Clef USB infectée par wscript.exe

[tisouit]

Coucou , je reviens par ici, j'ai ma cle usb infecté (a force d'aller de cyber en cyber forcément...).

 

Donc quand je l'a connecte, elle est bien reconnue, elle est bien pleine, seulement quand je l'ouvre je ne vois que un raccourci qui mène vers le fichier d'à coté qui est "wscript.exe" Il ne veux pas s'enlever et je n'ose même pas cliquer dessus ...

 

Donc je vous met ici le rapport d'usbfix :

 

 

 

############################## | UsbFix V 7.126 | [Recherche]

 

Utilisateur: POSTE-4 (Administrateur) # POSTE-4-PC

Mis à jour le 13/05/2013 par El Desaparecido

Lancé à 15:44:48 | 20/05/2013

 

Site Web: http://sosvirus.org/

Upload Malware: http://upload.sosvirus.org/

Contact: contact@sosvirus.org

 

PC: Hewlett-Packard (p2-1210l) (X86-based PC)

CPU: Intel® Pentium® CPU G640T @ 2.40GHz (2400)

RAM -> [Total : 1918 | Free : 956]

BIOS: Ver: CO2_712.rom vCO27.12

BOOT: Normal boot

 

OS: Microsoft Windows 7 Édition Intégrale (6.1.7600 32-Bit) #

WB: Windows Internet Explorer 8.0.7600.16385

 

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

AV: avast! Antivirus [(!) Disabled | Updated]

FW: Windows FireWall Service [Enabled]

 

C:\ (%systemdrive%) -> Disque fixe # 279 Go (254 Go libre(s) - 91%) [] # NTFS

D:\ -> CD-ROM

F:\ -> Disque amovible # 4 Go (945 Mo libre(s) - 25%) [CITROEN] # FAT32

 

################## | Processus Actif |

 

C:\Windows\system32\csrss.exe (380)

C:\Windows\system32\wininit.exe (420)

C:\Windows\system32\csrss.exe (432)

C:\Windows\system32\services.exe (476)

C:\Windows\system32\winlogon.exe (500)

C:\Windows\system32\lsass.exe (512)

C:\Windows\system32\lsm.exe (524)

C:\Windows\system32\svchost.exe (652)

C:\Windows\system32\svchost.exe (736)

C:\Windows\System32\svchost.exe (832)

C:\Windows\System32\svchost.exe (868)

C:\Windows\system32\svchost.exe (904)

C:\Windows\system32\svchost.exe (1052)

C:\Windows\system32\svchost.exe (1168)

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1308)

C:\Windows\System32\spoolsv.exe (1596)

C:\Windows\system32\Dwm.exe (1624)

C:\Windows\system32\taskhost.exe (1688)

C:\Windows\Explorer.EXE (1724)

C:\Windows\system32\svchost.exe (1752)

C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2028)

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe (344)

C:\Windows\system32\svchost.exe (1236)

C:\Windows\system32\svchost.exe (2184)

C:\Program Files\Alwil Software\Avast5\AvastUI.exe (2312)

C:\Windows\system32\WUDFHost.exe (2340)

C:\Program Files\Ask.com\Updater\Updater.exe (2612)

C:\Windows\system32\SearchIndexer.exe (2764)

C:\Program Files\Cybera Client\cybcli.exe (2856)

C:\Program Files\McAfee Security Scan\3.0.318\SSScheduler.exe (3076)

C:\Program Files\PDFCreator\PDFCreator.exe (3100)

C:\Program Files\Windows Media Player\wmpnetwk.exe (3380)

C:\Windows\System32\svchost.exe (3124)

C:\Windows\system32\taskeng.exe (1100)

C:\Program Files\Google\Chrome\Application\chrome.exe (952)

C:\Program Files\Google\Chrome\Application\chrome.exe (3048)

C:\Program Files\Google\Chrome\Application\chrome.exe (2300)

C:\Program Files\Google\Chrome\Application\chrome.exe (1412)

C:\UsbFix\Go.exe (3056)

C:\Windows\system32\wbem\wmiprvse.exe (2084)

 

################## | El Desaparecido Section |

 

HKLM\SOFTWARE | Run : [avast5] - "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

HKLM\SOFTWARE | Run : [] -

HKLM\SOFTWARE | Run : [ApnUpdater] - "C:\Program Files\Ask.com\Updater\Updater.exe"

HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

HKLM\SOFTWARE | RunOnce : [] -

HKU\S-1-5-19\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-20\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-21-1249816524-737835381-2262935799-1000\SOFTWARE | Run : [Cybera Client] - "C:\Program Files\Cybera Client\cybcli.exe"

HKU\S-1-5-21-1249816524-737835381-2262935799-1000\SOFTWARE | Run : [skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

HKU\S-1-5-21-1249816524-737835381-2262935799-1000\SOFTWARE | Run : [Facebook Update] - "C:\Users\POSTE-4\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

 

################## | Éléments infectieux |

 

Présent! F:\Administrateur.lnk

Présent! C:\Program Files\GUT6F58.tmp

Présent! C:\Users\POSTE-4\AppData\Local\Temp\ADMIN.vbe

Présent! C:\Users\POSTE-4\AppData\Local\Temp\CPBA.bat

Présent! F:\autorun.inf

Présent! F:\Microsoft.exe

Présent! F:\Recycler\desktop.ini

Présent! F:\wxz.exe

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{020c5869-8fcc-11e2-bc17-f83ff0dbe32d}

Shell\AutoRun\Command = F:\LaunchU3.exe -a

 

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F | http://sosvirus.org |

 

 

(rapport de deuxième analyse a la suite car je n'est pas désactivé l'antivirus)

 

 

voila ... Merci de ne pas prendre en compte les données systeme du PC sur le quel l'analyse a été faite car je change tout le temps.

 

Merci ...

Modifié le 20 mai 2013 par tisouit

[Apollo]

Bonjour,

 

j'ai ma cle usb infecté (a force d'aller de cyber en cyber forcément...).

 

Ben non, pas forcément, c'est AVANT de connecter tes clés ou disque dur externe à un autre ordinateur qu'il faut les protéger par la vaccination.

 

C'est malin tiens Si tu vas en Afrique ou en Orient, tu te fais vacciner avant de partir non?

 

J'attends la suite.

 

@++

[Apollo]

Re,

 

As-tu procédé à la suppression (désinfection/vaccination)?

 

---------

• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
   
  Si vous ne savez pas comment faire, reportez-vous à cet article.
   
  
• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

• Double cliquez sur UsbFix.exe.
  
• Cliquez sur Supression

 

 

• Laissez travailler l'outil.
  
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
  
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
  
• Tutoriel en images

 

++

[tisouit]

voici le rapport de la suppression ;

 

 

 

############################## | UsbFix V 7.126 | [suppression]

 

Utilisateur: Poste 4 (Administrateur) # POSTE7

Mis à jour le 13/05/2013 par El Desaparecido

Lancé à 00:00:29 | 21/05/2013

 

Site Web: http://sosvirus.org/

Upload Malware: http://upload.sosvirus.org/

Contact: contact@sosvirus.org

 

PC: CdcPointSpa (KM400-8235) (X86-based PC)

CPU: AMD Athlon XP 1800+ (1526)

RAM -> [Total : 735 | Free : 391]

BIOS: Phoenix - AwardBIOS v6.00PG

BOOT: Normal boot

 

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3

WB: Windows Internet Explorer 6.0.2900.5512

 

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

FW: Windows FireWall Service [Enabled]

 

C:\ (%systemdrive%) -> Disque fixe # 38 Go (33 Go libre(s) - 87%) [] # NTFS

D:\ -> CD-ROM

E:\ -> CD-ROM

F:\ -> CD-ROM

G:\ -> Disque amovible # 4 Go (945 Mo libre(s) - 25%) [CITROEN] # FAT32

 

################## | El Desaparecido Section |

 

HKLM\SOFTWARE | Run : [Cmaudio] - RunDll32 cmicnfg.cpl,CMICtrlWnd

HKLM\SOFTWARE | Run : [VTTimer] - VTTimer.exe

HKLM\SOFTWARE | Run : [MSSE] - "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide

HKLM\SOFTWARE | Run : [VirtualCloneDrive] - "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

HKLM\SOFTWARE | Run : [smapp] - C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

HKLM\SOFTWARE | Run : [TimeWatcher] - C:\Program Files\TimeWatcher\Tiwa5.exe

HKLM\SOFTWARE | Run : [V0330Mon.exe] - C:\WINDOWS\V0330Mon.exe

HKLM\SOFTWARE | RunOnce : [] -

HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

HKU\S-1-5-21-2025429265-1275210071-1606980848-1003\SOFTWARE | Run : [Facebook Update] - "C:\Documents and Settings\Poste 4\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver

HKU\S-1-5-21-2025429265-1275210071-1606980848-1003\SOFTWARE | Run : [skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun

HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

HKU\S-1-5-18\SOFTWARE | Run : [DWQueuedReporting] - "c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t

 

################## | Processus Stoppés |

 

Stoppé! c:\Program Files\Microsoft Security Essentials\MsMpEng.exe (1112)

Stoppé! C:\WINDOWS\system32\spoolsv.exe (1656)

Stoppé! C:\WINDOWS\Explorer.EXE (1688)

Stoppé! C:\Program Files\ma-config.com\MaConfigAgent.exe (508)

Stoppé! C:\WINDOWS\system32\VTTimer.exe (584)

Stoppé! C:\Program Files\Microsoft Security Essentials\msseces.exe (600)

Stoppé! C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (608)

Stoppé! C:\Program Files\Analog Devices\SoundMAX\SMTray.exe (620)

Stoppé! C:\Program Files\TimeWatcher\Tiwa5.exe (628)

Stoppé! C:\WINDOWS\V0330Mon.exe (444)

Stoppé! C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (1216)

Stoppé! C:\Documents and Settings\Poste 4\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (3864)

Stoppé! C:\Documents and Settings\Poste 4\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (4044)

Stoppé! C:\Documents and Settings\Poste 4\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (2548)

Stoppé! C:\Documents and Settings\Poste 4\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (3204)

Stoppé! C:\Documents and Settings\Poste 4\Local Settings\Application Data\Google\Chrome\Application\chrome.exe (3808)

 

################## | Éléments infectieux |

 

Supprimé! G:\Administrateur.lnk

Supprimé! G:\autorun.inf

Supprimé! G:\Microsoft.exe

Supprimé! G:\Recycler\desktop.ini

Supprimé! G:\wxz.exe

 

(!) Fichiers temporaires supprimés.

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

 

################## | Listing |

 

[11/05/2013 - 14:27:08 | N | 0] C:\AUTOEXEC.BAT

[11/05/2013 - 14:20:32 | N | 212] C:\boot.ini

[28/08/2001 - 14:00:00 | N | 4952] C:\Bootfont.bin

[11/05/2013 - 14:27:08 | N | 0] C:\CONFIG.SYS

[13/05/2013 - 21:28:30 | N | 0] C:\Cookies

[11/05/2013 - 14:32:53 | D ] C:\Documents and Settings

[11/05/2013 - 14:27:08 | N | 0] C:\IO.SYS

[11/05/2013 - 14:27:08 | N | 0] C:\MSDOS.SYS

[11/05/2013 - 15:11:55 | RHD ] C:\MSOCache

[13/04/2008 - 09:43:04 | N | 47564] C:\NTDETECT.COM

[13/04/2008 - 11:31:52 | N | 252240] C:\ntldr

[20/05/2013 - 23:32:54 | ASH | 1157627904] C:\pagefile.sys

[13/05/2013 - 21:27:48 | D ] C:\Program Files

[11/05/2013 - 22:42:59 | SHD ] C:\RECYCLER

[11/05/2013 - 14:31:42 | SHD ] C:\System Volume Information

[21/05/2013 - 00:02:11 | D ] C:\UsbFix

[21/05/2013 - 00:02:50 | A | 4676] C:\UsbFix [Clean 2] POSTE7.txt

[17/05/2013 - 20:29:05 | D ] C:\WINDOWS

[03/04/2013 - 21:39:24 | N | 4096] G:\._.Trashes

[03/04/2013 - 21:39:24 | SHD ] G:\.Trashes

[03/04/2013 - 21:39:26 | D ] G:\.Spotlight-V100

[26/03/2013 - 19:43:32 | D ] G:\Musica

[26/03/2013 - 19:43:40 | D ] G:\Divers

[26/03/2013 - 19:43:46 | D ] G:\PDF

[26/03/2013 - 19:43:52 | D ] G:\Korg

[26/03/2013 - 19:46:42 | D ] G:\Photo&video

[10/05/2013 - 20:40:34 | HD ] G:\RECYCLER

 

################## | Vaccin |

 

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

 

################## | E.O.F | http://sosvirus.org |

 

 

 

 

Hé Magie ! Ca a l'air d'être parti, j'accède à tout mes fichiers sans problème on dirait ... Je vaccine maintenant ?

 

Et non, je ne me vaccine pas à la moindre occasion conseillée ... Entre ce qui est dit (tand au niveau composition du vaccin et du risque potentiel de la région visitée )et la réalité il y a souvent un grand fossé...

 

Merci en tout cas, je pense que c'est n'est pas la dernière fois que je post, j'essayerais un jour de porter ma contribution au fofo. Bye !

Modifié le 20 mai 2013 par tisouit

[Apollo]

Bonjour,

 

La vaccination a été faite après la désinfection.

 

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

 

Rien d'autre?

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

++