infection USB Ituneshelper.vbe 2013-11-30T12:35:43+00:00
  • Auteur
    Messages
  • Poukaki
    Participant
    Post count: 34

    bonjour, 2 de mes PC ont été contaminés par une clé USB avec Ituneshelper (chez une société de reprographie).
    Avast et MWAM ne trouvent rien. J’ai fait plusieurs vérifs et j’ai “dératisé” mes clés sur mon lieu de travail avec l’antivirus pro. Il trouve ItunesHelper, et le supprime. J’y ai perdu quelques fichiers, mais pas grave.
    Pour autant, j’ai tjrs un souci avec mes clés lorsque je les rebranche…GRRRR. J’ai essayé USBfix, mais il plante le PC à 16%. Idem en mode sans échec. Je ne suis pas un pro de l’informatique, mais je me débrouille un peu…. pourtant, je ne sais plus que faire….

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    salut…USBFIX plante meme en mode sans echec….

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peu disparaître à plusieurs reprises

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !
    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Note : Si l’outil est relancé plusieurs fois, clique sur Scan|Kill

    • Si l’outil est bloqué par l’infection essaye avec d’autres exetensions :

    • Si des Proxy sont détectés et que tu n’en as pas installé :
      • Clique sur Supprimer le Proxy

    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur SosUpload
  • Poukaki
    Participant
    Post count: 34

    OK, merci de t’intéresser à mes soucy ! j’ai posté le rapport Pre-scan sur SOSupload

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    re

    il me faudrait le lien que tu as obtenu pour pouvoir aller le consulter

  • Poukaki
    Participant
    Post count: 34

    ci après le lien sur SosUpload
    https://antimalware.top/log/SosUpload.bcbbc09a312244cde508480a6eeedd69.txt” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    bien retente une suppression avec usbfix maintenant ( lance-le avec le clic droit “executer en tant qu’administrateur” )

  • Poukaki
    Participant
    Post count: 34

    USBFix plante tjrs …. 26%….pas mieux -(
    Obligé de forcer l’arrêt du PC pour redémarrer

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    meme chose en mode sans echec ?

  • Poukaki
    Participant
    Post count: 34

    Pas relancer en mode sans echec. Je teste de suite.

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    ok à te lire :D

  • Poukaki
    Participant
    Post count: 34

    bonsoir, j’ai tenté en mode sans échec, mais même blocage. Par contre, je m’interroge sur le mode sans échec….
    Ecran d’accueil avec choix du mode sans échec, RAS. Listing du boot, puis démarrage visuellement identique au mode normal de windows…. je ne sais pas si c’est normal. Par expérience, visuellement, l’affichage est plus dégradé en mode sans échec. Bref, test USBFIX qui me prévient qu’il va fermer les applications et se limiter au mini…. puis plantage.

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    laisse-le tourner , il n’y a pas de plantage

  • Poukaki
    Participant
    Post count: 34

    il me mets “ne répond plus”. J’ai attendu quelques minutes. OK, je vais lancer avant une partie de PS ce soir… je post dans la foulée. A+

  • Poukaki
    Participant
    Post count: 34

    ci joint le lien sur le post
    https://antimalware.top/log/SosUpload.5e3992b0b9edff4adff0096946c8a3b2.txt” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    fallait faire suppression ^^

  • Poukaki
    Participant
    Post count: 34

    pas doué, pas doué… siffle

  • Poukaki
    Participant
    Post count: 34

    la suite…
    https://antimalware.top/log/SosUpload.f5632f889df21f0a9aa3717697d12602.txt” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    ok relance pre_scan , clique sur Diag , heberge le rapport c:pre_diag_xx_xx_xx_xx_xx_xx.txt sur http://cjoint.com” onclick=”window.open(this.href);return false; et donne le lien

  • Poukaki
    Participant
    Post count: 34

    OK, voici le lien sur cjoint.com
    http://cjoint.com/?3LehKQMZFOC” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    bien la desinfection étant presque terminée je finis avec toi , cependant :

    emule
    limewire
    aspirateurs de site
    version de windows pirate
    cracks
    logiciels non à jour

    ne t’étonne pas d’etre infecté à faire n’importe quoi avec ton ordi.normalement j’aurais du fermer le topic.

    à titre info :

    http://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows” onclick=”window.open(this.href);return false;
    http://forum.malekal.com/danger-des-cracks-t893.html” onclick=”window.open(this.href);return false;

    pour ce qui est de l’aspirateur de sites , si le site que tu aspires contient des codes malicieux , tu les aspires avec et ils s’executent dans ton pc.
    sache que certains code malicieux de pages internet renferment des infections qui t’obligent à formater et tout perdre le contenu de tes documents hormis phots , videos(pas toutes) , musiqes (certaines peuvent être truquées aussi).
    tes mots de passe peuvent être volés à ton insu aussi.
    vois plutot ces pages :
    http://fr.wikipedia.org/wiki/Virut” onclick=”window.open(this.href);return false;
    http://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit” onclick=”window.open(this.href);return false;

    bref pour la suite : (sache que j’ai mis plus d’une heure à rédiger tout ca )

    desinstalle Ad-Aware Browsing Protection (Lavasoft)
    desinstalle adobe reader
    desinstale akamai si tu t’en sers pas
    desinstalle tout Java
    desinstalle spybot search and destroy il sert à rien

    ===========================

    sélectionne tout ce texte , puis CTRL + C :

    Kill::
    All

    Key::
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]|[]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]|[]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionRun]|[Dashlane]
    [HKLMSOFTWAREMicrosoftShared ToolsMSConfigstartupregAdobe Reader Speed Launcher]
    [HKLMSOFTWAREMicrosoftInternet ExplorerToolbar]|[{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerToolbar]|[{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftInternet ExplorerToolbar]|[Locked]
    [HKUS-1-5-18SOFTWAREMicrosoftInternet ExplorerSearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{74C36554-31F0-49DD-8857-ED6A64DF45BE}]
    [HKLMSOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{EEE6C367-6118-11DC-9C72-001320C79847}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{5B236E3E-80B2-4322-B6A2-529D751B7FB1}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtSettings{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SOFTWAREMicrosoftWindowsCurrentVersionExtStats{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{53707962-6F74-2D53-2644-206D7942484F}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKUS-1-5-18SOFTWAREMicrosoftWindowsCurrentVersionExtStats{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{53707962-6F74-2D53-2644-206D7942484F}]
    [HKLMSoftwarewow6432NodemozillaFirefoxExtensions]|[{336D0C35-8A85-403a-B9D2-65C292C39087}]
    [HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}]
    [HKCRCLSID{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}]
    [HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
    [HKCRCLSID{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
    [HKLMSOFTWAREMicrosoftCode Store DatabaseDistribution Units{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [HKCRCLSID{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUpgradeCodes789034A89BAC50E4782F0A7BDBF75632]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components1A24B5BB8521B03E0C8D908F5ABC0AE6]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components305B09CE8C53A214DB58887F62F25536]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components61702E68A2A73DC47B4CC41CCFF6EF2C]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components6AA0923513360135B272E8289C5F13FA]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components75D5168E5E176C24981B4E5DBD991078]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components922525DCC5199162F8935747CA3D8E59]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Components9E5B9BA17FD00284596D6092645FFC85]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsACBB9B2318A96D117A58000B0D610003]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsD9C03168B4C462B46891CAB358A800DB]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18ComponentsF754C503375A13344B22388E18DFE87E]
    [HKLMSoftwareMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products547B38670606DF14AA57B0BB83F3AE4D]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareDashlane_profiles]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareImInstaller]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareIpsos]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareSoftonic]
    [HKUS-1-5-21-2752541312-3158102777-3167911619-1000SoftwareWinHTTrack Website Copier]
    [HKLMSoftwareConduit]
    [HKLMSoftwareIminent]
    [HKLMSoftwareIncredibar.com]
    [HKLMSoftwareNoRemove’Microsoft’]
    [HKLMSoftwareTarma Installer]
    [HKLMSoftwareWeb Assistant]
    [HKLMSoftwareWow6432NodeWeb Assistant]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstallAd-Aware Browsing Protection]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstall{2F603A45-D956-496B-81B5-50D782424976}]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstall{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1]
    [HKLMSoftwareMicrosoftwindowsCurrentVersionUninstall{B85C4CB2-B352-4BD8-818C-BCE353599107}]
    [HKCRCLSID{25A3A431-30BB-47C8-AD6A-E1063801134F}]
    [HKCRCLSID{42D79B50-CC4A-4A8E-860F-BE674AF053A2}]
    [HKCRCLSID{53707962-6F74-2D53-2644-206D7942484F}]
    [HKCRInstallerProducts547B38670606DF14AA57B0BB83F3AE4D]
    [HKCRAppIdescortApp.DLL]
    [HKCRAppIdescortEng.DLL]
    [HKCRAppIdescorTlbr.DLL]
    [HKCRAppIdesrv.EXE]

    File|Fold::
    C:user.js
    C:WindowsInstaller{7683B745-6060-41FD-AA75-0BBB383FEAD4}
    C:UsersGuillaumeDownloads*.exe
    C:UsersGuillaumeDownloadsebp*
    C:ProgramDataMicrosoftWindowsStart MenuProgramsSpybot – Search & Destroy
    C:Windowssystem32configsystemprofileAppDataRoamingAd-Aware Antivirus
    C:UsersGuillaumeAppDataRoamingAd-Aware Antivirus
    C:UsersSandrineAppDataRoamingAd-Aware Antivirus
    C:ProgramDataSpybot – Search & Destroy
    C:ProgramDataAd-Aware Browsing Protection
    C:UsersGuillaumeAppDataLocalfunmoods-speeddial.crx
    C:UsersGuillaumeAppDataLocalOpenCandy
    C:UsersGuillaumeAppDataLocaladaware
    C:UsersGuillaumeAppDataLocalPackageAware
    C:UsersPaul.PC-de-GuillaumeAppDataLocalWinamp Toolbar
    C:UsersPaul.PC-de-GuillaumeAppDataLocaladaware
    C:UsersSandrineAppDataLocalWinamp Toolbar
    C:UsersSandrineAppDataLocaladaware
    C:UsersInvitéAppDataLocalWinamp Toolbar
    C:Program FilesSpybot – Search & Destroy
    C:Program FilesAd-Aware Antivirus
    C:Program Files1ClickDownload
    C:WindowsSystem32TasksAd-Aware Update (Weekly)
    C:WindowsSystem32TasksAd-Aware Antivirus Scheduled Scan
    C:Windowssystem32rp_rules.dat
    C:Windowssystem32rp_stats.dat

    MBR::
    yes

    Clean::
    yes

    reboot::
    yes

    Relance Pre_scan puis choisis l’option « Script« L’outil va travailler instantanément
    des fenetres noires risquent de clignoter , c’est normal , c’est le programme qui travaille
    poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:) en fin de travail

  • Poukaki
    Participant
    Post count: 34

    OK pour les infos. Les pg pirates et autres p2p ont été désinstallés depuis bien longtemps. Pour Windows, rien à dire. Je suis passé s/s open office sur mes autres PC et je n’ai plus l’utilité sur celui ci. Vé désintaller.
    Mais t’as bien du voir les dates de désinstallation et que je suis clean (sauf windows)
    J’ai passé l’age de ces conneries et je m’étonne que ce soit encore sur mon DD. J’ai lu la charte, et j’en suis d’accord. J’aurai pas pris la peine de poster des rapports en sachant que j’avais des pg limites sur mon PC.
    Pour autant, tu as raison sur ces erreurs de jeunesse et ça me sert de leçon.
    Je poursuis selon tes infos. Du coup, je n’ai même pas pris la peine de poursuivre plus loin que ton sermon fort justifié.

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    l’honnêteté paie :)

    à te lire :D

  • Poukaki
    Participant
    Post count: 34

    je fais du vide… pourquoi faut virer JAVA ? c’est un PC “libre accès “à la casa et il sert d’accès internet. Ca ne va pas bugger en surfant ?
    L’aspirateur de site ? c’est quel pg ? Akamai ??? ça c’est mon gamin de 12 ans qui me l’a collé avec son Minecraft !

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    non

    WinHTT Track chépukoi

    je n’ai pas java installé et jen ‘ai aucun problème

    il sert uniquement à des applications qui utilisent java , au pire s”il t’est demandé tu le réinstallera mais toutes facons il est pas à jour et c’est la plus grosse faille de sécurité du moment , exploitée par les pirates

  • Poukaki
    Participant
    Post count: 34

    OK, suis de retour.
    voici le lien pour le script pre-scan

    http://cjoint.com/?0LijXPuYY3l” onclick=”window.open(this.href);return false;

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    :hello:

    tu peux me faire un topo des soucis qu’il reste ?

  • Poukaki
    Participant
    Post count: 34

    Sur ce PC, tout me semble impec !!! un pb de démarrage pour la dropbox, mais RAS.
    Si les rapports te confirment qu’il n’y a plus d’infection, super.
    Je le laisse tranquille et je vais passer via paypal/donate : tout travail mérite salaire.

    J’ai un autre PC qui lui est total infecté : j’avais reformaté intégralement mes clés USB, mais elles sont vérolées à chaque fois… il est lent. Je pense qu’il a été à la base de tous mes soucis. Si tu en es d’accord, j’apprécierais que tu puisses encore m’assister. J’ai commencé à faire le même tri que tu m’avais conseillé. Ben oui, c’est à peu près la copie conforme de mon premier PC….
    Faut que j’ouvre un autre post ou je reste sur celui-ci…

  • g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8305

    coucou :hello: :hello:

    on va ouvrir un autre poste ,dont voici le lien :

    pour-poukaki-t5198.html

    mais termine celui-ci avec ceci :

    [fin2desinf:2n8cgy1q][/fin2desinf:2n8cgy1q]

Le sujet ‘infection USB Ituneshelper.vbe’ est fermé à de nouvelles réponses.