Windows 10 est infecté - contaminations des clés USB

bb7200sncf · par **bb7200sncf** » 28 déc. 2016 17:23

Bonsoir,

Depuis quelques jours j'ai des fichier qui apparaisses sur ma clé USB même après formatage. Je voudrais savoir s'il s'agit de fichiers cachés internes (au fonctionnement de la clé) ou si c'est un malware. J'ai utilisé ma clé au bureau et j'ai peur d'avoir tout infecté.

Merci pour vos réponses

Sylvain

par **Malekal_morte** » 28 déc. 2016 18:54

Salut,

Effectivement, ça sent le virus :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

bb7200sncf · par **bb7200sncf** » 28 déc. 2016 22:04

Merci pour ta réponse, les liens demandé sont la :
http://pjjoint.malekal.com/files.php?id ... 13q12y5j14
http://pjjoint.malekal.com/files.php?id ... 9w12k145b6
http://pjjoint.malekal.com/files.php?id ... c8v15w7w12

En fait, je ne sais pas si le logiciel a analysé ma clé USB.
Elle s'est déconnectée puis reconnectée lors de l'analyse.

Merci !

bb7200sncf · par **bb7200sncf** » 28 déc. 2016 22:06

Maintenant seul le fichier rundl32 est présent sur la clé. je ne comprend pas..

par **Malekal_morte** » 29 déc. 2016 11:26

Envoie C:\ProgramData\Microsoft Tools\rundll32.exe
sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2766459122-2803390541-1919785597-1002\...\Run: [Poisson18] => C:\ProgramData\Microsoft Tools\rundll32.exe [492616 2012-08-01] ()
HKU\S-1-5-21-2766459122-2803390541-1919785597-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12282016180638214\...\Run: [Poisson18] => C:\ProgramData\Microsoft Tools\rundll32.exe [492616 2012-08-01] ()
2016-12-19 21:39 - 2016-12-27 09:42 - 00000000 ____D C:\ProgramData\Microsoft Tools
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

puis :

nettoye tes clefs USB.

bb7200sncf · par **bb7200sncf** » 29 déc. 2016 18:30

Bonjour, merci de ton aide.

il y a pas de rundll dans Microsoft tools. je vais essayer la manip que tu m'as décrite.

Une question mais comment faire pour nettoyer mes clés et mon disque dur si le formatage ne fait rien ?
Comment ne pas perdre mes données sur mon disque dur externe que j'ai branché récemment?

Cordialement

bb7200sncf · par **bb7200sncf** » 29 déc. 2016 22:42

j'ai arrêté puis recommencé car ça m'avais fait planter Windows. Pareil le programme tourne des heure et rien ne se passe, même la diode du disque dur ne clignote presque pas. j'ai donc arrêté mais un nouveau rapport est quand même apparu.

Il s'appel Fixlog :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-12-2016
Exécuté par sylvain (29-12-2016 22:04:30) Run:2
Exécuté depuis C:\Users\sylvain\Desktop
Profils chargés: sylvain (Profils disponibles: sylvain & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2766459122-2803390541-1919785597-1002\...\Run: [Poisson18] => C:\ProgramData\Microsoft Tools\rundll32.exe [492616 2012-08-01] ()
    HKU\S-1-5-21-2766459122-2803390541-1919785597-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12282016180638214\...\Run: [Poisson18] => C:\ProgramData\Microsoft Tools\rundll32.exe [492616 2012-08-01] ()
    2016-12-19 21:39 - 2016-12-27 09:42 - 00000000 ____D C:\ProgramData\Microsoft Tools
     Hosts:
    EmptyTemp:
    RemoveProxy:

*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2766459122-2803390541-1919785597-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Poisson18 => valeur non trouvé(e).

Merci

par **Malekal_morte** » 30 déc. 2016 00:13

Peux-tu supprimer ce dossier C:\ProgramData\Microsoft Tools ?

bb7200sncf · par **bb7200sncf** » 30 déc. 2016 09:16

Bonjour, oui le dossier a était supprimé sans problème.

par **Malekal_morte** » 30 déc. 2016 10:05

ok, tu peux refaire un scan FRST et donner les rapports pour voir. Si besoins, lire le sujet Affiche les fichiers cachés & systèmes. Nettoyer le disque dur externe/clé USB. Vois si ça tient et rundll ne revient pas dessus.

Malekal.com forum

Windows 10 est infecté - contaminations des clés USB

Windows 10 est infecté - contaminations des clés USB

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur

Re: Contaminations de mes clés USB + disque dur