Aide virus clef USB

[Ananastasia]

Bonjour,

depuis quelques jours ma clé usb a été contaminée (que des raccourcis sur la clé) (sans doute au bureau), mais j'ai peur d'avoir quelque chose sur mon pc également. On m'a dit de faire un scan OTL (d'ailleurs je ne peux le lancer qu'en mode sans échec), est-ce que dois coller un quelconque script ou non ? (ou faire autre chose ?)

merci d'avance!

[Malekal_morte]

Salut,

Utilise ce programme : http://forum.malekal.com/remediate-vbs-worm-t48588.html
Branche toutes tes clefs USB etc.
Tu le lances, tu auras un menu.
Appuye sur A et entrée. Cela va faire un nettoyage.

Ouvre "Mon Ordinateur" puis Disque C
tu auras un fichier RemVBS.log
Ouvre le et donne le contenu ici.

Relance le programme et fais tape B et entrée.

[Ananastasia]

Merci !

Voilà le rapport :
========================================================
Ran by anastasia on profile C:\Users\anastasia
Caption=Microsoft Windowsÿ7 dition Familiale Premium

25/02/2015
9:10:07,53
========================================================
Listing currently attached drives:
a: - Ce r‚pertoire racine n'existe pas
b: - Ce r‚pertoire racine n'existe pas
c: - Lecteur fixe
d: - Lecteur fixe
e: - Lecteur fixe
f: - Lecteur de CD-ROM
g: - Lecteur amovible
h: - Lecteur amovible
i: - Ce r‚pertoire racine n'existe pas
j: - Ce r‚pertoire racine n'existe pas
k: - Ce r‚pertoire racine n'existe pas
l: - Ce r‚pertoire racine n'existe pas
m: - Ce r‚pertoire racine n'existe pas
n: - Ce r‚pertoire racine n'existe pas
o: - Ce r‚pertoire racine n'existe pas
p: - Ce r‚pertoire racine n'existe pas
q: - Ce r‚pertoire racine n'existe pas
r: - Ce r‚pertoire racine n'existe pas
s: - Ce r‚pertoire racine n'existe pas
t: - Ce r‚pertoire racine n'existe pas
u: - Ce r‚pertoire racine n'existe pas
v: - Ce r‚pertoire racine n'existe pas
w: - Ce r‚pertoire racine n'existe pas
x: - Ce r‚pertoire racine n'existe pas
y: - Ce r‚pertoire racine n'existe pas
z: - Ce r‚pertoire racine n'existe pas
========================================================
Cleaning all TEMP files...
Disabling Autorun...
Disabling the WSH...
Windows Script Host disabled!
Fixing system/user policies and registry hijacks...
Killing, hijacking and deleting malicious processes and files...:
Adding image hijacks...
Deleting malicious Run keys...
Killing malicious processes...
Op‚ration r‚ussieÿ: le processus avec PID 1172 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 2556 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Deleting malicious files...
Fichier supprim‚ - C:\ProgramData\Hewlett-Packard\HP Advisor\LangRes\xx_xx\HPPS.vbs
Re-enabling the WSH...
Windows Script Host re-enabled!
Done cleaning up infection!

[Ananastasia]

Après l'option B, j'ai un fichier trash crée sur mes clés usb avec les données dedans. Il faut les conserver ainsi ?

[Ananastasia]

Quel scan me conseillez-vous pour mon PC ? il fait beaucoup de bruit depuis quelques temps

[Malekal_morte]

Le dossier trash c'est la corbeille, recopie les fichiers à l'endroit où tu veux les mettre =)

Pour voir :


Suis ce tutorial : https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

[Ananastasia]

merci!

http://pjjoint.malekal.com/files.php?id ... g15v912v12


http://pjjoint.malekal.com/files.php?id ... 6y8m10z9i8


je n'envoie pas le fichier "shortcut" ?

[Ananastasia]

virus ou pas virus ? désolé je suis incapable de décoder les rapports.

[Malekal_morte]

il est infecté,

J'aimerai récupérer ce fichier : C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe
Si tu peux l'envoyer sur http://upload.malekal.com
ou tu le zip et envoie par mail à [email protected]

Tu as 3 antivirus, c'est pas bon du coup, ralentissement et plantage en vue.
Désinstalle tout et ne garde qu'Avast!.
Désinstalle aussi Driver Restore et Driver Manager.

AV: AVG AntiVirus Free Edition 2014 (Disabled - Up to date) {0E9420C4-06B3-7FA0-3AB1-6E49CB52ECD9}
AV: Norton Internet Security (Disabled - Up to date) {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: AVG AntiVirus Free Edition 2014 (Disabled - Up to date) {B5F5C120-2089-702E-0001-553BB0D5A664}
AS: avast! Antivirus (Disabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
AS: Norton Internet Security (Disabled - Up to date) {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
FW: Norton Internet Security (Disabled) {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
FW: avast! Antivirus (Disabled) {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0}

~~



Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe (Microsoft Corporation)
Startup: C:\Users\anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe (Microsoft Corporation)
Startup: C:\Users\anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\hpmgr64.exe (Microsoft Corporation)
2015-02-23 15:05 - 2015-02-23 15:05 - 00000797 _____ () C:\Users\anastasia\Downloads\E0547497.exl
2015-02-23 15:04 - 2015-02-23 15:04 - 00001150 _____ () C:\Users\anastasia\Downloads\E0547497.qif
2015-02-20 22:07 - 2015-02-25 11:43 - 00000000 ___HD () C:\Users\anastasia\AppData\Roaming\tgdrasox
HKU\S-1-5-21-96714663-3926218271-1944889721-1000\...\Run: [Driver Restore] => C:\Program Files (x86)\Driver Restore\Driver Restore\DriverRestore.exe [3988856 2013-09-19] (PC Drivers Headquarters)
HKU\S-1-5-21-96714663-3926218271-1944889721-1000\...\Run: [Driver Manager] => C:\Program Files (x86)\Driver Manager\Driver Manager\DriverManager.exe [4678008 2015-02-04] (PC Drivers Headquarters)

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[Ananastasia]

J'ai pu supprimer avg et norton antivirus.

Voila le rapport après le fix :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 25-02-2015 01
Ran by anastasia at 2015-02-25 20:23:10 Run:1
Running from C:\Users\anastasia\Desktop
Loaded Profiles: anastasia (Available profiles: anastasia)
Boot Mode: Safe Mode (with Networking)
==============================================

Content of fixlist:
*****************
ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe (Microsoft Corporation)
Startup: C:\Users\anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe (Microsoft Corporation)
Startup: C:\Users\anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\hpmgr64.exe (Microsoft Corporation)
2015-02-23 15:05 - 2015-02-23 15:05 - 00000797 _____ () C:\Users\anastasia\Downloads\E0547497.exl
2015-02-23 15:04 - 2015-02-23 15:04 - 00001150 _____ () C:\Users\anastasia\Downloads\E0547497.qif
2015-02-20 22:07 - 2015-02-25 11:43 - 00000000 ___HD () C:\Users\anastasia\AppData\Roaming\tgdrasox
HKU\S-1-5-21-96714663-3926218271-1944889721-1000\...\Run: [Driver Restore] => C:\Program Files (x86)\Driver Restore\Driver Restore\DriverRestore.exe [3988856 2013-09-19] (PC Drivers Headquarters)
HKU\S-1-5-21-96714663-3926218271-1944889721-1000\...\Run: [Driver Manager] => C:\Program Files (x86)\Driver Manager\Driver Manager\DriverManager.exe [4678008 2015-02-04] (PC Drivers Headquarters)
*****************

C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe => Moved successfully.
C:\Users\anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk => Moved successfully.
C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe not found.
C:\Users\anastasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk not found.
C:\Users\anastasia\AppData\Roaming\tgdrasox\hpmgr64.exe not found.
C:\Users\anastasia\Downloads\E0547497.exl => Moved successfully.
C:\Users\anastasia\Downloads\E0547497.qif => Moved successfully.
C:\Users\anastasia\AppData\Roaming\tgdrasox => Moved successfully.
HKU\S-1-5-21-96714663-3926218271-1944889721-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Driver Restore => Value not found.
HKU\S-1-5-21-96714663-3926218271-1944889721-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Driver Manager => Value not found.

==== End of Fixlog 20:23:10 ====

[Ananastasia]

Bonjour,

Le PC est clean après la dernière opération ? Je trouve qu'il ronronne toujours un peu trop.

[Malekal_morte]

Fais un scan FRST en mode normal, voir un peu ce qui tourne.

[Ananastasia]

Ok, je ferai ça tout à l'heure. Tu as bien reçu le fichier demandé ?

[Ananastasia]

Voilà les rapports :
http://pjjoint.malekal.com/files.php?id ... 2j6j12j5j5

http://pjjoint.malekal.com/files.php?id ... l7q7j7b615

http://pjjoint.malekal.com/files.php?id ... 0x13h15t14

Merci encore !

[Malekal_morte]

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
ShortcutTarget: Windows Explorer.lnk -> C:\Users\anastasia\AppData\Roaming\tgdrasox\amdmonitor.exe (No File)
FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home977\ff [Not Found]
FF Extension: No Name - C:\Program Files (x86)\AmiExt\flashEnhancer\ff [Not Found]
FF Extension: No Name - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release764\ff [Not Found]
2015-02-05 12:53 - 2015-02-05 12:53 - 00000000 ____D () C:\Program Files (x86)\HotPotatoes6
2014-02-21 11:50 - 2014-02-21 11:50 - 0828200 _____ (AnyProtect.com) C:\Users\anastasia\AppData\Local\nsiB34B.tmp
2014-02-23 08:01 - 2014-02-23 08:01 - 0828200 _____ (AnyProtect.com) C:\Users\anastasia\AppData\Local\nsoDE05.tmp
2014-03-25 06:58 - 2014-03-25 06:58 - 1172728 _____ (AnyProtect.com) C:\Users\anastasia\AppData\Local\nsx3381.tmp

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur