[Résolu] Contaminations de mes clés USB + disque dur

[Hirondelle]

Bonjour,

J'ai connecté deux clé USB sur un Windows infecté. Je ne me suis pas méfié et maintenant sur mes 2 clés USB, les fichiers sont devenus des raccourcis. J'ai utilisé AdwCleaner qui a supprimer un virus mais depuis j'ai un message à l'ouverture : le fichier vidéo.. quelque chose n'a pas pu s'ouvrir. Il semble donc que mon Windows 8.1 a été infecté car tout ce que je branche en USB s'infecte. En plus d'avoir perdu certaines de mes données sur les clés USB ! J'ai aussi connecté mon disque dur externe ne sachant pas qu'il avait été infecté, en résumé j'ai la totale.

J'ai fait une analyse avec Avast! des copies qui n'a rien décelé. J'ai essayé une restauration mais ca n'a pas fonctionné, le truc bloque le processus. Est-il possible de désinfecter le tout ? Est ce que mon disque dur externe est vraiment infecté ? Est-il possible de récupérer les données des clés USB ? Si je connecte une clé USB, est-ce qu'elle sera contaminée à son tour ?

Par avance merci pour votre aide,
Hirondelle

[Malekal_morte]

Salut,

C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> http://forum.malekal.com/infection-sur- ... t3350.html

Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lancer l'option A ( appuyer sur A et entrée )
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

2°) Relancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[Hirondelle]

Bonjour
Ci dessous le rapport

Code : Tout sélectionner

Rem-VBSworm v7.0

=========== - General info:

Running under: PCMAISON1 on profile: C:\Users\PCMAISON1.PCMAISON
Computer name: PCMAISON

Operating System:
Microsoft Windows 8.1  

Boot Mode:
Normal boot  

Antivirus software installed:
Windows Defender  

avast! Antivirus  


Executed on: 01/05/2016 @ 12:07:14,87

=========== - Drive info:

Listing currently attached drives:
Caption  Description        VolumeName   

C:       Disque fixe local  Windows      

D:       Disque fixe local  RECOVERY     

E:       Disque CD-ROM                   

F:       Disque amovible                 

G:       Disque amovible    USB DISK     

H:       Disque fixe local  VERBATIM HD  




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume5 NTFS
F: \Device\HarddiskVolume6 FAT
G: \Device\HarddiskVolume7 FAT
H: \Device\HarddiskVolume8 FAT

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
USBSTOR\DISK&VEN_&PROD_FLASH_DISK&REV_2.10\2008011419350092&0      

