Tentative virus clef USB

totsukaba · par **totsukaba** » 11 oct. 2022 21:52

Bonjour,
J'ai démarré un nouveaux taff dans une boite où les ordis du bureau sont infectés par les fameux virus par clef USB.
J'ai le malheur d'avoir besoin de clef USB pour bosser et j'ai donc malheureusement ramené une clef infectée chez moi, j'ai été surpris de voir windows me prévenir. Le problème c'est que je suis pas certain qu'il a bien le fait le taff pour éliminer la menace, mais en plus à force d'aller retour sur les ordis du taff, je m'aperçois qu'il y a potentiellement d'autre menaces.
Du coup sur ma machine j'ai fait tourner un peu tout, et à part RogueKiller s qui me flague les supports des ordis Dell, pas grand chose. Pour finir j'aimerai bien votre expertise avec FRST pour être sur que je n'ai pas été vérolé. Par contre je ne comprends pas j'ai pas le fichier shortcut avec l'analyse FRST.
Je vous laisse le FRST et addition, et j'ai bien sur viré WHS.
Merci !!

par **Malekal_morte** » 11 oct. 2022 22:45

Salut,

Le PC n'est pas touché, pas d'infection active.
Normalement tu as juste à scanner la clé et supprimer le malware.

Désinstalle McAfee® Personal Security
Pas très utile.

totsukaba · par **totsukaba** » 12 oct. 2022 08:22

Ah super, merci !! J'étais vraiment pas sur, car les clefs étaient vérolés de chez vérolé avec plusieurs virus tout les jours, et defender ne m'avait prévenu qu'une fois, et que les ordis du boulot malgré les anti-virus qui clignotent dans tout les sens et soit-disant une désinfection à chaque fois, les clefs revenait bien avec les faux dossiers raccourcis.
Je vais devoir faire avec mais maintenant que WHS est désactivé, je pense qu'il y a plus trop de risque.
Le mcafee je l'ai vu trainer, je vais voir mais il fait du package dell, pas sur de pouvoir le retirer facilement.
Mais merci encore !!

dax56 · par **dax56** » 12 oct. 2022 09:17

Bonjour je te mets un lien du site malekal pour désinstaller mcafee
https://www.malekal.com/supprimer-antivirus-mcafee/

par **Malekal_morte** » 12 oct. 2022 11:08

Yes tu as eu les bons réflexes =)

totsukaba · par **totsukaba** » 13 oct. 2022 18:38

C'est possible d'avoir toujours des faux positifs en résultat de rem-VBSworm ? Et d'avoir toujours un autorun.inf sur les clefs ? Quelque soit les clefs même après désinfection il me prévient d'une possible infection andromeda/Gamaru et ça aussi sur une vieille clef que j'ai simplement testé, il me préviens de la possible infection comme si mon ordi venait de l'infecter.

totsukaba · par **totsukaba** » 13 oct. 2022 19:06

Bordel WHS était réactivé, rem-VBSworm le réactive quand on l'utilise.
J'ai une ligne :
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2022-10-13] () <==== ATTENTION [zéro octet Fichier/Dossier]
Qui est apparu sur FRST.txt
Une idée ?
Si je comprend bien, c'est une tentative d'infection par un des virus sur une des clefs, qui a échoué et du coup tente de lancer un rapport d'erreur au démarrage à la place du script du virus ?

par **Malekal_morte** » 13 oct. 2022 22:58

En effet,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2022-10-13] () <==== ATTENTION [zéro octet Fichier/Dossier]
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

totsukaba · par **totsukaba** » 14 oct. 2022 06:39

Donc c'est bien une tentative avorté et il restait juste une trace qui donne un faux positif c'est ça ?
Pareil pour VBS-remover, un faux positifs sur les clefs ?

Les ordis du bureau vont me faire tourner en bourrique, si à chaque fois elles ramènent même un nouveau type de virus...
Et USBfix, il ne marche plus, il est vérolé ? J'ai essayé sur un autre ordi mais il n'est plus disponible sur malekal, et defender l'a envoyé chier quand je l'ai récup sur le site original.

par **Malekal_morte** » 14 oct. 2022 07:56

Oui, infection USB.
Refais un scan FRST et vérifie que la ligne errorlog.txt a bien disparue.

~~

Vérifie bien que WSH est désactivé, pour cela :

Touche Windows + R
tape wscript.exe et OK
tu dois avoir un message qui dit qu'il est désactivé

~~

La détection USBFix doit être unfaux positif, tu peux ajouter une exception

totsukaba · par **totsukaba** » 14 oct. 2022 11:13

La ligne a bien disparu.
Le lien pour usbfix c'est bien https://telecharger.malekal.com/download/usbfix/ ?

par **Malekal_morte** » 14 oct. 2022 12:52

Oui mais ça n'a pas trop d'intérêt de l'utiliser.
RemVBS suffit.

Malekal.com forum

Tentative virus clef USB

Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB

Re: Tentative virus clef USB