Windows 7 - Clés USB fichier.exe création auto

doudidel · par **doudidel** » 23 sept. 2015 19:08

Bonsoir,

Tout d'abord désolée si le sujet est déjà ouvert dans d'autres messages, je n'ai pas trouvé.
J'ai un virus sur mes clés USB : des fichiers .exe se créent en double de mes fichiers normaux.
J'ai fais quelques recherches et vu que c'est un virus qui a l'air connu.

J'ai téléchargé Usbfix et fait un scan dont je poste le rapport ci dessous.

Serait il possible de m'aider pour les prochaines étapes ?

Merci d'avance
Très bonne soirée
Doud

############################## | UsbFix V 8.110 | [Research]

User: MSFAdmin (Administrator) # CHLAPIN278
Updated 19/09/2015 by El Desaparecido - SosVirus
Started at 19:07:37 | 23/09/2015

################## | System information |

MB: Hewlett-Packard (198F)
CPU: Intel(R) Core(TM) i5-4200U CPU @ 1.60GHz
RAM -> [Total : 3993 Mo | Free : 1797 Mo]
Bios: Hewlett-Packard
Boot: Normal boot

OS: Microsoft™ Windows 7 Professional (6.1.7601 64-Bit) Service Pack 1
WB: Internet Explorer : 8.00.7600.16385
WB: Mozilla Firefox : 33.1.1

################## | Security Information |

AV: Kaspersky Endpoint Security 10 for Windows [Enabled |Updated]
AS: Kaspersky Endpoint Security 10 for Windows [Enabled |Updated]
AS: Windows Defender [Enabled |(!) Outdated]
FW: Windows Firewall [Enabled]
SC: Security Center [Enabled]
WU: Windows Update [Enabled]

################## | Disk Information |

C:\ -> Fixed disk # 49 Gb (19 Gb free - 39%) [SYSTEM] # NTFS
D:\ -> Fixed disk # 325 Gb (282 Gb free - 87%) [DATA] # NTFS
E:\ -> Removable disk # 7 Gb (7 Gb free - 100%) [KINGSTON] # FAT32
F:\ -> Removable disk # 7 Gb (50 Mb free - 1%) [KINGSTON] # FAT32
G:\ -> Removable disk # 7 Gb (44 Mb free - 1%) [KINGSTON] # FAT32
R:\ -> Fixed disk # 20 Gb (12 Gb free - 63%) [RECOVERY] # NTFS

################## | Startup |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKCU\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKLM\..\Run : [QLBController] C:\Program Files (x86)\Hewlett-Packard\HP Hotkey Support\QLBController.exe /start
04 - HKLM\..\Run : [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe"
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
04 - [x64] HKLM\..\Run : [IgfxTray] "C:\windows\system32\igfxtray.exe"
04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\windows\system32\hkcmd.exe"
04 - [x64] HKLM\..\Run : [Persistence] "C:\windows\system32\igfxpers.exe"
04 - [x64] HKLM\..\Run : [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
04 - [x64] HKLM\..\Run : [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe
04 - [x64] HKLM\..\RunOnce : [IDTstacsvApp] %ProgramFiles%\IDT\WDM\STacSV64 -r
04 - [x64] HKLM\..\RunOnce : [SRS_APO_Install] rundll32.exe %windir%\system32\SRSLabs\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\slInit64.dll,SRS_InitializeEndpoints_Rundll32
04 - [x64] HKLM\..\RunOnce : [*WerKernelReporting] %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-4191850020-3155691540-3055919189-1001\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-4191850020-3155691540-3055919189-1003\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-4191850020-3155691540-3055919189-1003\..\Run : [apo5] C:\win\msn.exe
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-21-4191850020-3155691540-3055919189-1001\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04GS - Logon.lnk : -executionpolicy unrestricted -WindowStyle Hidden -file C:\Program Files (x86)\MSF\logon\logon.ps1

################## | Generic Research |

Found! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig -> 1
Found! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR -> 1
Found! HKU\S-1-5-21-4191850020-3155691540-3055919189-1003\Software\Microsoft\Windows\CurrentVersion\Run|apo5

par **Malekal_morte** » 23 sept. 2015 19:20

Salut,

ouaip infecté :

04 - HKU\S-1-5-21-4191850020-3155691540-3055919189-1003\..\Run : [apo5] C:\win\msn.exe

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

doudidel · par **doudidel** » 23 sept. 2015 19:44

Merci beaucoup !

Alors voici les liens :
http://pjjoint.malekal.com/files.php?id ... 15n7d6b8z8
http://pjjoint.malekal.com/files.php?id ... 13h7q14w13
http://pjjoint.malekal.com/files.php?id ... 12p14f6k10

par **Malekal_morte** » 23 sept. 2015 20:08

Essaye de compresser le dossier C:\Win
et envoyer le zip sur http://upload.malekal.com

A faire depuis une session administrateur :

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-09-08 20:23 - 2015-09-08 20:23 - 00000000 ____D C:\win

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Faudra faire un checkdisk du disque C

Error: (09/23/2015 06:26:51 PM) (Source: Disk) (EventID: 11) (User: )
Description: The driver detected a controller error on \Device\Harddisk1\DR1.

doudidel · par **doudidel** » 23 sept. 2015 20:54

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 2015-09-23 21:07:23)<=

==> ATTENTION: System is not rebooted.
C:\win => moved successfully

==== End of Fixlog 21:07:23 ====

Je redémarre l'ordinateur maintenant. Je fais un nouveau scan ensuite avec FRST encore ?
Merci

par **Malekal_morte** » 23 sept. 2015 20:57

Redémarre l'ordinateur puis :

Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com

doudidel · par **doudidel** » 23 sept. 2015 21:04

C'est fait, mais je ne suis pas sûre que ça ai fonctionné car il m'a dit "access is denied" quand j'ai créé le fichier zip. Il l'a créé quand même cela dit...

par **Malekal_morte** » 23 sept. 2015 21:57

ok tant pis, il reste quel problème ?
Tu as récup l'accès à tes clefs ?

doudidel · par **doudidel** » 23 sept. 2015 22:07

Je les ai toutes formatées car il y avait toujours les documents .exe dessus,
je ne sais pas trop si le problème est réglé ou non...

par **Malekal_morte** » 23 sept. 2015 22:26

Je pense que oui.

doudidel · par **doudidel** » 24 sept. 2015 10:03

Pas de réapparition des .exe donc ça m'a l'air bon en effet!
Merci beaucoup :-)

par **Malekal_morte** » 24 sept. 2015 10:06

Eventuellement, il est fortement conseillé de désactiver les scripts VBS / WSH, comme expliqué sur le dossier : Malware VBS/WSH/Windows Script Host

Le reste de la sécurité : Sécuriser son ordinateur.

Malekal.com forum

Windows 7 - Clés USB fichier.exe création auto

Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto

Re: Windows 7 - Clés USB fichier.exe création auto