Se connecter / S'enregistrer
Votre question
Résolu

Infection de clé USB par VBS

Tags :
  • photos
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
15 Février 2014 19:27:35

Bonjour je n'arrive pas à ouvrir mes photos enregistrer sur une clé USB chaque fois que je clic sur une photo une fenêtre cmd s'ouvre et un message qui dit service vbs absent. Pouvez-vous m'aider s'il vous plaît merci

Voici le scan de UsbFix.
http://up.security-x.fr/file.php?h=R5fea6ccd88547ee2e95...

Autres pages sur : infection cle usb vbs

a c 547 8 Sécurité
15 Février 2014 23:51:50

Bonsoir,

Ton support amovible est infecté, et donc probablement le pc aussi.

Attention, il faut savoir d'où vient l'infection (pc de travail, école, fac, etc ...) :
- Si une clé usb infecté à été branché sur un autre pc, celui-ci est aussi infecté, et transmettra à son tour l'infection à d'autres supports
- Tout pc infecté transmettra à son tour l'infection à tous les suports amovibles qui seront branché (clé usb, disque dur, mp3, etc ...)

Pense à brancher pour la suite de la procédure tous les supports amovibles ayant pu être infecté
Si d'autres pc ont été touché, il faudra créer un nouveau sujet pour eux.

à suivre :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    16 Février 2014 15:49:28

    Re,

    Ton lien est vide ;) 

    De plus il me faut les deux rapport, FRST.txt et Addition.txt

    Merci de bien relire la procédure.

    :jap: 
    m
    0
    l
    a c 547 8 Sécurité
    16 Février 2014 18:36:33

    Re,

    Ok, à suivre :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - AIM 6 (sauf réel intérêt)
    - Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)

    - Favorit (adware : logiciel publicitaire)
    - Snap.Do (idem)
    - Snap.Do Engine (idem)
    - Viewpoint Media Player (idem)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      (Smartbar) C:\Users\Nico\AppData\Local\Smartbar\Application\SnapDo.exe
      HKU\S-1-5-21-909264208-113232861-3067661520-1000\...\Run: [gygciwe] - "c:\users\nico\appdata\local\gygciwe.exe" gygciwe
      HKU\S-1-5-21-909264208-113232861-3067661520-1000\...\Run: [Browser Infrastructure Helper] - C:\Users\Nico\AppData\Local\Smartbar\Application\SnapDo.exe [21024 2013-12-22] (Smartbar)
      HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=hp&installDate=29/01/2014
      HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=ds&q={searchTerms}&installDate=29/01/2014
      HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=ds&q={searchTerms}&installDate=29/01/2014
      SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=ds&q={searchTerms}&installDate=29/01/2014
      SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=ds&q={searchTerms}&installDate=29/01/2014
      SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=ds&q={searchTerms}&installDate=29/01/2014
      SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=FR&userid=b9f38b39-fe83-8440-443b-eaf8af532adb&searchtype=ds&q={searchTerms}&installDate=29/01/2014
      BHO: Snap.DoEngine - {31ad400d-1b06-4e33-a59a-90c2c140cba0} - C:\Windows\system32\mscoree.dll (Microsoft Corporation)
      BHO: No Name - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No File
      Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
      Toolbar: HKLM - Snap.Do - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\system32\mscoree.dll (Microsoft Corporation)
      CHR Extension: (YoutubeAdblocker) - C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Extensions\kamofifaaedlgjdejbclbegkbjdiabhj [2014-01-31]
      CHR Extension: (YTBoOkMark) - C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Extensions\kimibpfnifjcjcgafbfbjljlmhmimicf [2014-01-31]
      CHR Extension: (weebSaavE) - C:\Users\Nico\AppData\Local\Google\Chrome\User Data\Default\Extensions\neaojikmiohjdkmbmeklmmpngglhloao [2014-01-31]
      2014-02-08 14:29 - 2014-02-08 14:30 - 00000000 ____D () C:\Program Files\Iminent
      2014-02-08 14:30 - 2014-02-11 12:08 - 00000000 ____D () C:\Users\Nico\AppData\Roaming\igdhbblpcellaljokkpfhcjlagemhgjl
      2014-01-31 00:36 - 2014-01-31 15:33 - 00000000 ____D () C:\ProgramData\YoutubeAdblocker
      2014-01-31 00:35 - 2014-01-31 15:33 - 00000000 ____D () C:\ProgramData\greatsiaver
      2014-01-31 00:35 - 2014-01-31 15:33 - 00000000 ____D () C:\Program Files\greatsiaver
      2014-01-29 15:05 - 2014-02-11 19:07 - 00000000 ____D () C:\Users\Nico\AppData\Local\Smartbar
      2014-01-29 15:00 - 2014-02-11 19:09 - 00000000 ____D () C:\Users\Nico\AppData\Roaming\OpenCandy
      C:\Users\Nico\AppData\Local\Smartbar
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~

