Votre question
Résolu

Clé USB infectée (raccourcis au lieu de dossiers/fichiers) + virus svchost sur l'ordi?

Tags :
  • Firefox
  • Avast
  • Raccourcis
  • Virus
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
6 Décembre 2013 22:12:48

Bonsoir tout le monde,

Hier, en ouvrant ma clé usb (après l'avoir donné à quelqu'un pour m'y copier des fichiers), j'ai pu constater que tous les dossiers étaient devenus des raccourcis. Comme ça m'a paru étrange, j'ai effectué un scan de la clé avec avast (version gratuite, à jour), qui a détecté un trojan (le fichier détecté s'appelait updat.vbs). Lorsque que j'ai cliqué sur "Corriger automatiquement le problème", avast l'a mis en quarantaine. Suite à cela, je l'ai supprimé de la quarantaine (depuis avast) pour m'en débarrasser complètement. Suite à cela, j'ai formaté ma clé usb (formatage rapide puis formatage normal), et depuis les dossiers ne se retransforment pas en raccourcis sur la clé.
Néanmoins, non rassuré, j'ai voulu effectuer un scan minutieux de mon système (toujours avec avast) pour être sûr que rien ne s'était infiltré sur mon ordi.
Problème : à 1% du scan, l'ordi redémarre tout seul. J'ai essayé plusieurs fois d'affilée, et le redémarrage persiste autour des 1%, mais pas au niveau du même fichier.
En cherchant sur google, j'ai cru comprendre que ça pouvait venir d'un endommagement du disque dur (?), j'ai alors j'ai laissé tomber, ne voyant pas de manifestation de virus (je me suis dis que tout allait bien, que l'antivirus avait fait son boulot et m'avait protégé).

Cette après-midi, j'ai tout de même réessayé, et cette fois ci, c'est l'écran bleu que ça m'a affiché avec des messages d'erreur, j'ai du éteindre l'ordi manuellement ; Après avoir redémarré l'ordi, j'ai refait un scan, qui a stagné sur un fichier. Comme il stagnait vraiment depuis longtemps, j'ai voulu arrêter le scan (en cliquant sur le bouton arrêt du scan d'avast), et là l'ordi a planté. J'ai du à nouveau l'éteindre manuellement.

Ce soir, les choses ont évolué : pendant que j'utilisais firefox (normalement à jour), avast m'a sorti à plusieurs reprises 3 messages d'alerte, comme quoi "L'Agent Web avast! a bloqué une page web ou un fichier malveillant".

Les 3 messages d'alertes sont les suivants: (j'ai des captures d'écran mais je ne sais pas si je suis autorisé à les poster ici après les avoir uploadé sur un site d'hébergement d'images type noelshack).

1 et 2)
Objet: http:/.../GoogleUpdateSetup.exe?cms_red [je sais pas si y'a encore du texte après, ça a l'air d'être tronqué]
Infection: Win32:Fareit-LM [Trj]
Processus: C:\Program Files\Google\...\GoogleUpdate [la suite n'apparait pas]


3)
Objet: http:/.../GoogleUpdateSetup.exe?cms_red
Infection: Win32:Fareit-LM [Trj]
Processus: C:\Windows\system32\svchost.exe

En cliquant sur "Plus de détails", ça m'ouvre une fenêtre firefox du site d'avast qui me dit qu'avast a bloqué un virus, et qui me propose de passer sur la version payante.

Voici ce que le lien m'affiche:
Infection bloquée
URL : http://r2---sn-a3nu8-a23e.c.pack.google.com/edgedl/u...
Infection : Win32:Fareit-LM [Trj]

En cherchant sur google, j'ai pu voir que d'autres ont eu des problèmes d'infection avec ce svchost, c'est pourquoi je sollicite votre aide.

Merci d'avance, et désolé pour le pavé, c'est pour être sûr de ne pas oublier une information cruciale, histoire de vous faire gagner du temps et vous épargner des efforts inutiles.

Autres pages sur : cle usb infectee raccourcis lieu dossiers fichiers virus svchost ordi

a c 1009 8 Sécurité
a c 107 È Firefox
7 Décembre 2013 09:01:51

Bonjour,


Nous allons commencer par établir un diagnostic pour cibler les éléments néfastes avec ces outils :

---------------------------------------------------------------------------------------------

FRST :

/!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, ....)
  • Double-clique sur UsbFix sur ton Bureau

    • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
      Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

    • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
    • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
      Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche, valide par OK les différents messages d'informations
    • La recherche se lance, patiente le temps de l'analyse
    • Le rapport UsbFix.txt s'affiche. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

      /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.


