ordinateur infecté 2014-12-22T15:17:17+00:00

Dépannage Informatique : ordinateur infecté

  • Auteur
    Messages
  • nabildidane
    Participant
    Nombre d'articles : 0

    bonjour,
    j’ai téléchargé et installé USBfix, suite au premier analyse il a généré un fichier texte, j’ai vraiment besoin d’aide (a chaque fois que je branche une clé usb ou carde SD tout les fichier et dossier deviennent des raccourci et les vrai fichier seront caché ) voila le fichier texte :
    ############################## | UsbFix V 7.807 | [Recherche]

    Utilisateur: ETUDE (Administrateur) # ETUDE-PC
    Mis à jour le 18/12/2014 par El Desaparecido – SosVirus
    Lancé à 15:45:23 | 22/12/2014

    Site Web : http://www.usbfix.net/
    Changelog : http://www.usbfix.net/maj/
    Assistance : https://www.sosvirus.net/aide-nettoyage-pc/
    Upload Malware : https://www.sosvirus.net/upload_malware.php
    Détection en Live : http://comment-supprimer.fr/
    Contact : http://www.usbfix.net/contact/

    ################## | System information |

    MB: LENOVO (Emerald Lake 2)
    CPU: Intel(R) Core(TM) i3-2310M CPU @ 2.10GHz
    RAM -> [Total : 3439 Mo | Free : 963 Mo]
    Bios: LENOVO
    Boot: Normal boot

    OS: Microsoft™ Windows 7 Ultimate (6.1.7600 32-Bit)
    WB: Internet Explorer : 8.00.7600.16385
    WB: Google Chrome : 39.0.2171.95
    WB: Mozilla Firefox : 34.0.5

    ################## | Security Information |

    FW: Windows Firewall [Actif]
    SC: Security Center [(!) Désactivé]
    WU: Windows Update [(!) Désactivé]

    ################## | Disk Information |

    C: -> Disque fixe # 83 Go (18 Go libre(s) – 22%) [] # NTFS
    D: -> Disque fixe # 89 Go (10 Go libre(s) – 11%) [] # NTFS
    E: -> Disque amovible # 2 Go (943 Mo libre(s) – 49%) [] # FAT32
    F: -> Disque fixe # 100 Mo (30 Mo libre(s) – 30%) [Réservé au système] # NTFS
    G: -> Disque fixe # 167 Go (12 Go libre(s) – 7%) [] # NTFS
    H: (%SystemDrive%) -> Disque fixe # 126 Go (11 Go libre(s) – 9%) [] # NTFS

    ################## | Regedit Run |

    F2 – HKLM..Winlogon : [Shell] explorer.exe
    F2 – HKLM..Winlogon : [Userinit] H:Windowssystem32userinit.exe,
    04 – HKCU..Run : [hdirfbsher] wscript.exe //B “H:UsersETUDEAppDataRoaminghdirfbsher.vbs”
    04 – HKCU..RunOnce : [Adobe Speed Launcher] 1419143897
    04 – HKLM..Run : [Persistence] H:Windowssystem32igfxpers.exe
    04 – HKLM..Run : [MSC] “H:Program FilesMicrosoft Security Clientmsseces.exe” -hide -runkey
    04 – HKLM..Run : [Energy Management] H:Program FilesLenovoEnergy ManagementEnergy Management.exe
    04 – HKLM..Run : [EnergyUtility] H:Program FilesLenovoEnergy ManagementUtility.exe
    04 – HKLM..Run : [CAP3ON] H:Windowssystem32spooldriversw32x863CAP3ONN.EXE
    04 – HKUS-1-5-19..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-20..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-21-1431674841-211032458-799263622-1000..Run : [hdirfbsher] wscript.exe //B “H:UsersETUDEAppDataRoaminghdirfbsher.vbs”
    04 – HKUS-1-5-21-1431674841-211032458-799263622-1022..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-19..RunOnce : [mctadmin] H:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-20..RunOnce : [mctadmin] H:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-21-1431674841-211032458-799263622-1000..RunOnce : [Adobe Speed Launcher] 1419143897
    04 – HKUS-1-5-21-1431674841-211032458-799263622-1022..RunOnce : [mctadmin] H:WindowsSystem32mctadmin.exe

    ################## | Recherche générique |

    Présent! H:UsersETUDEAppDataRoaminghdirfbsher.vbs
    Présent! H:Windowssystem32system.exe
    Présent! C:WindowsSystem32system.exe
    Présent! D:WindowsSystem32system.exe

    ################## | Registre |

    Présent! HKUS-1-5-21-1431674841-211032458-799263622-1000SoftwareMicrosoftWindowsCurrentVersionRun|hdirfbsher
    Présent! HKCUSoftwareMicrosoftWindowsCurrentVersionRun|hdirfbsher

    ################## | UsbFix – Information |

    Info : Comment supprimer l’infection des raccourcis sur USB ? (Video)
    Info : L’infection des raccourcis USB, c’est quoi ?
    Détection en Live : http://comment-supprimer.fr/

    ################## | Hijack |

    ################## | E.O.F | https://www.sosvirus.net/ | http://www.usbfix.net/ |

  • guugues
    Participant
    Nombre d'articles : 572

    Hello et bienvenue ! 😉

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    En plus de l’infection USB, ton PC est visiblement infecté par une Backdoor. Par conséquent, lorsqu’on aura terminé entièrement la procédure de désinfection, il faudra que tu changes tous tes mots de passe : banque, réseaux sociaux etc.

    1- UsbFix – Nettoyage :

    • Branche tous tes médias amovibles sur le PC (clés USB, disques durs externes …) sans les ouvrir.
    • Relance UsbFix.

    Sous Windows Vista/Seven/8, clique droit sur UsbFix puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Nettoyage :

    • Une fenêtre va apparaître : clique sur OK puis laisse l’outil travailler.
    • Une fois la suppression terminée, un rapport s’ouvre automatiquement.
    • Ce rapport est sauvegardé ici : C:UsbFixLogUsbFix [Clean2] Nom_Du_PC.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- OTL – Analyse :

    • Branche tous tes médias amovibles sur le PC (clés USB, disques durs externes …) sans les ouvrir.
    • Télécharge OTL sur ton bureau.
    • Ferme toutes les applications en cours, puis lance OTL.

    Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu’administrateur

    • Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
    • Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    drivers32
    activex
    /md5start
    afd.sys
    atapi.sys
    cdfs.sys
    cdrom.sys
    dfsc.sys
    hdaudbus.sys
    i8042prt.sys
    ipnat.sys
    ipsec.sys
    mrxsmb.sys
    netbt.sys
    ntfs.sys
    parport.sys
    rasl2tp.sys
    rdpdr.sys
    smb.sys
    sptd.sys
    tcpip.sys
    tdx.sys
    volsnap.sys
    cmd.exe
    explorer.exe
    services.exe
    svchost.exe
    userinit.exe
    wininit.exe
    winlogon.exe
    kernel32.dll
    rpcss.dll
    user32.dll
    /md5stop
    %temp%*.exe /s
    %SYSTEMDRIVE%*.exe
    %ALLUSERSPROFILE%Application Data*.
    %ALLUSERSPROFILE%Application Data*.exe /s
    %APPDATA%*.
    %APPDATA%*.*
    %APPDATA%*.exe /s
    %systemroot%*. /mp /s
    %systemroot%system32consrv.dll
    %SystemDrive%$RECYCLE.BIN* /s
    %SystemDrive%RECYCLER* /s
    %SystemRoot%assemblyGAC*.*
    %SystemRoot%assemblyGAC_32*.*
    %SystemRoot%assemblyGAC_64*.*
    %LOCALAPPDATA%*.
    %LOCALAPPDATA%*.*
    %LOCALAPPDATA%GoogleDesktop* /s
    %ProgramFiles%GoogleDesktop* /s
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    %WINDIR%pss*.* /s
    %systemroot%System32config*.sav
    %systemroot%system32*.dll /lockedfiles
    %systemroot%syswow64*.dll /lockedfiles
    %systemroot%Tasks*.job /lockedfiles
    %systemroot%system32drivers*.sys /lockedfiles
    %systemroot%syswow64drivers*.sys /lockedfiles
    hklmsoftware
    hklmsoftwarewow6432node
    hkcusoftware
    hklmsoftwareclientsstartmenuinternet|command /rs
    hklmsoftwareclientsstartmenuinternet|command /64 /rs
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems /s
    HKLMSOFTWAREMicrosoftInternet ExplorerMAINFeatureControl|FEATURE_BROWSER_EMULATION /rs
    HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl|feature_enable_ie_compression /rs
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT
    • Puis colle-le sous la catégorie Personnalisation d’OTL.
    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s’ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
    • Héberge chacun de ces rapports sur SOSUpload puis poste moi les liens dans ta prochaine réponse.



    Sont donc attendus les rapports de UsbFix et OTL.

Le sujet ‘ordinateur infecté’ est fermé à de nouvelles réponses.