    3) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~

    4) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    16 Février 2014 20:19:29


    http://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e98...
    je n'ai pas pu tout désinstaller !
    Desinstaller
    - AIM 6
    - Viewpoint Media Player
    - Favorit (adware
    ____Pas desinstaller____
    - Snap.Do (idem)
    - Snap.Do Engine (idem)
    - Google Toolbar
    Photoshop: Flouter une image
    Bonjour, Vous avez fait de belles photos, vous souhaitez les poster sur internet mais en floutant les visages, etc .. C'est tout à fait possible avec Photoshop. Ouvrez votre image dans Photoshop. Choisissez l'outil "Rectangle de sélection"... Lire la suite
    m
    0
    l
    16 Février 2014 20:56:13

    Après toutes ces manipulation j'ai vérifié la clé USB, le dossier photos est toujours pareil toutes sont des raccourcies et le chemin cible est cmd ! :C:\Windows\system32\cmd.exe /c start Serviecs.vbs&start SAM_5143.JPG & exit. :) 
    m
    0
    l
    a c 547 8 Sécurité
    16 Février 2014 22:34:56

    Re,

    Ok, alors deux choses :

    1) Relance Adwcleaner

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.

    ~~~~~~~~~~~~~~

    Concernant les fichiers avec raccourci, ils sont dans un seul dossier sur la clé H:, ou bien c'est dans plusieurs dossiers ?
    m
    0
    l
    a c 547 8 Sécurité
    17 Février 2014 10:16:43

    Re,

    Oui, en fait USBFix ne les voient pas car normalement cette infection créé les doublons, en raccourci, à la base de la clé, et non dans un dossier ;) 

    Tu peux supprimer manuellement tous les fichiers raccourcis, ce sont bien des doublons, pas tes fichiers originaux.
    Dis-moi ensuite si tout est ok, si les fichiers raccourcis se recréent ou autre par exemple ;) 
    m
    0
    l
    17 Février 2014 14:41:46

    Bonjour, j'ai tout supprimé y a plus de fichier raccourci grâce à votre génie, :)  je vous remercie infiniment ! Au fait, pour les rapports et les outils je peux les supprimer . Je sais qu'il va falloir que je désinfecte le PC source de tous ces problèmes j'espère que je tomberais à nouveau sur vous :)  Excellente journée à vous et à toutes l'équipe à bientôt peut-être... :) 
    m
    0
    l

    Meilleure solution

    a c 547 8 Sécurité
    17 Février 2014 19:30:19

    Re,

    On va nettoyer tout cela, et conclure oui :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~

    2) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 8.1.0 - Français

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention, possesseur d'Internet Explorer 10, 9 ou inférieur une faille 0-Day est en cours :
    http://forum.security-x.fr/securite-generale/(info)-vulnerabilite-critique-non-corrigee-dans-internet-explorer-(secuser-com)/
    Ne pas utiliser ce navigateur actuellement.

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 

    (Tous les Helper de la section sécurité sont compétent, ne t'en fais pas pour ton second sujet ;)  )
    partage
    17 Février 2014 20:23:09

    Merci encore ! Je ne doute pas des compétences du reste de l'équipe, non loin de moi cette idée ! c'est juste pour le suivi du problème que je parlais, rien d'autre. :) 

    # DelFix v10.6 - Rapport créé le 17/02/2014 à 19:51:26
    # Mis à jour le 11/11/2013 par Xplode
    # Nom d'utilisateur : Nico - PC-DE-NICO
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\USBFix
    Supprimé : C:\FRST
    Supprimé : C:\AdwCleaner
    Supprimé : C:\Users\Nico\AppData\Roaming\ZHP
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\AdwCleaner[R1].txt
    Supprimé : C:\AdwCleaner[R2].txt
    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\UsbFix [Clean 2] PC-DE-NICO.txt
    Supprimé : C:\UsbFix [Clean 4] PC-DE-NICO.txt
    Supprimé : C:\UsbFix [Scan 1] PC-DE-NICO.txt
    Supprimé : C:\UsbFix [Scan 2] PC-DE-NICO.txt
    Supprimé : C:\UsbFix [Scan 3] PC-DE-NICO.txt
    Supprimé : C:\Users\Nico\Desktop\Addition.txt
    Supprimé : C:\Users\Nico\Desktop\AdwCleaner.exe
    Supprimé : C:\Users\Nico\Desktop\Fixlog.txt
    Supprimé : C:\Users\Nico\Desktop\FRST.exe
    Supprimé : C:\Users\Nico\Desktop\FRST.txt
    Supprimé : C:\Users\Nico\Desktop\UsbFix.lnk
    Supprimé : C:\Users\Nico\Desktop\UsbFix_Report.txt
    Supprimé : C:\Users\Nico\Downloads\UsbFix.exe
    Supprimée : HKCU\Software\USBFix
    Supprimée : HKLM\SOFTWARE\AdwCleaner
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

    ~ Purge de la restauration système ...

    Supprimé : RP #374 [Windows Update | 02/07/2014 21:22:53]
    Supprimé : RP #375 [Removed Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 | 02/10/2014 17:08:01]
    Supprimé : RP #376 [Windows Update | 02/11/2014 12:24:56]
    Supprimé : RP #377 [Installed Java 7 Update 51 | 02/11/2014 18:43:14]
    Supprimé : RP #378 [Supprimé TuneUp Utilities 2014 | 02/11/2014 23:01:11]
    Supprimé : RP #379 [Supprimé TuneUp Utilities 2014 (fr-FR) | 02/11/2014 23:03:05]
    Supprimé : RP #380 [Point de contrôle planifié | 02/12/2014 23:00:04]
    Supprimé : RP #381 [Windows Update | 02/12/2014 23:49:42]
    Supprimé : RP #382 [Windows Update | 02/13/2014 02:00:17]
    Supprimé : RP #384 [DLL-Files Fixer sam., févr. 15, 14 13:52 | 02/15/2014 12:52:38]
    Supprimé : RP #385 [Point de contrôle planifié | 02/16/2014 14:22:27]
    Supprimé : RP #386 [Avant Modification | 02/16/2014 18:11:12]
    Supprimé : RP #387 [Removed Snap.Do | 02/16/2014 18:52:09]
    Supprimé : RP #388 [Removed Snap.Do | 02/16/2014 18:57:05]
    Supprimé : RP #389 [Removed Snap.Do | 02/16/2014 18:57:59]
    Supprimé : RP #390 [Removed Snap.Do | 02/16/2014 19:02:05]
    Supprimé : RP #391 [Removed Snap.Do | 02/16/2014 19:03:10]
    Supprimé : RP #392 [Removed Snap.Do | 02/16/2014 19:57:48]
    Supprimé : RP #393 [Removed Snap.Do | 02/16/2014 20:01:30]
    Supprimé : RP #394 [Removed Snap.Do | 02/16/2014 20:02:42]
    Supprimé : RP #395 [Point de contrôle planifié | 02/17/2014 13:02:26]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS