[Résolu] Disque dur externe infecté

[banyan]

Bonjour,

J'ai besoin de votre aide.

Je dispose de plusieurs disques durs externes contenant des fichiers importants et, depuis quelques semaines, ces disques comportent deux dossiers inconnus : $RECYCLE.BIN et System Volume Information. Jusqu'à hier, malgré la présence de ces dossiers indésirables, je parvenais à ouvrir les dossiers que j'avais enregistrés sur ces disques durs.

Ce n'est malheureusement plus le cas depuis que j'ai installé la version pro de l'antivirus AVAST. Lorsque j'essaie d'ouvrir un dossier du disque dur externe, AVAST envoie un signal d'alarme et il en résulte deux conséquences : non seulement je ne peux plus ouvrir le dossier, mais surtout le dossier sur lequel je clique disparaît (alors que le poids du DDE reste inchangé).

Je suis donc très inquiet et je n'ose plus cliquer sur le moindre dossier de peur de le supprimer.

Est-ce qu'une personne peut m'aider dès que possible ? Je suis très désemparé et mon travail est suspendu à la résolution de ce problème.

Un grand merci

Modifié le 28 avril 2012 par banyan

[Apollo]

Bonjour,

 

$RECYCLE.BIN et System Volume Information

Ce qui veut dire Corbeille et Restauration système, c'est normal. (mais il peuvent contenir des points infectés)

 

Maintenant on peut vérifier tes supports externes.

 

Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC

 

Apollo Et Compagnie :: UAC Windows 7.

 

:arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau.

 

http://eldesaparecido.com/

 

http://eldesaparecido.com/tools/UsbFix.exe

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista/7, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Recherche et laisse l'outil travailler
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

@++

[pear]

Bonjour,

 

Ce sont des fichiers systeme de windows qui apparaissent sur tous les disques lorsque vous affichez les dossiers cachés:

 

Pour Afficher les dossiers cachés

Sous Windows 7 et Vista

Cliquer sur Explorateur ->Organiser-> Options des dossiers et de recherche->’onglet Affichage :

ou,

Sous Windows Seven et Vista, la barre des menus n'étant pas présente par défaut, il faut d'abord la faire apparaitre.

Pressez la touche ALT du clavier. La barre des menus apparait.

Dans le menu Outils, choisissez Options des dossiers.

 

Choisissez l'onglet Affichage.

Cochez Afficher les fichiers et dossiers cachés.

Décochez Cachez les fichiers système.

Décochez Cacher les extensions dont le type est connu.

 

Pour ne plus les voir, vous faites l'inverse de la procédure.

Vous ne pouvez pas les supprimer.

[Apollo]

Merci Pear,

 

Banyan, tu ne veux pas qu'on inspecte le pc?

 

C'est comme tu veux

[pear]

Une fois de plus, je ne vous avais pas vu Apollo.

Excusez moi.

[Apollo]

Il n'y a aucun mal entre nous

 

Les infos sont complémentaires et utiles à l'internaute.

 

@++

[banyan]

Merci Pear,

 

Banyan, tu ne veux pas qu'on inspecte le pc?

 

C'est comme tu veux

 

 

Merci pour ton aide précieuse. Comme je vis au Népal (je suis ethnologue), je ne pouvais pas te répondre tout de suite en raison du décalage horaire et des aléas de ma connexion.

 

Je possède deux portables et il semble en fait que tous mes disques durs externes (7 au total) soient infectés, ainsi que toute clé USB ou carte SD que j'insère dans l'un ou l'autre portable. C'est la raison pour laquelle je suis très inquiet. J'ai branché ce matin deux DDE en lançant le programme USBfix et voici le rapport :

 

############################## | UsbFix V 7.084 | [Research]

 

User: asus (Administrator) # ASUS-PC

Updated 13/03/2012 by El Desaparecido

Started at 06:27:45 | 26/04/2012

 

Website: http://eldesaparecido.com

Suspicious file ? : http://eldesaparecido.com/upload.html

Contact: [email protected]

 

PC: ASUSTeK Computer Inc. (K61IC ) (X86-based PC) # Notebook

CPU: Intel® Core2 Duo CPU T6600 @ 2.20GHz (2200)

RAM -> [ Total : 3583 | Free : 2591 ]

BIOS: Default System BIOS

BOOT: Normal boot

 

OS: Microsoft Windows 7 Home Premium (6.1.7600 32-Bit) #

WB: Windows Internet Explorer 8.0.7600.16385

 

SC: Security Center Service [ Enabled ]

WU: Windows Update Service [ Enabled ]

AV: avast! Internet Security [ (!) Disabled | Updated ]

FW: Windows FireWall Service [ Enabled ]

 

C:\ (%systemdrive%) -> Fixed drive # 233 Gb (63 Mb free - 27%) [OS] # NTFS

D:\ -> Fixed drive # 218 Gb (217 Mb free - 99%) [DATA] # NTFS

E:\ -> CD-ROM

F:\ -> Fixed drive # 932 Gb (53 Mb free - 6%) [TOSHIBA EXT] # NTFS

G:\ -> Fixed drive # 298 Gb (1 Mb free - 0%) [Transcend] # FAT32

 

################## | Active Processes |

 

C:\Windows\system32\csrss.exe (428)

C:\Windows\system32\wininit.exe (492)

C:\Windows\system32\csrss.exe (504)

C:\Windows\system32\services.exe (544)

C:\Windows\system32\lsass.exe (560)

C:\Windows\system32\lsm.exe (568)

C:\Windows\system32\svchost.exe (684)

C:\Windows\system32\nvvsvc.exe (756)

C:\Windows\system32\svchost.exe (796)

C:\Windows\System32\svchost.exe (856)

C:\Windows\System32\svchost.exe (888)

C:\Windows\system32\svchost.exe (932)

C:\Windows\system32\svchost.exe (1032)

C:\Windows\system32\winlogon.exe (1084)

C:\Windows\system32\svchost.exe (1204)

C:\Windows\system32\FBAgent.exe (1288)

C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe (1312)

C:\Program Files\ATKGFNEX\GFNEXSrv.exe (1352)

C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1392)

C:\Program Files\AVAST Software\Avast\afwServ.exe (1424)

C:\Windows\system32\nvvsvc.exe (1676)

C:\Windows\System32\spoolsv.exe (1772)

C:\Windows\system32\taskeng.exe (1792)

C:\Windows\system32\svchost.exe (1828)

C:\Windows\system32\svchost.exe (1972)

C:\Windows\system32\taskeng.exe (2148)

C:\Windows\system32\Dwm.exe (2192)

C:\Windows\servicing\TrustedInstaller.exe (2336)

C:\Windows\Explorer.EXE (2356)

C:\Program Files\P4G\BatteryLife.exe (2400)

C:\Program Files\ASUS\SmartLogon\sensorsrv.exe (2408)

C:\Program Files\ASUS\ControlDeck\ControlDeckStartUp.exe (2416)

C:\Program Files\ASUS\ATK Hotkey\HControl.exe (2424)

C:\Program Files\ASUS\Net4Switch\Net4Switch.exe (2444)

C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe (2492)

C:\Program Files\ASUS\ATK Hotkey\KBFiltr.exe (2512)

C:\Program Files\ASUS\ATK Hotkey\WDC.exe (2524)

C:\Windows\system32\taskhost.exe (2612)

C:\Windows\System32\rundll32.exe (2868)

C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe (3440)

C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe (3472)

C:\Program Files\ASUS\ATK Media\DMedia.exe (3492)

C:\Program Files\Elantech\ETDCtrl.exe (3580)

C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe (3600)

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (3608)

C:\Program Files\Common Files\Java\Java Update\jusched.exe (3712)

C:\Program Files\AVAST Software\Avast\AvastUI.exe (3724)

C:\Program Files\Skype\Phone\Skype.exe (3732)

C:\Windows\system32\SearchIndexer.exe (3836)

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (3860)

C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe (3884)

C:\Program Files\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel.exe (3916)

C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (3928)

C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe (3948)

C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe (4060)

C:\Program Files\Windows Media Player\wmpnetwk.exe (4076)

C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe (2088)

C:\Windows\system32\wbem\wmiprvse.exe (2808)

C:\Windows\AsScrPro.exe (1536)

C:\Windows\system32\wbem\wmiprvse.exe (3200)

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (200)

C:\Windows\system32\svchost.exe (3628)

C:\Program Files\ASUS\Splendid\ACMON.exe (3876)

C:\Program Files\ASUS\ASUS Live Update\ALU.exe (4072)

C:\Program Files\ASUS\Wireless Console 3\wcourier.exe (3276)

C:\Windows\System32\ACEngSvr.exe (2912)

C:\Windows\system32\SearchProtocolHost.exe (4252)

C:\Windows\system32\SearchFilterHost.exe (4300)

C:\Windows\system32\sppsvc.exe (4652)

C:\Windows\System32\svchost.exe (4684)

C:\UsbFix\Go.exe (4704)

C:\Windows\system32\ctfmon.exe (4968)

 

################## | Files # Infected Folders |

 

Found ! F:\$RECYCLE.BIN.exe

Found ! F:\Photos Canon août 2011.exe

Found ! F:\Photos Canon avril 2011.exe

Found ! F:\Photos Canon juillet 2011.exe

Found ! F:\Photos Canon juin 2011.exe

Found ! F:\Photos Canon mai 2011.exe

Found ! F:\Photos Canon mars 2011.exe

Found ! F:\System Volume Information.exe

Found ! G:\Photos glanées.exe

Found ! G:\Photoseul oct 2010.exe

Found ! G:\Utility.exe

Found ! G:\Manual.exe

Found ! G:\SJelite3Settings.exe

Found ! G:\Personal Data.exe

Found ! G:\Moandi.exe

Found ! G:\Moïse.exe

Found ! G:\Sélection Norvège.exe

Found ! G:\Sélection printemps.exe

Found ! G:\Voyage.exe

Found ! G:\Sélection photos 2010.exe

Found ! G:\B & W 2010.exe

Found ! G:\Népali.exe

Found ! G:\Derniers sons.exe

Found ! G:\Sept - oct 2010.exe

Found ! G:\Trek.exe

Found ! G:\Reste 2012.exe

Found ! G:\Couleurs 2012.exe

Found ! G:\Noir et blanc 2012.exe

Found ! G:\clé usb.exe

Found ! G:\Lightroom.exe

Found ! G:\Himagine.exe

 

################## | Registry |

 

Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Yahoo Messengger

 

################## | Mountpoints2 |

 

 

 

################## | Vaccin |

 

(!) This computer is not vaccinated!

 

################## | E.O.F |

[Apollo]

Bonjour,

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Suppression et laisse travailler l'outil.
   
  
• Une fenêtre de te demandant de brancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

Réactiver l'UAC sur Vista/7!

 

@++

[banyan]

Merci beaucoup de votre réactivité.

J'ai 7 disques durs externes probablement infectés et 4 sorties USB sur mon PC. Est-ce que je branche le maximum de DDE possibles pendant l'opération ou seulement les 2 que j'avais connectés pendant le scan de USBfix ?

[Apollo]

Re,

 

Il faut certainement les traiter tous.

 

Mais si tu dois le faire en deux fois, il faut recommencer chaque fois la fonction recherche avec le maximum de supports usb connectés.

 

Ainsi, Connecter 4 supports usb, lancer la recherche par USBFIX.

 

Relancer l'outil et procéder à la désinfection; la vaccination sera opérée automatiquement.

 

Refaire la recherche sur les trois supports usb restant, puis passer à la désinfection/vaccination..

 

Poste les rapports au fur et à mesure que tu les obtiens stp.

 

@++