Se connecter / S'enregistrer
Votre question

Le virus des raccourcis "ituneshelper" - Sur clé après Formatage PC. Les étapes ?

Tags :
  • Virus
  • ituneshelper
  • PC
  • Raccourcis
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
24 Décembre 2013 15:33:30

Bonjour à tous ! :) 

Voilà, comme beaucoup ici, j'ai eu ce fameux virus "iTuneshelper.vbs" + un truc à la con "~$nomdufichier" à mon lycée. (Pas le seul, bien évidemment.)

Evidemment, ma clé USB fut infestée :
Quand je clique sur les dossiers qui se "raccourcis", ça me met un "terminal windows", avec une redirection sur "cmd.exe" si je met "ouvrir avec" sur le dossier : dans le system32 notamment.
Mais ça affiche les fichiers qui sont dans le dossier normalement.

J'ai formaté mon PC, avant ce formatage, j'avais connecté un DDE malgré l'infection (qui, je pense, avait flingué mon PC, vu que les .dossiers était devenu des ".exe", et que je ne pouvais plus rien ouvrir.)
Maintenant, me voilà avec un PC formaté, un OS Windows 7 Légal, Professionnel 32 bits.

Cependant, je sais que j'ai une clé USB avec des fichiers infectés dessus, je suis revenu du lycée avec, mais je ne l'ai toujours pas branché (aperçu au lycée, qu'il y avait une réinfection.)

J'ai fais une sauvegarde de mes fichiers sur Linux, pas d'exécutable du coup -un autre PC-, pour pas perdre mes fichiers .txt, ... Qui sont mes projets scolaires. Mais je pense que le transfert avec le DDE a contaminé ce DDE.
Au passage : J'ai reçu ce virus par un ".ppt". vu que le fichier nommé : "~$" à la supression, il a parlé d'un fichier system, et c'était un ".ppt". (Inouvrable sur Iphone, par exemple.) [Par support des PC's du lycée, je suppose.]

Donc, quelles sont les étapes avec USBfix/FRST/MALWAREBYTES, ... Afin de supprimer ceci de mes périphériques et que ça n'infecte pas mon PC à chaque branchement ?

Je vous remercie infiniment de votre aide, c'est précieux pour moi, & surtout, cela me permettra également d'aider deux/trois personnes de ma classe, dans la même situation du-coup.

Merci beaucoup.

Autres pages sur : virus raccourcis ituneshelper cle formatage etapes

a c 549 8 Sécurité
25 Décembre 2013 17:33:27

Bonjour,

En premier lieu, tu dois absolument avertir le responsable informatique au lycée, afin d'éviter la propagation de l'infection.

Ensuite, il est dommage d'avoir formaté le PC pour si peu, on aurait pu traiter cela ici.
Tu n'aurais perdu aucune données sur les clés usb ou disque externe ou sur le pc.

Concernant le fichier ".ppt~$", ce sont des sauvegardes d'un fichier ouvert (powerpoint), probablement un reste de fichier mal fermé ou qui a planté. Ce n'est pas une infection.

Enfin, nous allons nous occupé des supports infectés, à faire :

- Branche tous les supports potentiellement infecté sur ton PC Windows, simplement ne les ouvre pas

Puis à faire :

1) Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

    ~~~~~~~~~~~~~~

    2)Télécharge UsbFix (de El Desaparecido) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    26 Décembre 2013 13:41:25

    Bonjour, Joyeux Noël, et merci à toi. :) 

    Responsable informatique : Prévenu, et j'ai formaté mon PC pour diverses raisons.

    Voilà les rapports :

    Addition : http://up.security-x.fr/file.php?h=R075f06e203563d22d64...
    FRST : http://up.security-x.fr/file.php?h=Re2a9e6dd9a9a66b604f...
    USBFIX : http://up.security-x.fr/file.php?h=R537dec67efc9104e963...

    Merci à toi :) 

    PS : Je ne m'y connais pas beaucoup mais dans le rapport USBFIX, il semble avoir prit en compte la clé USB infectée (prixpsycho, ... ituneshelper, mais bien que le DDE soit branché et sous tension, je ne vois rien le concernant. Est-ce que c'est parce que finalement il n'a pas été contaminé, ou ai-je mal vu ? Fin, peu importe, je t'écoute pour la suite. :) 
    m
    0
    l
    Contenus similaires
    a c 549 8 Sécurité
    28 Décembre 2013 14:39:08

    Re,

    Désolé pour le retard, j'ai été absent quelques jours ...

    Effectivement, que ce soit USBFix ou FRST, seul un support amovible est détecté, celui de 7Go nommé flo8Go

    Le disque dur externe que tu dis, il est visible sous "Ordinateur" ?
    Est-ce que ce ne serait pas le disque d:, nommé "Potpourri" ?


    PS : sache par ailleurs que ton PC, bien que formaté, est déjà infecté par des adwares ... (logiciels publicitaires), on nettoiera tout en même temps, mais il va falloir être plus vigilant ...
    m
    0
    l
    28 Décembre 2013 16:01:01

    Pas de souci, je te remercie déjà de ton aide. :) 

    Intéressant, alors que j'ai transféré les données qui me semblaient avoir importer le virus (des projets dans un dossier) sur le DDE.

    Oui oui, bien visible : "PotPourri". :) 

    Je sais bien, j'ai dû faire un téléchargement en urgence avec Eazel qui m'a installé une toolbar aartemis, et un bon bordel.

    Cela-dit, sache aussi que dans la semaine j'achète un nouveau disque dur, et j'y installerai deux partitions (une linux, principale, et une windows pour quelques logiciels). Donc un formatage à nouveau, où là, je serai vigilant.


    PS : La Flo8go, après l'utilisation de USBFIX et FRST (sans "suppression"), s'appelle maintenant : Disque amovible F (mais rien à changer en terme d'espace utilisé dessus).
    m
    0
    l
    a c 549 8 Sécurité
    28 Décembre 2013 18:48:18

    Re,

    Donc si ton disque dur est bien "PotPourri", il est bien détecté, et on continu la procédure ;) 

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - WPM17.8.0.3159 (adware)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
      HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE
      HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE&q={searchTerms}
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE
      HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE
      HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE&q={searchTerms}
      StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE
      SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE&q={searchTerms}
      SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE&q={searchTerms}
      SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE&q={searchTerms}
      SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE&q={searchTerms}
      CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Florian\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
      CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://aartemis.com/?type=sc&ts=1387973505&from=vit&uid=395049983_1052482_E0C19CEE
      CHR Extension: (Extended Protection) - C:\Users\Florian\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml\1.3_0
      R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2013-12-25] (Cherished Technololgy LIMITED)
      C:\Users\Florian\AppData\Local\Temp\instloffer.exe
      C:\Users\Florian\AppData\Local\Temp\vit_aartemis_20131111182538.exe
      C:\ProgramData\WPM
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~

    3) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    m
    0
    l
    a c 549 8 Sécurité
    29 Décembre 2013 18:20:51

    Re,

    Encore un peu de ménage, USBfix n'a pas réussit à supprimer un fichier.

    Tente de supprimer manuellement sur ta clé USB (disque F:)  :
    F:\iTunesHelper.vbe

    Dis-moi si tu as pu le faire ou pas, sinon on fera autrement.

    à faire aussi ensuite dans tous les cas :

    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
    m
    0
    l
    29 Décembre 2013 18:32:39

    Sur le "F", suppression manuelle réussie. :) 
    Sur "PotPourri", par cotnre j'ai un dossier RECYCLE.BIN qui s'est créé et un Autorun.in (Avec dedans un .txt je crois USBFIX), normal ?

    Aussi, il apparaît plus sur Windows, & le "flo8go" ne s'appelle plus flo8go mais "F", normal également ce changement de nom ? (Bien que pas bien grave, évidemment.)

    Adw : http://up.security-x.fr/file.php?h=Rf13b3893565523fffa9...
    m
    0
    l
    a c 549 8 Sécurité
    29 Décembre 2013 18:46:48

    Re,

    Citation :
    Sur "PotPourri", par cotnre j'ai un dossier RECYCLE.BIN qui s'est créé et un Autorun.in (Avec dedans un .txt je crois USBFIX), normal ?


    L'autorun, c'est normal, c'est une vaccination d'USBFix, le Recycle.bin, c'est la corbeille du support, il disparaitront tous les deux lorsqu'on finira la procédure (on remettra les options d'affichages pour qu'ils soient invisible)

    Citation :
    il apparaît plus sur Windows, & le "flo8go" ne s'appelle plus flo8go mais "F", normal également ce changement de nom ?


    Le nom est toujours présent sur les rapports, en soit ce n'est pas très grave, tu pourras le renommé si tu le souhaites ensuite.

    ~~~~~~~~~~

    à suivre :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - AVG SafeGuard toolbar (barre d'outil sponsorisée, si vraiment besoin, tu la réinstalleras après passage d'Adwcleaner, cela n'empêche pas le fonctionnement d'AVG en tant qu'antivirus.)

    ~~~~~~~~~~

    Relance Adwcleaner :

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
    m
    0
    l
    29 Décembre 2013 19:39:59

    Les noms sont revenus. :) 

    J'ai bien désinstaller la toolbar (qui, à ma connaissance, ne devait pas être installé car à l'installation d'AVG, j'ai gentiment décliné l'offre.)

    PS : j'ai "startiminent" -Navigateur-, cet abruti, pour être poli, je n'ai jamais décidé de l'installer (ça s'est fait après un téléchargement sur Eazel), aartemis en navigation, même quand je sauvegarde Chrome en navigateur principal (depuis le navigateur). De plus, j'ai tenté la désinstallation là, il n'est plus affiché dans mes logiciels, pourtant, il est là.

    Cela-dit, merci pour la désinfection.

    Voici le rapport Adw : http://up.security-x.fr/file.php?h=Rca01ec5ad7ef5b23e9d...

    m
    0
    l
    a c 549 8 Sécurité
    29 Décembre 2013 21:47:59

    Re,

    Tu n'as pas effectué la procédure comme demandé ;) 
    Il faut choisir l'option "Nettoyer" sur Adwcleaner après le scan cette fois-ci ;) 

    Ensuite seulement, tu me dira si tu as encore la présence d'adware sur ton système.

    :jap: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS