Virus créant des fichier .lnk [Résolu]

[artaga]

Bonjour,
J'ai un soucis avec un virus que je n'arrive pas à déloger de mon pc malgré la mise en oeuvre de plusieurs techniques expliquées sur ce forum.

Voici les fichiers FRST:
http://pjjoint.malekal.com/files.php?id ... 8e13q10l11
http://pjjoint.malekal.com/files.php?id ... 14p13n13d7
http://pjjoint.malekal.com/files.php?id ... 0g5g13c9l7

Merci d'avance !

[angelique]

Un peu plus de précision sur les .lnk crées aurait été bien !

• Bonjour,
• Désinstalle via programmes et fonctionnalités (exécuter➫ %appwiz.cpl%) puis continue:
  
  ➬ WinZip 21.0 (HKLM\...\{CD95F661-A5C4-44F5-A6AA-ECDD91C2410D}) (Version: 21.0.12288 - WinZip Computing, S.L. )
• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Task: {0AAE8ACB-4C76-4B91-B992-0F9C199BDB59} - System32\Tasks\WinZip Update Notifier => C:\Program Files\WinZip\WZUpdateNotifier.exe [2016-12-12] (WinZip)
  Task: {ED762A1D-3DC6-4B67-A6EC-711134A4AF5E} - System32\Tasks\WinZipBackGroundToolsTask => C:\Program Files\WinZip\WzBGTools.exe [2016-12-12] (WinZip Computing, S.L.)
  Shortcut: C:\Users\Arthur\Favorites\Site de téléchargement NCH Software.lnk -> hxxp://www.nchsoftware.com/fr/index.htm
  ShortcutWithArgument: C:\Users\Arthur\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://chercheztout.com/tram/120
  ShortcutWithArgument: C:\Users\Arthur\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
  ShortcutWithArgument: C:\Users\Arthur\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://chercheztout.com/tram/118
  ShortcutWithArgument: C:\Users\Arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Anaconda3 (32-bit)\Anaconda Prompt.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> "/K" C:\Users\Arthur\Anaconda3\Scripts\activate.bat C:\Users\Arthur\Anaconda3
  ShortcutWithArgument: C:\Users\Arthur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2017-02-13] ()
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide de SOLIDWORKS 2015.lnk [2016-11-11]
  ShortcutTarget: Lancement rapide de SOLIDWORKS 2015.lnk -> C:\Windows\Installer\{F8093877-4F2C-40ED-9BA7-2F9F48F5176F}\NewShortcut2_87EDF6C81D0A4B7B84F42FE0C6A9D608.exe (Flexera Software LLC)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Téléchargement en arrière-plan de SOLIDWORKS.lnk [2016-11-10]
  ShortcutTarget: Téléchargement en arrière-plan de SOLIDWORKS.lnk -> C:\Program Files (x86)\Common Files\Gestionnaire d'installation SOLIDWORKS\BackgroundDownloading\sldBgDwld.exe (Dassault Systèmes SolidWorks Corp.)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Update Notifier.lnk [2017-02-13]
  ShortcutTarget: Update Notifier.lnk -> C:\Program Files\WinZip\WZUpdateNotifier.exe (WinZip)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Preloader.lnk [2017-02-13]
  ShortcutTarget: WinZip Preloader.lnk -> C:\Program Files\WinZip\WzPreloader.exe (WinZip Computing, S.L.)
  Startup: C:\Users\Arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2017-02-13] ()
  Startup: C:\Users\Arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpArthur.lnk [2017-02-13]
  ShortcutTarget: HelpArthur.lnk -> C:\Arthur\Arthurhost.exe (Microsoft Corporation)
  Startup: C:\Users\Arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualArthur.lnk [2017-02-13]
  ShortcutTarget: ManualArthur.lnk -> D:\Arthur\Arthurhost.exe (Pas de fichier)
  SearchScopes: HKU\S-1-5-21-2459517057-1348605680-3155792729-1001 -> DefaultScope {7A989FA5-C0E2-4ACF-93B8-B3B7E0A1F0BE} URL = hxxps://search.uselilo.org/searchweb.php?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2459517057-1348605680-3155792729-1001 -> {241C48C3-3E66-45D0-93FE-A5A80012B73F} URL = 
  SearchScopes: HKU\S-1-5-21-2459517057-1348605680-3155792729-1001 -> {7A989FA5-C0E2-4ACF-93B8-B3B7E0A1F0BE} URL = hxxps://search.uselilo.org/searchweb.php?q={searchTerms}
  FF NetworkProxy: Mozilla\Firefox\Profiles\8p84e7nb.default -> ftp", "172.17.0.1"
  FF NetworkProxy: Mozilla\Firefox\Profiles\8p84e7nb.default -> ftp_port", 3128
  FF NetworkProxy: Mozilla\Firefox\Profiles\8p84e7nb.default -> socks", "172.17.0.1"
  FF NetworkProxy: Mozilla\Firefox\Profiles\8p84e7nb.default -> socks_port", 3128
  FF NetworkProxy: Mozilla\Firefox\Profiles\8p84e7nb.default -> ssl", "172.17.0.1"
  FF NetworkProxy: Mozilla\Firefox\Profiles\8p84e7nb.default -> ssl_port", 3128
  FF Extension: (lilo) - C:\Users\Arthur\AppData\Roaming\Mozilla\Firefox\Profiles\8p84e7nb.default\Extensions\[email protected] [2016-02-26]
  2017-02-13 16:34 - 2017-02-13 16:34 - 00003536 _____ C:\Windows\System32\Tasks\WinZipBackGroundToolsTask
  2017-02-13 16:34 - 2017-02-13 16:34 - 00003422 _____ C:\Windows\System32\Tasks\WinZip Update Notifier
  2017-02-13 16:33 - 2017-02-13 16:33 - 00002363 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Update Notifier.lnk
  2017-02-13 16:33 - 2017-02-13 16:33 - 00002340 _____ C:\ProgramData\Microsoft\Windows\Start Menu\WinZip Background Tools.lnk
  2017-02-13 16:33 - 2017-02-13 16:33 - 00002310 _____ C:\ProgramData\Microsoft\Windows\Start Menu\WinZip.lnk
  2017-02-13 16:33 - 2017-02-13 16:33 - 00000000 ____D C:\Users\Arthur\AppData\Local\WinZip
  2017-02-13 16:33 - 2017-02-13 16:33 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip 21.0
  2017-02-13 16:32 - 2017-02-13 16:33 - 00000000 ____D C:\Program Files\WinZip
  2017-02-13 16:32 - 2017-02-13 16:32 - 00000000 ____D C:\Users\Arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinZip 21.0
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  ⚠⚠ Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[artaga]

Salut,

Les fichiers. lnk apparaissent sur le bureau pour la partie visible. Il s'agit d'un double des icones de google chrome, firefox, et internet explorer et . Quand je fais clic droit propriété l'onglet ''général" n'est pas accessible.

Voilà le lien pour le fixlog:
http://pjjoint.malekal.com/files.php?id ... 5t5n12h7b9

[artaga]

Le virus provient d'une clé USB infectée sur laquelle il créait des dossiers vides.

2-3 choses qui se passent encore:
Pas mal de processus (plus que d'habitude) qui tournent en 'Service local'
Avast à l'air de sauter l'étape ''Recherche de virus" lorsque je fais un scan.
Il y a un processus "MBAMService.exe" inarrêtable qui tournait déjà avant l'utilisation de FRST

En tous cas merci pour la rapidité de réponse !

[Malekal_morte]

il était là le malware :

Startup: C:\Users\Arthur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpArthur.lnk [2017-02-13]
ShortcutTarget: HelpArthur.lnk -> C:\Arthur\Arthurhost.exe (Microsoft Corporation)

Après possible qu'il créé de lnk pour se relancer.

~~

Relance un scan FRST et donne les rapports.

[artaga]

Voilà les nouveaux fichiers :
http://pjjoint.malekal.com/files.php?id ... 12e6e13f11
http://pjjoint.malekal.com/files.php?id ... g5o10j7r11
http://pjjoint.malekal.com/files.php?id ... 5x7u10y5o9

[angelique]

Les rapports paraissent corrects maintenant.

[artaga]

Entendu merci beaucoup pour ton aide !

J'aurais une dernière question : comment pouvoir réutiliser la clé USB sans réinfecter tout l'ordinateur ?
(La clé en question étant vide)

[angelique]

Formate ta clef par sécurité via la gestion des disques (exécuter➫diskmgmt.msc)

Tu pourras supprimer frst, ses rapports et C:\FRST

Utilise Marmiton qui permet de limiter les exécutions accidentelles de scripts ➫ http://telecharger.malekal.com/download/marmiton/

[artaga]

Voilà c'est fait en espérant ne pas avoir laissé traîner quelque chose ^^

Chapeau pour le boulot que vous fournissez !

[Malekal_morte]

Il faut bien désactiver Windows Script Hosting sur Marmiton.

[artaga]

Oui c'est fait ! Tout à l'air d'être rentré dans l'ordre je vais mettre le sujet comme résolu merci encore!

[Malekal_morte]

[vivi]

Bonjour,
Je pense être infecté par le virus lnk.
Pouvez vous vérifiez les rapport FRST ?

Merci d'avance pour tout le travail que vous fournissez.

Bonne soirée.

[Malekal_morte]

Salut,

Qu'est-ce qui te faire dire cela ?
Quels sont les symptômes ?

Tu devrais désinstaller ça :

Avast Cleanup Premium
Avast Internet Security
Lenovo App Explorer

Laisse Windows Defender, plus léger.