Virus clé USB

[Mélanie]

Bonjour,

Je vous explique mon cas: je suis actuellement en formation et utilise une clé USB pour faire des rapports, CV et lettre de motivation là bas ainsi que chez moi. Tout allait bien jusqu'à aujourd'hui o๠quand j'ai connecté ma clé sur mon ordi perso j'ai constaté plusieurs fichiers bizarres (je ne pourrais pas vous préciser la nature de ces fichiers les ayant supprimé pensant que cela allait s'arranger tout seul :P: ), il me reste maintenant un écran noir "facebook.vbs" qui apparait quand je veux ouvrir certain dossier ainsi qu'un message d'erreur "windows ne trouve pas facebook.vbs, vérifiez que vous avez bien entré le nom correct..", j'arrive néanmoins à ouvrir le dossier.

Voici quelques rapports:

Code: Tout sélectionner

############################## | UsbFix V 7.143 | [Recherche]

Utilisateur: Moi (Administrateur) # Mà‰LANIE
Mis à jour le 05/10/2013 par El Desaparecido - Team SosVirus
Lancé à 20:16:45 | 07/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact: https://www.usbfix.net/contact/

PC: ASUSTeK COMPUTER INC. (K56CM)
CPU: Intel(R) Core(TM) i3-3217U CPU @ 1.80GHz
RAM -> [Total : 3982 | Free : 1013]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit) #
WB: Windows Internet Explorer 10.0.9200.16688

SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AV: Windows Defender [(!) Disabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 279 Go (222 Go libre(s) - 79%) [OS] # NTFS
D:\ -> Disque fixe # 398 Go (398 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 98%) [UDISK 2.0] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (ID 676 |ParentID 508)
C:\Windows\system32\wininit.exe (ID 760 |ParentID 508)
C:\Windows\system32\services.exe (ID 856 |ParentID 760)
C:\Windows\system32\lsass.exe (ID 864 |ParentID 760)
C:\Windows\system32\svchost.exe (ID 972 |ParentID 856)
C:\Program Files\Bitdefender\Antivirus Essential\gzserv.exe (ID 1008 |ParentID 856)
C:\Windows\system32\nvvsvc.exe (ID 408 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 852 |ParentID 856)
C:\Windows\System32\svchost.exe (ID 1064 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 1100 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 1172 |ParentID 856)
C:\Windows\System32\svchost.exe (ID 1264 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 1448 |ParentID 856)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe (ID 1696 |ParentID 856)
C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe (ID 1736 |ParentID 856)
C:\Windows\System32\spoolsv.exe (ID 1836 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 1876 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 1896 |ParentID 856)
C:\Program Files (x86)\ASUS\ASUS InstantOn\InsOnSrv.exe (ID 2300 |ParentID 856)
C:\Windows\system32\DptfParticipantProcessorService.exe (ID 2340 |ParentID 856)
C:\Windows\system32\DptfPolicyConfigTDPService.exe (ID 2376 |ParentID 856)
C:\Program Files\Diskeeper Corporation\ExpressCache\ExpressCache.exe (ID 2400 |ParentID 856)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID 2448 |ParentID 856)
C:\Windows\SysWOW64\irstrtsv.exe (ID 2484 |ParentID 856)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID 2512 |ParentID 856)
C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe (ID 2536 |ParentID 856)
C:\Windows\system32\svchost.exe (ID 3196 |ParentID 856)
c:\PROGRA~1\mcafee\msc\mcawfwk.exe (ID 3520 |ParentID 856)
C:\Windows\system32\wbem\wmiprvse.exe (ID 3900 |ParentID 972)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe (ID 1488 |ParentID 856)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID 4664 |ParentID 856)
C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (ID 4688 |ParentID 856)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID 4704 |ParentID 856)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID 3940 |ParentID 856)
C:\Program Files\Microsoft Office 15\ClientX64\integratedoffice.exe (ID 4772 |ParentID 856)
C:\Windows\system32\SearchIndexer.exe (ID 3968 |ParentID 856)
C:\Windows\system32\csrss.exe (ID 19048 |ParentID 22336)
C:\Windows\system32\winlogon.exe (ID 15128 |ParentID 22336)
C:\Windows\system32\dwm.exe (ID 5024 |ParentID 15128)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (ID 3264 |ParentID 408)
C:\Windows\system32\nvvsvc.exe (ID 14348 |ParentID 408)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe (ID 15076 |ParentID 1696)
C:\Windows\system32\taskhostex.exe (ID 15552 |ParentID 856)
C:\Program Files\ASUS\P4G\BatteryLife.exe (ID 7300 |ParentID 856)
C:\Program Files (x86)\ASUS\ASUS InstantOn\InsOnWMI.exe (ID 16268 |ParentID 2300)
C:\Program Files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe (ID 4080 |ParentID 856)
C:\Program Files\Bitdefender\Antivirus Essential\gziface.exe (ID 12040 |ParentID 13468)
C:\Windows\Explorer.EXE (ID 15588 |ParentID 14052)
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe (ID 8624 |ParentID 15076)
C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe (ID 3328 |ParentID 12800)
C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe (ID 17388 |ParentID 5956)
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (ID 13844 |ParentID 3264)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLoader.exe (ID 4684 |ParentID 10152)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x64\QuickGesture64.exe (ID 9936 |ParentID 4684)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe (ID 9532 |ParentID 4684)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPCenter.exe (ID 18656 |ParentID 4684)
C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPHelper.exe (ID 13232 |ParentID 18656)
C:\Windows\System32\igfxtray.exe (ID 14752 |ParentID 15588)
C:\Windows\System32\hkcmd.exe (ID 16612 |ParentID 15588)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID 8980 |ParentID 15588)
C:\Program Files (x86)\ASUS\Splendid\ACMON.exe (ID 13244 |ParentID 15588)
C:\Windows\system32\igfxpers.exe (ID 7144 |ParentID 964)
C:\Windows\SysWOW64\ACEngSvr.exe (ID 2760 |ParentID 972)
C:\Windows\System32\StikyNot.exe (ID 12660 |ParentID 15588)
C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe (ID 1420 |ParentID 18608)
C:\Program Files\Common Files\mcafee\Platform\McUICnt.exe (ID 5624 |ParentID 18608)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 14104 |ParentID 17412)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 12072 |ParentID 14104)
C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe (ID 16456 |ParentID 856)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 19916 |ParentID 14104)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 17376 |ParentID 14104)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 17700 |ParentID 14104)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 7152 |ParentID 14104)
C:\Windows\System32\WUDFHost.exe (ID 17652 |ParentID 1264)
C:\Windows\explorer.exe (ID 6916 |ParentID 972)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 16164 |ParentID 14104)
C:\Program Files (x86)\Opera\16.0.1196.80\opera.exe (ID 15440 |ParentID 14104)
C:\Program Files\WindowsApps\Microsoft.Reader_6.2.8516.0_x64__8wekyb3d8bbwe\glcnd.exe (ID 7268 |ParentID 972)
C:\Windows\System32\RuntimeBroker.exe (ID 6388 |ParentID 972)
C:\Windows\system32\SearchProtocolHost.exe (ID 8968 |ParentID 3968)
C:\Windows\system32\SearchFilterHost.exe (ID 5272 |ParentID 3968)
C:\UsbFix\Go.exe (ID 14264 |ParentID 10972)
C:\Windows\system32\wbem\wmiprvse.exe (ID 15412 |ParentID 972)

################## | Regedit Run |

HKLM\SOFTWARE | Run : [Adobe Reader Speed Launcher] - "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [RemoteControl10] - "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe"
HKLM\SOFTWARE | Run : [mcpltui_exe] - "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui
HKLM\SOFTWARE | Run : [ATLauncher] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createshortcuts:1
HKLM\SOFTWARE | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.9.120\AsusWSPanel.exe /S
HKLM\SOFTWARE | Run : [ATUninstallIcon] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createuninstallentry:1
HKLM\SOFTWARE\wow6432Node | Run : [Adobe Reader Speed Launcher] - "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [RemoteControl10] - "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe"
HKLM\SOFTWARE\wow6432Node | Run : [mcpltui_exe] - "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui
HKLM\SOFTWARE\wow6432Node | Run : [ATLauncher] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createshortcuts:1
HKLM\SOFTWARE\wow6432Node | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.9.120\AsusWSPanel.exe /S
HKLM\SOFTWARE\wow6432Node | Run : [ATUninstallIcon] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createuninstallentry:1
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-21-3377337816-2642854494-2396223647-1002\SOFTWARE | Run : [RESTART_STICKY_NOTES] - C:\Windows\System32\StikyNot.exe

################## | à‰léments infectieux |

Présent! F:\CV.lnk
Présent! F:\DOSSIER METIER.lnk
Présent! F:\LETTRE DE MOTIVATION.lnk
Présent! E:\autorun.exe
Présent! E:\autorun.inf
Présent! F:\desktop.ini

################## | Registre |

HKCU\.\.\.\.\Explorer\MountPoints2\{e371676e-4cbc-11e2-be6a-806e6f6e6963}
Shell\AutoRun\Command = "E:\autorun.exe"



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |

Code: Tout sélectionner

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 3
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Données: 0L1N1H2O1S -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.StartPage) -> Mauvais: (https://www1.delta-search.com/?babsrc=HP_ss&mntrId=C2BB12689DFC72D4&affID=119357&tt=110813_YTB&tsp=4973) Bon: (https://www.google.com) -> Aucune action effectuée.

Dossier(s) détecté(s): 1
C:\Users\Moi\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 2
C:\Users\Moi\Documents\01net_Recuva.exe (PUP.Optional.Conduit.A) -> Aucune action effectuée.
C:\Users\Moi\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Aucune action effectuée.

(fin)

Code: Tout sélectionner

# AdwCleaner v3.006 - Rapport créé le 07/10/2013 à 20:53:34
# Mis à jour le 01/10/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Moi - Mà‰LANIE
# Exécuté depuis : C:\Users\Moi\Documents\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent C:\ProgramData\Babylon
Dossier Présent C:\Users\Moi\AppData\Local\Babylon
Dossier Présent C:\Users\Moi\AppData\Roaming\Babylon

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKCU\Software\AppDataLow\Software\smartbar
Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Présente : [x64] HKCU\Software\Conduit
Clé Présente : [x64] HKCU\Software\InstallCore
Clé Présente : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16688

Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=C2BB12689DFC72D4&affID=119357&tt=110813_YTB&tsp=4973

*************************

AdwCleaner[R0].txt - [1525 octets] - [07/10/2013 20:53:34]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1585 octets] ##########

Comment me débarrasser de ce machin?
S'il vous plait ne me dites pas que j'ai pu transmettre le virus en envoyant mon CV par mail, ce serait la fin des haricots.
J'ai aussi copier et coller 2 fichiers sur mon bureau.
Mon antivirus est bitdefender et il a placé le fichier en quarantaine.

D'avance merci

[H.A.W.X]

Bonsoir et bienvenue

Je te place sous ma tutelle

Ok ton PC est infecté en lui même et ta clé aussi, mais pas de panique on va régler ça !

Deux étapes OK ? En premier on s'occupe de ta clé ensuite de ton PC

1.

• Télécharges (de El Desaparecido) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Choisi l'option Suppression
  
  Note : Si UsbFix bloque à 14%, démarrer en mode sans échec. (Voir >> ICI <<)
  
  
• Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

2.

• Télécharges Adwcleaner (de Xplode) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  1. Choisi l'option Scanner
  2. Choisi l'option Nettoyer
• Accepte l'avertissement en cliquant sur OK
  
  
• Acceptes les avertissements/informations en cliquant sur OK
• Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

J'attends dans ta réponse 2 rapports.

++

[Mélanie]

C'est du rapide!


Rapport usbfix:

Code: Tout sélectionner

############################## | UsbFix V 7.143 | [Suppression]

Utilisateur: Moi (Administrateur) # Mà‰LANIE
Mis à jour le 05/10/2013 par El Desaparecido - Team SosVirus
Lancé à 22:18:54 | 07/10/2013

Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact: https://www.usbfix.net/contact/

PC: ASUSTeK COMPUTER INC. (K56CM)
CPU: Intel(R) Core(TM) i3-3217U CPU @ 1.80GHz
RAM -> [Total : 3982 | Free : 3014]
Bios: American Megatrends Inc.
Boot: Fail-safe boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit) #
WB: Windows Internet Explorer 10.0.9200.16688

SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AV: Windows Defender [(!) Disabled | Updated]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 279 Go (221 Go libre(s) - 79%) [OS] # NTFS
D:\ -> Disque fixe # 398 Go (398 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 98%) [UDISK 2.0] # FAT

################## | Regedit Run |

HKLM\SOFTWARE | Run : [Adobe Reader Speed Launcher] - "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [RemoteControl10] - "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe"
HKLM\SOFTWARE | Run : [mcpltui_exe] - "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui
HKLM\SOFTWARE | Run : [ATLauncher] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createshortcuts:1
HKLM\SOFTWARE | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.9.120\AsusWSPanel.exe /S
HKLM\SOFTWARE | Run : [ATUninstallIcon] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createuninstallentry:1
HKLM\SOFTWARE\wow6432Node | Run : [Adobe Reader Speed Launcher] - "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [RemoteControl10] - "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe"
HKLM\SOFTWARE\wow6432Node | Run : [mcpltui_exe] - "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui
HKLM\SOFTWARE\wow6432Node | Run : [ATLauncher] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createshortcuts:1
HKLM\SOFTWARE\wow6432Node | Run : [ASUSWebStorage] - C:\Program Files (x86)\ASUS\WebStorage Sync Agent\1.1.9.120\AsusWSPanel.exe /S
HKLM\SOFTWARE\wow6432Node | Run : [ATUninstallIcon] - "C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe" /createuninstallentry:1
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-21-3377337816-2642854494-2396223647-1002\SOFTWARE | Run : [RESTART_STICKY_NOTES] - C:\Windows\System32\StikyNot.exe

################## | Processus Stoppés |

Stoppé! C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe (ID 880 |ParentID 532)
Stoppé! C:\Windows\system32\ctfmon.exe (ID 992 |ParentID 980)
Stoppé! C:\Windows\system32\DllHost.exe (ID 1188 |ParentID 644)

################## | à‰léments infectieux |

Supprimé! F:\CV.lnk
Supprimé! F:\DOSSIER METIER.lnk
Supprimé! F:\LETTRE DE MOTIVATION.lnk
Non supprimé ! E:\autorun.exe
Non supprimé ! E:\autorun.inf
Supprimé! F:\desktop.ini

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e371676e-4cbc-11e2-be6a-806e6f6e6963}

################## | Listing |

[05/07/2013 - 20:34:23 | SHD ] C:\$Recycle.Bin
[07/10/2013 - 20:53:58 | D ] C:\AdwCleaner
[17/08/2012 - 11:42:50 | SHD ] C:\Boot
[26/07/2012 - 05:44:30 | RASH | 398156] C:\bootmgr
[02/06/2012 - 16:30:55 | N | 1] C:\BOOTNXT
[26/07/2012 - 09:22:08 | SHD ] C:\Documents and Settings
[23/12/2012 - 07:24:26 | D ] C:\eSupport
[07/10/2013 - 22:17:51 | ASH | 3339931648] C:\hiberfil.sys
[23/12/2012 - 07:00:04 | D ] C:\Intel
[19/09/2012 - 13:05:36 | N | 6293504] C:\K56CA.BIN
[19/09/2012 - 12:56:52 | N | 6293504] C:\K56CM.BIN
[07/10/2013 - 22:17:56 | ASH | 3489660928] C:\pagefile.sys
[26/07/2012 - 09:33:46 | D ] C:\PerfLogs
[17/09/2013 - 18:39:13 | D ] C:\Program Files
[07/10/2013 - 20:41:49 | D ] C:\Program Files (x86)
[07/10/2013 - 20:41:52 | HD ] C:\ProgramData
[06/07/2013 - 10:25:28 | D ] C:\sources
[07/10/2013 - 22:17:56 | ASH | 268435456] C:\swapfile.sys
[05/10/2013 - 12:08:37 | SHD ] C:\System Volume Information
[23/12/2012 - 07:07:14 | D ] C:\temp
[07/10/2013 - 22:23:19 | D ] C:\UsbFix
[07/10/2013 - 22:01:27 | N | 8428] C:\UsbFix [Clean 1] Mà‰LANIE.txt
[07/10/2013 - 22:07:29 | N | 8096] C:\UsbFix [Clean 2] Mà‰LANIE.txt
[07/10/2013 - 22:23:36 | A | 4856] C:\UsbFix [Clean 3] Mà‰LANIE.txt
[07/10/2013 - 20:48:08 | N | 9762] C:\UsbFix [Scan 1] Mà‰LANIE.txt
[05/07/2013 - 20:30:08 | RD ] C:\Users
[07/10/2013 - 22:17:52 | D ] C:\Windows
[05/07/2013 - 20:34:23 | SHD ] D:\$RECYCLE.BIN
[20/09/2013 - 14:17:49 | N | 905] D:\Musique - Raccourci.lnk
[23/12/2012 - 06:55:53 | SHD ] D:\System Volume Information
[12/07/2011 - 21:06:58 | R | 9061653] E:\autorun.exe
[06/07/2011 - 16:20:34 | R | 95] E:\autorun.inf
[06/07/2011 - 19:13:54 | R | 156374] E:\bd.ico
[19/09/2012 - 10:34:03 | D ] E:\images
[19/09/2012 - 10:34:03 | D ] E:\language
[19/09/2012 - 10:34:03 | D ] E:\outils
[19/09/2012 - 10:33:41 | D ] E:\products
[04/10/2013 - 09:18:36 | D ] F:\CV
[04/10/2013 - 09:19:20 | D ] F:\DOSSIER METIER
[04/10/2013 - 09:52:46 | N | 461403] F:\CV Melanie Bienvenu.pdf
[03/05/2013 - 17:46:20 | N | 41091072] F:\.HPIMAGE.VFS
[07/10/2013 - 19:40:22 | N | 51524] F:\Lettre de motivation Mélanie Bienvenu.pdf
[04/10/2013 - 09:18:48 | D ] F:\LETTRE DE MOTIVATION
[11/11/2007 - 01:14:52 | N | 172] F:\DRMv1PM.lic

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |

Rapport AdwCleaner :

Code: Tout sélectionner

# AdwCleaner v3.006 - Rapport créé le 07/10/2013 à 22:40:28
# Mis à jour le 01/10/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Moi - Mà‰LANIE
# Exécuté depuis : C:\Users\Moi\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Users\Moi\AppData\Local\Babylon
Dossier Supprimé : C:\Users\Moi\AppData\Roaming\Babylon

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\AppDataLow\Software\smartbar

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16688

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

*************************

AdwCleaner[R0].txt - [1677 octets] - [07/10/2013 20:53:34]
AdwCleaner[R1].txt - [1735 octets] - [07/10/2013 22:39:52]
AdwCleaner[S0].txt - [1360 octets] - [07/10/2013 22:40:28]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1420 octets] ##########

[H.A.W.X]

Re bonsoir

Ok Ton soucis perciste sur ta clé ou c'est rentré dans l'ordre ?

On passe à ce scan, on fais le script et c'est fini

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
• Installe le logiciel.
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
• Clique sur Configurer
• Clique sur l'icône représentant une loupe avec un + ( Lancer le diagnostic »)
  
  Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier à été créé.
• Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Bonne nuit

[Mélanie]

Bonsoir!

Voici donc le rapport ZHPDiag
https://upload.sosvirus.net/log/SosUploa ... c8d1d6.txt


Je n'ai plus de problème d'écran noir sur ma clé USB. Mais j'ai 2 fichiers qui sont apparus, un de type VFS ".HPIMAGE.VFS" et un de type LIC "drmV1PM.lic". Ce qui est bizarre c'est que windows m'indique que j'aurais modifié ces fichiers en 2007 et au moi de mai.


Merci pour ton aide.
Si tu as quelques conseils je prends

Bonne soirée

[H.A.W.X]

Bonsoir,

J'analyse ton rapport dès que je peux, mais pas ce soir

Pour tes deux fichiers fais ceci :

• Rends toi sur =>
• Clic sur Choisir un fichier
• Cherche et sélectionne le(s) fichier(s) que tu m'as cité dans ton message.
• Clic sur Analyser !Si le fichier est déjà connu, alors réanalyse le.
  
  Note : Patiente le temps du scan (le temps varie en fonction de la taille du fichier)
• A la fin du scan, copie colle dans ta prochaine réponse l'adresse URL complète, exemple :

Ensuite, rends toi ici : https://www.sosvirus.net/upload_malware.php puis choisi les deux fichiers un part un pour que l'on puisse nous les analyser

Bonne soirée

EDIT : Ton PC est clean au vu de ton rapport c'est une bonne nouvelle.
Une fois que tu aura fait ce qui est au dessus, fait ceci :

• Télécharge SFTGC (de Pierre13) sur ton Bureau.IL NE PEUT PAS AILLLIEUR !
• Lance SFTGC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Clique sur GO
  
  
  
  Note : A la fin un rapport va s'ouvrir
• Une fois le scan terminé rends toi sur le bureau, le fichier SFT.txt à été créé.
• Héberge le rapport SFT.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

On finalise tout ça quand tu auras tout fait

[Mélanie]

Bonsoir.

Je n'ai pas pu tirer grand chose des analyses, juste celui ci:

Code: Tout sélectionner

https://www.virustotal.com/fr/file/e76a09fe722025efa60978a6083c12d08862366b8f96ab7d33984c6d414146c2/analysis/1381437265/

le rapport SFT:

https://upload.sosvirus.net/log/SosUploa ... 845f5c.txt

[El Desaparecido]

Hello Melanie ,

Applique ce qui suit et dis moi ensuite comment se comporte ton pc et ou en est ton problème initial stp

• Séléctionne et copie le script suivant :
  

  Script ZHPFix
  O4 - GS\Program [Public]: Desktop.lnk - Clé orpheline
  O4 - GS\Program [Public]: Intel AT Service.lnk . (...) -- C:\Program Files (x86)\mcafee\msc\OOBE\ATLauncher.exe (.not file.)
  O4 - GS\Program [Moi]: Bureau.lnk . (...) -- C:\Users\Moi\Desktop
  O4 - GS\Program [Moi]: Emplacements récents (2).lnk - Clé orpheline
  O4 - GS\Program [Moi]: Emplacements récents (3).lnk - Clé orpheline
  O4 - GS\Program [Moi]: Emplacements récents.lnk - Clé orpheline
  EmptyCLSID
  Emptytemp
  EmptyFlash
  Sysrestore

• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  1. Clique sur Importer
  2. Les lignes précedemment copiées doivent être collées dans le cadre
  3. Si c'est le cas, Clic sur "GO"
  
  
  
• Confirmes les nettoyages des données en cliquant sur "Oui"
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

[Mélanie]

Bonjour,

Je n'ai pas réussi à analyser le script même en mode sans échec.

J'ai fait une capture, un écran bleu avec un cadre violet apparait dès le démarrage et l'analyse bloque toujours au même moment:



Sinon j'ai supprimé les 2 fichiers bizarres de ma clé USB, je ne sais pas si cela suffit mais ils n'ont pas réapparu et tout a l'air d'aller bien.
à‰tant donné que la sécurité des PC du centre de formation ne peut être sà»re, si mon ordinateur n'est plus infecté je crois que je vais me contenter de ne plus utiliser ma clé USB sur mon ordi perso quitte a tout retaper chez moi.

[H.A.W.X]

Bonsoir,

Le script n'est pas gros, laisse le tourner pendant 10 minutes pour voir normalement il dit qu'il ne répond pas mais n'a pas planté

++