 | 28/11/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Intel (PLCSF8)
CPU: Intel(R) Core(TM) i3-3120M CPU @ 2.50GHz
RAM -> [Total : 4047 | Free : 2293]
Bios: Insyde Corp.
Boot: Normal boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit)
WB: Windows Internet Explorer : 10.0.9200.16736
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AV: avast! Antivirus [(!) Disabled | Updated]
AS: Windows Defender : 4.3.0215.0
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 686 Go (622 Go libre(s) - 91%) [TI31065600A] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 52%) [] # FAT

################## | Processus Actif |

C:\windows\system32\csrss.exe (ID: 620 |ParentID: 608)
C:\windows\system32\wininit.exe (ID: 720 |ParentID: 608)
C:\windows\system32\services.exe (ID: 804 |ParentID: 720)
C:\windows\system32\lsass.exe (ID: 812 |ParentID: 720)
C:\windows\system32\svchost.exe (ID: 920 |ParentID: 804)
C:\windows\system32\svchost.exe (ID: 984 |ParentID: 804)
C:\windows\system32\atiesrxx.exe (ID: 312 |ParentID: 804)
C:\windows\System32\svchost.exe (ID: 396 |ParentID: 804)
C:\windows\system32\svchost.exe (ID: 708 |ParentID: 804)
C:\windows\system32\svchost.exe (ID: 980 |ParentID: 804)
C:\windows\System32\svchost.exe (ID: 1056 |ParentID: 804)
C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe (ID: 1180 |ParentID: 804)
C:\windows\system32\svchost.exe (ID: 1240 |ParentID: 804)
C:\windows\system32\WLANExt.exe (ID: 1416 |ParentID: 1056)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1424 |ParentID: 804)
C:\windows\system32\conhost.exe (ID: 1432 |ParentID: 1416)
C:\Program Files (x86)\TOSHIBA\Password Utility\GFNEXSrv.exe (ID: 1648 |ParentID: 804)
C:\Program Files (x86)\Desk 365\deskSvc.exe (ID: 1772 |ParentID: 804)
C:\Program Files (x86)\WinZipper\winzipersvc.exe (ID: 1856 |ParentID: 804)
C:\ProgramData\eSafe\eGdpSvc.exe (ID: 1936 |ParentID: 804)
C:\windows\System32\spoolsv.exe (ID: 2264 |ParentID: 804)
C:\windows\system32\svchost.exe (ID: 2292 |ParentID: 804)
C:\windows\system32\dashost.exe (ID: 2448 |ParentID: 1056)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 2524 |ParentID: 804)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 2548 |ParentID: 804)
C:\Program Files\Microsoft Office 15\ClientX64\integratedoffice.exe (ID: 2584 |ParentID: 804)
C:\windows\system32\svchost.exe (ID: 2636 |ParentID: 804)
C:\Windows\system32\TODDSrv.exe (ID: 2664 |ParentID: 804)
C:\Program Files\TOSHIBA\Teco\TecoService.exe (ID: 2740 |ParentID: 804)
C:\windows\system32\wbem\wmiprvse.exe (ID: 2564 |ParentID: 920)
C:\windows\system32\svchost.exe (ID: 2412 |ParentID: 804)
C:\windows\system32\wbem\unsecapp.exe (ID: 3400 |ParentID: 920)
C:\windows\system32\SearchIndexer.exe (ID: 3084 |ParentID: 804)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe (ID: 4912 |ParentID: 804)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 4932 |ParentID: 804)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 5056 |ParentID: 804)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 3724 |ParentID: 804)
C:\windows\System32\svchost.exe (ID: 5132 |ParentID: 804)
C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe (ID: 6012 |ParentID: 804)
C:\windows\system32\DllHost.exe (ID: 3968 |ParentID: 920)
C:\windows\system32\taskhost.exe (ID: 3364 |ParentID: 804)
C:\windows\system32\csrss.exe (ID: 8308 |ParentID: 8888)
C:\windows\System32\WinLogon.exe (ID: 7252 |ParentID: 8888)
C:\windows\System32\dwm.exe (ID: 3352 |ParentID: 7252)
C:\windows\system32\atieclxx.exe (ID: 7172 |ParentID: 312)
C:\windows\system32\taskhostex.exe (ID: 5240 |ParentID: 804)
C:\windows\Explorer.EXE (ID: 4164 |ParentID: 2480)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 5772 |ParentID: 804)
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (ID: 7732 |ParentID: 1180)
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16.4.4396.1016_x64__8wekyb3d8bbwe\LiveComm.exe (ID: 6780 |ParentID: 920)
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (ID: 7448 |ParentID: 7476)
C:\Windows\System32\RuntimeBroker.exe (ID: 8816 |ParentID: 920)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 6528 |ParentID: 4164)
C:\Program Files\TOSHIBA\Hotkey\TCrdMain_Win8.exe (ID: 8236 |ParentID: 4164)
C:\Program Files\TOSHIBA\Teco\TecoResident.exe (ID: 2484 |ParentID: 4164)
C:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exe (ID: 4244 |ParentID: 3668)
C:\Program Files\SRS Labs\SRS Control Panel\SRSPanel_64.exe (ID: 3600 |ParentID: 4164)
C:\Windows\System32\spool\drivers\x64\3\E_IATIILE.EXE (ID: 7908 |ParentID: 4164)
C:\Program Files (x86)\Desk 365\desk365.exe (ID: 6216 |ParentID: 4164)
C:\Windows\System32\wscript.exe (ID: 7768 |ParentID: 4164)
C:\windows\system32\wbem\wmiprvse.exe (ID: 4020 |ParentID: 920)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 4184 |ParentID: 6748)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ID: 7524 |ParentID: 6484)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (ID: 7136 |ParentID: 7524)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 3304 |ParentID: 4164)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (ID: 6472 |ParentID: 3304)
C:\windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_117.exe (ID: 3832 |ParentID: 6472)
C:\windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_117.exe (ID: 7372 |ParentID: 3832)
C:\UsbFix\Go.exe (ID: 9128 |ParentID: 8876)
C:\windows\SysWOW64\ctfmon.exe (ID: 7428 |ParentID: 4184)
C:\Windows\System32\WUDFHost.exe (ID: 6904 |ParentID: 1056)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Intel AppUp(R) center] - "C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe" --domain-id F0399437-FD0C-4A48-B101-F0314A6172E4
04 - HKLM\SOFTWARE | Run : [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
04 - HKLM\SOFTWARE | Run : [TPUReg] - "C:\Program Files (x86)\TOSHIBA\Password Utility\TosPU.exe" /Retimes
04 - HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
04 - HKLM\SOFTWARE | Run : [20131121] - C:\Program Files\AVAST Software\Avast\setup\emupdate\8b866cf5-aa5f-4b14-91b5-474f6c22a3c8.exe /check
04 - HKLM\SOFTWARE\wow6432Node | Run : [Intel AppUp(R) center] - "C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe" --domain-id F0399437-FD0C-4A48-B101-F0314A6172E4
04 - HKLM\SOFTWARE\wow6432Node | Run : [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
04 - HKLM\SOFTWARE\wow6432Node | Run : [TPUReg] - "C:\Program Files (x86)\TOSHIBA\Password Utility\TosPU.exe" /Retimes
04 - HKLM\SOFTWARE\wow6432Node | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
04 - HKLM\SOFTWARE\wow6432Node | Run : [20131121] - C:\Program Files\AVAST Software\Avast\setup\emupdate\8b866cf5-aa5f-4b14-91b5-474f6c22a3c8.exe /check
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-21-3408885150-2508662632-3931703064-1001\SOFTWARE | Run : [Bubble Dock] - "C:\Users\ced\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup
04 - HKU\S-1-5-21-3408885150-2508662632-3931703064-1001\SOFTWARE | Run : [EPLTarget\P0000000000000000] - C:\windows\system32\spool\DRIVERS\x64\3\E_IATIILE.EXE /EPT "EPLTarget\P0000000000000000" /M "XP-205 207 Series"
04 - HKU\S-1-5-21-3408885150-2508662632-3931703064-1001\SOFTWARE | Run : [Desk 365] - "C:\Program Files (x86)\Desk 365\desk365.exe" /autorun
04 - HKU\S-1-5-21-3408885150-2508662632-3931703064-1001\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\ced\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-21-3408885150-2508662632-3931703064-1001\SOFTWARE | RunOnce : [FlashPlayerUpdate] - C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_11_9_900_117_Plugin.exe -update plugin

################## | Recherche générique |

Présent! C:\Users\ced\AppData\Roaming\delta-homes.exe
Présent! C:\Users\ced\AppData\Local\Temp\iTunesHelper.vbe
Présent! C:\Users\ced\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! E:\iTunesHelper.vbe
Présent! E:\.lnk
Présent! E:\.Trashes.lnk
Présent! E:\Dossier philoprojet.lnk
Présent! E:\EMILIE.lnk

################## | Référence de comparaison MD5 |

Md5 : 32BEF3BB4B558ADE6CF41113628FC86D -> C:\Users\ced\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Md5 : 32BEF3BB4B558ADE6CF41113628FC86D -> C:\Users\ced\AppData\Local\Temp\iTunesHelper.vbe
Md5 : C97C8B87E53FF26B7E88FA6CD01CF620 -> E:\iTunesHelper.vbe
Md5 : 0B428B42B615A357666D3F5131878D62 -> C:\Users\ced\AppData\Roaming\delta-homes.exe
Md5 : 32BEF3BB4B558ADE6CF41113628FC86D -> C:\Users\ced\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe

################## | Comparaison MD5 |

Présent! Md5 : 32BEF3BB4B558ADE6CF41113628FC86D -> C:\Users\ced\AppData\Local\Temp\iTunesHelper.vbe
Présent! Md5 : 0B428B42B615A357666D3F5131878D62 -> C:\Users\ced\AppData\Roaming\delta-homes.exe
Présent! Md5 : 32BEF3BB4B558ADE6CF41113628FC86D -> C:\Users\ced\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
Présent! Md5 : C97C8B87E53FF26B7E88FA6CD01CF620 -> E:\iTunesHelper.vbe

################## | Registre |

Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktop -> 1
Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktopChanges -> 1
Présent! HKU\S-1-5-21-3408885150-2508662632-3931703064-1001\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

Autres pages sur : cle usb virus

a c 1007 8 Sécurité
a c 98 * Windows 8
29 Novembre 2013 14:31:05

Bonjour,

Un peu de lecture sur cette Infection vbs/vbe autorun

Donc toujours avec la clé USB connectée, ainsi que tout autre support amovible qui a été connecté sur ce PC depuis l'infection :

---------------------------------------------------------------------------------------------

USBFix - Nettoyage :

  • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
  • Double-clique sur UsbFix sur ton Bureau
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur l'option Suppression et laisse l'outil travailler
  • Le rapport UsbFix.txt s'affiche. Poste lce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\UsbFix.txt

    Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

    /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.


  • ---------------------------------------------------------------------------------------------

    Nous allons aussi contrôler ton système avec cet outil :

    FRST - version 64 bits :

    • Télécharge FRST de Farbar et enregistre le fichier sur ton Bureau <-- Important
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST64.exe et clique sur Oui pour accepter le Disclaimer
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

    • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
    • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
      Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    USBFix
    FRST.txt et Addition.txt

    @+
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS