Se connecter / S'enregistrer
Votre question
Résolu

Virus clé usb : fichiers transformés en raccourcis

Tags :
  • Virus
  • Raccourcis
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
7 Janvier 2014 13:05:11

Bonjour,

J'ai comme beaucoup d'autres le problème de transformation des fichiers de ma clé usb en raccourcis vers system32. Que dois-je faire ?

Merci d'avance pour votre aide !

Autres pages sur : virus cle usb fichiers transformes raccourcis

a b 8 Sécurité
7 Janvier 2014 13:29:22

Bonjour,

Nous allons y jeter un oeil en faisant un premier diagnostic

FRST :

  • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports FRST.txt, Addition.txt


    A+
    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    7 Janvier 2014 15:02:47

    Rebonjour,

    Ton ordinateur n'a plus d'antivirus, est-ce toi qui l'a désinstallé ?

    On poursuit la procédure :

    USBFix :

  • Télécharge USBFix

    /!\ Pense à brancher tous les supports amovibles avant de faire la procédure d'en dessous /!\

  • Clique sur l'icône Usbfix.exe pour lancer le programme.
    Clic-droit -> Exécuter en tant qu'administrateur sous Windows Vista, 7 et 8
  • Puis branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Clique sur Rechercher. Un message s'affiche, vérifie que tes supports amovibles soit bien branchés et clique sur OK.
  • Laisse travailler l'outil.

    Afin de ne pas encombrer le forum, peux tu héberger le rapport sur ce site d'hébergement de fichiers et indique le liens fourni dans ta réponse. Aide en images

    A+
    m
    0
    l
    7 Janvier 2014 16:39:39

    Voilà le rapport d'usbfix

    http://up.security-x.fr/file.php?h=Raa45be5c54a366128d1...

    En ce qui concerne l'antivirus ce n'est pas mon ordinateur mais celui d'un ami, je ne sais donc pas pourquoi il n'en a pas. Mais le connaissant il ne serait pas étonnant qu'il ait juste eu la flemme d'en télécharger un ;) 
    m
    0
    l
    a b 8 Sécurité
    7 Janvier 2014 20:26:14

    Re,

    Suppression USBFix :


    /!\ Pense à brancher tes supports USB avant de faire la procédure d'en dessous /!\

    Ta clé est bien infectée, on va commencer le nettoyage, pour cela :

    • Clique sur l'icône Usbfix.exe pour lancer le programme.
      Clic-droit -> Exécuter en tant qu'administrateur sous Windows Vista, 7 et 8
    • Puis branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    • Clique sur Suppression. Un message s'affiche, vérifie que tes supports amovibles soit bien branchés et clique sur OK.
    • Laisse travailler l'outil.
    • A la fin du scan le rapport UsbFix.txt apparait, héberge ce rapport sur ce site d'hébergement de fichiers et indique le lien fourni dans ta réponse. Aide en images


  • Note : Le rapport généré par USBFix se trouve ici : C:\UsbFix.txt
    m
    0
    l
    7 Janvier 2014 21:29:52

    Bonsoir,
    Je n'ai accès à l'ordinateur que l'après-midi et en début de soirée. J'ai juste eu le temps de faire la suppression, je posterai le rapport demain.
    Merci pour l'aide,
    A demain
    m
    0
    l
    a b 8 Sécurité
    8 Janvier 2014 14:16:24

    Bonjour,

    Est-ce que vos fichiers sont de nouveaux accessibles sur votre clé USB ?
    Utilisez-vous la Ask Toolbar ?

    On continue la désinfection :

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      () C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe
      HKCU\...\Run: [cacaoweb] - C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe [469504 2013-12-24] ()
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

      /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    8 Janvier 2014 14:50:30

    Re,

    Voici le rapport :

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 08-01-2014
    Ran by Louis at 2014-01-08 14:43:35 Run:1
    Running from C:\Users\Louis\Desktop
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    *****************
    start

    () C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe

    HKCU\...\Run: [cacaoweb] - C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe [469504 2013-12-24] ()

    end[/code]
    *****************

    C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe => No running process found
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb => Value deleted successfully.

    ==== End of Fixlog ====

    Pour ce qui est de la clé les fichiers sont bien accessibles, mais des icones page blanche (cf capture d'écran) subsistent et je ne peux pas les supprimer.
    http://up.security-x.fr/file.php?h=R6e91cadbb1e2bb6027e... Capture écran

    Pour ask toolbar elle ne sert a rien, de même que n'imorte quel autre truc qui vous parait superficiel voire dangereux.
    m
    0
    l
    a b 8 Sécurité
    8 Janvier 2014 15:58:59

    Re,

    Vous pouvez supprimer les fichiers en icône blanche sans problème, ce ne sont que des raccourcis ;) 

    On continue :

    Suppression de Ask Toolbar :

    Supprime la Ask Toolbar via le panneau de configuration -> Ajout/Suppression de programme

    ----------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      () C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe
      C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe [469504 2013-12-24] ()
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

      /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    8 Janvier 2014 16:09:27

    Re,
    Le problème des icones blancs n'est pas que je ne veux pas les supprimer, c'est que je ne peux pas ^^ quand je les supprime et que je rafraichis l'explorateur, ils reviennent !
    Voici le rapport :

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 08-01-2014
    Ran by Louis at 2014-01-08 16:06:24 Run:2
    Running from C:\Users\Louis\Desktop
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    *****************

    start

    () C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe

    C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe [469504 2013-12-24] ()

    end

    *****************

    C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe => No running process found
    "C:\Users\Louis\AppData\Roaming\cacaoweb\cacaoweb.exe [469504 2013-12-24] ()" => File/Directory not found.

    ==== End of Fixlog ====
    m
    0
    l
    a b 8 Sécurité
    8 Janvier 2014 17:01:06

    Re,

    Est ce que ton pc a été redémarré ?
    Ta clé USB a-t-elle été déconnectée proprement et rebranchée ? (-> Retirer ce périphérique en sécurité)

    Dans le doute, on va refaire un petit scan :

    USBFix :


    /!\ Pense à brancher tes supports USB avant de faire la procédure d'en dessous /!\

  • Clique sur l'icône Usbfix.exe pour lancer le programme.
    Clic-droit -> Exécuter en tant qu'administrateur sous Windows Vista, 7 et 8
  • Puis branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Clique sur Rechercher. Un message s'affiche, vérifie que tes supports amovibles soit bien branchés et clique sur OK.
  • Laisse travailler l'outil.

    Afin de ne pas encombrer le forum, peux tu héberger le rapport sur ce site d'hébergement de fichiers et indique le liens fourni dans ta réponse. Aide en images
    m
    0
    l
    8 Janvier 2014 17:20:05

    Re,

    J'ai redemarré le PC. Pour ce qui est d'ejecter en toute sécurité, lorsque je le fais l'icone m'indiquant la présence de support amovible disparait bien mais aucun message "vous pouvez retirer le périphérique en toute sécurité".
    De plus lors du scan, USBfix m'a sorti autant de messages d'erreurs que de raccourcis blancs, tous du type : "Le fichier ou répertoire X est endommagé et illisible. Exécutez l'utilitaire CHKDSK" avec X le nom de chaque raccourcis.
    Voici quand même le rapport :

    http://up.security-x.fr/file.php?h=Rfadec3ead63b038e4cb...

    Quand j'ai moi-même eu ce ver sur mon ordi tout a marché du premier coup, et le problème vient de la même source, est-ce normal que tout ne marche pas de la même manière ?
    m
    0
    l
    a b 8 Sécurité
    8 Janvier 2014 18:32:57

    Re,

    On va tenter autre chose :) 

    branche ta clé USB sans l'ouvrir

  • Ouvre un Bloc-Notes
  • Copie et colle ceci à l'intérieur :


    echo off
    cls
    chkdsk F: /F > C:\Users\Louis\Desktop\Chkdsk.log
    echo "Vous pouvez donner le rapport sur le forum"
    pause


  • Enregistre le bloc-notes sur le Bureau sous le nom checkdisk.bat /!\ Le .bat est très important /!\
  • Clique droit sur checkdisk.bat présent sur ton bureau puis, clique sur Exécutez en tant qu'administrateur
  • Attend que le message "Vous pouvez donner le rapport sur le forum" s'affiche dans la console noire qui est apparue.
  • Une fois qu'il s'est affiché, le rapport Chkdsk.log est présent sur ton bureau, afin de ne pas encombrer le forum, peux tu l'héberger sur ce site d'hébergement de fichiers et indique le liens fourni dans ta réponse. Aide en images

    -------------------------------------------------------


    /!\ Pense à brancher tes supports USB avant de faire la procédure d'en dessous /!\

    Ta clé est bien infectée, on va commencer le nettoyage, pour cela :

  • Clique sur l'icône Usbfix.exe pour lancer le programme.
    Clic-droit -> Exécuter en tant qu'administrateur sous Windows Vista, 7 et 8
  • Puis branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Clique sur Suppression. Un message s'affiche, vérifie que tes supports amovibles soit bien branchés et clique sur OK.
  • Laisse travailler l'outil.
  • A la fin du scan le rapport UsbFix.txt apparait, héberge ce rapport sur ce site d'hébergement de fichiers et indique le lien fourni dans ta réponse. Aide en images
    m
    0
    l
    a b 8 Sécurité
    8 Janvier 2014 20:00:02

    Re,

    L'infection est plutôt tenace, on va tenter autre chose :

    Sauvegarde les fichiers que tu veux garder de ta clé sur le pc

    Une fois cela fait, fait ceci :

    Clique sur Démarrer -> Ordinateur
    Clique droit sur ta clé USB, clique sur Formater
    Dans système de fichiers, vérifie qu'il y a FAT32
    Clique sur Démarrer

    Les raccourcis de la clé ont-ils disparu ?
    m
    0
    l
    8 Janvier 2014 20:14:23

    Re !

    Comme un idiot j'ai pas vérifié après la deuxième suppression s'ils avaient disparus et miracles, ils ne sont plus là. Du coup dois-je quand même la formater ?
    m
    0
    l
    a b 8 Sécurité
    8 Janvier 2014 20:23:54

    Re,

    On va refaire un scan de ta clé pour voir si l'infection est encore présente :

    USBFix :


    /!\ Pense à brancher tes supports USB avant de faire la procédure d'en dessous /!\

  • Clique sur l'icône Usbfix.exe pour lancer le programme.
    Clic-droit -> Exécuter en tant qu'administrateur sous Windows Vista, 7 et 8
  • Puis branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Clique sur Rechercher. Un message s'affiche, vérifie que tes supports amovibles soit bien branchés et clique sur OK.
  • Laisse travailler l'outil.

    Afin de ne pas encombrer le forum, peux tu héberger le rapport sur ce site d'hébergement de fichiers et indique le liens fourni dans ta réponse. Aide en images
    m
    0
    l

    Meilleure solution

    a b 8 Sécurité
    8 Janvier 2014 20:44:31

    Re,

    Et bien bonne nouvelle, ton pc et la clé sont maintenant sains ! :) 

    Afin d'éviter de te faire réinfecter, voici quelques conseils :

    Sois vigilant lors de l'installation de logiciels :
    Il faut lire les conditions d'utilisation des logiciels afin de voir comment sont gérer nos données personnelles, s'ils n'installent pas de sponsors publicitaires. Il faut aussi refuser les toolbars ou tout autre addons. Je te conseille de lire cet article et celui-ci

    Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.


    Bonne soirée

    nicoolas


    partage
    8 Janvier 2014 20:50:12

    Merci pour toute l'aide, j'ai un autre ami dont l'ordi est infecté, je posterai directement les premiers scans quand j'aurais le temps.

    Encore merci et bonne soiréé ! :) 
    m
    0
    l
    a b 8 Sécurité
    9 Janvier 2014 12:14:18

    Bonjour,

    J'ai oublié de te faire passer un outil pour supprimer les outils de désinfection utilisés.

    DelFix :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse

    A+
    m
    0
    l
    9 Janvier 2014 12:32:25

    Bonjour,
    Ayant deja eu ce probleme moi meme et l'ayant resolu sur ce forum j'ai retrouvé la marche a suivre hier. Mais du coup je n'ai pas la rapport. Mais tout etait bon.
    Merci et bonne journée !

    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS