Infection clé USB

[Philou22]

Bonjour,

 

J'ai une infection sur le PC portable de mon fils via une clé USB qui me met quand je la branche:

Attaque Virale sur G:\autorun.inf d'un Virus Worm./Kido.IH.40!

 

Je poste l'analyse des 3 rapports d'USBFix:

 

1) Recherche:

 

############################## | UsbFix V6.078 |

 

User : Hervé (Administrateurs) # PC-DE-HERVÉ

Update on 23/01/2010 by El Desaparecido , C_XX & Chimay8

Start at: 11:53:32 | 24/01/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Core™2 Duo CPU T6600 @ 2.20GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 451,07 Go (337,43 Go free) [OS] # NTFS

D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS

E:\ -> Disque CD-ROM

 

############################## | Processus actifs |

 

C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe 1116

C:\Program Files\Dell\DellDock\DockLogin.exe 1340

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe 1668

C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe 1960

C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 628

C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe 2072

C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe 3280

C:\Program Files (x86)\Dell DataSafe Online\DataSafeOnline.exe 3624

C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe 3632

C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe 3664

C:\Program Files (x86)\Java\jre6\bin\jusched.exe 3832

C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe 3844

C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe 2332

 

################## | Elements infectieux |

 

D:\autorun.inf

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{396e8450-fada-11de-89db-0026b9098edf}

shell\Auto\command =F:\Windows.scr

shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Windows.scr

 

HKCU\..\..\Explorer\MountPoints2\{7be70cf4-cecb-11de-acd7-0026b9098edf}

shell\Auto\command =F:\Windows.scr

shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Windows.scr

 

################## | Crack > Keygen > Serial |

 

 

################## | ! Fin du rapport # UsbFix V6.078 ! |

 

2)Suppression:

 

############################## | UsbFix V6.078 |

 

User : Hervé (Administrateurs) # PC-DE-HERVÉ

Update on 23/01/2010 by El Desaparecido , C_XX & Chimay8

Start at: 12:05:09 | 24/01/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Core™2 Duo CPU T6600 @ 2.20GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 451,07 Go (338,3 Go free) [OS] # NTFS

D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS

E:\ -> Disque CD-ROM

 

############################## | Processus actifs |

 

C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe 1120

C:\Program Files\Dell\DellDock\DockLogin.exe 1348

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe 1720

C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe 1980

C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 1320

C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe 608

C:\Windows\SysWOW64\runonce.exe 2980

C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe 2552

 

################## | Elements infectieux |

 

Supprimé ! C:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-1000

Supprimé ! C:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-500

Supprimé ! D:\autorun.inf

Supprimé ! D:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-1000

Supprimé ! D:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-500

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\{396e8450-fada-11de-89db-0026b9098edf}\Shell\Auto\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{7be70cf4-cecb-11de-acd7-0026b9098edf}\Shell\Auto\Command

 

################## | Listing des fichiers présent |

 

[11/04/2009 07:36|-rahs----|333257] C:\bootmgr

[05/02/2008 04:51|--a------|546872] C:\bootmgr.efi

[15/10/2009 21:59|-rah-----|3889] C:\dell.sdr

[?|?|?] C:\hiberfil.sys

[?|?|?] C:\pagefile.sys

[24/01/2010 12:08|--a------|2124] C:\UsbFix.txt

[28/04/2009 23:49|---hs----|7450] D:\Desktop.ini

[23/03/2009 23:26|---hs----|77824] D:\Info.exe

[24/01/2010 12:05|--ahs----|232] D:\Master.log

[05/06/2009 18:42|---hs----|117133] D:\protect.chinese simplified

[05/06/2009 18:42|---hs----|117641] D:\protect.chinese traditional

[16/04/2009 17:10|---hs----|116238] D:\protect.danish

[16/04/2009 16:55|---hs----|119790] D:\protect.dutch

[17/04/2009 18:19|---hs----|47233] D:\protect.english

[16/04/2009 17:10|---hs----|116015] D:\protect.french

[16/04/2009 16:58|---hs----|116305] D:\protect.german

[16/04/2009 16:59|---hs----|115710] D:\protect.italian

[16/04/2009 17:00|---hs----|117842] D:\protect.japanese

[16/04/2009 17:00|---hs----|124495] D:\protect.korean

[16/04/2009 17:02|---hs----|116195] D:\protect.norwegian

[16/04/2009 17:03|---hs----|116564] D:\protect.portuguese brazilian

[16/04/2009 17:04|---hs----|116363] D:\protect.spanish

[16/04/2009 17:05|---hs----|116404] D:\protect.swedish

[21/10/2009 13:39|---hs----|173] D:\ST_InstallBackup.ini

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix.

# D:\autorun.inf -> Dossier créé par UsbFix.

 

################## | Crack > Keygen > Serial |

 

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\Users\HERV~1\Desktop\UsbFix_Upload_Me_PC-de-Herv‚.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.078 ! |

 

3) Vaccination:

 

############################## | UsbFix V6.078 |

 

User : Hervé (Administrateurs) # PC-DE-HERVÉ

Update on 23/01/2010 by El Desaparecido , C_XX & Chimay8

Start at: 12:20:03 | 24/01/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Core™2 Duo CPU T6600 @ 2.20GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 451,07 Go (337,31 Go free) [OS] # NTFS'

D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS

E:\ -> Disque CD-ROM

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix.

# D:\autorun.inf -> Dossier créé par UsbFix.

 

################## | ! Fin du rapport # UsbFix V6.078 ! |

 

Que dois je faire au niveau du PC et au niveau de la clé USB?

 

Merci pour votre aide!

[pear]

Bonjour,

Vous n'avez rien de plus à faire,sauf si les désagréments persistaient.

[Philou22]

Bonjour Pear,

 

Au niveau du PC les rapports montrent donc que tout est Ok?

Par contre , mon souci est que quand il met la clé USB une attaque virale est detectée sur G:\autorun.inf d'un Virus Worm./Kido.IH.40!

Sur cette clé il a des documents scolaires qu'il voudrait réutiliser! Que dois faire car l'antivirus me propose plusieurs solutions. Si je choisis l'option supprimer est ce que je pourrai réutiliser la clé USB?

 

A+

[pear]

Lorsque vous avez lancé Usbfix, votre clé était bien branchée ?

Sinon ,il faudrait recommencer.

La désinfection est sans risque pour la clé, l'infection dangereuse pour le pc.

 

Infection Kido/Doownadup

 

Symantec met à disposition un outil contre ce ver :

Télécharger FixDownadup

sur le bureau

Fermez tous les programmes,y compris les protections,désactivez la connexion Internet

 

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite, .

Un nouveau point de restauration sera créé au redémarrage.

 

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

Sur l'onglet Raccourci, cliquez sur avancé.

Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

 

Double cliquez sur FixDownadup.exe pour le lancer

 

Cliquez sur Start

En cas d'échec recommencez la procédure en Mode sans Echec

Redémarrez et relancez une seconde fois.

 

Réinstallez La restauration Système et la connexion internet, les protections.

 

Téléchargez et installez ces Mises à jour de sécurité pour Windows XP

 

KB890830

et

KB958644)

Modifié le 28 janvier 2010 par pear

[Philou22]

Re Pear,

 

La clé était bien branchée quand j'ai procédé à la désinfection avec USBFix.

 

Pardon pour cette question, mais j'avoue que je ne comprends pas bien la manip.

 

Je n'ai pas d'infection au niveau du PC ( du moins je le pense ) mais quand je connecte la clé USB l'antivirus détecte cette attaque virale. Le virus n'est il pas bloqué par l'antivirus résident? Je pourrai donc ainsi le supprimer via le choix donné par l'interface graphique?

 

Précise moi où je me trompe et si il faut exécuter la procédure il n'y a pas de pb même si j'avoue qu'il faudra malheureusement que je te redemande quelques éclaircissements!

 

A+

[pear]

Vous m'avez dit avoir une alerte Kido sur votre clé.

Je vous ai donc donné la procédure pour vous en débarrasser.

Elle n'est pas compliquée.

[Philou22]

Re Pear,

 

Ok si on est d'accord sur le type de Pb je procèderai donc à la manip. que tu m'as donné!

Mais même si elle te paraît simple je vais qu'en même te demander de m'éclaircir certains points.

 

1) Je pense qu'il faut que la clé infectée soit branchée avant d'effectuer les opérations! Comment dois je acquitter l'alerte virale d'Antivir?

2)Après avoir télécharger FixDownadup.exe et désinstaller la restauration système il faut activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis! Je pense que tu veux dire uniquement sur l'icone FixDownadup.exe?. Si j'ai l'option administrateur, je fais comme d'hab. avec le clic droit de la souris?

3)Après avoir Lancer FixDownadup.exe en mode administrateur et cliquer sur Start comment puis je constater que l'opération à marcher ou pas? Y a t-il un rapport?

4)Mon fils ne possède pas WindowsXP mais Windows7. A voir donc pour les mises à jour!

 

Pardon pour ces questions de néophytes,

A+

[pear]

1 et 2 ok,

3 pas de rapport

4 pas de mise à jour

 

4 Détection Conficker:

Détecter Conficker

Voyez vous les 6 images ?

Modifié le 28 janvier 2010 par pear

[Philou22]

Re Pear,

 

Merci pour tes précisions. Je te rappelle juste que je ne suis pas sur le PC de mon fils qui pose problème et qu'il ne rentre que le week-end.

 

1) J'insiste mais comment saurais je, après avoir Lancer FixDownadup.exe en mode administrateur et cliquer sur Start, que l'opération à marcher ou pas?

2)A quel moment et pourquoi faudra t-il que je fasse la détection de Conficker sur le PC de mon fils?

 

A+

[pear]

J'insiste aussi!

Lisez et faites sans trop poser de questions,elles ne servent à rien.

Je vous ai donné toutes les réponses possibles

Modifié le 29 janvier 2010 par pear