[Résolu] Clé USB perturbée par un dossier (malware, autre ?)

[DFO]

Bonsoir,

 

Je me permets de poster sur ce forum, à la suite de la lecture d'un problème similaire (sujet : clef usb perturbée par un dossier .exe, en date de novembre 2023).

J'ai d'abord rédigé un long message. Ensuite j'ai encore relu le précédent post, et je crois identifier le problème mais sans arriver à le résoudre : 

- dans le gestionnaire des tâches, il y a, au démarrage, winexe. Ce dossier apparaît dans AppData comme dans l'autre post

- mais on ne peut pas supprimer car il est utilisé par "Java (TM) Se Platform Binary".

J'en déduis que le PC est bien infecté mais je ne parviens pas à supprimer winexe qui, si j'ai bien saisi, pose problème. Comme dans l'autre cas, Java n'est pas installé. 

Je peine, toutefois, à bien comprendre ce qu'il faudrait faire.

 

Je vous laisse néanmoins l'ensemble de l'affaire. J'avais une clef USB, formatée en FAT32. J'ai deux autres cartes SD formatées de même façon. J'ai utilisée la clef usb sur un autre ordinateur, mais vérifiée préalablement et vérifiée ensuite, et rien n'est apparu : j'ai transféré les fichiers obtenus (pour être très précis : c'est un numériseur qui transfère les fichiers sur la clef).

J'insère la clef dans mon ordinateur, donc. Là, la clef se comporte bizarrement : elle transfère peu à peu les fichiers dans un dossier "usbfiles" et crée, en sus, un autre dossier avec des fichiers qui ne sont pas à moi (c'est ce qui m'a évidemment fait penser à un virus).

J'ai donc agi face à un virus : j'ai analysé la clef (avec AVG), rien. J'ai formaté la clef. Et depuis elle est morte.

C'est là que la deuxième partie commence : j'insère une carte microSD formatée en FAT32. Et le même phénomène se reproduit. Dès lors, j'ai analysé la carte microSD avec AVG : rien. J'ai donc tenté sur un autre pc (après analyse toujours) : rien. Je peux même paisiblement supprimer les fichiers, réorganiser le tout sans avoir aucune difficulté. Par contre, quand je remets dans l'ordinateur, rebelote : déplacement des fichiers de la clef vers USBFiles et création de dossiers qui ne sont pas à moi.

J'ai tenté de formater mon ordinateur, mais en conservant néanmoins mes fichiers - je suis sur Windows 10. Toujours pareil (évidemment puisque j'ai conservé les fichiers...) avec une différence notable : les fichiers indésirables semblent avoir disparu. En échange, cependant, cela m'a tout  transféré sur un exécutable "Accéder aux fichiers du 64 GO" (la clef usb) et, quand je clique, cela me dit "The application requires a Java Runtime Environment 1.7-1.8".

Enfin, j'ajoute une petite chose : j'ai une liseuse Vivlio Inkpad 3. Quand on la branche, on a la même chose avec un dossier qui se crée "Accéder aux fichiers de Vivlio".  Et, quand on l'éjecte, elle se réinitialise toute seule (réglages usines. Elle, par contre, hérite des fichiers qui ne sont pas à moi (des fichiers très ordinaires en apparence du moins : des billets d'avion etc). Mais, l'analyse antivirus ne donne toujours rien et même combat : si on se branche sur un autre pc, aucun problème et on peut aisément supprimer les fichiers qui ne m'appartiennent pas.

 

Et je précise, enfin, que je possède un disque dur, lui en NTFS : il ne subit pas le phénomène.

 

Je ne sais pas bien quoi en penser. J'ai lu attentivement l'autre discussion qui avait un problème proche : j'avoue ne pas être plus avancé mais peut-être ici certains auraient la possibilité de m'aiguiller... Je ne comprends rien mais vu la qualité de la réponse apportée, je me suis dit que je pourrais peut être trouver de l'aide. Sinon, la solution un peu forte peut être de réinitialiser l'ordinateur.

 

Je vous remercie infiniment si cela est possible,

DF

Modifié le 13 mars par DFO
(rajout d'éléments)

[DFO]

Rebonjour,

Je rajoute un message pour dire qu'après encore de la recherche de mon côté, pour éviter éventuellement des recherches de la part de personnes qui me liraient, que j'ai réussi à supprimer les fichiers incriminés (grâce à plusieurs passages d'antivirus), winfiles etc. Les clefs usb, carte sd et autres supports de stockage fonctionnent comme jadis (après formatage au cas où, comme cela était indiqué).

Bémol, tout de même, il semble que mon ordinateur soit très ralenti, pas dans les ouvertures de fichiers et d'applications mais dans le fonctionnement : quand on fait un clic droit sur le bureau, il faut attendre plusieurs minutes (peut être 3-4) pour qu'on puisse avoir accès aux options type créer un nouveau dossier. C'est un peu fâcheux. Je ne sais pas si on peut obtenir une résolution disons complète - déjà, grâce à l'aide glanée ici, j'ai pu sans doute résoudre correctement le gros souci.

Merci !

[tomtom95]

Bonjour DFO,

D'après ce que je comprend le fichier WinFile est supprimer.
Ce qui te pose problème maintenant c'est que l'ordinateur est devenue lent.

On peut faire une vérification du système "diagnostic" de l'ordinateur avec l'outil FRST

Selon le système exploitation 32 Bit ou 64 Bits  
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits

Télécharger FRST sur ton Bureau << IMPORTANT pas ailleurs
Lien de téléchargement de l'outil >> Farbar Recovery Scan Tool  soit pour systèmes x32 (x86) ou Pour systèmes x64

Le filtre SmartScreen de windows peut afficher une alerte.
Clique sur Actions ou Informations complémentaires puis sur Exécuter quand même.

Ferme toutes les applications en cours (notamment le navigateur)
Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
puis clique sur 'Exécuter' lors de l'Avertissement de sécurité.
Quand l'outil démarre, clique sur Oui (Acceptez les termes de la fenêtre Disclaimer clause de non-responsabilité).

Clique sur le bouton ANALYSER.
L'outil va créer un fichier rapport [log] nommé FRST.txt et Addition.txt situé sur le bureau

Héberge les deux rapports  sur le site Service de rapport en ligne
Puis sur le site Clique sur  ENVOI, >>  copie/colle les liens des rapports dans ta prochaine réponse.

[DFO]

Bonjour,

 

Merci de la réponse. En effet, j'ai lu l'usage FRST, que je fais (ça fait partie des étapes que j'avais essayé de suivre mais évidemment pour moi ce que je lis ne fais aucun sens sans guide). L'idée serait plus de vérifier que tout a l'air à peu près normal si c'est possible parce que si je réinfecte des clefs c'est un peu ça le problème...

Addition : https://www.cjoint.com/c/NClscwNJp3r

Et le rapport : https://www.cjoint.com/c/NClsdCKczKr

 

J'ai réglé la question de la lenteur par une mise à jour des drivers graphiques - apparemment, la réinitialisation de windows en conservant les fichiers était une idée assez mauvaise car elle a produit des doublons.

Par contre, là où je reste très curieux, c'est de savoir quel était cet étrange virus. Parce que j'imagine que c'est un virus, mais ça me paraît quand même bizarre : un truc qui n'affecte que les clefs en FAT32, et qui en plus crée des fichiers parfaitement ordinaires qui ne sont pas à moi, déplaçant le reste ailleurs. Les virus que j'ai pu voir jusque là faisaient des choses bien plus gênantes. De plus, les premiers antivirus que j'ai utilisés n'ont pas réussi à le détecter et à le supprimer ; plusieurs coups ont été nécessaires pour que l'antivirus supprime lui même des fichiers qui empêchaient la suppression de winfiles et compagnie. Bref, c'est vraiment bizarre.

 

Merci encore !

[tomtom95]

Bonsoir,

Le fichier WinFiles en soit n'est pas un indésirable.
C'est plutôt les fichiers qui sont associés au comme USBfiles qui posent problème.
Ils sont programmés au démarrage des ports USB et contamine automatiquement les périphériques externes.
OK, c'est une bonne chose d'avoir mis tes pilotes à jour,
Pour la lenteur je te conseille de virer Avast qui est très gourmand en ressources, très intrusif,
Pour ne garder que le centre de sécurité de Windows.

Profite pour désinstaller McAfee LiveSafe
Tape sur les touches de ton clavier Windows+ I
Ouvre Applications >> Applications et fonctionnalités  
Recherche dans la liste sélectionne les programmes et désinstalle.

On va faire une Correction avec l'outil FRST
Avant Déplace l'outil FRST (Pas de raccourci) sur ton BUREAU << il est actuellement dans le dossier Téléchargements.

Ouvre l'outil FRST.exe >> Clique-droit sur > exécuter en tant qu'administrateur
Puis va sur le site >> Copier la totalité du contenu de ce correctif hébergé ici >>>  https://textup.fr/768217UC

Pour ce faire, sélectionne avec ta souris toutes les lignes, de Start:: jusqu'a End::
Puis clique droit sur le texte et sur copier
(le correctif est copié automatiquement dans le Presse-Papier du PC
>>>> Fermer toutes les applications ouverte, y compris le navigateur

Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction
Ces lignes ont été écrites spécialement pour cet utilisateur,
pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

L'outil aura besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,Service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.

 

[DFO]

Bonsoir,

Merci beaucoup, encore. Voici la correction :https://www.cjoint.com/c/NCmsWKGK5kr

Quant au reste, je comprends bien mieux désormais l'affaire Winfiles. C'est un peu ce que j'avais déduis de la lecture : ce n'est pas une mauvaise chose... Par contre j'ignorais totalement le reste mais je comprends mieux, avec le fait que cela se lance avec une clef, pourquoi cela posait problème seulement en mettant une clef. Après, était-ce un virus, ça... C'est franchement curieux.

McAfee va disparaître, en effet, rapidement. C'était déjà le cas, mais quand j'ai réinitialisé le PC (en gardant mes fichiers), il s'est remis sans tout à fait se remettre, rendant la désinstallation un peu plus difficile (ça résiste un peu via le panneau d'applications mais ça ne devrait pas trop poser problème). En gros, la réinstallation était une action un peu stupide et elle a créé quelques doublons que je supprime au fur et à mesure que j'en aperçois. Désagréable, mais rien de très compliqué pour le coup (cela dit, il semble que la réinstallation ait un peu aidé aussi à remettre d'aplomb le tout). Avast, j'ignorais totalement - c'est lui qui a curieusement réussi à identifier et à supprimer le potentiel virus qui posait le problème sur une clé, de sorte qu'il est resté. Si on peut se contenter de Windows defender, ça me va très bien et je le supprime volontiers.

Merci encore, c'est vraiment très précieux de pouvoir ainsi être aidé - n'y connaissant rien, j'ai toujours peur de faire une gaffe assez importante !

[tomtom95]

Bonsoir,

OK, très bien,si pour toi c'est bon.
Pour finir il ne te reste plus cas supprimer les outils
Télécharge KpRm sur ton Bureau
Faites un clique droit sur le fichier téléchargé et choisir Exécuter en tant qu'administrateur
puis clique sur 'YES' lors de l'Avertissement de sécurité
Coche les 3 cases.
Supprimer les outils.
Créer un point de restauration
Supprimer maintenant
Puis clique sur Exécuter
Héberge le rapport sur le site Service de rapport en ligne
Puis copier/coller le lien fourni dans votre prochaine réponse.

Ensuite de marquer ton sujet comme résolu >> comment Marquer un sujet

 

[DFO]

Bonsoir,

Toujours avec ce délai de ma part, je fais la manip : https://www.cjoint.com/c/NCnsWUmCR7r

Merci encore - les mots sont peu de choses, mais pour le coup vous m'avez résolu avec une efficacité record un certain nombre d'ennuis je dois dire. D'ailleurs, votre correction a aidé à résoudre d'autres trucs qui ralentissaient et entraient un peu en conflit les uns les autres.

 

Merci, donc !

[tomtom95]

Bonsoir,

Merci pour le dernier rapport.
Prudence maintenant dans tes téléchargements.

Bonne continuation.