  • Tutoriel d'utilisation USBFix en images

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    @+
    m
    0
    l
    Contenus similaires
    a c 1009 8 Sécurité
    a c 107 È Firefox
    7 Décembre 2013 16:57:07

    Re,


    Une raison particulière pour que le SP1 ne soit pas installé sur ton Windows 7 ?
    En plus sous Internet Explorer 8 !!!
    Un système qui n'est pas à jour présente des failles de sécurité importantes et est une cible de choix pour les malwares.
    On s'en occupera par la suite.

    D'ailleurs ce Windows 7 est-il légal ?
    Il a été téléchargé sur quelle plateforme ?

    Les produits Adobe installés sur ton système sont-ils légaux ?
    Tu n'es pas sans savoir que ces programmes Adobe sont sous licence et qu'il existe des solutions alternatives gratuites ?

    Pour les détections Win32:Fareit-LM [Trj], c'est un faux positif qui a été normalement corrigé par Avast par une mise à jour.
    http://forum.avast.com/index.php?topic=142031.0


    Les dossiers/fichiers sur ta clé USB sont-ils de nouveaux accessibles ?
    Les rapports sont négatifs.

    J'attends de tes nouvelles.

    @+
    m
    0
    l
    7 Décembre 2013 18:16:03

    Re,

    Non, ils (les logiciels) ne le sont évidemment pas (j'aurais pu supprimer les lignes compromettantes dans les rapports, mais je ne suis pas un tricheur/menteur, et encore moins de ceux qui mentent à ceux à qui ils demandent de l'aide).

    Pour la petite histoire, mon ordi (un portable) a plus de 6 ans, quand je l'ai acheté il y avait Vista dessus, mais cette arnaque me faisait trop ramer et m'empêchait d'utiliser un paquet de programmes. Je l'ai formaté pour installer XP dessus, et c'est là que j'ai découvert une protection pourrie qui m'empêche d'installer XP sur des disques durs SATA, alors j'ai du passer sur 7 (je suis étudiant, pas les moyens d'acheter 7 de ma poche - il m'a été fourni par un ami). Jusqu'à présent, 7 ne m'a jamais posé de soucis.
    Quant à Photoshop, je comptais me le payer lors des réductions de Noël de cette année (l'offre étudiante à 300€, pas l'offre tout public qui coûte >1000€).

    Je sais, c'est pas bien d'utiliser des logiciels craqués, mais c'est mal aussi d'équiper des ordinateurs d'OS pourris et de forcer les gens à payer des fortunes pour pouvoir faire tourner leurs ordis convenablement. Mon ordi se fait vieux d'ailleurs, je serai sans doute forcé d'en acheter un neuf dans l'année qui vient (si je trouve les sous), et là je serais à 100% légal.
    Franchement, tu ne trouves pas que la gamme de prix de ces logiciels s'apparente plus à du vol à main armée qu'à autre chose? XD
    Encore pour les entreprises qui font du bénéf dessus je comprend, mais pour les particuliers qui en font un usage privé c'est abusé je trouve. Par ailleurs, ça fait plus d'un an que je désire utiliser un logiciel de montage vidéo, et depuis plus d'un an, je ronge mon frein et m'abstient de faire quoi que ce soit, parce que ça coûte trop cher.
    Je sais que rien là dedans n'est une excuse, j'explique juste la situation.

    En tous cas merci pour ta précieuse aide et pour ta rapidité dans les réponses. Grâce à toi, je sais désormais que c'est juste un faux positif et qu'a priori je n'ai pas trop de souci à me faire (avast a donc fait son boulot?).
    Si ça ne te dérange pas de continuer à m'aider, malgré tout ça, je serais vraiment ravi de continuer à bénéficier de ton aide (notamment pour les redémarrages intempestifs et les scans qui bloquent à un certain pourcentage). Autrement, je comprendrais que tu ne veuilles plus m'aider.

    Quoi qu'il en soit, je te remercie pour tout.

    PS: Je n'ai jamais mis à jour IE parce que je me sers essentiellement de Firefox et Chrome.

    EDIT : Depuis que j'ai viré le trojan avec avast et doublement formaté la clé, je n'ai pas pu constater de transformation de dossiers en raccourcis, et lorsque je scanne la clé avec avast, il ne détecte aucune menace, donc a priori c'est bon?
    m
    0
    l
    a c 1009 8 Sécurité
    a c 107 È Firefox
    7 Décembre 2013 18:45:08

    Re,

    J'apprécie ta franchise, même si je ne cautionne pas.
    Et si tu changes ton PC prochainement, le problème ne se posera plus.
    Tu auras Windows 8 :) 

    Sinon, pour Windows 7, puisque tu es étudiant, tu peux avoir Windows 7 par le biais de ton école/université.
    Renseigne-toi auprès de leur secrétariat.

    Pour les produits Adobe, comme je te le signalais, il existe des alternatives gratuites.

    Donc pour la clé et l'infection par support amovible, cela semble réglé.

    Mais tout ça ne t'empêche pas de tenir ton système à jour.

    Nous allons commencer par les extensions :


    Désinstalle Java(TM) 6 Update 31, tu as déjà la dernière version installée.

    ---------------------------------------------------------------------------------------------

    Installe la dernière version Adobe Flash Player :

    Ouvre Internet Explorer, télécharge et installe cette dernière version :
    Adobe Flash Player

    Ouvre Firefox, télécharge et installe cette dernière version :
    Adobe Flash Player

    Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
    Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

    ---------------------------------------------------------------------------------------------

    Mets à jour ta version d'Adobe Reader :

    Télécharge et installe cette dernière version :
    Adobe Reader
    N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan


    ---------------------------------------------------------------------------------------------

    Ensuite un contrôle avec cet outil :

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXCU.exe pour lancer l'application
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Rapport
    • Poste le rapport_SX.txt dans ta prochaine réponse.


  • Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport SXCU

    @+
    m
    0
    l
    a c 1009 8 Sécurité
    a c 107 È Firefox
    7 Décembre 2013 20:01:53

    Re,

    OK pour le rapport SXCU.

    Nous allons dans un 1er temps finaliser le côté désinfection, puis nous tenterons de mettre à jour Windows.

    ---------------------------------------------------------------------------------------------

    TFC - Nettoyage des fichiers temporaires :

    • Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
    • Ferme toutes les applications en cours
    • Double-clique sur TFC.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
    • Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage


  • ---------------------------------------------------------------------------------------------

    DelFix :

    • Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Mets à jour ton système via Windows Update

    Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP1 et IE11

    ---------------------------------------------------------------------------------------------

    Tu m'indiques quand c'est fait :) 
    m
    0
    l
    7 Décembre 2013 20:49:04

    Re,

    Voici le rapport Delfix : http://up.security-x.fr/file.php?h=R3484e1836f38v15p5z3...

    Pour Windows Update, je vais devoir faire sans, trop de risques que ça me bloque l'ordi (ça me l'a fait quand je venais d'installer 7, j'ai du reformater l'ordi et réinstaller 7 en désactivant WU) :/ 
    m
    0
    l
    a c 1009 8 Sécurité
    a c 107 È Firefox
    7 Décembre 2013 21:05:55

    Re,

    Tu ne peux pas rester avec un système qui n'est pas à jour.
    Ce sont des failles de sécurité très exploitées par les malwares, au risque d'un blocage du système, d'une perte de données et plus grave, vol de données.

    Indique-moi ce que tu décides.

    @+
    m
    0
    l
    7 Décembre 2013 21:14:06

    Re,

    Je suis conscient du fait que ça me fragilise, mais je ne peux faire autrement : entre un ordi fragilisé et un ordi inutilisable, je préfère l'ordi fragilisé (d'autant plus que je n'ai jamais eu de problème depuis que j'ai installé 7). J'irai voir dès lundi l'administration de la fac pour voir si y'a moyen d'obtenir 7 de façon légale, comme ça le problème sera réglé.
    A part WU, est-ce qu'il me reste quelque chose d'autre à faire?

    Encore merci pour ton aide
    m
    0
    l

    Meilleure solution

    a c 1009 8 Sécurité
    a c 107 È Firefox
    7 Décembre 2013 21:17:58

    Re,

    C'est ton choix et tu en connais les risques.

    Nous avons juste à clôturer avec quelques conseils.

    ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    7 Décembre 2013 21:36:28

    Re,

    Je prend note de tes conseils (j'installerai éventuellement Malwarebytes).

    Merci beaucoup pour ton aide précieuse! Vous êtes des vrais pros sur ce site :) 
    m
    0
    l
    a c 1009 8 Sécurité
    a c 107 È Firefox
    7 Décembre 2013 21:39:38

    Bonne continuation :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS