Supprimer Gamarue Andromeda

[ZAKIA]

Bonjour,

Cela fait 4 jours que j'ai un virus sur ma clé USB et je suis incapable de m'en débarrasser.
Après avoir lu tous les forums et téléchargé plusieurs antivirus/Malware différents (Usbfix, stinger, ZHPCleaner, Rem - VBS) je désespère car aucun ne réussit à me le supprimer.

Lorsque je vais sur ma clé, je vois les dossiers qui comportent ce virus (au début un seul comportant plusieurs dossiers et fichiers codés puis un autre le jour suivant et encore un autre pas plus tard qu'hier) mais lorsque je tente de les ouvrir ou les supprimer les messages suivants apparaissent:
- "Le nom de fichier spécifique n'est pas valide ou est trop long. Spécifiez un nom de fichier différent";
- "Une erreur inattendue vous empêche de supprimer le fichier. Si le problème persiste, utilisez le code d'erreur pour rechercher de l'aide sur cette erreur -> Erreur 0x80070570: le fichier ou le répertoire est endommagé et illisible" pour le dossier buda_vfs.
J'ai plusieurs rapports qui apparaissent après avoir lancé des scan et deux éléments semblent être des virus:
- Autorun.inf
- Gamarue Andromeda

Ce virus fait disparaître mes dossiers et mes fichiers au bout de quelques secondes c'est pourquoi je ne peux pas sauvegarder mes dossiers importants.
Sur cette clé il y a tout mon travail et je n'ai pas d'autre sauvegarde c'est pourquoi j'aimerais que vous m'aidiez SVP!!!

Je vous remercie d'avance!!!

Zakia

[angelique]

Bonjour,

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


----------


1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lancer l'option A ( appuyer sur A et entrée )
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

2°) Relancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

--------------------

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[ZAKIA]

Voici le premier rapport:

Rem-VBSworm v8.0

=========== - General info:

Running under: Zakia on profile: C:\Users\Zakia
Computer name: ZAKIA-TOSH

Operating System:
Microsoft Windowsÿ7 dition Familiale Premium

Boot Mode:
Normal boot

Antivirus software installed:
Avast Antivirus


Executed on: 07/01/2018 @ 11:36:00,86

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local WINDOWS

D: Disque fixe local Data

E: Disque CD-ROM

F: Disque fixe local

G: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS
F: \Device\HarddiskVolume7 FAT

=========== - Disinfection info:

Op‚ration r‚ussieÿ: le processus avec PID 2728 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

[ZAKIA]

Voici le deuxième:

Rem-VBSworm v8.0

=========== - General info:

Running under: Zakia on profile: C:\Users\Zakia
Computer name: ZAKIA-TOSH

Operating System:
Microsoft Windowsÿ7 dition Familiale Premium

Boot Mode:
Normal boot

Antivirus software installed:
Avast Antivirus


Executed on: 07/01/2018 @ 11:36:00,86

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local WINDOWS

D: Disque fixe local Data

E: Disque CD-ROM

F: Disque fixe local

G: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS
F: \Device\HarddiskVolume7 FAT

=========== - Disinfection info:

Op‚ration r‚ussieÿ: le processus avec PID 2728 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

F: selected

USB Device ID:
IDE\DISKTOSHIBA_MK6475GSX_______________________GT001M__\4&37749C8E&0&0.0.0

USBSTOR\DISK&VEN_GENERIC-&PROD_MULTI-CARD&REV_1.00\20090516388200000&0

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_BLADE&REV_2.01\4C530001230721110143&0




F:\~WRL1716.tmp
F:\~WRL0005.tmp
F:\~WRL1027.tmp
F:\Lyc‚e Jean Zay\2. Cycle Terminal - Gestes fondateurs et mondes en mouvement\1. S‚quences - notions\Mythes et h‚ros\Terminales. Mitos y h‚roes en la cultura popular\2. Las Patronas de La Bestia\~WRL0002.tmp
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est 299B-8175

R‚pertoire de F:\

24/12/2014 14:02 <REP> $RECYCLE.BIN
01/01/2015 14:06 162 ~$ racisme de l.docx
13/01/2015 14:30 <REP> Recycled
04/02/2015 11:28 5ÿ632 Thumbs.db
24/03/2015 18:19 <REP> .Trashes
24/03/2015 18:19 <REP> .Spotlight-V100
24/03/2015 18:19 4ÿ096 ._.Trashes
24/03/2015 18:59 <REP> .TemporaryItems
24/03/2015 18:59 4ÿ096 ._.TemporaryItems
19/07/2016 23:28 <REP> Lyc‚e Jean Zay
04/09/2016 18:39 <REP> Docs importants
30/11/2017 10:29 162 ~$rrig‚ CO.docx
12/12/2017 11:01 162 ~$anning REMISE DES BULLETINS TRIMESTRIELS 2de7.doc
05/01/2018 10:56 54ÿ902ÿ784 buda_vfs.img
06/01/2018 13:27 <REP> MSI15571.tmp
7 fichier(s) 54ÿ917ÿ094 octets
9 R‚p(s) 376ÿ684ÿ544 octets libres

USB drive disinfected and files unhidden

[angelique]

ok fait la suite.

[ZAKIA]

Je l'ai fait et ai envoyé le rapport sur le lien donné mais je n'ai pas de réponse.

[angelique]

Faut mettre les liens ici, je peux pas savoir sinon

[ZAKIA]

Désolée, je n'avais pas compris la manip.

Voici les liens:
- Rapport FIRST: https://pjjoint.malekal.com/files.php?i ... 4c7f5t11p5

- Rapport Addition: https://pjjoint.malekal.com/files.php?i ... t10p15m5x5

- Rapport Shortcut: https://pjjoint.malekal.com/files.php?i ... 8w15c11v14

Merci d'avance!

[angelique]

Rien d’extraordinaire.

• Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Note explicative avec des captures d'écran.
  
  
  
  
  Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  
  puis sur ton clavier appuyer sur la touche CTRL + Y.
  
  Le bloc-note va s'ouvrir, copie/colle ceci.
  
  

  Code : Tout sélectionner

  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-01-07] ()
  BHO-x32: Pas de nom -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Pas de fichier
  Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  Pas de fichier
  Toolbar: HKLM - Pas de nom - {5350432D-5350-006A-76A7-7A786E7484D7} -  Pas de fichier
  Toolbar: HKLM-x32 - Pas de nom - {5350432D-5350-006A-76A7-7A786E7484D7} -  Pas de fichier
  CHR StartupUrls: Default -> "hxxp://Vosteran.com/?f=7&a=vst_ggfc_14_52_ch&cd=2XzuyEtN2Y1L1Qzuzy0C0ByBtD0DtAtB0FyC0CzzzzzztCzztN0D0Tzu0StCtDzytCtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2StC0B0F0CyDyCtCtCtG0Czy0ByEtGyEtDtDyDtGtBtDzz0BtGtDtA0F0CtDyDtDyB0DyDyB0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCtC0ByEzytDyDtCtG0F0AyC0FtGyEyCzy0BtGzytC0AyBtG0C0C0EyByCyByDyC0A0F0E0E2Q&cr=912756818&ir=","hxxps://www.google.fr/"
  2018-01-07 10:27 - 2018-01-07 10:45 - 000001488 _____ C:\Users\Zakia\Desktop\ZHPCleaner.txt
  2018-01-07 10:20 - 2018-01-07 10:20 - 003004288 _____ C:\Users\Zakia\Downloads\ZHPCleaner.exe
  2018-01-07 10:20 - 2018-01-07 10:20 - 000000799 _____ C:\Users\Zakia\Desktop\ZHPCleaner.lnk
  2018-01-07 10:20 - 2018-01-07 10:20 - 000000000 ____D C:\Users\Zakia\AppData\Local\ZHP
  2018-01-06 16:28 - 2018-01-07 10:46 - 000004842 _____ C:\Users\Zakia\Desktop\UsbFix_Report.txt
  2018-01-06 16:05 - 2018-01-06 16:05 - 000000000 ____D C:\Rem-VBSqt
  2018-01-06 16:04 - 2018-01-06 16:04 - 000062792 _____ C:\Users\Zakia\Downloads\Rem-VBSworm.zip
  2018-01-06 13:58 - 2018-01-06 14:02 - 000000114 ___RH C:\Users\Zakia\Downloads\Stinger.opt
  2018-01-06 13:58 - 2018-01-06 14:02 - 000000000 ____D C:\Program Files (x86)\stinger
  2018-01-05 16:14 - 2018-01-06 21:10 - 000000000 ____D C:\UsbFix
  EmptyTemp:
  
  

• Ferme toutes les applications, y compris ton navigateur
• Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
• Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[ZAKIA]

Voici le rapport. Je viens de vérifier et le virus y est toujours et c'est toujours impossible de le supprimer.


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.01.2018
Exécuté par Zakia (07-01-2018 17:12:16) Run:1
Exécuté depuis C:\Users\Zakia\Desktop
Profils chargés: Zakia (Profils disponibles: Zakia & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-01-07] ()
BHO-x32: Pas de nom -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Pas de fichier
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Pas de fichier
Toolbar: HKLM - Pas de nom - {5350432D-5350-006A-76A7-7A786E7484D7} - Pas de fichier
Toolbar: HKLM-x32 - Pas de nom - {5350432D-5350-006A-76A7-7A786E7484D7} - Pas de fichier
CHR StartupUrls: Default -> "hxxp://Vosteran.com/?f=7&a=vst_ggfc_14_52_ch&cd=2XzuyEtN2Y1L1Qzuzy0C0ByBtD0DtAtB0FyC0CzzzzzztCzztN0D0Tzu0StCtDzytCtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2StC0B0F0CyDyCtCtCtG0Czy0ByEtGyEtDtDyDtGtBtDzz0BtGtDtA0F0CtDyDtDyB0DyDyB0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCtC0ByEzytDyDtCtG0F0AyC0FtGyEyCzy0BtGzytC0AyBtG0C0C0EyByCyByDyC0A0F0E0E2Q&cr=912756818&ir=","hxxps://www.google.fr/"
2018-01-07 10:27 - 2018-01-07 10:45 - 000001488 _____ C:\Users\Zakia\Desktop\ZHPCleaner.txt
2018-01-07 10:20 - 2018-01-07 10:20 - 003004288 _____ C:\Users\Zakia\Downloads\ZHPCleaner.exe
2018-01-07 10:20 - 2018-01-07 10:20 - 000000799 _____ C:\Users\Zakia\Desktop\ZHPCleaner.lnk
2018-01-07 10:20 - 2018-01-07 10:20 - 000000000 ____D C:\Users\Zakia\AppData\Local\ZHP
2018-01-06 16:28 - 2018-01-07 10:46 - 000004842 _____ C:\Users\Zakia\Desktop\UsbFix_Report.txt
2018-01-06 16:05 - 2018-01-06 16:05 - 000000000 ____D C:\Rem-VBSqt
2018-01-06 16:04 - 2018-01-06 16:04 - 000062792 _____ C:\Users\Zakia\Downloads\Rem-VBSworm.zip
2018-01-06 13:58 - 2018-01-06 14:02 - 000000114 ___RH C:\Users\Zakia\Downloads\Stinger.opt
2018-01-06 13:58 - 2018-01-06 14:02 - 000000000 ____D C:\Program Files (x86)\stinger
2018-01-05 16:14 - 2018-01-06 21:10 - 000000000 ____D C:\UsbFix
EmptyTemp:
*****************

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}" => supprimé(es) avec succès
HKLM\Software\Wow6432Node\Classes\CLSID\{9030D464-4C02-4ABF-8ECC-5164760863C6} => clé non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}" => supprimé(es) avec succès
"HKLM\Software\Classes\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{5350432D-5350-006A-76A7-7A786E7484D7}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{5350432D-5350-006A-76A7-7A786E7484D7} => clé non trouvé(e)
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{5350432D-5350-006A-76A7-7A786E7484D7}" => supprimé(es) avec succès
HKLM\Software\Wow6432Node\Classes\CLSID\{5350432D-5350-006A-76A7-7A786E7484D7} => clé non trouvé(e)
"Chrome StartupUrls" => supprimé(es) avec succès
C:\Users\Zakia\Desktop\ZHPCleaner.txt => déplacé(es) avec succès
C:\Users\Zakia\Downloads\ZHPCleaner.exe => déplacé(es) avec succès
C:\Users\Zakia\Desktop\ZHPCleaner.lnk => déplacé(es) avec succès
C:\Users\Zakia\AppData\Local\ZHP => déplacé(es) avec succès
C:\Users\Zakia\Desktop\UsbFix_Report.txt => déplacé(es) avec succès
C:\Rem-VBSqt => déplacé(es) avec succès
C:\Users\Zakia\Downloads\Rem-VBSworm.zip => déplacé(es) avec succès
C:\Users\Zakia\Downloads\Stinger.opt => déplacé(es) avec succès
C:\Program Files (x86)\stinger => déplacé(es) avec succès
C:\UsbFix => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 60829581 B
Java, Flash, Steam htmlcache => 524 B
Windows/system/drivers => 357978250 B
Edge => 0 B
Chrome => 314401315 B
Firefox => 10644550 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 6582137 B
systemprofile32 => 27848833 B
LocalService => 0 B
NetworkService => 6202 B
Zakia => 12076071 B
Invité => 3390150 B

RecycleBin => 1754144 B
EmptyTemp: => 766.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 17:12:42 ====

[angelique]

Je viens de vérifier et le virus y est toujours et c'est toujours impossible de le supprimer

Ce n'est pas plutôt que ta clef comporte des caractères bizarres sous le nom de dossiers ?

ça : viewtopic.php?t=51734&start=

[ZAKIA]

Oui c'est exactement ça. Ce n'est pas un virus?

[ZAKIA]

J'ai lu ce que tu m'as envoyé et ai fait la manip mais la vérification refuse de se lancer. La fenêtre disparaît à chaque fois.

[angelique]

et non ce n'est pas un virus mais ta clef qui est défectueuse, donc la base est d'avoir plusieurs sauvegarde ce qui est ton cas j’espère.

[ZAKIA]

Non, malheureusement j'ai plein de dossiers non sauvegardés. Est-ce que des professionnels peuvent m'arranger cela?