Supprimer AntiShortCut AntiUsbShortCut

Un nouveau Ver USB (USB Worm) vient d’apparaître AntiUsbShortCut.zip. La dernière vague de ce type de ver remonte aux ver Autoit tel que googleupdate.a3x, GoogleChrome.a3x. Ce ver n’est pas encore connu, aucune info sur internet à l’heure ou j’écris ce billet.

Il s’installe dans le dossier Racine du système :

  • C:\AntiShortCut\AntiUsb.exe
  • C:\AntiShortCut\AntiUsbShortCut.zip

Il créé des fichiers de démarrage automatique :

  • %USERSTARTUP%\AntiShortCutUpdate.lnK
  • %USERSTARTUP%\AntiUsbShortCutUpdate.lnK

Il se rend persistant avec des inscriptions dans la base de registre windows :

  • 04 – HKCU\..\Run : [AntiShortCutUpdate] C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip”
  • 04 – HKCU\..\Run : [AntiUsbShortCut] C:\WINDOWS\system32\cmd.exe /c start C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip” & exit

Propagation

L’infection va ensuite se propager sur vos supports amovibles en piégeant son contenu dans le but de vous tromper et de se propager à d’autres ordinateurs.

Solution de Nettoyage gratuite :

Notre logiciel UsbFix vous débarrassera de cette infection. UsbFix pourra également restaurer vos données devenus inaccessibles. Télécharger UsbFix, aidez-vous du tutoriel au besoin : Tutoriel UsbFix.

AntiUsbShortCut

Description des infections USB.

Lire l’article

Télécharger USBFix.

Télécharger

Exemple de rapport USBFIX

################## | Startup |

F2 – HKLM\..\Winlogon :

[Shell] Explorer.exe
F2 – HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 – HKCU\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 – HKCU\..\Run : [AntiShortCutUpdate] C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip”
04 – HKCU\..\Run : [AntiUsbShortCut] C:\WINDOWS\system32\cmd.exe /c start C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip” & exit
04 – HKLM\..\Run : [AvastUI.exe] “C:\Archivos de programa\AVAST Software\Avast\AvastUI.exe” /nogui
04 – HKLM\..\Run : [RTHDCPL] RTHDCPL.EXE
04 – HKLM\..\Run : [AntiShortCutUpdate] C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip”
04 – HKLM\..\Run : [AntiUsbShortCut] C:\WINDOWS\system32\cmd.exe /c start C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip” & exit
04 – HKU\S-1-5-19\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 – HKU\S-1-5-20\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 – HKU\S-1-5-21-329068152-1960408961-839522115-1009\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 – HKU\S-1-5-21-329068152-1960408961-839522115-1009\..\Run : [AntiShortCutUpdate] C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip”
04 – HKU\S-1-5-21-329068152-1960408961-839522115-1009\..\Run : [AntiUsbShortCut] C:\WINDOWS\system32\cmd.exe /c start C:\AntiShortCut\AntiUsb.exe “C:\AntiShortCut\AntiUsbShortCut.zip” & exit
04 – HKU\S-1-5-18\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 – HKU\S-1-5-19\..\RunOnce : [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
04 – HKU\S-1-5-20\..\RunOnce : [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
04 – HKU\S-1-5-18\..\RunOnce : [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
04GS – AntiShortCutUpdate.lnk : C:\AntiShortCut\AntiUsb.exe C:\AntiShortCut\AntiUsbShortCut.zip &
04GS – AntiUsbShortCutUpdate.lnk : C:\AntiShortCut\AntiUsbShortCut.zip

################## | C:\ %SystemDrive% – Disco fijo (NTFS) |

[22/05/2010 – 14:17:27 | RASH | 0 Ko] – C:\MSDOS.SYS[22/05/2010 – 14:17:27 | A | 0 Ko] – C:\CONFIG.SYS[22/05/2010 – 14:17:27 | RASH | 0 Ko] – C:\IO.SYS[13/04/2016 – 12:22:28 | ASH | 1548288 Ko] – C:\pagefile.sys[13/04/2016 – 11:59:40 | D] – C:\Config.Msi[18/02/2014 – 10:43:24 | A | 69 Ko] – C:\P1005.log[07/09/2015 – 11:11:56 | A | 45 Ko] – C:\1020.log[17/09/2015 – 11:52:42 | A | 1 Ko] – C:\INSTPDTLOG_9-17-2015_11-51-24.LOG[28/09/2015 – 11:24:49 | A | 1 Ko] – C:\INSTPDTLOG_9-28-2015_11-24-12.LOG[22/05/2010 – 14:12:22 | SH | 0 Ko] – C:\boot.ini[01/05/2009 – 22:56:12 | A | 114 Ko] – C:\USB Show.exe[21/02/2003 – 04:42:22 | A | 340 Ko] – C:\msvcr71.dll[03/08/2004 – 22:38:34 | N | 46 Ko] – C:\NTDETECT.COM[28/09/2001 – 07:00:00 | N | 5 Ko] – C:\Bootfont.bin[13/04/2016 – 11:59:39 | SHD] – C:\$RECYCLE.BIN[22/05/2010 – 14:17:27 | A | 0 Ko] – C:\AUTOEXEC.BAT[22/05/2010 – 15:44:06 | RASH | 245 Ko] – C:\ntldr[13/04/2016 – 11:59:40 | D] – C:\DESCARTES[13/04/2016 – 11:59:40 | D] – C:\Documents and Settings[13/04/2016 – 11:59:40 | D] – C:\hp_LJ1018_Full_Solution[13/04/2016 – 11:59:40 | D] – C:\Instalar[13/04/2016 – 11:59:40 | D] – C:\Intel[13/04/2016 – 11:59:41 | RHD] – C:\MSOCache[13/04/2016 – 11:59:41 | SHD] – C:\RECYCLER[13/04/2016 – 11:59:41 | D] – C:\spoolerlogs[13/04/2016 – 11:59:41 | D] – C:\SUNATPDT[13/04/2016 – 12:04:20 | D] – C:\AntiUsbShortCut[13/04/2016 – 12:15:24 | D] – C:\AntiShortCut[13/04/2016 – 12:26:12 | D] – C:\Archivos de programa[13/04/2016 – 12:27:43 | D] – C:\UsbFix[13/04/2016 – 12:28:38 | D] – C:\WINDOWS

################## | F:\ – Disco fijo (NTFS) |

[13/04/2016 – 11:59:41 | D] – F:\AntiUsbShortCut[13/04/2016 – 12:28:42 | SHD] – F:\RECYCLER

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

Par | 2017-01-27T21:15:35+00:00 avril 14th, 2016|Menaces|0 commentaire

Laisser un commentaire