Infection via Clé USB [ Résolu ]

[Philou22]

Bonsoir,

 

Une clé USB a provoqué une attaque virale sur le PC de mon fils. Quand il l'a met l'antivirus Antivir détecte sur G:\autorun.inf d'un Virus Worm./Kido.IH.40!

Sur cette clé il a des documents scolaires qu'il voudrait réutiliser! Que dois faire car l'antivirus me propose plusieurs solutions. Si je choisis l'option supprimer est ce que je pourrai réutiliser la clé USB? Et est ce que cela n'aura pas provoqué de dégâts sur le PC?

 

Merci d'avance pour votre aide.

A+

Modifié le 7 février 2010 par Philou22

[Le sioux]

Bonsoir Philou22

 

Laisse Antivir supprimer ce fichier néfaste, par la suite, pour être sur que l'infectiàon est bien erradiquée, fais ce qui suit :

 

Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.

Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer".

 

Télécharge UsbFix de Chiquitine29 sur ton Bureau.

• L'outil peut faire réagir l'antivirus. Dans ce cas, tu ignores les alertes ou tu désactives temporairement ton antivirus.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm )
  
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  
• Double-clique sur UsbFix sur ton Bureau.
  
• Choisis la langue française en tapant F
  
• Choisis l'option 2 / Suppression.
  
• Ton Bureau va disparaitre et ton PC va redémarrer.
  
• Après redémarrage, laisse UsbFix scanner ton PC, ne touche à rien.
  
• Une fois le scan terminé, poste le rapport UsbFix.txt qui va s'ouvrir automatiquement
  

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

 

Pour les supports USB, regarde ici comment éviter les infections transmissibles par celles-ci.

Tu peux lire cela aussi.

Regarde aussi ce nouvel outil de Loup Blanc ici .

 

@ suivre.

[Le sioux]

Bonsoir Philou22

 

Sujet deja en cours ici ...

 

Salut.

[Philou22]

Bonsoir Sioux,

 

Pas de souci vu que mon précédent post a été basculé sur celui ci! Je n'ai pas précisé sur ce post que l'attaque virale s'est produite sur le PC de fils qui est étudiant et qui ne rentre que le week-end! Du coup, je ne vais pouvoir intervenir que samedi prochain!

Il vient de me préciser que son Antivirus s'était de nouveau désactivé! Est ce lié?

 

Je te précise que l'Autorun a été désactivé!

 

A+

[Le sioux]

Bonjour

 

* Lors de l'insertion de la clef dans ton PC , quand Antivir se manifestera, alors fait lui supprimer ce fichier autorun.inf responsable de la propagation des vers à supports amovibles.

 

* Il reste un fichier infectieux non supprimé par USBFix :

--> D:\Info.exe , il peut être supprimé manuellemnt via clic droit "Supprimer", il faudra par contre avoir "Afficher les fichiers et dossiers cachés .

 

* Par la suite, une fois sur le PC de ton fils, une manip a déjà été donnée par Pear ici .

Il faut l'appliquer quand tu auras le PC du fiston en main.

 

As tu parcouru comme conseillé ce qui suit :

 

Pour les supports USB, regarde ici comment éviter les infections transmissibles par celles-ci.

Tu peux lire cela aussi.

Regarde aussi ce nouvel outil de Loup Blanc ici

 

@ plus.

[Philou22]

Bonsoir Le sioux,

 

Ok pour tes 2 premières précisions. Puis je fais la manip avec USBFix avec la clé infectée branchée et je poste les rapports. Ensuite, je télécharge FixDownaDup et le lance en mode sans échec!

 

J'avoue que j'ai commencé à lire les liens que tu m'as donné mais il me faudra ton aide pour voir comment appliquer ces connaissances à mon cas précis.

 

A+

[Philou22]

Bonjour Le Sioux,

 

J'ai enfin pu prendre possession du PC et donc commencer ta manip.

1) J'ai supprimé via Antivir le fichier néfaste qui apparaissait en mettant la clé USB!

2) J'ai supprimé le fichier D:\info.exe en décochant tout dans les options d'affichage!

3)J'ai fait une recherche avec USBFix et je te poste le rapport:

 

 

############################## | UsbFix V6.091 |

 

User : Hervé (Administrateurs) # PC-DE-HERVÉ

Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8

Start at: 09:52:27 | 06/02/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Core2 Duo CPU T6600 @ 2.20GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 451,07 Go (321,52 Go free) [OS] # NTFS

D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS

E:\ -> Disque CD-ROM

G:\ -> Disque amovible # 1,88 Go (1,45 Go free) [PHILIPPE H] # FAT

 

############################## | Processus actifs |

 

C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe

C:\Program Files\Dell\DellDock\DockLogin.exe

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe

C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe

C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe

C:\Program Files (x86)\Dell DataSafe Online\DataSafeOnline.exe

C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe

C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe

C:\Program Files (x86)\Java\jre6\bin\jusched.exe

C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

 

################## | Elements infectieux |

 

C:\drivers

G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{41a7711d-ca45-11de-b50d-0026b9098edf}

shell\Auto\command =Windows.scr

shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Windows.scr

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné !

 

################## | ! Fin du rapport # UsbFix V6.091 ! |

 

4)Voici le rapport lors de la suppression:

 

############################## | UsbFix V6.091 |

 

User : Hervé (Administrateurs) # PC-DE-HERVÉ

Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8

Start at: 10:06:16 | 06/02/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Core2 Duo CPU T6600 @ 2.20GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 451,07 Go (322,39 Go free) [OS] # NTFS

D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS

E:\ -> Disque CD-ROM

G:\ -> Disque amovible # 1,88 Go (1,45 Go free) [PHILIPPE H] # FAT

 

############################## | Processus actifs |

 

C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe

C:\Program Files\Dell\DellDock\DockLogin.exe

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files (x86)\Dell DataSafe Local Backup\SftService.exe

C:\Windows\SysWOW64\runonce.exe

C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe

 

################## | Elements infectieux |

 

Supprimé ! C:\drivers

Supprimé ! C:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-1000

Supprimé ! D:\$Recycle.Bin\S-1-5-21-659107166-4276714056-3761078781-1000

Supprimé ! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

Supprimé ! G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\{41a7711d-ca45-11de-b50d-0026b9098edf}\Shell\Auto\Command

 

################## | Listing des fichiers présent |

 

[11/04/2009 07:36|-rahs----|333257] C:\bootmgr

[05/02/2008 04:51|--a------|546872] C:\bootmgr.efi

[15/10/2009 21:59|-rah-----|3889] C:\dell.sdr

[?|?|?] C:\hiberfil.sys

[?|?|?] C:\pagefile.sys

[24/01/2010 12:49|--a------|547] C:\TCleaner.txt

[06/02/2010 10:10|--a------|2105] C:\UsbFix.txt

[28/04/2009 23:49|---hs----|7450] D:\Desktop.ini

[06/02/2010 10:06|--ahs----|232] D:\Master.log

[05/06/2009 18:42|---hs----|117133] D:\protect.chinese simplified

[05/06/2009 18:42|---hs----|117641] D:\protect.chinese traditional

[16/04/2009 17:10|---hs----|116238] D:\protect.danish

[16/04/2009 16:55|---hs----|119790] D:\protect.dutch

[17/04/2009 18:19|---hs----|47233] D:\protect.english

[16/04/2009 17:10|---hs----|116015] D:\protect.french

[16/04/2009 16:58|---hs----|116305] D:\protect.german

[16/04/2009 16:59|---hs----|115710] D:\protect.italian

[16/04/2009 17:00|---hs----|117842] D:\protect.japanese

[16/04/2009 17:00|---hs----|124495] D:\protect.korean

[16/04/2009 17:02|---hs----|116195] D:\protect.norwegian

[16/04/2009 17:03|---hs----|116564] D:\protect.portuguese brazilian

[16/04/2009 17:04|---hs----|116363] D:\protect.spanish

[16/04/2009 17:05|---hs----|116404] D:\protect.swedish

[21/10/2009 13:39|---hs----|173] D:\ST_InstallBackup.ini

[16/10/2009 11:20|--a------|1319936] G:\Licence professionnelle.ppt

[22/10/2009 15:40|--a------|75264] G:\Le d‚partement GESTION des ENTREPISES et des ADMINISTRATIONS.doc

[22/10/2009 16:06|--a------|533504] G:\LP gestionnaire des entreprises de l'agro-‚quipement.ppt

[17/12/2009 12:09|--a------|19968] G:\http.doc

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix .

# D:\autorun.inf -> Dossier créé par UsbFix .

# G:\autorun.inf -> Dossier créé par UsbFix .

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Herv‚.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.091 ! |

Lors du SCAN de suppression Antivir a detecté un Virus Worm/Conficker.Z.47 que j'ai supprimé

 

6) Puis option Vaccination:

 

 

############################## | UsbFix V6.091 |

 

User : Hervé (Administrateurs) # PC-DE-HERVÉ

Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8

Start at: 10:15:54 | 06/02/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Core2 Duo CPU T6600 @ 2.20GHz

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 64-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 451,07 Go (321,4 Go free) [OS] # NTFS

D:\ -> Disque fixe local # 14,65 Go (6,38 Go free) [RECOVERY] # NTFS

E:\ -> Disque CD-ROM

G:\ -> Disque amovible # 1,88 Go (1,45 Go free) [PHILIPPE H] # FAT

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix .

# D:\autorun.inf -> Dossier créé par UsbFix .

# G:\autorun.inf -> Dossier créé par UsbFix .

 

################## | ! Fin du rapport # UsbFix V6.091 ! |

 

7)Désinstallation USBFix

 

Je n'ai plus l'icone de l'Antivirus Résident qui s'est réactivé visiblement pendant les Scan!

 

J'attends ta réponse pour poursuivre la manip.

 

A+

[Philou22]

Re,

 

En redémarrant le PC l'icone du parapluie ouvert est bien revenue!

 

A+

[Le sioux]

Bonsoir Philou22

 

Bien joué.

 

* Désinstallation d'UsbFix

 

• Double-clique sur le raccourci UsbFix présent sur ton bureau
  
• Au menu principal choisis l'option " F " pour français et tape sur [Entrée] .
  
• Au second menu Choisis l'option " 5 " ( Désinstaller ) et tape sur [Entrée]
  
• Fais redémarrer ton PC puis supprime le dossier en gras C:\UsbFix
  

*Protection contre les infections transmissibles par supports amovibles :

 

Pour finir de vacciner et protéger comme il faut ton PC, télécharge et utilise USBSet .

 

Si tu n'as pas d'autres soucis par ailleurs, alors :

 

=========================================================================

 

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":

 

Dans Panneau de configuration / Système, clique sur le lien Protection du système (sur la gauche de la fenêtre).

 

* Sous Points de restauration automatiques, décoche toutes les cases dans la liste des disques disponibles.

Ceci afin de désactiver la fonction de restauration du système.

Vista va te demander confirmation pour cette opération.

Confirme en cliquant sur le bouton Désactiver la restauration du système. Tous les points de restauration système existants seront supprimés.

* De retour sur la fenêtre des points de restauration automatiques, re-coche toutes les cases dans la liste des disques disponibles puis clique sur OK.

Ceci aura pour conséquence de remettre la Restauration système en fonction.

 

Tu pourras alors, créer un point de restauration tout neuf en cliquant sur le bouton Créer. Le système se chargera ensuite de créer les autres à intervalles réguliers.

 

En image ici .

 

=========================================================================

 

=> Comportement à adopter : http://assiste.com.free.fr/p/abc/a/safe_cex.html

http://forum.pcastuces.com/prevention_et_p...r-f25s36131.htm

 

=> Reste protégé en utilisant un antivirus, un pare-feu. et un antispyware

Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus et ton anti-spyware après les avoir mis à jour et supprime ce qu'ils peuvent trouver.

 

=========================================================================

 

=> Afin d’éviter les autres failles de sécurité des autres programmes présents sur ton PC :

 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas.

http://secunia.com/software_inspector/

-Tuto http://www.malekal.com/scan_vulnerabilite.php

 

=========================================================================

 

=> Il faut mettre régulièrement à jour la console Java :

 

Rends toi sur http://www.java.com/fr/download/manual.jsp et télécharge la dernière version de la console Java ou ici http://www.filehippo.com/download_java_run...d_java_runtime/

Installe la, puis désinstalle les anciennes versions (la console Java) afin d’éliminer les failles de sécurité présentes dans celles-ci et de libérer, par la même occasion de l'espace disque.

via Démarrer / Paramètres / Panneau de configuration / et dans Ajout/suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis Supprimer, suis les invites de commandes dans la boîte de dialogue qui va s'ouvrir afin de mener la désinstallation à son terme.

Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

=========================================================================

 

=> Pour sécuriser ta navigation :

 

Essaye et adopte le navigateur Firefox plus sûr / sécurisé qu'I.E

http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

- Une extension intéressante WOT

(Alerte en cas d’accès à des sites Web présentant des risques de fraude, de logiciels malveillants ou de courrier indésirable)

 

FireFox n'utilise pas le dangereux protocole ActiveX

Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html

S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html

 

=========================================================================

 

Peux tu stp, éditer ton premier message et mettre [Résolu] devant le titre de celui-ci

Merci

 

Voila bon courage et bonnes lectures.

 

Content d'avoir pu t'aider.

 

Salut.

Modifié le 6 février 2010 par Le sioux

[Philou22]

Bonjour Sioux,

 

Soulagé de savoir que le PC n'est plus infecté!

 

J'ai malgré tout 1 ou 2 questions à te poser:

 

**Tu m'as marqué dans un de tes précédents Posts:

 

Par la suite, une fois sur le PC de ton fils, une manip a déjà été donnée par Pear ici .

Il faut l'appliquer quand tu auras le PC du fiston en main.

 

Est ce toujours d'actualité?

 

**Faut il afficher les dossiers cachés pour C:\UsbFix? Pas visible à première vue!

 

Je pense, vu que mon fils repart bientôt pour ses études, que je n'aurai pas le temps de continuer la manip.

Celà peut il attendre le week-end prochain?

 

Merci pour ces infos,

Je mettrai comme convenu Résolu dans le titre.

 

A+