infection USB Ituneshelper.vbe 2013-11-30T12:35:43+00:00
  • Auteur
    Messages
  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    bonjour, 2 de mes PC ont été contaminés par une clé USB avec Ituneshelper (chez une société de reprographie).
    Avast et MWAM ne trouvent rien. J’ai fait plusieurs vérifs et j’ai “dératisé” mes clés sur mon lieu de travail avec l’antivirus pro. Il trouve ItunesHelper, et le supprime. J’y ai perdu quelques fichiers, mais pas grave.
    Pour autant, j’ai tjrs un souci avec mes clés lorsque je les rebranche…GRRRR. J’ai essayé USBfix, mais il plante le PC à 16%. Idem en mode sans échec. Je ne suis pas un pro de l’informatique, mais je me débrouille un peu…. pourtant, je ne sais plus que faire….

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    salut…USBFIX plante meme en mode sans echec….

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peu disparaître à plusieurs reprises

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !
    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Note : Si l’outil est relancé plusieurs fois, clique sur Scan|Kill

    • Si l’outil est bloqué par l’infection essaye avec d’autres exetensions :

    • Si des Proxy sont détectés et que tu n’en as pas installé :
      • Clique sur Supprimer le Proxy

    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur SosUpload
  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    OK, merci de t’intéresser à mes soucy ! j’ai posté le rapport Pre-scan sur SOSupload

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    re

    il me faudrait le lien que tu as obtenu pour pouvoir aller le consulter

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    ci après le lien sur SosUpload
    https://antimalware.top/log/SosUpload.bcbbc09a312244cde508480a6eeedd69.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    bien retente une suppression avec usbfix maintenant ( lance-le avec le clic droit “executer en tant qu’administrateur” )

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    USBFix plante tjrs …. 26%….pas mieux -(
    Obligé de forcer l’arrêt du PC pour redémarrer

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    meme chose en mode sans echec ?

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    Pas relancer en mode sans echec. Je teste de suite.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    ok à te lire :D

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    bonsoir, j’ai tenté en mode sans échec, mais même blocage. Par contre, je m’interroge sur le mode sans échec….
    Ecran d’accueil avec choix du mode sans échec, RAS. Listing du boot, puis démarrage visuellement identique au mode normal de windows…. je ne sais pas si c’est normal. Par expérience, visuellement, l’affichage est plus dégradé en mode sans échec. Bref, test USBFIX qui me prévient qu’il va fermer les applications et se limiter au mini…. puis plantage.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    laisse-le tourner , il n’y a pas de plantage

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    il me mets “ne répond plus”. J’ai attendu quelques minutes. OK, je vais lancer avant une partie de PS ce soir… je post dans la foulée. A+

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    ci joint le lien sur le post
    https://antimalware.top/log/SosUpload.5e3992b0b9edff4adff0096946c8a3b2.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    fallait faire suppression ^^

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    pas doué, pas doué… siffle

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    la suite…
    https://antimalware.top/log/SosUpload.f5632f889df21f0a9aa3717697d12602.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    ok relance pre_scan , clique sur Diag , heberge le rapport c:pre_diag_xx_xx_xx_xx_xx_xx.txt sur http://cjoint.com” onclick=”window.open(this.href);return false; et donne le lien

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    OK, voici le lien sur cjoint.com
    http://cjoint.com/?3LehKQMZFOC” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    bien la desinfection étant presque terminée je finis avec toi , cependant :

    emule
    limewire
    aspirateurs de site
    version de windows pirate
    cracks
    logiciels non à jour

    ne t’étonne pas d’etre infecté à faire n’importe quoi avec ton ordi.normalement j’aurais du fermer le topic.

    à titre info :

    http://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows” onclick=”window.open(this.href);return false;
    http://forum.malekal.com/danger-des-cracks-t893.html” onclick=”window.open(this.href);return false;

    pour ce qui est de l’aspirateur de sites , si le site que tu aspires contient des codes malicieux , tu les aspires avec et ils s’executent dans ton pc.
    sache que certains code malicieux de pages internet renferment des infections qui t’obligent à formater et tout perdre le contenu de tes documents hormis phots , videos(pas toutes) , musiqes (certaines peuvent être truquées aussi).
    tes mots de passe peuvent être volés à ton insu aussi.
    vois plutot ces pages :
    http://fr.wikipedia.org/wiki/Virut” onclick=”window.open(this.href);return false;
    http://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit” onclick=”window.open(this.href);return false;

    bref pour la suite : (sache que j’ai mis plus d’une heure à rédiger tout ca )

    desinstalle Ad-Aware Browsing Protection (Lavasoft)
    desinstalle adobe reader
    desinstale akamai si tu t’en sers pas
    desinstalle tout Java
    desinstalle spybot search and destroy il sert à rien

    ===========================

    sélectionne tout ce texte , puis CTRL + C :

    Kill::
    All

    Key::
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]|[]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]|[]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionRun]|[Dashlane]
    [HKLMSOFTWAREMicrosoftShared ToolsMSConfigstartupregAdobe Reader Speed Launcher]
    [HKLMSOFTWAREMicrosoftInternet ExplorerToolbar]|[{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerToolbar]|[{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftInternet ExplorerToolbar]|[Locked]
    [HKUS-1-5-18SOFTWAREMicrosoftInternet ExplorerSearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{74C36554-31F0-49DD-8857-ED6A64DF45BE}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{EEE6C367-6118-11DC-9C72-001320C79847}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{5B236E3E-80B2-4322-B6A2-529D751B7FB1}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{53707962-6F74-2D53-2644-206D7942484F}]
    [HKLMSoftwarewow6432NodemozillaFirefoxExtensions]|[{336D0C35-8A85-403a-B9D2-65C292C39087}]
    [HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}]
    [HKCRCLSID{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}]
    [HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
    [HKCRCLSID{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
    [HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [HKCRCLSID{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUpgradeCodes789034A89BAC50E4782F0A7BDBF75632]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components1A24B5BB8521B03E0C8D908F5ABC0AE6]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components305B09CE8C53A214DB58887F62F25536]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components61702E68A2A73DC47B4CC41CCFF6EF2C]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components6AA0923513360135B272E8289C5F13FA]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components75D5168E5E176C24981B4E5DBD991078]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components922525DCC5199162F8935747CA3D8E59]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components9E5B9BA17FD00284596D6092645FFC85]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsACBB9B2318A96D117A58000B0D610003]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsD9C03168B4C462B46891CAB358A800DB]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsF754C503375A13344B22388E18DFE87E]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products547B38670606DF14AA57B0BB83F3AE4D]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareDashlane_profiles]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareImInstaller]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareIpsos]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareSoftonic]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareWinHTTrack Website Copier]
    [HKLMSoftwareConduit]
    [HKLMSoftwareIminent]
    [HKLMSoftwareIncredibar.com]
    [HKLMSoftwareNoRemove’Microsoft’]
    [HKLMSoftwareTarma Installer]
    [HKLMSoftwareWeb Assistant]
    [HKLMSoftwareWow6432NodeWeb Assistant]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstallAd-Aware Browsing Protection]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstall{2F603A45-D956-496B-81B5-50D782424976}]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstall{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstall{B85C4CB2-B352-4BD8-818C-BCE353599107}]
    [HKCRCLSID{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKCRCLSID{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKCRCLSID{53707962-6F74-2D53-2644-206D7942484F}]
    [HKCRInstallerProducts547B38670606DF14AA57B0BB83F3AE4D]
    [HKCRAppIdescortApp.DLL]
    [HKCRAppIdescortEng.DLL]
    [HKCRAppIdescorTlbr.DLL]
    [HKCRAppIdesrv.EXE]

    File|Fold::
    C:user.js
    C:WindowsInstaller{7683B745-6060-41FD-AA75-0BBB383FEAD4}
    C:UsersGuillaumeDownloads*.exe
    C:UsersGuillaumeDownloadsebp*
    C:ProgramDataMicrosoftWindowsStart MenuProgramsSpybot – Search & Destroy
    C:Windowssystem32configsystemprofileAppDataRoamingAd-Aware Antivirus
    C:UsersGuillaumeAppDataRoamingAd-Aware Antivirus
    C:UsersSandrineAppDataRoamingAd-Aware Antivirus
    C:ProgramDataSpybot – Search & Destroy
    C:ProgramDataAd-Aware Browsing Protection
    C:UsersGuillaumeAppDataLocalfunmoods-speeddial.crx
    C:UsersGuillaumeAppDataLocalOpenCandy
    C:UsersGuillaumeAppDataLocaladaware
    C:UsersGuillaumeAppDataLocalPackageAware
    C:UsersPaul.PC-de-GuillaumeAppDataLocalWinamp Toolbar
    C:UsersPaul.PC-de-GuillaumeAppDataLocaladaware
    C:UsersSandrineAppDataLocalWinamp Toolbar
    C:UsersSandrineAppDataLocaladaware
    C:UsersInvitéAppDataLocalWinamp Toolbar
    C:Program FilesSpybot – Search & Destroy
    C:Program FilesAd-Aware Antivirus
    C:Program Files1ClickDownload
    C:WindowsSystem32TasksAd-Aware Update (Weekly)
    C:WindowsSystem32TasksAd-Aware Antivirus Scheduled Scan
    C:Windowssystem32rp_rules.dat
    C:Windowssystem32rp_stats.dat

    MBR::
    yes

    Clean::
    yes

    reboot::
    yes

    Relance Pre_scan puis choisis l’option « Script« L’outil va travailler instantanément
    des fenetres noires risquent de clignoter , c’est normal , c’est le programme qui travaille
    poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:) en fin de travail

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    OK pour les infos. Les pg pirates et autres p2p ont été désinstallés depuis bien longtemps. Pour Windows, rien à dire. Je suis passé s/s open office sur mes autres PC et je n’ai plus l’utilité sur celui ci. Vé désintaller.
    Mais t’as bien du voir les dates de désinstallation et que je suis clean (sauf windows)
    J’ai passé l’age de ces conneries et je m’étonne que ce soit encore sur mon DD. J’ai lu la charte, et j’en suis d’accord. J’aurai pas pris la peine de poster des rapports en sachant que j’avais des pg limites sur mon PC.
    Pour autant, tu as raison sur ces erreurs de jeunesse et ça me sert de leçon.
    Je poursuis selon tes infos. Du coup, je n’ai même pas pris la peine de poursuivre plus loin que ton sermon fort justifié.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    l’honnêteté paie :)

    à te lire :D

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    je fais du vide… pourquoi faut virer JAVA ? c’est un PC “libre accès “à la casa et il sert d’accès internet. Ca ne va pas bugger en surfant ?
    L’aspirateur de site ? c’est quel pg ? Akamai ??? ça c’est mon gamin de 12 ans qui me l’a collé avec son Minecraft !

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    non

    WinHTT Track chépukoi

    je n’ai pas java installé et jen ‘ai aucun problème

    il sert uniquement à des applications qui utilisent java , au pire s”il t’est demandé tu le réinstallera mais toutes facons il est pas à jour et c’est la plus grosse faille de sécurité du moment , exploitée par les pirates

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    OK, suis de retour.
    voici le lien pour le script pre-scan

    http://cjoint.com/?0LijXPuYY3l” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    :hello:

    tu peux me faire un topo des soucis qu’il reste ?

  • Photo du profil de PoukakiPoukaki
    Participant
    Nombre d'articles : 34

    Sur ce PC, tout me semble impec !!! un pb de démarrage pour la dropbox, mais RAS.
    Si les rapports te confirment qu’il n’y a plus d’infection, super.
    Je le laisse tranquille et je vais passer via paypal/donate : tout travail mérite salaire.

    J’ai un autre PC qui lui est total infecté : j’avais reformaté intégralement mes clés USB, mais elles sont vérolées à chaque fois… il est lent. Je pense qu’il a été à la base de tous mes soucis. Si tu en es d’accord, j’apprécierais que tu puisses encore m’assister. J’ai commencé à faire le même tri que tu m’avais conseillé. Ben oui, c’est à peu près la copie conforme de mon premier PC….
    Faut que j’ouvre un autre post ou je reste sur celui-ci…

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8314

    coucou :hello: :hello:

    on va ouvrir un autre poste ,dont voici le lien :

    pour-poukaki-t5198.html

    mais termine celui-ci avec ceci :

    [fin2desinf:2n8cgy1q][/fin2desinf:2n8cgy1q]

Le sujet ‘infection USB Ituneshelper.vbe’ est fermé à de nouvelles réponses.