Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Clef USB infectée

gil210

Par gil210
dans Analyses et éradication malwares

 Partager

Messages recommandés

gil210 Power Member

gil210

Posté(e)
Posté(e) (modifié)

Bonsoir à toutes et tous,

je viens de constater que ma clé USB est probablement infectée. A l'ouverture, plusieurs raccourcis apparaissent dont " trashes" et "sysdate.exe"

L'antivirus (Avast) n'a rien détecté.

Je m'en remets donc à vous...

Merci d'avance pour votre aide.

bonne soirée

Gil

Modifié par gil210

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

Bonsoir

Fait ceci.

Désactive ton anti Virus avant le scan car il bloque sur la désinfection

 

Télécharge USBFix depuis ce lien :

http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix

 

Double cliquez sur "UsbFix.exe" présent sur votre bureau.

L'installation est automatique.

 

Branche tes lecteurs externes

 

Valide Recherche

Une fois l'analyse terminée, un rapport de scan vous est proposé...

 

CTRL+A pour tout sélectionner

CTRL+C pour copier

CTRL+V pour coller dans la réponse

 

gil210 Power Member

gil210

Posté(e)
  • Auteur
Posté(e)

Bonsoir Bernard et merci pour l'interet.

Voici le rapport USBFix :

 

############################## | UsbFix V 7.137 | [Recherche]

Utilisateur: Anaïs SERRATORE (Administrateur) # NOM-13F9F1BBE66
Mis à jour le 18/09/2013 par El Desaparecido - Team SosVirus
Lancé à 20:21:32 | 19/09/2013

Site Web: http://www.usbfix.net/
Forum : http://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: http://www.usbfix.net/contact/

PC: MICRO-STAR INTERNATIONAL CO., LTD (U-100) (X86-based PC)
CPU: Intel® Atom CPU N270 @ 1.60GHz (1600)
RAM -> [Total : 1013 | Free : 345]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 39 Go (3 Go libre(s) - 8%) [OS_Install] # NTFS
D:\ -> Disque fixe # 106 Go (106 Go libre(s) - 100%) [] # NTFS
E:\ -> Disque amovible # 8 Go (8 Go libre(s) - 100%) [ALEXANDRE] # FAT32

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (760)
C:\WINDOWS\system32\winlogon.exe (836)
C:\WINDOWS\system32\services.exe (880)
C:\WINDOWS\system32\lsass.exe (892)
C:\WINDOWS\system32\svchost.exe (1060)
C:\WINDOWS\System32\svchost.exe (1148)
C:\WINDOWS\system32\svchost.exe (1188)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1528)
C:\WINDOWS\system32\spoolsv.exe (1616)
C:\Program Files\Java\jre7\bin\jqs.exe (1772)
C:\Program Files\System Control Manager\MSIService.exe (1824)
C:\WINDOWS\system32\svchost.exe (1940)
C:\Documents and Settings\Anaïs SERRATORE\Local Settings\Application Data\Torch\Update\TorchCrashHandler.exe (1972)
C:\WINDOWS\system32\wbem\wmiapsrv.exe (1404)
C:\WINDOWS\Explorer.EXE (488)
C:\Program Files\AVAST Software\Avast\avastUI.exe (2896)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (2916)
C:\WINDOWS\system32\ctfmon.exe (2932)
E:\Malwarebytes' Anti-Malware\mbamscheduler.exe (136)
E:\Malwarebytes' Anti-Malware\mbamservice.exe (4076)
C:\WINDOWS\system32\wscntfy.exe (3260)
C:\UsbFix\Go.exe (184)
C:\Program Files\Mozilla Firefox 3.6 Beta 5\firefox.exe (3780)
C:\Program Files\Mozilla Firefox 3.6 Beta 5\plugin-container.exe (3908)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [sunJavaUpdateSched] - "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [Malwarebytes Anti-Malware] - E:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-2120118307-787412253-264722141-1005\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-2120118307-787412253-264722141-1005\SOFTWARE | Run : [] -
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

################## | Éléments infectieux |

Présent! D:\setupSNK.exe
Présent! D:\AUTORUN.INF

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{474e0db9-97d9-11e2-9563-002185ba293c}
Shell\AutoRun\Command = E:\Startme.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{5b0f1580-010e-11e0-9290-002185ba293c}
Shell\AutoRun\Command = E:\SecureII\Windows\SecureII.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{776df8ad-1f2a-11df-911d-002185ba293c}
Shell\AutoRun\Command = E:\start.exe



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

gil210 Power Member

gil210

Posté(e)
  • Auteur
Posté(e)

Désolé pour le retard mais l'ordi a planté durant la suppression.

Voici le rapport après la seconde manoeuvre :

 

############################## | UsbFix V 7.137 | [suppression]

Utilisateur: Anaïs SERRATORE (Administrateur) # NOM-13F9F1BBE66
Mis à jour le 18/09/2013 par El Desaparecido - Team SosVirus
Lancé à 20:51:28 | 19/09/2013

Site Web: http://www.usbfix.net/
Forum : http://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: http://www.usbfix.net/contact/

PC: MICRO-STAR INTERNATIONAL CO., LTD (U-100) (X86-based PC)
CPU: Intel® Atom CPU N270 @ 1.60GHz (1600)
RAM -> [Total : 1013 | Free : 477]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 39 Go (3 Go libre(s) - 7%) [OS_Install] # NTFS
D:\ -> Disque fixe # 106 Go (106 Go libre(s) - 100%) [] # NTFS
E:\ -> Disque amovible # 8 Go (8 Go libre(s) - 100%) [ALEXANDRE] # FAT32

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [sunJavaUpdateSched] - "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-2120118307-787412253-264722141-1005\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-2120118307-787412253-264722141-1005\SOFTWARE | Run : [] -
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

################## | Processus Stoppés |

Stoppé! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1524)
Stoppé! C:\WINDOWS\system32\spoolsv.exe (1620)
Stoppé! C:\Program Files\Java\jre7\bin\jqs.exe (1764)
Stoppé! C:\Program Files\System Control Manager\MSIService.exe (1832)
Stoppé! C:\Documents and Settings\Anaïs SERRATORE\Local Settings\Application Data\Torch\Update\TorchCrashHandler.exe (1948)
Stoppé! C:\WINDOWS\system32\wuauclt.exe (280)
Stoppé! C:\WINDOWS\system32\wbem\wmiapsrv.exe (624)
Stoppé! C:\WINDOWS\Explorer.EXE (3004)
Stoppé! C:\Program Files\AVAST Software\Avast\avastUI.exe (3828)
Stoppé! C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (3848)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (3864)
Stoppé! C:\Program Files\Mozilla Firefox 3.6 Beta 5\firefox.exe (596)
Stoppé! C:\WINDOWS\system32\wscntfy.exe (3428)
Stoppé! C:\Program Files\AVAST Software\Avast\setup\avast.setup (3680)

################## | Éléments infectieux |

Supprimé! D:\setupSNK.exe
Supprimé! D:\AUTORUN.INF

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{474e0db9-97d9-11e2-9563-002185ba293c}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5b0f1580-010e-11e0-9290-002185ba293c}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{776df8ad-1f2a-11df-911d-002185ba293c}

################## | Listing |

[15/10/2008 - 12:02:07 | N | 0] C:\AUTOEXEC.BAT
[30/12/2009 - 12:46:06 | N | 216] C:\boot.ini
[14/04/2008 - 14:00:00 | N | 4952] C:\Bootfont.bin
[12/09/2013 - 17:52:21 | D ] C:\Config.Msi
[15/10/2008 - 12:02:07 | N | 0] C:\CONFIG.SYS
[15/10/2008 - 17:17:01 | D ] C:\CoreWinzip
[26/01/2009 - 16:51:44 | D ] C:\Documents and Settings
[30/10/2012 - 15:44:01 | D ] C:\found.000
[15/10/2008 - 15:25:17 | D ] C:\Intel
[15/10/2008 - 12:02:07 | N | 0] C:\IO.SYS
[15/10/2008 - 12:02:07 | N | 0] C:\MSDOS.SYS
[18/06/2013 - 13:58:04 | RHD ] C:\MSOCache
[15/10/2008 - 17:01:23 | D ] C:\NIS2008_60days
[14/04/2008 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | N | 252240] C:\ntldr
[19/09/2013 - 20:48:56 | ASH | 1598029824] C:\pagefile.sys
[19/09/2013 - 16:38:44 | D ] C:\Program Files
[26/01/2009 - 11:16:13 | SHD ] C:\RECYCLER
[12/06/2013 - 16:56:03 | SHD ] C:\System Volume Information
[19/09/2013 - 20:54:01 | D ] C:\UsbFix
[19/09/2013 - 20:43:32 | N | 2885] C:\UsbFix [Clean 1] NOM-13F9F1BBE66.txt
[19/09/2013 - 20:55:19 | A | 4274] C:\UsbFix [Clean 2] NOM-13F9F1BBE66.txt
[19/09/2013 - 20:25:09 | N | 3833] C:\UsbFix [scan 1] NOM-13F9F1BBE66.txt
[19/09/2013 - 20:42:45 | N | 3834] C:\UsbFix [scan 4] NOM-13F9F1BBE66.txt
[19/09/2013 - 16:47:20 | D ] C:\WINDOWS
[08/08/2009 - 22:23:33 | D ] D:\5c77ede90994d67b6e5f6583cd
[26/01/2009 - 12:19:03 | SHD ] D:\RECYCLER
[15/08/2009 - 21:48:35 | D ] D:\SMRTNTKY
[12/06/2013 - 16:55:52 | SHD ] D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |

gil210 Power Member

gil210

Posté(e)
  • Auteur
Posté(e)

Bonjour Bernard,

Vérification ce matin du contenu de la clé (que j'ai formaté hier soir) :

Il me reste des "cochonneries .

- 1 dossier (vide) nommé "My pictures" Emplacement : cmd(C:/windows/système 32)

- 1 fichier Autorun.inf . Même emplacement ci-dessus

- 1 fichier "My pictures". Empl. idem

- 1 fichier sysdate.exe. Empl. idem

- 1 appli Sysdate

 

J'avoue être un peu perdu. C'est l'emplacement de ces éléments qui m'intrigue un peu (C:/) L'ordinateur ne serait-il pas également "touché" ?

Bonne journée et à plus tard.

bernard53 Godlike Member

bernard53

Posté(e)
Posté(e)

Pour voir plus.

 

Télécharges http://nicolascoolman.webs.com/'> ZHPDIAG (de Nicolas Coolman) sur ton bureau...
Doubles-clique sur l'icône ZHPDiag .exe pour l’installation.

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

13082408411215405011489645.png

Double-clique ensuite sur l’icône ZHPDiag pour le lancer l’analyse puis :

13090808273115405011534599.png

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPDiag.txt

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

 

pour "Autorun" normal puisque USBfix a vacciné le pc. On peux toujours supprimé cette vaccination si tu ne veux pas de celle-ci.

gil210 Power Member

gil210

Posté(e)
  • Auteur
Posté(e)

Re Bernard,

Bon, souci sur l'ordi.

Lorsque je lance le scan avec ZHPDiag, il se bloque aux 82% avec le message suivant :

Violation d'accés à l'adresse 0040724E dans le module ZHPDiag.exe -Ecriture de l'adresse 003D0048

Le scan stoppe sur le fichier suivant :

D:/ProgramFiles(x86)/Cracked Steam/steamapps/Common/Spiral Knights/rsrc/item/live/pot

 

J'ai fait le scan à partir de l'ordi de mon fils (chargé en jeux....), je suis en train de me demander si la bécane n'est pas infectée!

Bonne A-M, à plus tard, si tu peux.

gil210 Power Member

gil210

Posté(e)
  • Auteur
Posté(e)

Bonsoir Bernard

J'ai du nouveau : Concernant le blocage de ZHPDiag, cela venait d'une desinstallation incomplète d'un jeu (Spiral Knights). Après une desintallation complète (il restait un dossier de fichiers de 280 MO....), le scan s'est poursuivi entierement.

Pour supprimer les différents fichiers présents sur la clé (et l'ordi), j'ai fait un tour dans le registre ( Touche Windws + R - recherche : REGEDIT - Ctrl + F : sysdate) et ai supprimé manuellement les résultats "sysdate".

J'ignore si la méthode est très"orthodoxe" mais les éléments, dossiers et fichiers, indésirables ont disparu.

Je te transmets tout de même le rapport ZHPDiag effectué APRES ma desisfinction : tu y trouveras sans doute des anomalies ou autres soucis.

N'hésites surtout pas à me faire part de tes remarques et/ou corrections éclairées.

 

http://cjoint.com/?3IuqOWZlSnM

 

Merci par avance, Bonne soirée et peut-être à plus tard.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...