Votre question

[Résolu] Disques amovibles infectés

Tags :
  • Disque dur externe
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Décembre 2010 20:49:04

Bonjour,
Comme tous mes problèmes semblent se résoudre depuis que je poste ici je continue ;p Celui là est particulier je trouve nul part son pareil. A chaque fois que je branche un disque amovible, cad clé usb/ipod/appareil photo... j'ai droit au fait que le machin est infecté et de ce fait l'icone habituel d'un disque amovible se transforme en une icone dossier qu'on ne peut plus ouvrir car il a besoin d'un programme à sélectionner bref obligé de passer par l'exécution automatique et de faire ouvrir le contenu...)

-Mettons G le disque amovible-

-Ici un appareil photo branché, mais j'ai déjà eu ce 'virus' détecté pour mon ipod aussi, ainsi que le ver palevo, j'ai beau tenter de le supprimer j'ai à chaque fois ce message.
Merci d'avance,
Cordialement

Autres pages sur : rasolu disques amovibles infectas

a c 295 8 Sécurité
4 Décembre 2010 21:55:45

Bonjour,

  • Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.
  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur UsbFix pour l'exécuter.
  • Choisis l'option Recherche.
  • Laisse travailler l'outil.
  • Poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Kaspersky, etc.) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    4 Décembre 2010 22:10:06

    Citation :
    ############################## | UsbFix 7.035 | [Recherche]

    Utilisateur: Th (Administrateur) # THIBAUT [ ]
    Mis à jour le 22/11/10 par El Desaparecido / C_XX
    Lancé à 22:01:09 | 04/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: Lavasoft Ad-Watch Live! Antivirus [(!) Disabled | Updated]
    Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
    RAM -> 1023 Mo
    C:\ (%systemdrive%) -> Disque fixe # 39 Go (4 Go libre(s) - 10%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 596 Go (52 Go libre(s) - 9%) [Stockage] # NTFS
    F:\ -> Disque fixe # 110 Go (57 Go libre(s) - 52%) [Disque local] # NTFS
    H:\ -> Disque amovible # 15 Go (3 Mo libre(s) - 0%) [IPOD THIBAU] # FAT32

    ################## | Éléments infectieux |


    Présent! C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    Présent! H:\U3ROM

    ################## | Registre |

    Présent! HKCU\Software\JCFSE7V7Z1
    Présent! HKCU\Software\Microsoft\Handle
    Présent! HKCU\Software\SMH2B46TDP
    Présent! HKCU\Software\XML
    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{22ff72f8-91af-11df-b907-0019668520c4}
    Shell\AutoRun\Command = E:\U3ROM/flyhigh.exe
    Shell\explore\Command = E:\U3ROM/flyhigh.exe
    Shell\open\Command = E:\U3ROM/flyhigh.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{867b923e-3db1-11de-b67d-0019668520c4}
    Shell\AutoRun\Command = U3ROM/flyhigh.exe
    Shell\explore\Command = U3ROM/flyhigh.exe
    Shell\open\Command = U3ROM/flyhigh.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{c0bb943f-e82e-11df-8448-00ff01000001}
    Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\m.exe /s

    HKCU\.\.\.\.\Explorer\MountPoints2\{fade9bee-7946-11df-b8de-00ff01000001}
    Shell\AutoRun\Command = E:\U3ROM/flyhigh.exe
    Shell\explore\Command = E:\
    Shell\open\Command = E:\


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |


    Merci de ta réponse, voilà le rapport. Si je comprends bien outre le virus en C, j'ai une commande infectueuse dans mon registre?
    Contenus similaires
    a c 295 8 Sécurité
    4 Décembre 2010 23:34:48

  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur UsbFix présent sur ton Bureau pour le lancer.
  • Choisis l'option Suppression.
  • Laisse travailler l'outil.
  • Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
    5 Décembre 2010 00:13:47

    Citation :
    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: Th (Administrateur) # THIBAUT [ ]
    Mis à jour le 22/11/10 par El Desaparecido / C_XX
    Lancé à 00:00:09 | 05/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: Lavasoft Ad-Watch Live! Antivirus [(!) Disabled | Updated]
    Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 39 Go (4 Go libre(s) - 10%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 596 Go (52 Go libre(s) - 9%) [Stockage] # NTFS
    F:\ -> Disque fixe # 110 Go (57 Go libre(s) - 52%) [Disque local] # NTFS
    H:\ -> Disque amovible # 15 Go (3 Mo libre(s) - 0%) [IPOD THIBAU] # FAT32

    ################## | Éléments infectieux |


    Supprimé! C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    Supprimé! C:\Recycler\S-1-5-21-0322210019-6497697112-175136992-4067
    Supprimé! C:\Recycler\S-1-5-21-1279506992-3417383039-916751604-4725
    Supprimé! C:\Recycler\S-1-5-21-1828586784-1269793390-785263166-4982
    Supprimé! C:\Recycler\S-1-5-21-1910784072-7319988560-819298187-1725
    Supprimé! C:\Recycler\S-1-5-21-3011992730-4553671247-682183529-5300
    Supprimé! C:\Recycler\S-1-5-21-4301064460-3904666211-025088485-8624
    Supprimé! C:\Recycler\S-1-5-21-4419453362-0399696759-604644434-2707
    Supprimé! C:\Recycler\S-1-5-21-4565364465-4395187202-534627774-3590
    Supprimé! C:\Recycler\S-1-5-21-5301616403-2722567473-080160866-9506
    Supprimé! C:\Recycler\S-1-5-21-606747145-1580436667-725345543-1004
    Supprimé! C:\Recycler\S-1-5-21-6194412770-2004724689-443443551-9244
    Supprimé! C:\Recycler\S-1-5-21-6537590081-8535745039-597424408-7472
    Supprimé! C:\Recycler\S-1-5-21-6590227632-1970839978-748622173-2197
    Supprimé! C:\Recycler\S-1-5-21-6871048449-1480001452-474873392-8589
    Supprimé! C:\Recycler\S-1-5-21-7128160650-7616849335-978017390-3858
    Supprimé! C:\Recycler\S-1-5-21-7406613313-6878701525-177159426-6425
    Supprimé! C:\Recycler\S-1-5-21-8657717395-9142444128-505691947-0357
    Supprimé! C:\Recycler\S-1-5-21-9344112098-7115133080-840272781-7643
    Supprimé! E:\Recycler\S-1-5-21-606747145-1580436667-725345543-1004
    Supprimé! F:\Recycler\S-1-5-21-606747145-1580436667-725345543-1004
    Supprimé! H:\U3ROM

    ################## | Registre |

    Supprimé! HKCU\Software\JCFSE7V7Z1
    Supprimé! HKCU\Software\Microsoft\Handle
    Supprimé! HKCU\Software\SMH2B46TDP
    Supprimé! HKCU\Software\XML
    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{22ff72f8-91af-11df-b907-0019668520c4}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{867b923e-3db1-11de-b67d-0019668520c4}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c0bb943f-e82e-11df-8448-00ff01000001}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fade9bee-7946-11df-b8de-00ff01000001}

    ################## | Listing |

    [18/08/2009 - 18:01:57 | D ] C:\7f02cacef8593dcf4a7fb1b23462c9eb
    [04/12/2010 - 22:46:19 | N | 158259] C:\aaw7boot.log
    [21/06/2009 - 21:59:55 | N | 95] C:\AUTOEXEC.BAT
    [01/10/2010 - 17:42:31 | N | 221] C:\boot.ini
    [05/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
    [16/07/2010 - 00:30:57 | N | 8546] C:\cc_20100716_013054.reg
    [10/05/2009 - 23:02:01 | N | 0] C:\CONFIG.SYS
    [19/01/2010 - 13:20:28 | D ] C:\Documents and Settings
    [04/05/2010 - 09:45:42 | N | 773] C:\expressInstall.swf
    [15/06/2010 - 03:22:24 | N | 4379] C:\ffastun.ffa
    [15/06/2010 - 03:22:23 | N | 2809856] C:\ffastun.ffl
    [15/06/2010 - 03:22:23 | N | 872448] C:\ffastun.ffo
    [15/06/2010 - 03:22:23 | N | 5967872] C:\ffastun0.ffx
    [27/06/2010 - 14:15:17 | N | 921624] C:\img2-001.raw
    [10/05/2009 - 23:08:35 | D ] C:\Intel
    [10/05/2009 - 23:02:01 | N | 0] C:\IO.SYS
    [10/05/2009 - 23:02:01 | N | 0] C:\MSDOS.SYS
    [05/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
    [12/05/2009 - 19:26:22 | N | 252240] C:\ntldr
    [01/09/2009 - 01:05:22 | D ] C:\NVIDIA
    [04/12/2010 - 22:46:19 | ASH | 2145386496] C:\pagefile.sys
    [04/12/2010 - 15:51:42 | D ] C:\Program Files
    [05/12/2010 - 00:06:42 | SHD ] C:\RECYCLER
    [04/05/2010 - 09:45:42 | N | 9759] C:\swfobject.js
    [10/05/2009 - 23:05:51 | SHD ] C:\System Volume Information
    [11/09/2010 - 04:59:17 | ASH | 4608] C:\Thumbs.db
    [05/12/2010 - 00:06:42 | D ] C:\UsbFix
    [05/12/2010 - 00:06:43 | A | 2528] C:\UsbFix.txt
    [01/12/2010 - 22:22:45 | D ] C:\WINDOWS
    [01/10/2010 - 22:34:01 | D ] E:\Dods Wayback machine
    [16/11/2010 - 20:08:44 | D ] E:\Mes documents
    [05/12/2010 - 00:06:42 | SHD ] E:\RECYCLER
    [26/09/2010 - 18:18:34 | SHD ] E:\System Volume Information
    [08/10/2010 - 20:31:17 | D ] F:\Program Files
    [05/12/2010 - 00:06:42 | SHD ] F:\RECYCLER
    [11/05/2009 - 21:01:35 | SHD ] F:\System Volume Information
    [13/12/2071 - 10:30:58 | D ] H:\iPod_Control
    [06/11/2063 - 02:02:44 | N | 0] H:\.metadata_never_index
    [06/11/2063 - 02:02:44 | D ] H:\Calendars
    [06/11/2063 - 02:02:44 | D ] H:\Contacts
    [06/11/2063 - 02:02:44 | D ] H:\Notes
    [06/11/2063 - 02:02:44 | D ] H:\Recordings
    [01/01/1601 - 01:00:00 | D ] H:\.Trashes
    [05/11/2009 - 17:05:38 | D ] H:\.fseventsd
    [11/02/2009 - 00:59:04 | D ] H:\Photos
    [01/01/1601 - 01:00:00 | N | 4096] H:\._.Trashes
    [01/01/1601 - 01:00:00 | N | 82] H:\._iPod_Control
    [01/01/1601 - 01:00:00 | N | 6148] H:\.DS_Store
    [05/11/2009 - 17:06:02 | N | 147062] H:\.VolumeIcon.icns
    [05/11/2009 - 17:06:02 | N | 4096] H:\._.VolumeIcon.icns
    [05/11/2009 - 17:06:02 | N | 4096] H:\._?

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_THIBAUT.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |


    Somptueux, c'est nickel.
    Merci de ton aide Destrio5 !
    a c 295 8 Sécurité
    5 Décembre 2010 00:18:51

    Bien.

  • Relance UsbFix et choisis Désinstaller.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    5 Décembre 2010 00:31:41

    Citation :
    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5245

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    05/12/2010 00:31:10
    mbam-log-2010-12-05 (00-31-10).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 151733
    Temps écoulé: 2 minute(s), 31 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\Th\application data\srsf.bat (Malware.Trace) -> Quarantined and deleted successfully.
    a c 295 8 Sécurité
    5 Décembre 2010 00:38:02

    Plus de souci ?
    5 Décembre 2010 01:21:56

    Non tout est parfait, je te remercie bien, super clair & précis !
    a c 295 8 Sécurité
    5 Décembre 2010 01:33:58

    1/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. .


    2/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    ;) 
    5 Décembre 2010 12:48:07

    Merci encore !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS