15 sujets de 1 à 15 (sur un total de 21)
  • Auteur
    Messages
  • hello
    Participant
    Nombre d'articles : 12

    pc infecté possible clés usb qui affichent que des raccourcis

    Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    Bienvenue sur SosVirus :welcome:

    • Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
    • Lance UsbFix.
    • Connecte les supports USB Susceptibles d’être infectés.
    • Choisis l’option Nettoyage

    • Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta prochaine réponse.
    • Tutoriel : http://www.usbfix.net/tutoriels/ » onclick= »window.open(this.href);return false;
    hello
    Participant
    Nombre d'articles : 12

    Hello, merci de la réponse. Une clé résiste !
    ############################## | UsbFix V 7.811 | [Nettoyage]

    Utilisateur: Sandra (Administrateur) # HP-ENVY-DV7393
    Mis à jour le 20/01/2015 par El Desaparecido – SosVirus
    Lancé à 12:41:49 | 25/01/2015

    Site Web : http://www.usbfix.net/
    Changelog : http://www.usbfix.net/maj/
    Assistance : http://www.sosvirus.net/forum-virus-securite.html
    Détection en Live : http://comment-supprimer.fr/
    Contact : http://www.usbfix.net/contact/

    ################## | System information |

    MB: Hewlett-Packard (181D)
    CPU: Intel(R) Core(TM) i7-3610QM CPU @ 2.30GHz
    RAM -> [Total : 8081 Mo | Free : 5253 Mo]
    Bios: Insyde
    Boot: Normal boot

    OS: Microsoft™ Windows 8.1 (6.3.9600 64-Bit)
    WB: Internet Explorer : 11.00.9600.16384
    WB: Google Chrome : 40.0.2214.91
    WB: Mozilla Firefox : 35.0

    ################## | Security Information |

    AV: Windows Defender [(!) Désactivé |A jour]
    AV: Norton Internet Security [Actif |A jour]
    AS: Norton Internet Security [Actif |A jour]
    AS: Windows Defender [(!) Désactivé |A jour]
    FW: Norton Internet Security [Actif]
    FW: Windows Firewall [Actif]
    SC: Security Center [Actif]
    WU: Windows Update [Actif]

    ################## | Disk Information |

    C: (%SystemDrive%) -> Disque fixe # 902 Go (809 Go libre(s) – 90%) [] # NTFS
    D: -> Disque fixe # 29 Go (3 Go libre(s) – 12%) [RECOVERY] # NTFS
    G: -> Disque amovible # 2 Go (2 Go libre(s) – 100%) [] # FAT32

    ################## | Recherche générique |

    Non supprimé ! … Tentative au redémarrage… G:MerciJacquieMichel.vbe
    Supprimé! C:UsersSandraAppDataRoamingDEB6B25823-01-2015
    Supprimé! C:UsersSandraAppDataRoamingDEB6B25824-01-2015
    Supprimé! C:UsersSandraAppDataRoamingDEB6B25825-01-2015
    Supprimé! C:UsersSandraAppDataRoamingDEB6B258ak.tmp
    Supprimé! C:UsersSandraAppDataRoamingDEB6B258
    Supprimé! C:UsersSandraAppDataLocalTempSandra7
    Supprimé! C:UsersSandraAppDataLocalTempSandra8
    Non supprimé ! … Tentative au redémarrage… G:cv_sandrathomas_2014_secrgenerale.lnk
    Non supprimé ! … Tentative au redémarrage… G:cv_sandrathomas_2014_secrmedicale.lnk
    Non supprimé ! … Tentative au redémarrage… G:Préfet nov 2011.lnk
    Non supprimé ! … Tentative au redémarrage… G:foncia_8dec14.lnk
    Non supprimé ! … Tentative au redémarrage… G:System Volume Information.lnk
    Supprimé! C:UsersSandraAppDataRoamingSandra-wchelper.dll

    (!) Fichiers temporaires supprimés. (12.3923950195313 MB)

    ################## | Registre |

    Supprimé! HKCUSoftwarePoussin

    ################## | Regedit Run |

    F2 – HKLM..Winlogon : [Shell] explorer.exe
    F2 – [x64] HKLM..Winlogon : [Shell] explorer.exe
    F2 – HKLM..Winlogon : [Userinit] userinit.exe
    F2 – [x64] HKLM..Winlogon : [Userinit] C:Windowssystem32userinit.exe,
    04 – HKCU..Run : [Software updater] « C:UsersSandraAppDataRoamingFreeSoftwareUpdaterupdater.exe » -h http://neoupdater.com/ » onclick= »window.open(this.href);return false;
    04 – HKCU..Run : [Power2GoExpress8] « C:Program Files (x86)CyberLinkPower2Go8Power2GoExpress8.exe »
    04 – HKCU..Run : [OKLMi] C:UsersPubliceDocumentsvBox.exe
    04 – HKLM..Run : [BtTray] « C:Program Files (x86)Ralink CorporationRalink Bluetooth StackBtTray.exe »
    04 – HKLM..Run : [HP Quick Launch] C:Program Files (x86)Hewlett-PackardHP Quick LaunchHPMSGSVC.exe
    04 – HKLM..Run : [PE2CKFNT SE] C:Program Files (x86)Ulead SystemsUlead Photo Express 2 SEChkFont.exe
    04 – HKLM..Run : [RemoteControl10] « C:Program Files (x86)CyberLinkPowerDVD10PDVD10Serv.exe »
    04 – HKLM..Run : [BDRegion] C:Program Files (x86)CyberlinkShared filesbrs.exe
    04 – HKLM..Run : [PMBVolumeWatcher] C:Program Files (x86)SonyPlayMemories HomePMBVolumeWatcher.exe
    04 – HKLM..Run : [Wondershare Helper Compact.exe] C:Program Files (x86)Common FilesWondershareWondershare Helper CompactWSHelper.exe
    04 – HKLM..Run : [BrowserPlugInHelper] C:Program Files (x86)WondershareVideo Converter UltimateBrowserPlugInHelper.exe
    04 – HKLM..Run : [OKLMi] C:UsersPubliceDocumentsvBox.exe
    04 – [x64] HKLM..Run : [IgfxTray] « C:WINDOWSsystem32igfxtray.exe »
    04 – [x64] HKLM..Run : [HotKeysCmds] « C:WINDOWSsystem32hkcmd.exe »
    04 – [x64] HKLM..Run : [Persistence] « C:WINDOWSsystem32igfxpers.exe »
    04 – [x64] HKLM..Run : [SynTPEnh] %ProgramFiles%SynapticsSynTPSynTPEnh.exe
    04 – [x64] HKLM..RunOnce : [NCPluginUpdater] « C:Program Files (x86)Hewlett-PackardHP Health CheckActiveCheckproduct_lineNCPluginUpdater.exe » Update
    04 – HKUS-1-5-21-3987420560-2802187366-2589493375-1002..Run : [Software updater] « C:UsersSandraAppDataRoamingFreeSoftwareUpdaterupdater.exe » -h http://neoupdater.com/ » onclick= »window.open(this.href);return false;
    04 – HKUS-1-5-21-3987420560-2802187366-2589493375-1002..Run : [Power2GoExpress8] « C:Program Files (x86)CyberLinkPower2Go8Power2GoExpress8.exe »
    04 – HKUS-1-5-21-3987420560-2802187366-2589493375-1002..Run : [OKLMi] C:UsersPubliceDocumentsvBox.exe
    04GS – Photo Express Calendar Checker SE.lnk : C:Program Files (x86)Ulead SystemsUlead Photo Express 2 SECalCheck.exe

    ################## | UsbFix – Information |

    UsbFix a détecté sur votre ordinateur, une infection qui dispose d’une fonction de Keylogger.
    Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
    Si vous avez effectué des achats sur internet,
    veuillez contacter votre banque afin d’envisager une opposition sur votre carte bancaire.

    Info : Comment supprimer l’infection des raccourcis sur USB ? (Video)
    Info : L’infection des raccourcis USB, c’est quoi ?

    ################## | Hijack |

    Restauré! [SH] G:foncia_8dec14.docx
    Restauré! [SH] G:cv_sandrathomas_2014_secrgenerale.docx
    Restauré! [SH] G:cv_sandrathomas_2014_secrmedicale.docx
    Restauré! [SH] G:Préfet nov 2011.odt
    Restauré! [ASH] G:MerciJacquieMichel.vbe

    ################## | C: %SystemDrive% – Disque Fixe (NTFS) |

    [20/06/2014 – 13:54:43 | A | 1 Ko] – C:awhFDF.tmp
    [24/06/2014 – 14:33:16 | A | 1 Ko] – C:awhF739.tmp
    [05/07/2014 – 20:13:25 | A | 1 Ko] – C:awh998C.tmp
    [07/07/2014 – 09:09:11 | A | 1 Ko] – C:awh9419.tmp
    [10/07/2014 – 15:23:50 | A | 1 Ko] – C:awhF62F.tmp
    [17/07/2014 – 13:35:04 | A | 1 Ko] – C:awh2CEC.tmp
    [23/01/2015 – 00:47:45 | ASH | 6620176 Ko] – C:hiberfil.sys
    [23/01/2015 – 00:47:49 | ASH | 1310720 Ko] – C:pagefile.sys
    [23/01/2015 – 00:47:50 | ASH | 262144 Ko] – C:swapfile.sys
    [26/06/2013 – 14:04:38 | D] – C:SYSTEM.SAV
    [18/03/2003 – 20:14:52 | A | 488 Ko] – [VirusTotal – (0/55)] – C:msvcp71.dll
    [03/05/2014 – 10:43:09 | SHD] – C:$Recycle.Bin
    [04/08/2012 – 00:21:37 | RASH | 8 Ko] – C:BOOTSECT.BAK
    [26/07/2012 – 04:44:30 | RASH | 389 Ko] – C:bootmgr
    [04/08/2012 – 00:21:36 | SHD] – C:Boot
    [11/05/2013 – 01:27:16 | D] – C:Intel
    [11/05/2013 – 01:43:49 | D] – C:HP
    [18/06/2013 – 13:18:29 | N | 0 Ko] – C:BOOTNXT
    [29/06/2013 – 23:42:14 | D] – C:sources
    [05/07/2013 – 15:56:31 | RHD] – C:MSOCache
    [22/08/2013 – 15:45:52 | SHD] – C:Documents and Settings
    [22/08/2013 – 16:22:35 | D] – C:PerfLogs
    [10/03/2014 – 14:36:34 | D] – C:inetpub
    [10/03/2014 – 14:44:42 | SHD] – C:Recovery
    [10/03/2014 – 14:55:42 | RD] – C:Program Files
    [22/04/2014 – 20:03:33 | RD] – C:Users
    [11/07/2014 – 18:52:53 | D] – C:SWSetup
    [21/09/2014 – 07:31:52 | D] – C:Windows
    [22/01/2015 – 19:20:11 | RD] – C:Program Files (x86)
    [22/01/2015 – 23:56:38 | D] – C:AdwCleaner
    [23/01/2015 – 00:47:33 | HD] – C:ProgramData
    [23/01/2015 – 12:15:52 | D] – C:UsbFix

    ################## | D: – Disque Fixe (NTFS) |

    [22/01/2015 – 18:09:05 | A | 0 Ko] – D:Disque amovible (F) – Raccourci.lnk
    [26/07/2012 – 21:57:10 | N | 1319 Ko] – D:bootmgr.efi
    [26/06/2013 – 14:16:02 | SHD] – D:$RECYCLE.BIN
    [26/07/2012 – 20:44:32 | RASH | 389 Ko] – D:bootmgr
    [11/05/2013 – 03:10:26 | D] – D:EFI
    [11/05/2013 – 03:10:26 | D] – D:hp
    [11/05/2013 – 03:10:26 | RSHD] – D:boot
    [11/05/2013 – 03:10:26 | RSD] – D:recovery
    [11/05/2013 – 03:10:26 | D] – D:RM_Reserve
    [11/05/2013 – 03:10:26 | D] – D:FactoryUpdate
    [11/05/2013 – 03:10:29 | RSHD] – D:preload

    ################## | G: – Disque USB (FAT32) |

    [10/12/2014 – 07:54:46 | ASH | 556 Ko] – G:MerciJacquieMichel.vbe
    [08/12/2014 – 11:24:48 | SH | 15 Ko] – G:Préfet nov 2011.odt
    [10/12/2014 – 07:54:14 | A | 2 Ko] – G:cv_sandrathomas_2014_secrmedicale.lnk
    [10/12/2014 – 07:54:14 | A | 2 Ko] – G:Préfet nov 2011.lnk
    [10/12/2014 – 07:54:14 | A | 2 Ko] – G:foncia_8dec14.lnk
    [10/12/2014 – 07:54:14 | A | 2 Ko] – G:cv_sandrathomas_2014_secrgenerale.lnk
    [21/05/2014 – 12:54:06 | SH | 69 Ko] – G:cv_sandrathomas_2014_secrmedicale.docx
    [07/07/2014 – 09:14:24 | SH | 69 Ko] – G:cv_sandrathomas_2014_secrgenerale.docx
    [08/12/2014 – 14:10:16 | SH | 17 Ko] – G:foncia_8dec14.docx

    ################## | Vaccin |

    C:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    D:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.sosvirus.net/ | http://www.usbfix.net/ |

    Anonyme
    Nombre d'articles : 0

    retente en ayant désactivé ton antivirus stp : tutoriel-desactiver-protection-residentiel-t586-10.html

    hello
    Participant
    Nombre d'articles : 12

    Oui c’est fait mais pas de changement : disque G protégé en écriture… :- Il s’agit d’une clé qui n’a pas de protection physique, je veux dire pas de « tirettes »…

    hello
    Participant
    Nombre d'articles : 12

    merci

    Anonyme
    Nombre d'articles : 0

    arff ,

    On va tester de copier un fichier et de l’envoyer sur C:

    Ouvre l’invite de commande en tant qu’administrateur.

    Touche Windows + X (cela ouvre un menu) -> Invite de commande (admin)

    Une fenetre noire s’ouvre. Dedans copie colle ou tape cette ligne :

    copy /y G:foncia_8dec14.docx C:foncia_8dec14.docx

    Tu devrais recevoir un message te stipulant que la copie est ok.

    Ensuite copie colle ou tape cette ligne :

    attrib -r -s -h -a C:foncia_8dec14.docx

    Une fois cela fait , vérifie si tu as ce fichier ; C:foncia_8dec14.docx et si tu peux l’ouvrir

    hello
    Participant
    Nombre d'articles : 12

    Impossible : G:foncia_8dec14.docx fichier introuvable -> pourtant raccourci visible sur la clé

    hello
    Participant
    Nombre d'articles : 12

    J’ai cherché la cible sur la clé : C:Windowssystem32cmd.exe /c start MerciJacquieMichel.vbe&start foncia_8dec14.docx&exit Après je me dis :|

    Anonyme
    Nombre d'articles : 0

    G:foncia_8dec14.docx fichier introuvable -> pourtant raccourci visible sur la clé

    C’est cmd.exe qui te dit ça ou c’est toi qui le suppose ?

    Car ce fichier est bien présent mais caché :

    [10/12/2014 – 07:54:14 | A | 2 Ko] – G:cv_sandrathomas_2014_secrgenerale.lnk
    [21/05/2014 – 12:54:06 | SH | 69 Ko] – G:cv_sandrathomas_2014_secrmedicale.docx
    [07/07/2014 – 09:14:24 | SH | 69 Ko] – G:cv_sandrathomas_2014_secrgenerale.docx
    [08/12/2014 – 14:10:16 | SH | 17 Ko] – G:foncia_8dec14.docx

    • Appuies simultanément sur les touches Windows et R
    • Une fenêtre va s’ouvrir, tape control folders
    • Clique sur OK

    • Clique sur Affichage
    • Séléctionne « Afficher les fichiers, dossiers ou lecteurs cachés« 
    • Décoche la case « Masquer les fichiers protégés du système d’exploitation« 
    • Décoche la case « Masquer les extensions dont le type est connu« 
      Note : Une fenêtre va s’ouvrir, clique sur Oui

    • Clique sur Ok

    hello
    Participant
    Nombre d'articles : 12

    Je ne suppose rien ; j’ai juste cherché dans les propriétés des fichiers de la clé. :-) J’essaye de comprendre…

    Anonyme
    Nombre d'articles : 0

    oki,

    Effectue la manip des fichiers cachés, ça te permettra de voir tes fichiers réel sur la clé usb.

    Pour comprendre ce qu’il se passe : http://www.usbfix.net/2014/10/supprimer-virus-raccourcis-usb/ » onclick= »window.open(this.href);return false;

    hello
    Participant
    Nombre d'articles : 12

    Merci ! Ah lala, je vois maintenant du coup les fichiers cachés donc en double et aussi MerciJacquieMichel.vbe uniquement sur la clé type raccourci

    Anonyme
    Nombre d'articles : 0

    :)

    Mon objectif est de copier les fichier réels et de les envoyer sur un autre disque dans un premier temps, histoire de pas les perdre si ils sont important .
    Je t’explique cela ici : need-some-help-please-t105215.html#p213120

    Il y 4 fichiers à récupérer :

    G:foncia_8dec14.docx
    G:cv_sandrathomas_2014_secrgenerale.docx
    G:cv_sandrathomas_2014_secrmedicale.docx
    G:Préfet nov 2011.odt

    Sur le lien ci dessus, je t’explique comment copier G:foncia_8dec14.docx , si cela fonctionne, tu peux faire la même manip en modifiant juste le nom du fichier , cv_sandrathomas_2014_secrgenerale.docx , cv_sandrathomas_2014_secrmedicale.docx , Préfet nov 2011.odt …

    Ensuite on pourra essayer de formater la clé USB G vu qu’il n’y aura plus rien d’important dessus :)
    Ce qui effacera la fichier malware jacquimichel et les raccourcis piégés.

    hello
    Participant
    Nombre d'articles : 12

    Merci d’y penser, mais je n’ai pas besoin de les copier. Il s’agit déjà de copies. Quantà la tentative de formatage, j’essaye, j’essaye mais G a une protection… Bref :(

15 sujets de 1 à 15 (sur un total de 21)

Vous devez être connecté pour répondre à ce sujet.