Se connecter / S'enregistrer
Votre question
Résolu

virus sur clée usb

Tags :
  • USB
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Février 2014 12:41:40

bonjour,

Ma copine bosse dans une mission locale et les clée USB reviennent tout le temps vérolées. Les fichiers apparaissent comme des raccourcis et la contamination se propage à tous types de lecteurs externes.
J'ai vu que de nombreuses résolutions ont eu lieues sur ce site, mais apparemment c'est du cas par cas??
y a t'il une procédure standard à suivre? pouvez-vous m'aider? est-ce possible de s'immuniser contre ce type d'infection?

Merci par avance pour vos réponses.

Autres pages sur : virus clee usb

a c 547 8 Sécurité
18 Février 2014 19:25:40

Bonsoir,

La priorité est d'intervenir sur le pc en question, à la mission locale, ou prévenir l'administrateur/responsable pour qu'il nettoie, sinon, cela ne servira à rien, à la prochain insertion de la clé USB que nous allons nettoyer, elle serait réinfectée ;) 

à savoir aussi :
- Tout pc sur lequel la clé en question a été insérée et utilisé peut être infecté, et dois être nettoyé (un seul sujet par pc sur le forum, merci)
- Tout support amovible inséré sur un PC infecté sera contaminé (Clés USB, disque dur, lecteur MP3, etc ...) et devrons être nettoyer lors de la procédure suivente

à faire :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

    ~~~~~~~~~~~~~~~~~~


    Télécharge UsbFix (de El Desaparecido) sur ton Bureau.


    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme. (le fichier aura un nom aléatoire, c'est normal)
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici



    m
    0
    l
    19 Février 2014 10:59:07

    c'est tout bon merci beaucoup. Voila les rapports demandés. J'attends la suite, prêt à en découdre!

    addition : http://up.security-x.fr/file.php?h=R8db0c926f900cd5abf4...

    FRST : http://up.security-x.fr/file.php?h=R05815476fd8215ce2ed...

    UsbFix_Report : http://up.security-x.fr/file.php?h=Rcc370ffdc1fd37479a7...

    Merci encore pour le coup de main..

    P.s : j'ai une clée probablement infectée en plus que je n'ai pas pu brancher lors du scan. (mes 4 ports sont tous occupés) je ne sais pas à quel moment je pourai la brancher pour la nettoyer sans re-infecter mon ordinateur..
    m
    0
    l
    Contenus similaires
    a c 547 8 Sécurité
    19 Février 2014 15:01:49

    Re,

    Citation :
    P.s : j'ai une clée probablement infectée en plus que je n'ai pas pu brancher lors du scan. (mes 4 ports sont tous occupés) je ne sais pas à quel moment je pourai la brancher pour la nettoyer sans re-infecter mon ordinateur..


    Je te l'indiquerais, pas de soucis, on va d'abord nettoyer le pc, et les supports actuellement branché.

    à suivre :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Auslogics Disk Defrag (peu ou pas utile sous Windows 7, le système se défragmente tout seul)
    - Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
    - Spybot - Search & Destroy (inutile, technologie obsolète)

    - 1ClickDownloader (adware : logiciel publicitaire)
    - DAEMON Tools Toolbar (barre d'outil sponsorisée par un adware)
    - IMinent Toolbar (idem)


    [Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
    Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST9500423AS_5WR0A146XXXX5WR0A146&ts=1374749325
      SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST9500423AS_5WR0A146XXXX5WR0A146&ts=1374749325
      SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST9500423AS_5WR0A146XXXX5WR0A146&ts=1374749325
      SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST9500423AS_5WR0A146XXXX5WR0A146&ts=1374749325
      SearchScopes: HKCU - {32DCD061-E457-4893-A678-2FF22BC0F452} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=7D87B625-C8FA-4D59-867A-91C5ADB42F0C&apn_sauid=3447399E-B5BE-4DE7-8ECC-F99AD9F88912
      SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
      BHO: No Name - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No File
      BHO-x32: No Name - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No File
      Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File
      Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
      Toolbar: HKLM-x32 - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File
      Toolbar: HKLM-x32 - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll ()
      FF user.js: detected! => C:\Users\djo\AppData\Roaming\Mozilla\Firefox\Profiles\klqhlc3r.default\user.js
      FF SearchEngineOrder.1: qvo6
      FF SearchPlugin: C:\Users\djo\AppData\Roaming\Mozilla\Firefox\Profiles\klqhlc3r.default\searchplugins\askcom.xml
      FF Extension: 1Click Downloader - C:\Users\djo\AppData\Roaming\Mozilla\Firefox\Profiles\klqhlc3r.default\Extensions\OneClickDownloader@OneClickDownloader.com.xpi [2012-04-26]
      FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2014-02-15]
      FF Extension: Java Console - C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2014-02-15]
      Task: {9E46C643-2919-4DDE-958F-2D10F21E2622} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
      C:\Program Files (x86)\Lavasoft
      hosts:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~~~~~

    2) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 547 8 Sécurité
    19 Février 2014 19:43:09

    Re,

    Oui, j'ai vu pour le second sujet ;) 
    Bah, je suis très "veille école" moi, j'aime faire mes script manuellement c'est tout :D 

    Ok pour les rapports, tes supports sont propre.

    à présent branche simplement le support qui reste, ne l'ouvre pas, ne clique sur rien dedans.

    Puis :

    Relance USBfix :

    /!\ Ferme toutes les applications en cours /!\

  • Double-clique sur "UsbFix" pour lancer le programme. (le fichier aura un nom aléatoire, c'est normal)
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    20 Février 2014 11:03:11

    http://up.security-x.fr/file.php?h=R1edb4fdab667f666633...


    old school is best school.


    Merci en tout cas pour ta rapidité, c'etait tres clair et efficace. quelques petites questions bonus si tu as 5 mn :

    Pourrais-tu m'expliquer comment exploiter le rapport et utiliser usbfix pour nettoyer d'autres clées si jamais cela se produit à nouveau? Ca m'a pas l'air tres compliqué...

    Est-il possible de protéger son pc (voire immuniser ses clées?)

    je suis aussi infecté par Qvo6, tu as quelquechose la dessus dans mes rapports?

    merci !
    m
    0
    l
    a c 547 8 Sécurité
    20 Février 2014 11:17:26

    Re,

    Le support qui était inséré lors du scan d'USBfix est sain ;) 
    H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 100%) [PIERRE] # FAT

    Citation :
    Est-il possible de protéger son pc (voire immuniser ses clées?)


    Oui et non, l'immunisation est possible avec USBfix, tes précédents supports l'ont été, pour celui-ci, relance USBFix et clique sur "vaccination"
    Mais cela ne prémunira pas contre toutes les formes d'infection par support amovible malheureusement.

    Tu peux protéger ton propre PC, mais lorsque tu insères un support amovible sur un pc étranger, impossible de savoir, il faut donc éviter au possible.
    Et lorsqu'un support a été inséré sur un pc inconnu/pas de confiance, penser en le remettant sur le tiens, de ne pas ouvrir directement la clé en double-cliquant sur l'icône ou via le démarrage automatique des supports amovible.
    à lire :
    http://forum.malekal.com/securite-maitriser-ses-medias-...

    En cas de doutes, viens nous voir on regardera. ;) 

    Avant de conclure, dis-moi si tu rencontres encore des soucis sur ce pc ou avec les supports amovibles traité ?
    m
    0
    l
    20 Février 2014 11:20:44

    ok merci.

    tant qu'on y est : j'ai ete infecté par Qvo6. il y a quelquechose sur ca dans mes rapports?
    m
    0
    l
    a c 547 8 Sécurité
    20 Février 2014 11:28:23

    Re,

    cela avait dû être nettoyer avec le précédent script de FRST.

    Tu l'as encore ?
    Sous quel navigateur ? quel moment ? (ouverture, recherche ?)


    à faire :

    Télécharge Shortcut Cleaner (de Grinler) sur ton Bureau

    /!\ Ferme toutes les applications, y compris ton navigateur

    • Double-clique sur sc-cleaner.exe pour lancer l'outil
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Une invite de commandes s'ouvre, laisse l'outil travailler
    • A la fin de l'analyse et nettoyage, valide par OK le message d'information
    • Le rapport sc-cleaner.txt s'ouvre. Poste ce rapport dans ta prochaine réponse.
      Info : Le rapport est enregistré sur le Bureau

      Tutoriel d'utilisation Shortcut Cleaner en images
    m
    0
    l
    20 Février 2014 11:38:39

    sur mozilla renard de feu

    la page Qvo6 s'ouvrait au lancement (certainement à cause du raccourci)...

    maintenant c'est réglé parfait.

    faut-il désinstaller tous les logiciels/rapports téléchargé?ou juste les supprimer?

    tout va bien sur mon ordi je suis pleinement satisfait (où est-ce qu'on signe?)

    m
    0
    l

    Meilleure solution

    a c 547 8 Sécurité
    20 Février 2014 14:12:31

    Re,

    Si tout est ok, on nettoie les outils alors ;) 

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :


  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    20 Février 2014 17:05:00

    # DelFix v10.6 - Rapport créé le 20/02/2014 à 17:00:36
    # Mis à jour le 11/11/2013 par Xplode
    # Nom d'utilisateur : djo - DJO-PC
    # Système d'exploitation : Windows 7 Home Premium Service Pack 3 (64 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\USBFix
    Supprimé : C:\FRST
    Supprimé : C:\sc-cleaner.txt
    Supprimé : C:\UsbFix [Clean 2] DJO-PC.txt
    Supprimé : C:\UsbFix [Scan 1] DJO-PC.txt
    Supprimé : C:\UsbFix [Scan 2] DJO-PC.txt
    Supprimé : C:\Users\djo\Desktop\Addition.txt
    Supprimé : C:\Users\djo\Desktop\Fixlog.txt
    Supprimé : C:\Users\djo\Desktop\FRST.txt
    Supprimé : C:\Users\djo\Desktop\FRST64.exe
    Supprimé : C:\Users\djo\Desktop\sc-cleaner.exe
    Supprimé : C:\Users\djo\Desktop\sc-cleaner.txt
    Supprimé : C:\Users\djo\Desktop\UsbFix.lnk
    Supprimée : HKCU\Software\USBFix
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

    ~ Purge de la restauration système ...

    Supprimé : RP #270 [Removed IMinent Toolbar | 02/19/2014 16:33:58]
    Supprimé : RP #271 [Windows Live Essentials | 02/19/2014 16:37:58]
    Supprimé : RP #272 [WLSetup | 02/19/2014 16:38:19]
    Supprimé : RP #273 [19022014 avant desinfection | 02/19/2014 16:45:05]

    Nouveau point de restauration créé !

    ########## - EOF - ##########

    voila... merci pour tout
    longue vie a Hyunkel
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS