- dim. 20 oct. 2013 19:43
#12207
Bonjour,
Voilà il y peu de temps après avoir eu un transfert de fichiers sur ma clef usb, tout les dossiers ou fichiers déjà présents sur cette clef se sont mis à se transformer en raccourci, supprimant ainsi les vrais fichiers.
Ce problème est possiblement due au transfert réalisé bien qu'Avira n'ai rien détécté avant.
J'ai donc télécharger UsbFix et fais rechercher sur le première clef infecté (oui car il y en à deux autres à la base je pensais que c'était juste un bug).
Je poste donc le rapport du scan :
############################## | UsbFix V 7.145 | [Recherche]
Utilisateur: jessica (Administrateur) # JESSICA-PC
Mis à jour le 17/10/2013 par El Desaparecido - Team SosVirus
Lancé à 19:25:39 | 20/10/2013
Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact: https://www.usbfix.net/contact/
PC: Acer (JE51_MV)
CPU: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz
RAM -> [Total : 4026 | Free : 2175]
Bios: Acer
Boot: Normal boot
OS: Microsoft Windows 7 à‰dition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16721
SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [Enabled | Updated]
FW: Windows FireWall Service [Enabled]
C:\ (%systemdrive%) -> Disque fixe # 466 Go (209 Go libre(s) - 45%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 14 Go (14 Go libre(s) - 100%) [PHILIPS UFD] # FAT32
################## | Processus Actif |
C:\Windows\system32\csrss.exe (ID 344 |ParentID 336)
C:\Windows\system32\wininit.exe (ID 396 |ParentID 336)
C:\Windows\system32\csrss.exe (ID 412 |ParentID 388)
C:\Windows\system32\services.exe (ID 448 |ParentID 396)
C:\Windows\system32\lsass.exe (ID 472 |ParentID 396)
C:\Windows\system32\lsm.exe (ID 480 |ParentID 396)
C:\Windows\system32\winlogon.exe (ID 540 |ParentID 388)
C:\Windows\system32\svchost.exe (ID 620 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 692 |ParentID 448)
C:\Windows\System32\svchost.exe (ID 760 |ParentID 448)
C:\Windows\System32\svchost.exe (ID 836 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 864 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 888 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 356 |ParentID 448)
C:\Windows\System32\spoolsv.exe (ID 1064 |ParentID 448)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (ID 1120 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 1176 |ParentID 448)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID 1304 |ParentID 448)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (ID 1328 |ParentID 448)
C:\Program Files\ma-config.com\MaConfigAgent.exe (ID 1368 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 1476 |ParentID 448)
C:\Windows\system32\Dwm.exe (ID 964 |ParentID 836)
C:\Windows\Explorer.EXE (ID 1416 |ParentID 1220)
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe (ID 1160 |ParentID 1416)
C:\Windows\System32\hkcmd.exe (ID 2028 |ParentID 1416)
C:\Windows\System32\igfxpers.exe (ID 1072 |ParentID 1416)
C:\Program Files (x86)\Skype\Phone\Skype.exe (ID 2104 |ParentID 1416)
C:\Windows\System32\wscript.exe (ID 2120 |ParentID 1416)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (ID 2164 |ParentID 2128)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID 2272 |ParentID 2128)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (ID 2964 |ParentID 1328)
C:\Windows\system32\SearchIndexer.exe (ID 2212 |ParentID 448)
C:\Windows\system32\DllHost.exe (ID 1904 |ParentID 620)
C:\Windows\system32\wbem\wmiprvse.exe (ID 2352 |ParentID 620)
C:\Windows\system32\svchost.exe (ID 1884 |ParentID 448)
C:\Windows\System32\WUDFHost.exe (ID 3268 |ParentID 836)
C:\Windows\system32\svchost.exe (ID 3424 |ParentID 448)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID 3712 |ParentID 448)
C:\Windows\System32\svchost.exe (ID 3844 |ParentID 448)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID 2956 |ParentID 3884)
C:\Windows\System32\svchost.exe (ID 2740 |ParentID 448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 4448 |ParentID 1416)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 1484 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 2324 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 3548 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 3416 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 4916 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 4196 |ParentID 4448)
C:\UsbFix\Go.exe (ID 4120 |ParentID 4256)
C:\Windows\system32\svchost.exe (ID 3884 |ParentID 448)
C:\Windows\system32\DllHost.exe (ID 1916 |ParentID 620)
################## | Regedit Run |
HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | Run : [tuto4pc_fr_63] -
HKLM\SOFTWARE\wow6432Node | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE\wow6432Node | Run : [tuto4pc_fr_63] -
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-335435138-4187561469-3408878160-1000\SOFTWARE | Run : [Steam] - "C:\Program Files (x86)\Steam\Steam.exe" -silent
HKU\S-1-5-21-335435138-4187561469-3408878160-1000\SOFTWARE | Run : [Skype] - "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-335435138-4187561469-3408878160-1000\SOFTWARE | Run : [updat] - wscript.exe //B "C:\Users\jessica\AppData\Local\Temp\updat.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-18\SOFTWARE | RunOnce : [SPReview] - "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"https://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
################## | à‰léments infectieux |
Présent! C:\Users\jessica\AppData\Local\Temp\updat.vbs
Présent! C:\Users\jessica\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Présent! C:\Users\jessica\AppData\Local\Temp\25829-656346-openoffice.exe
Présent! C:\Users\jessica\AppData\Local\Temp\26384-671274-skype.exe
Présent! C:\Users\jessica\AppData\Local\Temp\26384-672334-skype.exe
Présent! C:\Users\jessica\AppData\Local\Temp\26823-662010-directx.exe
Présent! C:\Users\jessica\AppData\Local\Temp\79787-671657-google-chrome.exe
################## | Registre |
Présent! HKU\S-1-5-21-335435138-4187561469-3408878160-1000\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKU\S-1-5-21-335435138-4187561469-3408878160-1000\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
HKCU\.\.\.\.\Explorer\MountPoints2\{d62952e1-e230-11e2-8371-1c7508d78403}
Shell\AutoRun\Command = F:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |
Voilà en espérant que vous pourrez m'aider sur la démarche à suivre pour enlever cette infection de mon ordi et de mes clefs.
Sarnia
Voilà il y peu de temps après avoir eu un transfert de fichiers sur ma clef usb, tout les dossiers ou fichiers déjà présents sur cette clef se sont mis à se transformer en raccourci, supprimant ainsi les vrais fichiers.
Ce problème est possiblement due au transfert réalisé bien qu'Avira n'ai rien détécté avant.
J'ai donc télécharger UsbFix et fais rechercher sur le première clef infecté (oui car il y en à deux autres à la base je pensais que c'était juste un bug).
Je poste donc le rapport du scan :
############################## | UsbFix V 7.145 | [Recherche]
Utilisateur: jessica (Administrateur) # JESSICA-PC
Mis à jour le 17/10/2013 par El Desaparecido - Team SosVirus
Lancé à 19:25:39 | 20/10/2013
Site Web: https://www.usbfix.net/
Forum : https://www.sosvirus.net/
Upload Malware: https://www.sosvirus.net/upload_malware.php
Contact: https://www.usbfix.net/contact/
PC: Acer (JE51_MV)
CPU: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz
RAM -> [Total : 4026 | Free : 2175]
Bios: Acer
Boot: Normal boot
OS: Microsoft Windows 7 à‰dition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16721
SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: Avira Desktop [Enabled | Updated]
FW: Windows FireWall Service [Enabled]
C:\ (%systemdrive%) -> Disque fixe # 466 Go (209 Go libre(s) - 45%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 14 Go (14 Go libre(s) - 100%) [PHILIPS UFD] # FAT32
################## | Processus Actif |
C:\Windows\system32\csrss.exe (ID 344 |ParentID 336)
C:\Windows\system32\wininit.exe (ID 396 |ParentID 336)
C:\Windows\system32\csrss.exe (ID 412 |ParentID 388)
C:\Windows\system32\services.exe (ID 448 |ParentID 396)
C:\Windows\system32\lsass.exe (ID 472 |ParentID 396)
C:\Windows\system32\lsm.exe (ID 480 |ParentID 396)
C:\Windows\system32\winlogon.exe (ID 540 |ParentID 388)
C:\Windows\system32\svchost.exe (ID 620 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 692 |ParentID 448)
C:\Windows\System32\svchost.exe (ID 760 |ParentID 448)
C:\Windows\System32\svchost.exe (ID 836 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 864 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 888 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 356 |ParentID 448)
C:\Windows\System32\spoolsv.exe (ID 1064 |ParentID 448)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (ID 1120 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 1176 |ParentID 448)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID 1304 |ParentID 448)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (ID 1328 |ParentID 448)
C:\Program Files\ma-config.com\MaConfigAgent.exe (ID 1368 |ParentID 448)
C:\Windows\system32\svchost.exe (ID 1476 |ParentID 448)
C:\Windows\system32\Dwm.exe (ID 964 |ParentID 836)
C:\Windows\Explorer.EXE (ID 1416 |ParentID 1220)
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe (ID 1160 |ParentID 1416)
C:\Windows\System32\hkcmd.exe (ID 2028 |ParentID 1416)
C:\Windows\System32\igfxpers.exe (ID 1072 |ParentID 1416)
C:\Program Files (x86)\Skype\Phone\Skype.exe (ID 2104 |ParentID 1416)
C:\Windows\System32\wscript.exe (ID 2120 |ParentID 1416)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (ID 2164 |ParentID 2128)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID 2272 |ParentID 2128)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (ID 2964 |ParentID 1328)
C:\Windows\system32\SearchIndexer.exe (ID 2212 |ParentID 448)
C:\Windows\system32\DllHost.exe (ID 1904 |ParentID 620)
C:\Windows\system32\wbem\wmiprvse.exe (ID 2352 |ParentID 620)
C:\Windows\system32\svchost.exe (ID 1884 |ParentID 448)
C:\Windows\System32\WUDFHost.exe (ID 3268 |ParentID 836)
C:\Windows\system32\svchost.exe (ID 3424 |ParentID 448)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID 3712 |ParentID 448)
C:\Windows\System32\svchost.exe (ID 3844 |ParentID 448)
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe (ID 2956 |ParentID 3884)
C:\Windows\System32\svchost.exe (ID 2740 |ParentID 448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 4448 |ParentID 1416)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 1484 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 2324 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 3548 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 3416 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 4916 |ParentID 4448)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (ID 4196 |ParentID 4448)
C:\UsbFix\Go.exe (ID 4120 |ParentID 4256)
C:\Windows\system32\svchost.exe (ID 3884 |ParentID 448)
C:\Windows\system32\DllHost.exe (ID 1916 |ParentID 620)
################## | Regedit Run |
HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE | Run : [tuto4pc_fr_63] -
HKLM\SOFTWARE\wow6432Node | Run : [avgnt] - "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\SOFTWARE\wow6432Node | Run : [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE\wow6432Node | Run : [SunJavaUpdateSched] - "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
HKLM\SOFTWARE\wow6432Node | Run : [tuto4pc_fr_63] -
HKLM\SOFTWARE | RunOnce : [] -
HKLM\SOFTWARE\wow6432Node | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-335435138-4187561469-3408878160-1000\SOFTWARE | Run : [Steam] - "C:\Program Files (x86)\Steam\Steam.exe" -silent
HKU\S-1-5-21-335435138-4187561469-3408878160-1000\SOFTWARE | Run : [Skype] - "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-335435138-4187561469-3408878160-1000\SOFTWARE | Run : [updat] - wscript.exe //B "C:\Users\jessica\AppData\Local\Temp\updat.vbs"
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-18\SOFTWARE | RunOnce : [SPReview] - "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"https://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
################## | à‰léments infectieux |
Présent! C:\Users\jessica\AppData\Local\Temp\updat.vbs
Présent! C:\Users\jessica\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
Présent! C:\Users\jessica\AppData\Local\Temp\25829-656346-openoffice.exe
Présent! C:\Users\jessica\AppData\Local\Temp\26384-671274-skype.exe
Présent! C:\Users\jessica\AppData\Local\Temp\26384-672334-skype.exe
Présent! C:\Users\jessica\AppData\Local\Temp\26823-662010-directx.exe
Présent! C:\Users\jessica\AppData\Local\Temp\79787-671657-google-chrome.exe
################## | Registre |
Présent! HKU\S-1-5-21-335435138-4187561469-3408878160-1000\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKU\S-1-5-21-335435138-4187561469-3408878160-1000\Software\Microsoft\Windows\CurrentVersion\Run|updat
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|updat
HKCU\.\.\.\.\Explorer\MountPoints2\{d62952e1-e230-11e2-8371-1c7508d78403}
Shell\AutoRun\Command = F:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F | https://www.usbfix.net - https://www.sosvirus.net |
Voilà en espérant que vous pourrez m'aider sur la démarche à suivre pour enlever cette infection de mon ordi et de mes clefs.
Sarnia