Help Clée USB Infecté 2013-05-29T21:50:06+00:00
  • Auteur
    Messages
  • Photo du profil de Hasnat Ali DastghirHasnat Ali Dastghir
    Participant
    Post count: 1

    Bonjour, :hello:

    C’est mon premier poste sur SOSvirus, j’ai besoin de votre aide :) en fait j’ai fais des impression chez l’imprimeur et il avait un virus qui a infecté ma clée USB :( :faché15: et dans ma clée il y a des choses que j’aimerais trop récupéré, TOUT mes fichiers, dossier sont en raccourcie et je peux pas y accédé :(

    alors j’ai fais une Recherche a l’aide de USBFix et voici le rapport : (MAIS j’ai aussi fais un rapport avec Mbam aucun fichier n’a été detecté infectée donc je sais pas si ça vous aidera ce petit plus ^^)

    [spoiler:3q9hzhuo]############################## | UsbFix V 7.126 | [Recherche]

    Utilisateur: DASTGHIR (Administrateur) # DASTGHIR-PC
    Mis à jour le 13/05/2013 par El Desaparecido
    Lancé à 23:19:54 | 29/05/2013

    Site Web: http://sosvirus.org/” onclick=”window.open(this.href);return false;
    Upload Malware: http://upload.sosvirus.org/” onclick=”window.open(this.href);return false;
    Contact: contact@sosvirus.org

    PC: ASUSTeK Computer Inc. (K72Jr) (x64-based PC)
    CPU: Intel(R) Pentium(R) CPU P6100 @ 2.00GHz (1999)
    RAM -> [Total : 3949 | Free : 1475]
    BIOS: BIOS Date: 10/30/09 15:13:23 Ver: 08.00.10
    BOOT: Normal boot

    OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
    WB: Windows Internet Explorer 10.0.9200.16576

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AS: Windows Defender [Enabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 116 Go (8 Go libre(s) – 7%) [OS] # NTFS
    D: -> Disque fixe # 328 Go (39 Go libre(s) – 12%) [DATA] # NTFS
    E: -> CD-ROM
    F: -> Disque amovible # 4 Go (3 Go libre(s) – 88%) [HD USB] # FAT32

    ################## | Processus Actif |

    C:Windowssystem32csrss.exe (444)
    C:Windowssystem32csrss.exe (528)
    C:Windowssystem32wininit.exe (536)
    C:Windowssystem32winlogon.exe (584)
    C:Windowssystem32services.exe (632)
    C:Windowssystem32lsass.exe (640)
    C:Windowssystem32lsm.exe (648)
    C:Windowssystem32svchost.exe (764)
    C:Windowssystem32svchost.exe (856)
    C:Windowssystem32atiesrxx.exe (920)
    C:WindowsSystem32svchost.exe (984)
    C:WindowsSystem32svchost.exe (1016)
    C:Windowssystem32svchost.exe (352)
    C:Windowssystem32svchost.exe (372)
    C:WindowsSystem32DriverStoreFileRepositorystwrt64.inf_amd64_neutral_38986e29a8b510a2STacSV64.exe (440)
    C:Windowssystem32svchost.exe (1132)
    C:Windowssystem32svchost.exe (1232)
    C:Windowssystem32atieclxx.exe (1348)
    C:Windowssystem32FBAgent.exe (1356)
    C:Program Files (x86)ASUSATK PackageATK HotkeyASLDRSrv.exe (1412)
    C:Program Files (x86)ASUSATK PackageATKGFNEXGFNEXSrv.exe (1540)
    C:Program FilesAVAST SoftwareAvastAvastSvc.exe (1564)
    C:WindowsSystem32spoolsv.exe (1724)
    C:Windowssystem32svchost.exe (1784)
    C:Program Files (x86)Common FilesAppleMobile Device SupportAppleMobileDeviceService.exe (1920)
    C:Program FilesBonjourmDNSResponder.exe (1948)
    C:Windowssystem32svchost.exe (1996)
    C:Program Files (x86)IntelIntel(R) Management Engine ComponentsLMSLMS.exe (2020)
    C:Windowssystem32svchost.exe (2284)
    C:Windowssystem32taskhost.exe (2556)
    C:Program Files (x86)ASUSATK PackageATK HotkeyHControl.exe (2676)
    C:Windowssystem32taskeng.exe (2688)
    C:Windowssystem32taskeng.exe (2748)
    C:Program Files (x86)ASUSWireless Console 3wcourier.exe (2824)
    C:Program Files (x86)ASUSSmartLogonsensorsrv.exe (2884)
    C:Program FilesP4GBatteryLife.exe (2940)
    C:Program Files (x86)ASUSControlDeckControlDeckStartUp.exe (2968)
    C:Program Files (x86)ASUSASUS Live UpdateALU.exe (2976)
    C:Program Files (x86)ASUSSplendidACMON.exe (2984)
    C:Windowssystem32Dwm.exe (3008)
    C:WindowsExplorer.EXE (3048)
    C:Program Files (x86)ASUSATK PackageATKOSD2ATKOSD2.exe (3016)
    C:Windowssystem32wbemwmiprvse.exe (1552)
    C:Program Files (x86)ASUSATK PackageATK HotkeyATKOSD.exe (2480)
    C:Program Files (x86)ASUSATK PackageATK HotkeyKBFiltr.exe (2592)
    C:Program Files (x86)ASUSATK PackageATK HotkeyWDC.exe (3020)
    C:WindowsAsScrPro.exe (3644)
    C:Program Files (x86)CyberLinkPower2GoCLMLSvc.exe (3672)
    C:Program Files (x86)IntelIntel(R) Rapid Storage TechnologyIAStorDataMgrSvc.exe (4024)
    C:Program FilesElantechETDCtrl.exe (1752)
    C:Program FilesIDTWDMsttray64.exe (2492)
    C:Program Files (x86)AmIcoSingLunAmIcoSinglun64.exe (2772)
    C:WindowsWindowsMobilewmdc.exe (1488)
    C:Windowssystem32svchost.exe (3028)
    C:Program Files (x86)VoipGain.comVoipGainvoipgain.exe (3632)
    C:Program Files (x86)Common FilesAppleInternet ServicesApplePhotoStreams.exe (3768)
    C:UsersDASTGHIRAppDataLocalAkamainetsession_win.exe (3876)
    C:UsersDASTGHIRAppDataLocalAkamainetsession_win.exe (3960)
    C:ProgramDataFLEXnetConnect11ISUSPM.exe (3924)
    C:Program Files (x86)Microsoft OfficeOffice14MSOSYNC.EXE (4060)
    C:WindowsSysWOW64ACEngSvr.exe (3540)
    C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe (2336)
    C:Program Files (x86)IntelIntel(R) Management Engine ComponentsUNSUNS.exe (4332)
    C:Program Files (x86)ASUSATK PackageATK MediaDMedia.exe (4364)
    C:Program Files (x86)ASUSATK PackageATK HotkeyHControlUser.exe (4416)
    C:WindowsSystem32svchost.exe (4472)
    C:Program FilesAVAST SoftwareAvastAvastUI.exe (4560)
    C:Program Files (x86)Common FilesJavaJava Updatejusched.exe (4704)
    C:Program Files (x86)iTunesiTunesHelper.exe (4736)
    C:Program FilesiPodbiniPodService.exe (4988)
    C:Windowssystem32SearchIndexer.exe (4056)
    C:Windowssystem32SearchProtocolHost.exe (4320)
    C:Program FilesWindows Media Playerwmpnetwk.exe (3192)
    C:Program Files (x86)IntelIntel(R) Rapid Storage TechnologyIAStorIcon.exe (3708)
    C:Windowssystem32wuauclt.exe (4732)
    C:Windowssystem32svchost.exe (2740)
    C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticMOM.exe (880)
    C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCCC.exe (3468)
    C:WindowsSystem32WUDFHost.exe (4212)
    C:Program Files (x86)Mozilla Firefoxfirefox.exe (3324)
    C:Program Files (x86)Malwarebytes' Anti-Malwarembamscheduler.exe (5496)
    C:Program Files (x86)Malwarebytes' Anti-Malwarembamservice.exe (5832)
    C:Program Files (x86)Malwarebytes' Anti-Malwarembamgui.exe (1708)
    C:WindowsSysWOW64NOTEPAD.EXE (6980)
    C:Windowssystem32wbemwmiprvse.exe (7012)
    C:Windowssystem32SearchFilterHost.exe (6360)
    C:Program Files (x86)Mozilla Firefoxplugin-container.exe (6540)
    C:WindowsSysWOW64MacromedFlashFlashPlayerPlugin_11_7_700_202.exe (6216)
    C:WindowsSysWOW64MacromedFlashFlashPlayerPlugin_11_7_700_202.exe (3584)
    C:UsbFixGo.exe (4756)

    ################## | El Desaparecido Section |

    HKLMSOFTWARE | Run : [UpdateLBPShortCut] – “C:Program Files (x86)CyberLinkLabelPrintMUITransferMUIStartMenu.exe” “C:Program Files (x86)CyberLinkLabelPrint” UpdateWithCreateOnce “SoftwareCyberLinkLabelPrint2.5”
    HKLMSOFTWARE | Run : [UpdateP2GoShortCut] – “C:Program Files (x86)CyberLinkPower2GoMUITransferMUIStartMenu.exe” “C:Program Files (x86)CyberLinkPower2Go” UpdateWithCreateOnce “SOFTWARECyberLinkPower2Go6.0”
    HKLMSOFTWARE | Run : [Nuance PDF Reader-reminder] – “C:Program Files (x86)NuancePDF ReaderEregEreg.exe” -r “C:ProgramDataNuancePDF ReaderEregEreg.ini”
    HKLMSOFTWARE | Run : [ATKOSD2] – C:Program Files (x86)ASUSATK PackageATKOSD2ATKOSD2.exe
    HKLMSOFTWARE | Run : [ATKMEDIA] – C:Program Files (x86)ASUSATK PackageATK MediaDMedia.exe
    HKLMSOFTWARE | Run : [HControlUser] – C:Program Files (x86)ASUSATK PackageATK HotkeyHControlUser.exe
    HKLMSOFTWARE | Run : [BCSSync] – “C:Program Files (x86)Microsoft OfficeOffice14BCSSync.exe” /DelayServices
    HKLMSOFTWARE | Run : [WinampAgent] – “C:Program Files (x86)Winampwinampa.exe”
    HKLMSOFTWARE | Run : [AMD AVT] – Cmd.exe /c start “AMD Accelerated Video Transcoding device initialization” /min “C:Program Files (x86)AMD AVTbinkdbsync.exe” aml
    HKLMSOFTWARE | Run : [IAStorIcon] – C:Program Files (x86)IntelIntel(R) Rapid Storage TechnologyIAStorIconLaunch.exe “C:Program Files (x86)IntelIntel(R) Rapid Storage TechnologyIAStorIcon.exe” 60
    HKLMSOFTWARE | Run : [StartCCC] – “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    HKLMSOFTWARE | Run : [avast] – “C:Program FilesAVAST SoftwareAvastavastUI.exe” /nogui
    HKLMSOFTWARE | Run : [SwitchBoard] – C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe
    HKLMSOFTWARE | Run : [AdobeCS6ServiceManager] – “C:Program Files (x86)Common FilesAdobeCS6ServiceManagerCS6ServiceManager.exe” -launchedbylogin
    HKLMSOFTWARE | Run : [SunJavaUpdateSched] – “C:Program Files (x86)Common FilesJavaJava Updatejusched.exe”
    HKLMSOFTWARE | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
    HKLMSOFTWARE | Run : [iTunesHelper] – “C:Program Files (x86)iTunesiTunesHelper.exe”
    HKLMSOFTWARE | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
    HKLMSOFTWAREwow6432Node | Run : [UpdateLBPShortCut] – “C:Program Files (x86)CyberLinkLabelPrintMUITransferMUIStartMenu.exe” “C:Program Files (x86)CyberLinkLabelPrint” UpdateWithCreateOnce “SoftwareCyberLinkLabelPrint2.5”
    HKLMSOFTWAREwow6432Node | Run : [UpdateP2GoShortCut] – “C:Program Files (x86)CyberLinkPower2GoMUITransferMUIStartMenu.exe” “C:Program Files (x86)CyberLinkPower2Go” UpdateWithCreateOnce “SOFTWARECyberLinkPower2Go6.0”
    HKLMSOFTWAREwow6432Node | Run : [Nuance PDF Reader-reminder] – “C:Program Files (x86)NuancePDF ReaderEregEreg.exe” -r “C:ProgramDataNuancePDF ReaderEregEreg.ini”
    HKLMSOFTWAREwow6432Node | Run : [ATKOSD2] – C:Program Files (x86)ASUSATK PackageATKOSD2ATKOSD2.exe
    HKLMSOFTWAREwow6432Node | Run : [ATKMEDIA] – C:Program Files (x86)ASUSATK PackageATK MediaDMedia.exe
    HKLMSOFTWAREwow6432Node | Run : [HControlUser] – C:Program Files (x86)ASUSATK PackageATK HotkeyHControlUser.exe
    HKLMSOFTWAREwow6432Node | Run : [BCSSync] – “C:Program Files (x86)Microsoft OfficeOffice14BCSSync.exe” /DelayServices
    HKLMSOFTWAREwow6432Node | Run : [WinampAgent] – “C:Program Files (x86)Winampwinampa.exe”
    HKLMSOFTWAREwow6432Node | Run : [AMD AVT] – Cmd.exe /c start “AMD Accelerated Video Transcoding device initialization” /min “C:Program Files (x86)AMD AVTbinkdbsync.exe” aml
    HKLMSOFTWAREwow6432Node | Run : [IAStorIcon] – C:Program Files (x86)IntelIntel(R) Rapid Storage TechnologyIAStorIconLaunch.exe “C:Program Files (x86)IntelIntel(R) Rapid Storage TechnologyIAStorIcon.exe” 60
    HKLMSOFTWAREwow6432Node | Run : [StartCCC] – “C:Program Files (x86)ATI TechnologiesATI.ACECore-StaticCLIStart.exe” MSRun
    HKLMSOFTWAREwow6432Node | Run : [avast] – “C:Program FilesAVAST SoftwareAvastavastUI.exe” /nogui
    HKLMSOFTWAREwow6432Node | Run : [SwitchBoard] – C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe
    HKLMSOFTWAREwow6432Node | Run : [AdobeCS6ServiceManager] – “C:Program Files (x86)Common FilesAdobeCS6ServiceManagerCS6ServiceManager.exe” -launchedbylogin
    HKLMSOFTWAREwow6432Node | Run : [SunJavaUpdateSched] – “C:Program Files (x86)Common FilesJavaJava Updatejusched.exe”
    HKLMSOFTWAREwow6432Node | Run : [APSDaemon] – “C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe”
    HKLMSOFTWAREwow6432Node | Run : [iTunesHelper] – “C:Program Files (x86)iTunesiTunesHelper.exe”
    HKLMSOFTWAREwow6432Node | Run : [QuickTime Task] – “C:Program Files (x86)QuickTimeQTTask.exe” -atboottime
    HKLMSOFTWARE | RunOnce : [] –
    HKLMSOFTWARE | RunOnce : [Malwarebytes Anti-Malware] – C:Program Files (x86)Malwarebytes' Anti-Malwarembamgui.exe /install /silent
    HKLMSOFTWAREwow6432Node | RunOnce : [] –
    HKLMSOFTWAREwow6432Node | RunOnce : [Malwarebytes Anti-Malware] – C:Program Files (x86)Malwarebytes' Anti-Malwarembamgui.exe /install /silent
    HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [MobileDocuments] – C:Program Files (x86)Common FilesAppleInternet Servicesubd.exe
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [AdobeBridge] –
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [VoipGain] – “C:Program Files (x86)VoipGain.comVoipGainvoipgain.exe” -nosplash -minimized
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [DAEMON Tools Lite] – “C:Program Files (x86)DAEMON Tools LiteDTLite.exe” -autorun
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [iCloudServices] – C:Program Files (x86)Common FilesAppleInternet ServicesiCloudServices.exe
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [ApplePhotoStreams] – C:Program Files (x86)Common FilesAppleInternet ServicesApplePhotoStreams.exe
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [Akamai NetSession Interface] – “C:UsersDASTGHIRAppDataLocalAkamainetsession_win.exe”
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [ISUSPM] – C:ProgramDataFLEXnetConnect11ISUSPM.exe -scheduler
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | Run : [OfficeSyncProcess] – “C:Program Files (x86)Microsoft OfficeOffice14MSOSYNC.EXE”
    HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    HKUS-1-5-21-3507418000-3349352771-755364840-1001SOFTWARE | RunOnce : [Uninstall C:UsersDASTGHIRAppDataLocalMicrosoftSkyDrive17.0.2003.1112amd64] – C:Windowssystem32cmd.exe /q /c rmdir /s /q “C:UsersDASTGHIRAppDataLocalMicrosoftSkyDrive17.0.2003.1112amd64”

    ################## | Éléments infectieux |

    Présent! F:RECYCLER.lnk
    Présent! F:._.Trashes.lnk
    Présent! F:Autorun.inf.lnk
    Présent! F:Print.lnk
    Présent! F:._CV Illustrator.ai.lnk
    Présent! F:._crane.jpg.lnk
    Présent! F:.Trashes.lnk
    Présent! F:._montre.psd.lnk
    Présent! F:dossieryveline.pdf.lnk
    Présent! F:._dossieryveline.pdf.lnk
    Présent! F:._file7981339543624.jpg.lnk
    Présent! F:Colours [Converti].eps.ai.lnk
    Présent! F:._Colours [Converti].eps.ai.lnk
    Présent! F:.Spotlight-V100.lnk
    Présent! F:Mes dossiers.lnk
    Présent! F:Book May 2013.lnk
    Présent! F:RecyclerNTDETECT.EXE
    Présent! C:UsersDASTGHIRAppDataLocalPUTTY.RND

    ################## | Registre |

    Présent! HKCUSoftwareVB and VBA Program SettingsINSTALL

    ################## | Mountpoints2 |

    HKCU….ExplorerMountPoints2{46dc6ec1-aa22-11e0-8e39-f46d040dcf67}
    ShellAutoRunCommand = F:AutoRun.exe

    HKCU….ExplorerMountPoints2{46dc6ed0-aa22-11e0-8e39-f46d040dcf67}
    ShellAutoRunCommand = F:AutoRun.exe

    ################## | Vaccin |

    C:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    D:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    F:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | https://www.usb-antivirus.com/fr/ |[/spoiler:3q9hzhuo]

  • Photo du profil de Evasion60Evasion60
    Participant
    Post count: 1557

    :hello: Bonsoir, et bienvenue sur SoSVirus

    Relance USBFix
    Clique sur ” Suppression
    Poste son rapport

  • Photo du profil de Hasnat Ali DastghirHasnat Ali Dastghir
    Participant
    Post count: 1

    Re, alors j’ai cliquer sur Suppression mais c’est bloquer a 14% depuis plus d’une heure, et sa répond plus :(

  • Photo du profil de Evasion60Evasion60
    Participant
    Post count: 1557

    :hello: Bonjour

    Comme précisé, en mode Suppression et si blocage, il faut =>
    – Désactiver antivirus et protections résidentes anti-malwares si présentes
    ou
    – Démarrer en mode sans échec avec prise en charge du réseau

    Bonne réception

  • Photo du profil de jlpjlpjlpjlp
    Participant
    Post count: 35

    slt a tous les deux

    pour savoir parmi les fichiers trouvés comme infectés il y a des fichiers importants à garder ou pas? si usbfix les supprime c’est bon ou pas?

    Présent! F:RECYCLER.lnk
    Présent! F:._.Trashes.lnk
    Présent! F:Autorun.inf.lnk
    Présent! F:Print.lnk
    Présent! F:._CV Illustrator.ai.lnk
    Présent! F:._crane.jpg.lnk
    Présent! F:.Trashes.lnk
    Présent! F:._montre.psd.lnk
    Présent! F:dossieryveline.pdf.lnk
    Présent! F:._dossieryveline.pdf.lnk
    Présent! F:._file7981339543624.jpg.lnk
    Présent! F:Colours [Converti].eps.ai.lnk
    Présent! F:._Colours [Converti].eps.ai.lnk
    Présent! F:.Spotlight-V100.lnk
    Présent! F:Mes dossiers.lnk
    Présent! F:Book May 2013.lnk
    Présent! F:RecyclerNTDETECT.EXE
    Présent! C:UsersDASTGHIRAppDataLocalPUTTY.RND
  • Anonyme
    Post count: 0

    Hello Jérôme,

    Non sur ce rapport il n’y a pas de FP, Comme tu le voit sur le rapport ce sont des .lnk en majorité. Ce sont en fait des raccourci qu’une infection a installé.

    Le but de cette infection est de faire croire que ces raccourci sont le fichier ou dossier légitime, si l’user clic dessus en croyant qu’il va accéder a son fichier ou dossier il démarre ou injecte l’infection sur le PC. Les données elles ne sont pas détruite mais obtiennent l’attribut Hiden, Usbfix durant son nettoyage supprimera tous ces raccourci et réaffichera les donnée de l’utilisateur.

    T’as compris le fonctionnement ?

  • Photo du profil de jlpjlpjlpjlp
    Participant
    Post count: 35

    ok merci de la précision: tu vois je commence déjà à apprendre de nouveaux trucs!

  • Anonyme
    Post count: 0

    ok merci de la précision: tu vois je commence déjà à apprendre de nouveaux trucs!

    ^^ De rien Jérôme Après si t’as des questions n’hésite pas à les poser dans le fofo Helper ;)

    Bonne suite à Evasion et désolé de la parenthèse :)

  • Photo du profil de Evasion60Evasion60
    Participant
    Post count: 1557

    :hello: Bonsoir Hasnat Ali Dastghir

    Cédric, jlpjlp, merci du passage ;)

    Bien Hasnat Ali Dastghir , tu en es ou, avec USBFix en mode Suppression ” ?

    A te lire :)

Le sujet ‘Help Clée USB Infecté’ est fermé à de nouvelles réponses.