Security-X

Forum Security-X => Désinfections => Discussion démarrée par: crepuscule075 le novembre 29, 2013, 13:25:19

Titre: clé usb infectée -> dossiers transformés en raccourcis
Posté par: crepuscule075 le novembre 29, 2013, 13:25:19
Bonjour,
J'utilise ma clé usb pour mon travail. J'utilise un PC ; je n'ai jamais eu de problème jusqu'à maintenant. Je suis protégée par COMODO.
Mais lundi, j'ai prêté ma clé usb à deux étudiantes, elles l'ont utilisée sur leur ordinateur.
Et maintenant, je vois que les dossiers ont été transformés en raccourcis. Pourtant, la mémoire est toujours aussi chargé, donc rien n'a été supprimé définitivement, heureusement.

J'ai lu des posts précédents sur vos forums, et donc j'ai téléchargé USBfix, et j'ai fait une recherche avec , pour obtenir un rapport.
Je vous copie-colle ci-dessous  le rapport que j'ai obtenu ; est-ce que voudriez bien m'aider pour savoir ce que je peux faire ???
Avec tous mes remerciements !!!!
Edwige

############################## | UsbFix V 7.152 | [Recherche]

Utilisateur: Edwige (Administrateur) # EDWIGE-PC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 12:58:14 | 29/11/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: eMachines  (eMachines E627  )
CPU: AMD Athlon(tm) Processor TF-20
RAM -> [Total : 2812 | Free : 1395]
Bios: eMachines
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 10.0.9200.16736
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 221 Go (52 Go libre(s) - 23%) [eMachines] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (285 Mo libre(s) - 8%) [USB TRAVAIL] # FAT32

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID: 452 |ParentID: 444)
C:\Windows\system32\wininit.exe (ID: 528 |ParentID: 444)
C:\Windows\system32\csrss.exe (ID: 540 |ParentID: 520)
C:\Windows\system32\winlogon.exe (ID: 604 |ParentID: 520)
C:\Windows\system32\services.exe (ID: 640 |ParentID: 528)
C:\Windows\system32\lsass.exe (ID: 648 |ParentID: 528)
C:\Windows\system32\lsm.exe (ID: 656 |ParentID: 528)
C:\Windows\system32\svchost.exe (ID: 764 |ParentID: 640)
C:\Program Files (x86)\Common Files\COMODO\launcher_service.exe (ID: 824 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 848 |ParentID: 640)
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (ID: 896 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 120 |ParentID: 640)
C:\Windows\system32\atiesrxx.exe (ID: 464 |ParentID: 640)
C:\Windows\System32\svchost.exe (ID: 432 |ParentID: 640)
C:\Windows\System32\svchost.exe (ID: 732 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 1032 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 1064 |ParentID: 640)
C:\Windows\system32\atieclxx.exe (ID: 1224 |ParentID: 464)
C:\Windows\System32\spoolsv.exe (ID: 1408 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 1488 |ParentID: 640)
C:\Windows\system32\taskhost.exe (ID: 1572 |ParentID: 640)
C:\Program Files (x86)\Common Files\EPSON\EBAPI\eEBSVC.exe (ID: 1688 |ParentID: 640)
C:\Windows\system32\Dwm.exe (ID: 1704 |ParentID: 732)
C:\Windows\Explorer.EXE (ID: 1720 |ParentID: 1656)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1924 |ParentID: 640)
C:\Program Files (x86)\Cacheman\CachemanServ.exe (ID: 1980 |ParentID: 640)
C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe (ID: 2044 |ParentID: 640)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 1208 |ParentID: 1720)
C:\Windows\PLFSetI.exe (ID: 1160 |ParentID: 1720)
C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe (ID: 356 |ParentID: 1720)
C:\Program Files\COMODO\COMODO Internet Security\cistray.exe (ID: 1280 |ParentID: 1720)
C:\Program Files (x86)\Cacheman\CachemanTray.exe (ID: 1480 |ParentID: 1720)
C:\Users\Edwige\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (ID: 1600 |ParentID: 1720)
C:\Users\Edwige\AppData\Local\Programs\Google\MusicManager\MusicManager.exe (ID: 844 |ParentID: 1720)
C:\Program Files (x86)\Micro Application\LauncherMA.exe (ID: 1700 |ParentID: 1720)
C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe (ID: 1996 |ParentID: 640)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID: 2128 |ParentID: 1756)
C:\Program Files (x86)\BboxUpdate\eSRunService.exe (ID: 2220 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 2328 |ParentID: 640)
C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe (ID: 2352 |ParentID: 640)
C:\Program Files (x86)\eMachines\Registration\GregHSRW.exe (ID: 2380 |ParentID: 640)
C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe (ID: 2588 |ParentID: 640)
C:\Program Files (x86)\Comodo\GeekBuddy\unit_manager.exe (ID: 2812 |ParentID: 824)
C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe (ID: 2848 |ParentID: 640)
C:\Program Files (x86)\Comodo\GeekBuddy\unit.exe (ID: 2900 |ParentID: 2812)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 2932 |ParentID: 640)
C:\Windows\system32\wbem\unsecapp.exe (ID: 984 |ParentID: 764)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 1004 |ParentID: 2932)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3120 |ParentID: 764)
C:\Program Files\eMachines\eMachines Power Management\ePowerEvent.exe (ID: 3220 |ParentID: 1996)
C:\Windows\system32\SearchIndexer.exe (ID: 3700 |ParentID: 640)
C:\Windows\system32\svchost.exe (ID: 3824 |ParentID: 640)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 4140 |ParentID: 640)
C:\Windows\System32\svchost.exe (ID: 4996 |ParentID: 640)
C:\Windows\system32\DllHost.exe (ID: 4264 |ParentID: 764)
C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID: 3208 |ParentID: 1280)
C:\Windows\System32\svchost.exe (ID: 2124 |ParentID: 640)
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE (ID: 1952 |ParentID: 1720)
C:\Windows\splwow64.exe (ID: 3052 |ParentID: 1952)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 4920 |ParentID: 1720)
C:\Program Files\COMODO\COMODO Internet Security\cis.exe (ID: 1112 |ParentID: 1280)
C:\Windows\System32\WUDFHost.exe (ID: 5380 |ParentID: 732)
C:\Program Files\COMODO\COMODO Internet Security\CIS.exe (ID: 5740 |ParentID: 1112)
C:\Program Files\COMODO\COMODO Internet Security\cavwp.exe (ID: 3680 |ParentID: 764)
C:\Windows\system32\SearchProtocolHost.exe (ID: 3092 |ParentID: 3700)
C:\Windows\system32\SearchFilterHost.exe (ID: 4680 |ParentID: 3700)
C:\UsbFix\Go.exe (ID: 340 |ParentID: 5292)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 5912 |ParentID: 764)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
04 - HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE\wow6432Node | Run : [tvncontrol] - "C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [CachemanTray] - C:\Program Files (x86)\Cacheman\CachemanTray.exe
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [Google Update] - "C:\Users\Edwige\AppData\Local\Google\Update\GoogleUpdate.exe" /c
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [swg] - "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [Spotify Web Helper] - "C:\Users\Edwige\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
04 - HKU\S-1-5-21-1336238106-3875411866-3431534941-1000\SOFTWARE | Run : [MusicManager] - "C:\Users\Edwige\AppData\Local\Programs\Google\MusicManager\MusicManager.exe"
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Recherche générique |

Présent! E:\_disk_id.lnk
Présent! E:\ILCF.lnk
Présent! E:\FlashLockv232.lnk
Présent! E:\.lnk
Présent! E:\Attestation de l'IPC.lnk
Présent! E:\Renouvellement de disponibilité - lettre à la rectrice mme robine.lnk
Présent! E:\Renouvellement disponobilité - copie pour mme schiesslé - 7 octobre 2013.lnk
Présent! E:\AER MERY DE MONTIGNY 09 2013.lnk
Présent! E:\.Trashes.lnk
Présent! E:\004004_301000_2013_20131014.lnk
Présent! E:\User Manuals Multi-Languages.lnk
Présent! E:\Latin.lnk
Présent! E:\.Spotlight-V100.lnk
Présent! E:\.TemporaryItems.lnk
Présent! E:\Theologicum.lnk
Présent! E:\Grammaire.lnk
Présent! E:\U3ROM.lnk
Présent! E:\Jean-Jacques Rousseau expose.lnk
Présent! E:\iTunesHelper.vbe
Présent! E:\U3ROM

################## | Référence de comparaison MD5 |

Md5 : 22645099F0E092D1729BE51FBA5FD593 -> E:\iTunesHelper.vbe

################## | Comparaison MD5 |

Présent! Md5 : 22645099F0E092D1729BE51FBA5FD593 -> E:\iTunesHelper.vbe

################## | Registre |

Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktop -> 1
Présent! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoActiveDesktopChanges -> 1

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

Titre: Re : clé usb infectée -> dossiers transformés en raccourcis
Posté par: chantal11 le novembre 29, 2013, 14:17:14
Bonjour,

Bienvenue sur Security-X   :D

Tu as lu notre fiche sur cette infection et son mode propagation ?
Infection vbs/vbe autorun (http://forum.security-x.fr/malwares-315/infection-vbsvbe-autorun-ituneshelper-sergelelama-fichiers-en-raccourcis/)

---------------------------------------------------------------------------------------------

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  USBFix - Nettoyage :

---------------------------------------------------------------------------------------------

Nous allons aussi contrôler ton système avec cet outil :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)  FRST - version 64 bits :

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports :
USBFix
FRST.txt et Addition.txt

@+