Disque amovible: infection raccourci + nettoyage impossible

[Bradley84]

Bonjour/bonsoir, comme vous pouvez le voir au titre de mon post, je suis victime d'une infection qui se répand par disques amovibles transformant tous les fichiers et dossiers en raccourcis (enfin, il ne fait que cacher les fichiers originaux et crée des raccourcis vers cmd.exe en utilisant leurs noms, pour ensuite pouvoir lancer l'infection).
Je l'ai découvert lorsque je suis allé dans un centre d'impression, le responsable l'a remarqué sur ma clé et avait heureusement les programmes nécessaire pour la nettoyer, puis m'a informé sur la nature de ce virus.
J'ai bien lu les différents tutos présents sur le forum pour déjà essayer de m'en sortir moi-même, mais malheureusement mon ordinateur (qui est sous Windows 7) ne veut lancer aucun des programmes de nettoyage.
J'ai cherché des infos sur google et j'ai vu que quelqu'un avait le même problème (=> http://forum.telecharger.01net.com/foru ... 6395_1.htm), mais vu que la résolution de ce genre de problèmes se fait au cas-par-cas, je suis venu demander directement à la source.
J'ai un peu regardé les fichiers suspects présents sur mes supports et je peux vous dire qu'il utilise un fichier nommé "ituneshelper.vbe" (sans compter toutes les cochonneries présentes sur l'ordinateur).

J'attends donc vos conseils afin de scanner mon ordinateur avec les bons programmes et dans le bon ordre pour éviter de faire n'importe quoi (car je ne m'y connais pas assez là-dedans pour trouver la source de certains problèmes).

Merci d'avance d'avoir prêté attention à ma requête et pour votre aide, vous êtes géniaux.

PS: le lien de téléchargement de Flash Disinfector du tuto ne fonctionne plus.

[angelique]

UsbFix devrait corriger ton probleme > https://www.malekal.com/tutorial_USBFix.php

[Bradley84]

Merci, mais comme indiqué plus haut, j'ai déjà lu les tutos qu'il fallait et aucun des programmes nécessaires au bon fonctionnement de ce tuto ne fonctionne.

Premièrement, l'application Open-config ne fonctionne pas, j'ai le message suivant:



Pour ce qui est de UsbFix, lorsque je le lance le programme, il s'ouvre, mais une fois que je choisis par exemple "Recherche", il m'ouvre une page internet explorer qui m'emmène sur un forum d'aide à la désinfection des virus.
Maintenant, je n'arrive plus sur la page internet, j'ai ce message à la place:



Bref, suivre les tutos ne me pose aucun problème, ce sont tous les programmes demandés qui ne fonctionnent pas.

[Malekal_morte]

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[Bradley84]

Merci pour votre réponse, voici le lien vers:
- OTL.txt => http://pjjoint.malekal.com/files.php?id ... o7r15v14x7
- Extras.txt => http://pjjoint.malekal.com/files.php?id ... 8t14j14g15 .

[angelique]

relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
O3:64bit: - HKLM\..\Toolbar: (no name) - !{FE69C007-C452-4d3e-86D2-1730DF8BC871} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{FE69C007-C452-4d3e-86D2-1730DF8BC871} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-332174113-982146578-2317025197-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKU\S-1-5-21-332174113-982146578-2317025197-1001..\Run: [iTunesHelper] wscript.exe //B "C:\Users\logan\AppData\Local\Temp\iTunesHelper.vbe" File not found
O4 - Startup: C:\Users\logan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
[2013-10-26 23:35:51 | 000,000,000 | ---D | C] -- C:\Users\logan\AppData\Local\WinZip
[2013-10-26 23:35:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
[2013-10-26 23:33:37 | 000,000,000 | ---D | C] -- C:\ProgramData\WinZip
[2013-10-26 23:33:22 | 000,000,000 | ---D | C] -- C:\Program Files\WinZip
[2013-10-26 23:10:49 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Enigma Software Group
[2013-10-26 23:07:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Nouveau dossier
[2013-10-26 22:49:30 | 000,000,000 | ---D | C] -- C:\Users\logan\Desktop\Nouveau dossier
[2013-10-26 19:22:49 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[30 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2013-10-27 15:09:53 | 000,214,826 | ---- | M] () -- C:\spyhunter.fix
[2013-10-26 23:35:07 | 000,002,309 | ---- | M] () -- C:\Users\Public\Desktop\WinZip.lnk
[2013-10-13 21:30:38 | 069,554,284 | -HS- | M] () -- C:\Users\logan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
[1669 C:\Users\logan\AppData\Local\Temp\*.tmp files -> C:\Users\logan\AppData\Local\Temp\*.tmp -> ]
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc .


>>> retelecharge USBFIX et met le sur ton bureau pas ailleurs !!!! (les appli ne se chargent pas en temporaire mais depuis le bureau ! ) branche tes supports USB......poste le rapport apres nettoyage

[Bradley84]

Voici le résultat du nettoyage => http://pjjoint.malekal.com/files.php?id ... n9s7n5f5g5

J'espère que c'est bon, je suppose que maintenant il ne me reste plus qu'à vacciner mes supports.
Si tout est bon, je vous remercie pour l'aide que vous m'avez apporté et pour votre disponibilité, vous faites du super boulot.

[Malekal_morte]

Refais un scan OTL et donne le rapport, voir s'il reste des trucs.