Se connecter / S'enregistrer
Votre question
Résolu

Infection par iTunesHelper vbe

Tags :
  • Virus
  • iTunesHelper vbe
  • USB
  • Sécurité
  • Raccourcis
Dernière réponse : dans Sécurité et virus
5 Mai 2014 01:04:24

Bonjour,

J'ai moi aussi été victime d'une infection de ma clé USB alors que j'imprimais dans un cybercafé. Infection ensuite transmise à un seul des mes deux ordinateurs portable (PC Asus Windows Vista) et potentiellement à mon disque dur externe...

J'ai ensuite compris de quoi il s'agissait et arrêté là les dégâts. Le cybercafé est prévenu (de toute façon ça leur passe à des kms au dessus de la tête) et ma clé USB a quant à elle finie à la poubelle.
J'ai changé d'antivirus (passé d'Avast à G-data) qui m'a localisé 6 occurrences d'iTunesHelper.vbe ais n'arrive pas à les traiter.

J'ai vu qu'il existe apparemment des solutions pour cela.

Merci par avance,
Cordialement

Autres pages sur : infection ituneshelper vbe

a c 940 8 Sécurité
5 Mai 2014 08:35:10

Bonjour,


Un peu de lecture sur cette Infection vbs/vbe autorun
    Ces infections se propagent par supports amovibles (clés USB, DD externes, lecteurs MP3/MP4, smartphone, carte SD ,......) en créant des copies des fichiers du support amovible sous forme de raccourcis qui relanceront l'infection.
    - Tout support infecté qui est connecté sur un PC va infecter le système
    - Tout système infecté va propager l'infection sur tout support connecté


Soit tu as inséré tes clés sur un PC contaminé, soit quelqu'un a inséré une clé contaminée sur ton propre PC.
Dans les 2 cas, il est donc important d'informer le propriétaire du PC ou des clés, tant que ce ne sera pas désinfecté, l'infection va continuer à se propager.


Nous allons commencer par établir un diagnostic pour cibler les éléments néfastes avec ces outils :

---------------------------------------------------------------------------------------------

FRST :

  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche, valide par OK les différents messages d'informations
    • La recherche se lance, patiente le temps de l'analyse
    • Le rapport UsbFix.txt s'affiche. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

      /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.


  • Tutoriel d'utilisation USBFix en images

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

    @+
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    6 Mai 2014 09:26:05

    Bonjour,

    Tu as jeté ta clé USB, mais c'est le seul support dont tu disposes ?
    Aucun support amovible n'a été connecté pour l'analyse USBFix.


    Ta partition C est saturée, il ne reste plus que 0.53 GB d'espace disponible.
    Il te faut donc, de toute urgence, libérer de l'espace en transférant des données personnelles sur un autre support et en désinstallant les applications que tu n'utilises plus.


    --------------------------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      HKU\S-1-5-21-1465353363-1027004203-4206701705-1000\...\Run: [iTunesHelper] => wscript.exe //B "C:\Users\Antoine\AppData\Local\Temp\iTunesHelper.vbe"
      Startup: C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
      Startup: C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe.danger ()
      S3 LiveUpdate; C:\Program Files\Symantec\LiveUpdate\LuComServer_3_2.EXE [2999664 2007-09-26] (Symantec Corporation)
      R2 LiveUpdate Notice Service; C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe [583048 2008-01-29] (Symantec Corporation)
      R2 Planificateur LiveUpdate automatique; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [554352 2007-09-26] (Symantec Corporation)
      S3 Avascac; No ImagePath
      S2 gupdate; C:\Program Files\Google\Update\GoogleUpdate.exe /svc [X]
      S3 gupdatem; C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc [X]
      S2 LiveUpdate Notice Ex; "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon [X]
      S3 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X]
      2014-05-04 18:46 - 2013-11-15 11:27 - 00000000 ____D () C:\Users\Antoine\AppData\Roaming\AVAST Software
      2014-05-04 18:46 - 2013-11-14 11:42 - 00000000 ____D () C:\ProgramData\AVAST Software
      2014-05-04 18:46 - 2010-12-13 19:03 - 00000000 ____D () C:\ProgramData\Alwil Software
      2014-05-04 18:46 - 2008-11-21 19:34 - 00000000 ____D () C:\Program Files\Alwil Software
      C:\Users\Antoine\AppData\Local\Temp\iTunesHelper.vbe
      C:\Program Files\Veoh Networks
      C:\Program Files\Symantec
      C:\Program Files\Common Files\Symantec Shared
      Task: {E2C5B25E-4DFE-447A-9948-F2311CF98AD8} - System32\Tasks\RunAsStdUser Task for VeohWebPlayer => C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Est attendu le rapport Fixlog

    @+
    m
    0
    l
    6 Mai 2014 11:26:45

    Bonjour Chantal et merci pour votre réactivité,

    Tâches exécutés. Voilà le rapport demandé : http://up.security-x.fr/file.php?h=R8b93dbef7d7579c135e...

    Pour répondre à vos questions j'ai bien réfléchie aux supports qui auraient pu être en contact :
    * Il y avait donc une clé USB qui était probablement le départ de l'infection et une seconde qui avaient ensuite été connecté à l'ordinateur ; je me suis tout simplement débarrassé de ces deux clés (pas de regret à les mettre à la poubelle : vieilles, grosses, très faible capacité et rien d'important dessus.).
    * Ensuite il y avait mon disque dur externe ; je parlais au départ de "potentiellement infecté" car je ne pouvais pas garantir à 100% me souvenir ne pas l'avoir branché après l'infection de mon PC. Finalement il apparaît que, sauf erreur de ma part, ce dernier n'est pas touché ; en effet rien n'est détecté par G-Data lorsque je lui demande un analyse du disque dur externe (manœuvre effectuée sur mon ordinateur numéro 2, en l'ayant branché mais pas ouvert). G-Data avait pourtant trouvé les problèmes sur mon PC infecté. De plus je l'ai ouvert sur mon ordinateur numéro 2 après l'analyse rassurante de l'antivirus et aucun problème apparent (pas de raccourcis, etc). J'en conclu donc que je n'ai tout simplement, comme je croyais m'en souvenir, pas branché mon disque dur externe sur le PC problématique depuis le jour de l'infection.
    * Il y a ma souris qui se branche avec un port USB, je ne sais pas si cette dernière peut être considérée comme un support mais par précaution j'ai effectué toutes les manip' en la laissant connectée.
    * Le reste (Smartphone -iphone 3GS- et éventuelles cartes SD etc) n'ont pas du tout été mis en contact avec le PC problématique.

    J'ai donc juste branché ma souris-port-USB avant la recherche d'UsbFix ce qui explique peut être que vous ne voyez rien. Merci de vos commentaires, j'espère ne pas avoir fait de bêtises en voulant protéger des supports qui n'avait jamais été en contact avec l'objet infecté.

    Quant à libérer de l'espace sur mon disque C cela fait un moment que j'y pense et que je procrastine et bim-badaboum le problème d'infection arrive alors que j'allais m'y atteler. Dès que nous aurons résolu ce problème je pourrai donc de nouveau brancher des supports et transférer des données personnelles ailleurs (pas trop de place à gagner sur les applications malheureusement).

    A vous lire,
    Meilleures salutations
    m
    0
    l
    a c 940 8 Sécurité
    6 Mai 2014 11:49:52

    Re,

    OK pour le rapport et tes explications ;) 

    Redémarre le système, puis relance USBFix avec l'option Recherche et poste le nouveau rapport obtenu, s'il te plaît.

    @+
    m
    0
    l
    6 Mai 2014 14:21:16

    Oui dsl mes explications étaient un peu longues... :) 

    Bien, on continue. Tâches effectuées et voilà le nouveau rapport : http://up.security-x.fr/file.php?h=R7d3ca182373a922d998...

    Deux remarques importantes :

    * J'ai cette fois branché mon disque dur externe. Je me suis dit que suis dit que cela ne pourrait pas faire de mal et je ne voulais pas laisser planer le moindre doute sur sa possible infection. D'ailleurs les résultats de la recherche indiquent toujours 5 problèmes détectés (contre 10 hier soir), se pourrait-il que ceux-ci viennent du disque dur externe justement ?? Je ne sais pas si vous pouvez le voir.

    * Il y a eu lors de l'analyse UsbFix un message qui est apparut, cela était déjà arrivé lors de la première analyse hier soir. Voir capture écran :
    http://up.security-x.fr/file.php?h=R66b0f864cca05162186...

    J'ai simplement appuyé sur "OK" les deux fois et l'analyse a continué il semble normalement.

    Mr Toinou
    m
    0
    l
    a c 940 8 Sécurité
    6 Mai 2014 14:30:03

    Re,

    Le nouveau rapport USBFix ne montre plus d'infection iTunesHelper.vbe.
    Te voilà rassuré au niveau de ton DD externe.

    Pour l'erreur je vais le signaler au développeur de l'outil.

    --------------------------------------------------------------------------------------------------------------

    TFC - Nettoyage des fichiers temporaires :

    • Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
    • Ferme toutes les applications en cours
    • Double-clique sur TFC.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
    • Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage

      Si le système se bloque en cours d'analyse, redémarrer en Mode sans échec et recommencer la procédure avec TFC


  • --------------------------------------------------------------------------------------------------------------

    J'attends de tes nouvelles pour finaliser la procédure.

    @+
    m
    0
    l
    6 Mai 2014 16:03:02

    Très bonne nouvelle pour la disparition des fichiers iTunesHelper !

    Alors j'ai suivi la procédure TFC comme vous l'indiquiez. L'analyse a été très longue mais a dû se dérouler normalement puisqu'à la fin mon ordinateur à redémarré (sans même que j'ai besoin de lui demander ou de confirmer quoi que ce soit !).

    J'attends avec impatience la suite :) 
    m
    0
    l
    a c 940 8 Sécurité
    6 Mai 2014 16:10:18

    Re,

    C'est parfait .... nous pouvons donc finaliser la procédure ;) 


    ---------------------------------------------------------------------------------------------

    Installe la dernière version Java :

    Désinstalle ces versions obsolètes :
    Java(TM) 6 Update 22
    Java(TM) 6 Update 4


    Télécharge et installe cette dernière version Java

    Pense à décocher la barre Ask qui est proposée


    ---------------------------------------------------------------------------------------------

    Installe la dernière version Adobe Flash Player :

    Désinstalle cette version obsolète Adobe Flash Player ActiveX Version: 9.0.124.0

    Ouvre Internet Explorer, télécharge et installe cette dernière version :
    Adobe Flash Player

    Ouvre Firefox, télécharge et installe cette dernière version :
    Adobe Flash Player

    Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
    Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

    ---------------------------------------------------------------------------------------------

    Mets à jour ta version d'Adobe Reader :

    Désinstalle cette version obsolète Adobe Reader 9.5.5

    Télécharge et installe cette dernière version Adobe Reader
    N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan


    ---------------------------------------------------------------------------------------------

    Mets à jour Firefox :

    Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

    ---------------------------------------------------------------------------------------------

    DelFix :

    • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
      Installation d'une application sponsorisée, les pièges à éviter !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
      SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    m
    0
    l
    6 Mai 2014 18:30:49

    Super. Je viens d'effectuer toutes les manip' (sauf mise à jour du tout dernier firefox par manque de temps, je le ferai demain).
    Voici le rapport Delfix : http://up.security-x.fr/file.php?h=R78b286cbb3ae6fbc494...

    Avant de classer le sujet résolu pouvez-vous me confirmer qu'il est maintenant tout à fait non-dangereux pour moi de pouvoir recommencer à utiliser mon PC normalement et de brancher mon DD externe, mon smartphone, etc ?
    Car pourquoi restait-il 5 problèmes détectés lors de la deuxième recherche UsbFix tout à l'heure ?

    Merci par avance pour votre réponse,
    Mr Toinou
    m
    0
    l

    Meilleure solution

    a c 940 8 Sécurité
    6 Mai 2014 18:46:39

    Re,

    OK pour le rapport Delfix.

    Pour les détections USBFix, ce sont des FP, c'est la raison pour laquelle je ne t'ai pas fait passer l'outil avec l'option Suppression.
    Le développeur de l'outil a été averti.

    @+
    partage
    7 Mai 2014 15:17:41

    Okay, c'est parfait.

    Je marque de suite le sujet en résolu et en profite pour vous remercier encore pour votre précieuse aide et votre professionnalisme.

    Bonne continuation !
    Mr Toinou
    m
    0
    l
    a c 940 8 Sécurité
    7 Mai 2014 15:22:04

    Bonne continuation :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS