Security-X

Forum Security-X => Désinfections => Discussion démarrée par: yetal le février 24, 2014, 09:49:02

Titre: clé infectée
Posté par: yetal le février 24, 2014, 09:49:02

Bonjour,
J'avais deux clés USB infectées par un virus.
Pour l'une j'ai suivi la procédure avec usbfix et la clé est propre.
Pour l'autre, usbfix ne détecte rien mais pourtant mes fichiers et dossiers apparaissent en raccourcis et je ne peux pas ouvrir de fichiers.

Je suis sous Windows 7 en 64 bits

Merci pour votre aide.
YR

PS : voici une copie du rapport de usbfix (je ne sais pas si c'est utile !)

############################## | UsbFix V 7.165 | [Recherche]

Utilisateur: Rousseau (Administrateur) # PORTABLE
Mis à jour le 20/02/2014 par El Desaparecido - Team SosVirus
Lancé à 09:43:06 | 24/02/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: ASUSTeK Computer Inc.         (UL80VT    )
CPU: Genuine Intel(R) CPU           U7300  @ 1.30GHz
RAM -> [Total : 4061 Mo| Free : 1943 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.16428
WB: Mozilla Firefox : 27.0.1

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: avast! Antivirus [Enabled | Updated]
AS: Windows Defender [Enabled | Updated]
AS: avast! Antivirus [Enabled | Updated]
FW: Windows FireWall [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 116 Go (52 Go libre(s) - 45%) [OS] # NTFS
D:\ -> Disque fixe # 335 Go (219 Go libre(s) - 65%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 97%) [] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 484 |ParentID: 472)
C:\Windows\system32\wininit.exe (ID: 532 |ParentID: 472)
C:\Windows\system32\csrss.exe (ID: 548 |ParentID: 524)
C:\Windows\system32\services.exe (ID: 580 |ParentID: 532)
C:\Windows\system32\lsass.exe (ID: 604 |ParentID: 532)
C:\Windows\system32\lsm.exe (ID: 612 |ParentID: 532)
C:\Windows\system32\svchost.exe (ID: 720 |ParentID: 580)
C:\Windows\system32\winlogon.exe (ID: 788 |ParentID: 524)
C:\Windows\system32\nvvsvc.exe (ID: 836 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 876 |ParentID: 580)
C:\Windows\System32\svchost.exe (ID: 948 |ParentID: 580)
C:\Windows\System32\svchost.exe (ID: 272 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 376 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 736 |ParentID: 580)
C:\Windows\system32\nvvsvc.exe (ID: 1128 |ParentID: 836)
C:\Windows\system32\svchost.exe (ID: 1176 |ParentID: 580)
C:\Windows\system32\FBAgent.exe (ID: 1280 |ParentID: 580)
C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe (ID: 1308 |ParentID: 580)
C:\Program Files\ATKGFNEX\GFNEXSrv.exe (ID: 1360 |ParentID: 580)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1396 |ParentID: 580)
C:\Windows\System32\spoolsv.exe (ID: 1636 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 1668 |ParentID: 580)
C:\Windows\system32\Dwm.exe (ID: 1804 |ParentID: 272)
C:\Windows\Explorer.EXE (ID: 1896 |ParentID: 1792)
C:\Program Files (x86)\ASUS\ATK Hotkey\HControl.exe (ID: 1940 |ParentID: 1308)
C:\Program Files (x86)\ASUS\ATK Hotkey\Atouch64.exe (ID: 1960 |ParentID: 1940)
C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (ID: 1264 |ParentID: 580)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1588 |ParentID: 580)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 1448 |ParentID: 580)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 308 |ParentID: 580)
C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (ID: 1704 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 2240 |ParentID: 580)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2292 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 2544 |ParentID: 580)
C:\Windows\system32\svchost.exe (ID: 2588 |ParentID: 580)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 2804 |ParentID: 2292)
C:\Windows\system32\svchost.exe (ID: 2944 |ParentID: 580)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 2268 |ParentID: 720)
C:\Windows\System32\rundll32.exe (ID: 1912 |ParentID: 720)
C:\Program Files (x86)\ASUS\ATK Hotkey\ATKOSD.exe (ID: 3048 |ParentID: 1940)
C:\Program Files (x86)\ASUS\ATK Hotkey\KBFiltr.exe (ID: 3092 |ParentID: 1940)
C:\Program Files (x86)\ASUS\ATK Hotkey\WDC.exe (ID: 3116 |ParentID: 1940)
C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe (ID: 3320 |ParentID: 580)
C:\Windows\AsScrPro.exe (ID: 3348 |ParentID: 1280)
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe (ID: 3376 |ParentID: 1280)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 3424 |ParentID: 1280)
C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe (ID: 3856 |ParentID: 1896)
C:\Windows\System32\igfxtray.exe (ID: 3872 |ParentID: 1896)
C:\Windows\System32\hkcmd.exe (ID: 3880 |ParentID: 1896)
C:\Windows\System32\igfxpers.exe (ID: 3888 |ParentID: 1896)
C:\Windows\system32\igfxsrvc.exe (ID: 3924 |ParentID: 720)
C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe (ID: 3984 |ParentID: 1896)
C:\Program Files\Elantech\ETDCtrl.exe (ID: 3100 |ParentID: 1896)
C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE (ID: 296 |ParentID: 1896)
C:\Users\Rousseau\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (ID: 2884 |ParentID: 1896)
C:\Users\Rousseau\AppData\Roaming\cacaoweb\cacaoweb.exe (ID: 3304 |ParentID: 1896)
C:\Windows\system32\SearchIndexer.exe (ID: 2084 |ParentID: 580)
C:\Windows\System32\svchost.exe (ID: 2476 |ParentID: 580)
C:\Program Files\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel_64.exe (ID: 2876 |ParentID: 1896)
C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe (ID: 2812 |ParentID: 3344)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 2692 |ParentID: 580)
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe (ID: 1560 |ParentID: 3344)
C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe (ID: 1244 |ParentID: 3344)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 1716 |ParentID: 3344)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 3768 |ParentID: 3344)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (ID: 3780 |ParentID: 3344)
C:\Users\Rousseau\AppData\Roaming\Dropbox\bin\Dropbox.exe (ID: 4076 |ParentID: 1896)
C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (ID: 3136 |ParentID: 1896)
C:\Program Files\iPod\bin\iPodService.exe (ID: 464 |ParentID: 580)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (ID: 844 |ParentID: 524)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (ID: 3156 |ParentID: 844)
C:\Windows\System32\svchost.exe (ID: 4212 |ParentID: 580)
C:\Windows\system32\DllHost.exe (ID: 5008 |ParentID: 720)
C:\Windows\system32\DllHost.exe (ID: 4664 |ParentID: 720)
C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe (ID: 4300 |ParentID: 1716)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 1680 |ParentID: 1896)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 3164 |ParentID: 5100)
C:\Program Files (x86)\Opera\18.0.1284.68\opera_crashreporter.exe (ID: 1224 |ParentID: 3164)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 2172 |ParentID: 3164)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 3968 |ParentID: 3164)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 1348 |ParentID: 3164)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 3344 |ParentID: 3164)
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe (ID: 7036 |ParentID: 1896)
C:\Windows\System32\WUDFHost.exe (ID: 6064 |ParentID: 272)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (ID: 3128 |ParentID: 1680)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe (ID: 5660 |ParentID: 3128)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_12_0_0_70.exe (ID: 5188 |ParentID: 5660)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 6940 |ParentID: 3164)
C:\Program Files (x86)\Opera\18.0.1284.68\opera.exe (ID: 4376 |ParentID: 3164)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (ID: 4280 |ParentID: 580)
C:\Windows\system32\SearchProtocolHost.exe (ID: 5372 |ParentID: 2084)
C:\Windows\system32\SearchFilterHost.exe (ID: 5908 |ParentID: 2084)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 5252 |ParentID: 720)

################## | Regedit Run |

04 - HKCU\..\Run : [Spotify Web Helper] "C:\Users\Rousseau\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
04 - HKCU\..\Run : [cacaoweb] "C:\Users\Rousseau\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04 - HKLM\..\Run : [UpdateLBPShortCut] "C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
04 - HKLM\..\Run : [UpdateP2GoShortCut] "C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
04 - HKLM\..\Run : [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
04 - HKLM\..\Run : [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
04 - HKLM\..\Run : [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
04 - HKLM\..\Run : [Setwallpaper] c:\programdata\SetWallpaper.cmd
04 - HKLM\..\Run : [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\..\Run : [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\..\Run : [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
04 - HKLM\..\RunOnce : []
04 - HKLM64\..\Run : [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe MySyncFolder
04 - HKLM64\..\Run : [IgfxTray] C:\Windows\system32\igfxtray.exe
04 - HKLM64\..\Run : [HotKeysCmds] C:\Windows\system32\hkcmd.exe
04 - HKLM64\..\Run : [Persistence] C:\Windows\system32\igfxpers.exe
04 - HKLM64\..\Run : [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
04 - HKLM64\..\Run : [AmIcoSinglun64] C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
04 - HKLM64\..\Run : [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
04 - HKLM64\..\Run : [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
04 - HKLM64\..\Run : [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-2346557265-3455371340-2011380227-1000\..\Run : [Spotify Web Helper] "C:\Users\Rousseau\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
04 - HKU\S-1-5-21-2346557265-3455371340-2011380227-1000\..\Run : [cacaoweb] "C:\Users\Rousseau\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-18\..\RunOnce : [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

################## | Recherche générique |


################## | Registre |


################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |

Titre: Re : clé infectée
Posté par: hyunkel30 le février 24, 2014, 19:04:08

Bonsoir yetal,

Bienvenue sur Security-X,

D'après le rapport, un seul support amovible était connecté lors du scan d'USBFix :

Citer

F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 97%) [] # FAT

Les deux clés étaient connectée lors du scan ?
Ou bien seule la clé infectée était connecté, et c'est bien celle désignée ?

 :AAN