Auteur Sujet: clé usb infectée -> dossiers transformés en raccourcis  (Lu 2683 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne crepuscule075

  • Membres
  • Members
  • Messages: 1
clé usb infectée -> dossiers transformés en raccourcis
« le: novembre 29, 2013, 13:25:19 »
Bonjour,
J'utilise ma clé usb pour mon travail. J'utilise un PC ; je n'ai jamais eu de problème jusqu'à maintenant. Je suis protégée par COMODO.
Mais lundi, j'ai prêté ma clé usb à deux étudiantes, elles l'ont utilisée sur leur ordinateur.
Et maintenant, je vois que les dossiers ont été transformés en raccourcis. Pourtant, la mémoire est toujours aussi chargé, donc rien n'a été supprimé définitivement, heureusement.

J'ai lu des posts précédents sur vos forums, et donc j'ai téléchargé USBfix, et j'ai fait une recherche avec , pour obtenir un rapport.
Je vous copie-colle ci-dessous  le rapport que j'ai obtenu ; est-ce que voudriez bien m'aider pour savoir ce que je peux faire ???
Avec tous mes remerciements !!!!
Edwige

############################## | UsbFix V 7.152 | [Recherche]

Utilisateur: Edwige (Administrateur) # EDWIGE-PC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 12:58:14 | 29/11/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: eMachines  (eMachines E627  )
CPU: AMD Athlon(tm) Processor TF-20
RAM -> [Total : 2812 | Free : 1395]
Bios: eMachines
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16736
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 221 Go (52 Go libre(s) - 23%) [eMachines] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (285 Mo libre(s) - 8%) [USB TRAVAIL] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 452 |ParentID: 444)
C:\Windows\system32\wininit.exe (ID: 528 |ParentID: 444)
C:\Windows\system32\csrss.exe (ID: 540 |ParentID: 520)
C:\Windows\system32\winlogon.exe (ID: 604 |ParentID: 520)
C:\Windows\system32\services.exe (ID: 640 |ParentID: 528)
C:\Windows\system32\lsass.exe (ID: 648 |ParentID: 528)
C:\Windows\system32\lsm.exe (ID: 656 |ParentID: 528)
C:\Windows\system32\svchost.exe (ID: 764 |ParentID: 640)
C:\Program Files (x86)\Common Files\COMODO\launcher_service.exe (ID: 824 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 848 |ParentID: 640)
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (ID: 896 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 120 |ParentID: 640)
C:\Windows\system32\atiesrxx.exe (ID: 464 |ParentID: 640)
C:\Windows\System32\svchost.exe (ID: 432 |ParentID: 640)
C:\Windows\System32\svchost.exe (ID: 732 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 1032 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 1064 |ParentID: 640)
C:\Windows\system32\atieclxx.exe (ID: 1224 |ParentID: 464)
C:\Windows\System32\spoolsv.exe (ID: 1408 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 1488 |ParentID: 640)
C:\Windows\system32\taskhost.exe (ID: 1572 |ParentID: 640)
C:\Program Files (x86)\Common Files\EPSON\EBAPI\eEBSVC.exe (ID: 1688 |ParentID: 640)
C:\Windows\system32\Dwm.exe (ID: 1704 |ParentID: 732)
C:\Windows\Explorer.EXE (ID: 1720 |ParentID: 1656)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1924 |ParentID: 640)
C:\Program Files (x86)\Cacheman\CachemanServ.exe (ID: 1980 |ParentID: 640)
C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe (ID: 2044 |ParentID: 640)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 1208 |ParentID: 1720)
C:\Windows\PLFSetI.exe (ID: 1160 |ParentID: 1720)
C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe (ID: 356 |ParentID: 1720)
C:\Program Files\COMODO\COMODO Internet Security\cistray.exe (ID: 1280 |ParentID: 1720)
C:\Program Files (x86)\Cacheman\CachemanTray.exe (ID: 1480 |ParentID: 1720)
C:\Users\Edwige\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (ID: 1600 |ParentID: 1720)
C:\Users\Edwige\AppData\Local\Programs\Google\MusicManager\MusicManager.exe (ID: 844 |ParentID: 1720)
C:\Program Files (x86)\Micro Application\LauncherMA.exe (ID: 1700 |ParentID: 1720)
C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe (ID: 1996 |ParentID: 640)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID: 2128 |ParentID: 1756)
C:\Program Files (x86)\BboxUpdate\eSRunService.exe (ID: 2220 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 2328 |ParentID: 640)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID: 2352 |ParentID: 640)
C:\Program Files (x86)\eMachines\Registration\GregHSRW.exe (ID: 2380 |ParentID: 640)
C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe (ID: 2588 |ParentID: 640)
C:\Program Files (x86)\Comodo\GeekBuddy\unit_manager.exe (ID: 2812 |ParentID: 824)
C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe (ID: 2848 |ParentID: 640)
C:\Program Files (x86)\Comodo\GeekBuddy\unit.exe (ID: 2900 |ParentID: 2812)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2932 |ParentID: 640)
C:\Windows\system32\wbem\unsecapp.exe (ID: 984 |ParentID: 764)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 1004 |ParentID: 2932)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3120 |ParentID: 764)
C:\Program Files\eMachines\eMachines Power Management\ePowerEvent.exe (ID: 3220 |ParentID: 1996)
C:\Windows\system32\SearchIndexer.exe (ID: 3700 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 3824 |ParentID: 640)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 4140 |ParentID: 640)
C:\Windows\System32\svchost.exe (ID: 4996 |ParentID: 640)
C:\Windows\system32\DllHost.exe (ID: 4264 |ParentID: 764)
C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID: 3208 |ParentID: 1280)
C:\Windows\System32\svchost.exe (ID: 2124 |ParentID: 640)
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE (ID: 1952 |ParentID: 1720)
C:\Windows\splwow64.exe (ID: 3052 |ParentID: 1952)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 4920 |ParentID: 1720)
C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID: 1112 |ParentID: 1280)
C:\Windows\System32\WUDFHost.exe (ID: 5380 |ParentID: 732)
C:\Program Files\COMODO\COMODO Internet Security\CIS.exe (ID: 5740 |ParentID: 1112)
C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe (ID: 3680 |ParentID: 764)
C:\Windows\system32\SearchProtocolHost.exe (ID: 3092 |ParentID: 3700)
C:\Windows\system32\SearchFilterHost.exe (ID: 4680 |ParentID: 3700)
C:\UsbFix\Go.exe (ID: 340 |ParentID: 5292)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 5912 |ParentID: 764)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
04 - HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [CachemanTray] - C:\Program Files (x86)\Cacheman\CachemanTray.exe
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [Google Update] - "C:\Users\Edwige\AppData\Local\Google\Update\GoogleUpdate.exe" /c
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [swg] - "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [Spotify Web Helper] - "C:\Users\Edwige\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [MusicManager] - "C:\Users\Edwige\AppData\Local\Programs\Google\MusicManager\MusicManager.exe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! E:\_disk_id.lnk
Présent! E:\ILCF.lnk
Présent! E:\FlashLockv232.lnk
Présent! E:\.lnk
Présent! E:\Attestation de l'IPC.lnk
Présent! E:\Renouvellement de disponibilité - lettre à la rectrice mme robine.lnk
Présent! E:\Renouvellement disponobilité - copie pour mme schiesslé - 7 octobre 2013.lnk
Présent! E:\AER MERY DE MONTIGNY 09 2013.lnk
Présent! E:\.Trashes.lnk
Présent! E:\004004_301000_2013_20131014.lnk
Présent! E:\User Manuals Multi-Languages.lnk
Présent! E:\Latin.lnk
Présent! E:\.Spotlight-V100.lnk
Présent! E:\.TemporaryItems.lnk
Présent! E:\Theologicum.lnk
Présent! E:\Grammaire.lnk
Présent! E:\U3ROM.lnk
Présent! E:\Jean-Jacques Rousseau expose.lnk
Présent! E:\iTunesHelper.vbe
Présent! E:\U3ROM

################## | Référence de comparaison MD5 |

Md5 : 22645099F0E092D1729BE51FBA5FD593 -> E:\iTunesHelper.vbe

################## | Comparaison MD5 |

Présent! Md5 : 22645099F0E092D1729BE51FBA5FD593 -> E:\iTunesHelper.vbe

################## | Registre |

Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktop -> 1
Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktopChanges -> 1

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |


Security-X

clé usb infectée -> dossiers transformés en raccourcis
« le: novembre 29, 2013, 13:25:19 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23641
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : clé usb infectée -> dossiers transformés en raccourcis
« Réponse #1 le: novembre 29, 2013, 14:17:14 »
Bonjour,

Bienvenue sur Security-X   :D

Tu as lu notre fiche sur cette infection et son mode propagation ?
Infection vbs/vbe autorun

---------------------------------------------------------------------------------------------

  USBFix - Nettoyage :

  • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
  • Double-clique sur UsbFix sur ton Bureau
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur l'option Suppression et laisse l'outil travailler
  • Le rapport UsbFix.txt s'affiche. Poste lce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\UsbFix.txt

    Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

    /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.
---------------------------------------------------------------------------------------------

Nous allons aussi contrôler ton système avec cet outil :

  FRST - version 64 bits :

  • Télécharge FRST de Farbar et enregistre le fichier sur ton Bureau  <-- Important
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST64.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports :
USBFix
FRST.txt et Addition.txt

@+