USBSTOR\DISK&VEN_SAMSUNG&PROD_HM500JI&REV_2AC1\203213141073____&0  

SCSI\DISK&VEN_TOSHIBA&PROD_MQ01ABD100\4&1583AE5E&0&000000          

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\0708526C3220BD15&0    




Fichier supprim‚ - F:\RIB.lnk
Fichier supprim‚ - F:\PHOTO FAMIlY.lnk
Fichier supprim‚ - F:\Affectation Resultat.lnk
Fichier supprim‚ - F:\FONDS DE CAISSE.lnk
Fichier supprim‚ - F:\Liste des Subventions.lnk
Fichier supprim‚ - F:\Devis College des Chartreux.lnk
Fichier supprim‚ - F:\MANUAL SR_FR.lnk
Fichier supprim‚ - F:\rib ligue.lnk
Fichier supprim‚ - F:\MODE utilsation Hot Dog.lnk
Fichier supprim‚ - F:\Comment%20d‚terminer%20le%20montant%20de%20l'indemnit‚ÿ[1].lnk
Fichier supprim‚ - F:\anne photo.lnk
Fichier supprim‚ - F:\559001 anne.lnk
Fichier supprim‚ - F:\255485_anne.lnk
Fichier supprim‚ - F:\inscription net entreprise.lnk
Fichier supprim‚ - F:\Cpte 2010 … 2012.lnk
Fichier supprim‚ - F:\Recette Cuisine AZ.lnk
Fichier supprim‚ - F:\Planification Charges Case.lnk
Fichier supprim‚ - F:\plan_comptable_association.lnk
Fichier supprim‚ - F:\Fiche contrat intrmitant.lnk
Fichier supprim‚ - F:\declaration.lnk
Fichier supprim‚ - F:\Courrier mairie.lnk
Fichier supprim‚ - F:\convention du sport 07 07 05.lnk
Fichier supprim‚ - F:\ccns_11_02_07.lnk
Fichier supprim‚ - F:\ccns_avenant51-2 SMC.lnk
Fichier supprim‚ - F:\attestation assedic.lnk
Fichier supprim‚ - F:\Fourniture Buvette.lnk
Fichier supprim‚ - F:\Facture Castaldi.lnk
Fichier supprim‚ - F:\Frais r‚els 2013.lnk
Fichier supprim‚ - F:\Mise en service telecommandes.lnk
Fichier supprim‚ - F:\Affiche Bugnes.lnk
Fichier supprim‚ - F:\Liste distance pour Frais.lnk
Fichier supprim‚ - F:\Calcul Prime Anciennet‚.lnk
Fichier supprim‚ - F:\Calcul Tx Horaire RP.lnk
Fichier supprim‚ - F:\ccns_2013-06-20[1].lnk
Fichier supprim‚ - F:\COMPTE RENDU REUNION DU 17 10 13.lnk
Fichier supprim‚ - F:\Convention Jean Daste.lnk
Fichier supprim‚ - F:\fiche-info-SMC-2014.lnk
Fichier supprim‚ - F:\pdf_279_prime_anciennete_CCNS.lnk
Fichier supprim‚ - F:\PrintCBInActionPath.lnk
Fichier supprim‚ - F:\KALITEXT000017577657[1] CCN.lnk
Fichier supprim‚ - F:\Calcul Rbt Km pour ecole.lnk
Fichier supprim‚ - F:\Inscription Formation SST.lnk
Fichier supprim‚ - F:\COMPTE RENDU REUNION DU 02 10 14.lnk
Fichier supprim‚ - F:\Liste Taches Tournoi.lnk
Fichier supprim‚ - F:\TOURNOIS SAINT ETIENNE 2014.lnk
Fichier supprim‚ - F:\Convention Coupon Sport Adhesion 2015.lnk
Fichier supprim‚ - F:\Comparatif resultat.lnk
Fichier supprim‚ - F:\Attestation Nø Agrement.lnk
Fichier supprim‚ - F:\Papier entete.lnk
Fichier supprim‚ - F:\Courrier RIB.lnk
Fichier supprim‚ - F:\num‚risation0001.lnk
Fichier supprim‚ - F:\Plan Connection Fils Electrique des Pistes.lnk
Fichier supprim‚ - F:\Comparatif Tournoi.lnk
Fichier supprim‚ - F:\COMPTE RENDU REUNION DU 30 06 15.lnk
Fichier supprim‚ - F:\CMNCI v‚t‚ran 2015-16761689405.lnk
Fichier supprim‚ - F:\_page=facture-telecharger&idContrat=41060141&idFacture=1.lnk
Fichier supprim‚ - F:\_page=facture-telecharger&idContrat=41060141&idFacture=3&oldAid=0.lnk
Fichier supprim‚ - F:\_page=facture-telecharger&idContrat=41060141&idFacture=2&oldAid=0.lnk
Fichier supprim‚ - F:\Compte rendu r‚union 051115.lnk
Fichier supprim‚ - F:\Instruction Buvette.lnk
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of F:
 Le volume dans le lecteur F n'a pas de nom.
 Le num‚ro de s‚rie du volume est 2422-006B

 R‚pertoire de F:\

03/07/2011  18:17           472ÿ765 convention du sport 07 07 05.pdf
03/07/2011  18:18           811ÿ470 ccns_11_02_07.pdf
03/07/2011  18:22           199ÿ164 Fiche contrat intrmitant.pdf
11/09/2011  10:36            21ÿ842 ccns_avenant51-2 SMC.pdf
11/09/2011  14:58            92ÿ672 Convention Jean Daste.doc
30/10/2011  13:01            92ÿ753 plan_comptable_association.pdf
24/11/2011  21:46            74ÿ752 Courrier mairie.doc
21/01/2012  12:09            48ÿ984 PrintCBInActionPath.pdf
21/01/2012  12:37           141ÿ824 inscription net entreprise.doc
24/01/2012  18:46    <DIR>          SALAIRES et charges
24/01/2012  18:46    <DIR>          Comptes et r‚sultats
17/02/2012  13:15    <DIR>          Comptes 09 2011 … 08 2012
27/05/2012  18:07    <DIR>          Comptes 09 2010 … 08 2011
27/05/2012  21:18    <DIR>          Matrice
28/05/2012  22:09             9ÿ216 Frais r‚els 2011.xls
31/05/2012  21:50         2ÿ527ÿ588 crp_attestation_employeur67126.pdf
31/05/2012  22:19         3ÿ813ÿ471 attestaion assedic.pdf
31/05/2012  22:20         3ÿ813ÿ471 attestation assedic.pdf
03/06/2012  19:41            52ÿ540 Courrier rentr‚e CASE.pdf
11/06/2012  21:06    <DIR>          Tournoi 19 et 20_11_11
11/06/2012  21:06    <DIR>          Tournoi 20 et 21_11_10
09/09/2012  15:20            20ÿ000 NET ENTREPRIES.pdf
14/10/2012  17:52            78ÿ632 declaration.urssaf 3 TRIM 12.pdf
14/10/2012  22:43    <DIR>          Comptes 09 2012 … 08 2013
21/10/2012  20:38            20ÿ992 recap ex salaire.xls
24/12/2012  12:28           545ÿ196 ATTESTATION.xps
06/01/2013  22:03            36ÿ864 ESPECE CASE.xls
13/01/2013  17:54    <DIR>          Controle Urssaf
29/01/2013  22:11            46ÿ592 essai paye.xls
19/03/2013  17:09            31ÿ232 Comment%20d‚terminer%20le%20montant%20de%20l'indemnit‚ÿ[1].doc
24/03/2013  16:04            14ÿ252 anne photo.jpg
24/03/2013  16:04            22ÿ303 255485_anne.jpg
24/03/2013  16:04            21ÿ225 559001 anne.jpg
09/06/2013  19:43            70ÿ144 Cpte 2010 … 2012.xls
30/06/2013  11:16    <DIR>          Contrat de travail
04/07/2013  10:56            45ÿ568 Devis College des Chartreux.doc
12/09/2013  12:24            24ÿ576 MODE utilsation Hot Dog.doc
22/09/2013  22:37            45ÿ056 Facture Castaldi.doc
28/09/2013  12:01            19ÿ456 Planification Charges Case.xls
20/10/2013  09:44            54ÿ784 COMPTE RENDU REUNION DU 17 10 13.doc
26/10/2013  11:54    <DIR>          Comptes 09 2013 … 08 2014
14/11/2013  21:33    <DIR>          Caisse
28/11/2013  20:20           185ÿ344 Recette Cuisine AZ.doc
30/11/2013  17:15            73ÿ721 Affectation Resultat.pdf
01/12/2013  20:19           210ÿ758 Mise en service telecommandes.pdf
01/12/2013  20:21         4ÿ614ÿ656 MANUAL SR_FR.doc
18/02/2014  21:43            54ÿ272 Affiche Bugnes.doc
01/04/2014  10:04            16ÿ384 FONDS DE CAISSE.xls
12/05/2014  18:20            11ÿ264 Frais r‚els 2013.xls
31/07/2014  19:36           108ÿ605 fiche-info-SMC-2014.pdf
31/07/2014  19:37         1ÿ466ÿ032 ccns_2013-06-20[1].pdf
31/07/2014  19:41           172ÿ783 pdf_279_prime_anciennete_CCNS.pdf
31/08/2014  17:07           222ÿ058 KALITEXT000017577657[1] CCN.pdf
21/09/2014  17:10            15ÿ872 Calcul Rbt Km pour ecole.xls
02/10/2014  15:00           284ÿ642 Inscription Formation SST.pdf
04/10/2014  19:28            60ÿ928 COMPTE RENDU REUNION DU 02 10 14.doc
07/10/2014  19:01            47ÿ616 Liste Taches Tournoi.xls
09/10/2014  17:28            30ÿ720 TOURNOIS SAINT ETIENNE 2014.doc
29/10/2014  20:32    <DIR>          Comptes 09 2014 … 08 2015
06/02/2015  14:16            42ÿ496 Convention Coupon Sport Adhesion 2015.doc
27/05/2015  21:07           268ÿ032 Attestation Nø Agrement.pdf
31/05/2015  18:53           208ÿ078 Papier entete.pdf
31/05/2015  19:00           213ÿ752 RIB.pdf
31/05/2015  19:17           501ÿ248 Courrier RIB.doc
01/06/2015  17:49           360ÿ440 rib ligue.pdf
16/06/2015  23:27            79ÿ360 Comparatif resultat.xls
23/06/2015  19:05           668ÿ778 num‚risation0001.jpg
28/06/2015  18:42            16ÿ896 Plan Connection Fils Electrique des Pistes.xls
29/06/2015  21:36            52ÿ224 Comparatif Tournoi.xls
03/07/2015  16:13            59ÿ392 COMPTE RENDU REUNION DU 30 06 15.doc
07/07/2015  18:24            31ÿ232 Liste distance pour Frais.xls
01/08/2015  21:50            38ÿ400 Calcul Prime Anciennet‚.xls
23/08/2015  15:17           132ÿ096 CMNCI v‚t‚ran 2015-16761689405.pdf
08/09/2015  16:26            61ÿ636 _page=facture-telecharger&idContrat=41060141&idFacture=1.pdf
08/09/2015  16:27            63ÿ291 _page=facture-telecharger&idContrat=41060141&idFacture=3&oldAid=0.pdf
08/09/2015  16:27            58ÿ922 _page=facture-telecharger&idContrat=41060141&idFacture=2&oldAid=0.pdf
04/10/2015  18:41    <DIR>          Comptes 2015 2016
12/10/2015  10:59           121ÿ030 Video.3gp
22/10/2015  07:34            52ÿ736 Calcul Tx Horaire RP.xls
25/10/2015  22:35            18ÿ944 Liste des Subventions.xls
05/11/2015  20:22            12ÿ367 Compte rendu r‚union 051115.docx
22/11/2015  18:12            60ÿ928 Fourniture Buvette.xls
22/11/2015  19:53            14ÿ136 Instruction Buvette.docx
22/11/2015  19:54            23ÿ552 Instruction Buvette.doc
24/11/2015  19:31            18ÿ110 Liste Buvette Maitre d'armes.xlsx
30/04/2016  15:13    <DIR>          DCIM
30/04/2016  15:13    <DIR>          VIDEO
              71 fichier(s)       24ÿ023ÿ115 octets
              17 R‚p(s)      63ÿ416ÿ320 octets libres

USB drive disinfected and files unhidden!!

=========== - USB drive info:

G: selected

USB Device ID:
USBSTOR\DISK&VEN_&PROD_FLASH_DISK&REV_2.10\2008011419350092&0      

USBSTOR\DISK&VEN_SAMSUNG&PROD_HM500JI&REV_2AC1\203213141073____&0  

SCSI\DISK&VEN_TOSHIBA&PROD_MQ01ABD100\4&1583AE5E&0&000000          

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\0708526C3220BD15&0    




Fichier supprim‚ - G:\PHOTO FAMIlY.lnk
Fichier supprim‚ - G:\.lnk
Fichier supprim‚ - G:\WD140COM.lnk
Fichier supprim‚ - G:\mediacreationtool.lnk
Fichier supprim‚ - G:\Doc1.lnk
Fichier supprim‚ - G:\A faire.lnk
Fichier supprim‚ - G:\Planning.lnk
Fichier supprim‚ - G:\Manuel de Gestion eTempora Gestion des Temps.lnk
Fichier supprim‚ - G:\Manuel de Param‚trage eTempora Gestion des Temps.lnk
Fichier supprim‚ - G:\6-IPTT-Nov2014-FR.lnk
Fichier supprim‚ - G:\Essai planning.lnk
Fichier supprim‚ - G:\WD140CPL.lnk
Fichier supprim‚ - G:\ENTRETIENS FPOSTES2016.lnk
Fichier supprim‚ - G:\PROCEDURE CREATION COMPTE CLIENT OU FOURNISSEUR.lnk
Fichier supprim‚ - G:\PILOTAGE STRATEGIQUE PP.lnk
Fichier supprim‚ - G:\WD140GRF.lnk
Fichier supprim‚ - G:\Dates plannings calendriers.lnk
Fichier supprim‚ - G:\Compte rendu Fiche fonction.lnk
Fichier supprim‚ - G:\R‚cap qutit‚ produites.lnk
Fichier supprim‚ - G:\WD140HF.lnk
Fichier supprim‚ - G:\PILOTAGE STRATEGIQUE D.lnk
Fichier supprim‚ - G:\Planning Formation.lnk
Fichier supprim‚ - G:\Plan de formation 2016.lnk
Fichier supprim‚ - G:\Agenda v19_2.lnk
Fichier supprim‚ - G:\PERSONAL.lnk
Fichier supprim‚ - G:\Prix de Revient 2016.lnk
Fichier supprim‚ - G:\WD140OBJ.lnk
Fichier supprim‚ - G:\SAGEDIRECT[1].lnk
Fichier supprim‚ - G:\Questionnaire Article de Recherche.lnk
Fichier supprim‚ - G:\Article de recherche Armelle JERZYK M2MP Groupe B.lnk
Fichier supprim‚ - G:\WD140PDF.lnk
Fichier supprim‚ - G:\Photos.lnk
Fichier supprim‚ - G:\WD140ACTION.lnk
Fichier supprim‚ - G:\Conduite du Changement et SI.lnk
Fichier supprim‚ - G:\Tarif Achat Carton Bouteille Capsule.lnk
Fichier supprim‚ - G:\WD140HTML.lnk
Fichier supprim‚ - G:\WD140IMG2.lnk
Fichier supprim‚ - G:\WD140RTF.lnk
Fichier supprim‚ - G:\WD140SQL.lnk
Fichier supprim‚ - G:\WD140STD.lnk
Fichier supprim‚ - G:\WD140UNI.lnk
Fichier supprim‚ - G:\WD140VM.lnk
Fichier supprim‚ - G:\WD140XLS.lnk
Fichier supprim‚ - G:\Heures Stage Armelle JERZYK octobre 15.lnk
Fichier supprim‚ - G:\Attestation Armelle JERZYK octobre 2015.lnk
Fichier supprim‚ - G:\Vente des Petits Mousquetaires.lnk
Fichier supprim‚ - G:\.Trashes.lnk
Fichier supprim‚ - G:\Nouveau dossier.lnk
Fichier supprim‚ - G:\.Spotlight-V100.lnk
Fichier supprim‚ - G:\.fseventsd.lnk
Fichier supprim‚ - G:\System Volume Information.lnk
Fichier supprim‚ - G:\Access.lnk
Fichier supprim‚ - G:\Archive FC.lnk
Fichier supprim‚ - G:\Stage.lnk
Fichier supprim‚ - G:\Cours.lnk
Fichier supprim‚ - G:\VIDEO.lnk
Fichier supprim‚ - G:\DCIM.lnk
Fichier supprim‚ - G:\Doc Bissardon.lnk
Fichier supprim‚ - G:\rundll32.lnk
Fichier supprim‚ - G:\~$Plan de formation 2016.lnk
Fichier supprim‚ - G:\~$Planning.lnk
Fichier supprim‚ - G:\~$Prix de Revient 2016.lnk
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of G:
 Le volume dans le lecteur G s'appelle USB DISK
 Le num‚ro de s‚rie du volume est DDB1-A5A4

 R‚pertoire de G:\

15/01/2009  11:54           184ÿ320 WD140ACTION.DLL
20/01/2009  18:26           552ÿ960 WD140STD.DLL
22/01/2009  11:41           892ÿ928 WD140IMG2.DLL
26/01/2009  21:10           573ÿ440 WD140SQL.DLL
28/01/2009  15:16         5ÿ991ÿ424 WD140UNI.DLL
28/01/2009  16:11           610ÿ304 WD140RTF.DLL
30/01/2009  18:40           925ÿ696 WD140COM.DLL
30/01/2009  20:21           634ÿ880 WD140HTML.DLL
02/02/2009  11:49           313ÿ344 WD140GRF.DLL
02/02/2009  16:55           503ÿ808 WD140CPL.DLL
02/02/2009  19:12           516ÿ096 WD140XLS.DLL
04/02/2009  12:21           532ÿ480 WD140PDF.DLL
18/02/2009  13:05         2ÿ916ÿ352 WD140OBJ.DLL
20/02/2009  12:51         2ÿ115ÿ584 WD140VM.DLL
23/02/2009  17:38         2ÿ516ÿ992 WD140HF.DLL
01/08/2012  16:36           492ÿ616 rundll32.exe
01/08/2012  16:36           492ÿ616 Photos.exe
04/10/2013  15:42         4ÿ634ÿ321 Manuel de Param‚trage eTempora Gestion des Temps.pdf
04/10/2013  15:45         5ÿ762ÿ159 Manuel de Gestion eTempora Gestion des Temps.pdf
15/04/2015  14:50         1ÿ483ÿ336 mediacreationtool.exe
12/10/2015  10:59           121ÿ030 Video.3gp
13/10/2015  10:37    <DIR>          .Trashes
13/10/2015  10:37    <DIR>          .Spotlight-V100
13/10/2015  10:37    <DIR>          .fseventsd
13/10/2015  10:37             4ÿ096 ._.Trashes
14/10/2015  08:22    <DIR>          Archive FC
14/10/2015  08:23    <DIR>          Stage
14/10/2015  08:23    <DIR>          Cours
29/10/2015  16:01           428ÿ224 Heures Stage Armelle JERZYK octobre 15.pdf
29/10/2015  23:26           176ÿ310 Attestation Armelle JERZYK octobre 2015.pdf
30/10/2015  14:01    <DIR>          Doc Bissardon
22/11/2015  23:24            13ÿ032 Vente des Petits Mousquetaires.docx
08/12/2015  16:13           950ÿ272 Doc1.doc
14/12/2015  14:11           688ÿ897 6-IPTT-Nov2014-FR.pptx
17/12/2015  13:03            13ÿ768 A faire.docx
17/12/2015  14:39         1ÿ563ÿ136 PROCEDURE CREATION COMPTE CLIENT OU FOURNISSEUR.doc
20/01/2016  14:38           944ÿ329 Dates plannings calendriers.docx
22/01/2016  16:04            82ÿ831 Planning.xlsx
01/02/2016  12:22           320ÿ810 PILOTAGE STRATEGIQUE PP.pptx
08/02/2016  23:56           361ÿ811 PILOTAGE STRATEGIQUE D. Marques A.Jerzyk.docx
23/02/2016  16:13            17ÿ566 ENTRETIENS FPOSTES2016.docx
24/02/2016  13:02           103ÿ740 Prix de Revient 2016.xlsx
26/02/2016  15:41            38ÿ026 Compte rendu Fiche fonction.docx
09/03/2016  11:12            27ÿ759 Planning Formation.xlsx
09/03/2016  12:45            28ÿ713 Plan de formation 2016.xlsx
25/03/2016  18:12           256ÿ727 Conduite du Changement et SI.xmind
30/03/2016  12:47         8ÿ411ÿ876 SAGEDIRECT[1].pdf
13/04/2016  09:37            37ÿ163 Questionnaire Article de Recherche.docx
14/04/2016  10:06            55ÿ131 PERSONAL.XLSB
14/04/2016  15:50           737ÿ280 Agenda v19_2.mdb
19/04/2016  11:25    <DIR>          Access
21/04/2016  16:21           204ÿ246 Questionnaire Article de Recherche.pdf
22/04/2016  14:47           864ÿ256 R‚cap qutit‚ produites.xls
27/04/2016  15:04            13ÿ625 Tarif Achat Carton Bouteille Capsule.xlsx
28/04/2016  14:41            37ÿ524 Conduite du Changement et SI.pdf
28/04/2016  15:14           349ÿ009 Article de recherche Armelle JERZYK M2MP Groupe B.docx
28/04/2016  15:33    <DIR>          VIDEO
28/04/2016  15:33    <DIR>          DCIM
30/04/2016  14:28         1ÿ024ÿ000 Essai planning.accdb
              49 fichier(s)       50ÿ520ÿ843 octets
              11 R‚p(s)  15ÿ632ÿ564ÿ224 octets libres

USB drive disinfected and files unhidden!!

=========== - USB drive info:

H: selected

USB Device ID:
USBSTOR\DISK&VEN_&PROD_FLASH_DISK&REV_2.10\2008011419350092&0      

USBSTOR\DISK&VEN_SAMSUNG&PROD_HM500JI&REV_2AC1\203213141073____&0  

SCSI\DISK&VEN_TOSHIBA&PROD_MQ01ABD100\4&1583AE5E&0&000000          

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\0708526C3220BD15&0    




Fichier supprim‚ - H:\PHOTO FAMIlY.lnk
Fichier supprim‚ - H:\Sauvegarde PC Maman\Chants\Ailes Foi\R‚seau - Raccourci.lnk
Fichier supprim‚ - H:\Recycled\De48\Mes documents.lnk
Fichier supprim‚ - H:\Recycled\De48\Microsoft bCentral.lnk
Fichier supprim‚ - H:\$RECYCLE.BIN\$REB48LW\Musique\chantillons de musique.lnk
Fichier supprim‚ - H:\$RECYCLE.BIN\$REB48LW\Favoris\Favoris\Mes documents.lnk
Fichier supprim‚ - H:\$RECYCLE.BIN\$REB48LW\Favoris\Favoris\Microsoft bCentral.lnk
Fichier supprim‚ - H:\$RECYCLE.BIN\$REB48LW\Livres T‚l‚charg‚s\Avast Internet Security.lnk
Fichier supprim‚ - H:\$RECYCLE.BIN\$REB48LW\Ma musique\chantillons de musique.lnk
Fichier supprim‚ - H:\Sauvegarde PC Armelle\Recuperation Ancien PC\Favoris\Favoris\Mes documents.lnk
Fichier supprim‚ - H:\Sauvegarde PC Armelle\Recuperation Ancien PC\Favoris\Favoris\Microsoft bCentral.lnk
Fichier supprim‚ - H:\Sauvegarde PC Armelle\Recuperation Ancien PC\Musique\chantillons de musique.lnk
Fichier supprim‚ - H:\Sauvegarde PHOTOS\Raccourci vers IMG_2244.lnk
Fichier supprim‚ - H:\Sauvegarde PHOTOS\Photos 2009\Juillet Aout\Photos Patricia\Raccourci vers Juillet Aout.lnk
Fichier supprim‚ - H:\Recycled\De8.TMP
Fichier supprim‚ - H:\Recycled\De4\Compta CASE de 09 2011 08 2012.xls~RF1fb9690.TMP
Fichier supprim‚ - H:\Recycled\De5\Compte  09 2012 … 08 2103.xls~RF22f1dca.TMP
Fichier supprim‚ - H:\Recycled\De6\Compta CASE de 09 2011 08 2012.xls~RF1fb9690.TMP
Fichier supprim‚ - H:\$RECYCLE.BIN\$R68Y9GO\~WRD0023.tmp
Fichier supprim‚ - H:\$RECYCLE.BIN\$R68Y9GO\~WRD1656.tmp
Fichier supprim‚ - H:\$RECYCLE.BIN\$R68Y9GO\NT disque dur\~WRL0005.tmp
Fichier supprim‚ - H:\$RECYCLE.BIN\$R68Y9GO\NT disque dur\~WRL0006.tmp
Fichier supprim‚ - H:\$RECYCLE.BIN\$RT3XV1D\~WRL0005.tmp
Fichier supprim‚ - H:\$RECYCLE.BIN\$RT3XV1D\~WRL0006.tmp
Fichier supprim‚ - H:\$RECYCLE.BIN\$REB48LW\PHOTO CLE USB\Photos Famille\SIV11.tmp
Fichier supprim‚ - H:\Sauvegarde PHOTOS\2014\PHOTO CLE USB\Photos Famille\SIV11.tmp
Fichier supprim‚ - H:\Sauvegarde PHOTOS\PHOTO CLE USB\Photos Famille\SIV11.tmp
Fichier supprim‚ - H:\Sauvegarde Cle USB\Cl‚ bleue\Perso\Perso\Photos Famille\SIV11.tmp
Fichier supprim‚ - H:\Sauvegarde Cle USB\Cl‚ bleue\VAE\~WRL3527.tmp
Fichier supprim‚ - H:\Sauvegarde Cle USB\Cl‚ blanche\CV\~WRL0004.tmp
Fichier supprim‚ - H:\autorun.inf
WARNING!! Possible Andromeda/Gamarue infection!!
Listing root contents of H:
 Le volume dans le lecteur H s'appelle VERBATIM HD
 Le num‚ro de s‚rie du volume est 15F4-0235

 R‚pertoire de H:\

14/10/2010  11:59           139ÿ264 Start PC.exe
21/10/2010  10:21            34ÿ288 icon.ico
24/11/2010  13:50                82 ._icon.ico
24/11/2010  13:50                82 ._autorun.inf
24/11/2010  14:51             8ÿ196 .DS_Store
21/02/2011  14:25    <DIR>          MAC
21/02/2011  14:26    <DIR>          PC
21/02/2011  14:26    <DIR>          Start MAC.app
04/12/2011  20:10    <DIR>          Sauvegarde PC Maman
11/12/2011  16:11    <DIR>          Films
25/12/2011  18:08    <DIR>          Recycled
27/12/2011  17:57    <DIR>          Sauvegarde PC Armelle
27/12/2011  20:07    <DIR>          $RECYCLE.BIN
28/12/2011  10:29    <DIR>          Sauvegarde PHOTOS
08/01/2012  18:13     1ÿ109ÿ735ÿ720 X17-75243.exe
30/06/2013  11:26    <DIR>          Sauvegarde CASE
04/02/2014  09:41    <DIR>          Sauvegarde Cle USB
13/04/2014  19:10         6ÿ361ÿ681 les-secrets-le-la-taille-ancienne-des-pommiers-et-poiriers-jean-paul-gallerand[1].pdf
27/04/2014  17:59    <DIR>          Anniv Prudhomme
07/03/2015  12:18    <DIR>          VCARDS
10/01/2016  19:08    <DIR>          Photo Maison
               7 fichier(s)    1ÿ116ÿ279ÿ313 octets
              15 R‚p(s)  329ÿ495ÿ085ÿ056 octets libres

USB drive disinfected and files unhidden!!
Deleting Run key: Format
Op‚ration r‚ussieÿ: le processus avec PID 8180 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:

Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\avast SecureLine.lnk"
----------------------------------------------------------------

=========== - Scheduled tasks info:

Commentaire:                                               Collecteur d'informations r‚seau

Pour c j'ai le message :erreur système
et en plus j'ai erreur script a chq fs que je tappe une lettre

[Hirondelle]

Pour c j'ai le message :erreur système
et en plus j'ai erreur script a chq fs que je tappe une lettre

[Malekal_morte]

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Hirondelle]

http://pjjoint.malekal.com/files.php?id ... _u87z6y6x9
http://pjjoint.malekal.com/files.php?id ... 5b7z7b7y12
http://pjjoint.malekal.com/files.php?id ... 15c15n11f6

[Malekal_morte]

OK tu as cette infection : https://www.malekal.com/virus-vbs-crypt ... accourcis/

1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).


2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
HKU\S-1-5-21-593474613-1487269177-893647828-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\PCMAISON1.PCMAISON\AppData\Roaming\Video.3gp 
C:\Users\PCMAISON1.PCMAISON\AppData\Roaming\Video.3gp
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Refais l'option B sur tes clefs USB avec Remediate VBS Worm
et ça devrait être bon.

[Hirondelle]

j'ai Windows qui me bloque le téléchargement de marmiton; J'ai arrêté Avast. J'ai le message suivant : Windows smart screen a arrêté le téléchargement, danger potentiel.

[Malekal_morte]

Tu peux le forcer avec "informations supplémentaires" => http://forum.malekal.com/smartscreen-pr ... 35490.html

[Hirondelle]

Ci dessous le fichier de FRST après exécution de la manip.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:30-04-2016
Exécuté par PCMAISON1 (2016-05-02 17:40:09) Run:1
Exécuté depuis C:\Users\PCMAISON1.PCMAISON\Desktop
Profils chargés: PCMAISON1 (Profils disponibles: PCMAISON1)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Code: Tout sélectionner
CloseProcesses:
HKU\S-1-5-21-593474613-1487269177-893647828-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\PCMAISON1.PCMAISON\AppData\Roaming\Video.3gp
C:\Users\PCMAISON1.PCMAISON\AppData\Roaming\Video.3gp
Reboot:
*****************

Code: Tout sélectionner => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
HKU\S-1-5-21-593474613-1487269177-893647828-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
"C:\Users\PCMAISON1.PCMAISON\AppData\Roaming\Video.3gp" => non trouvé(e).


Le système a dû redémarrer.

==== Fin de Fixlog 17:40:11 ====

Je vais faire la manip avec les clé usb

[Hirondelle]

j'ai fait la manipulation avec les clés usb.
Est-ce que maintenant je n'ai plus de virus sur les clés ?
Merci pour votre aide

[Malekal_morte]

Si tu n'as plus de raccourci, non.
Vérifie.

[Hirondelle]

Non je n'ai plus de raccourci sur les clés.
Et le pc est-il ok maintenant ?
Est ce que je peux supprimer tous les petits logiciels installés pour le nettoyage ?

[Malekal_morte]

oui par contre, je te conseille de laisser Marmiton, ça t'évitera de réinfecter ton ordinateur avec ce genre d'infections.

Pour le reste, renforce la sécurité de ton Windows : Comment sécuriser mon Windows

[Hirondelle]

ok merci pour votre aide et vos conseils