Disque dur infecté dossiers transformés en raccourcis

[maxneedshelpHDD]

Bonjour,

Après avoir utiliser mon disque dur sur un ordinateur de cybercafé, je crois qu'il a été infecté : tous les dossiers ont été transformés en raccourcis. Je peux quand même y accéder dans une nouvelle fenêtre après un message d'erreur.

J'ai sauvegardé un dossier de photos sur mon PC (peur de les perdre) avant d'effectuer les opérations suivantes.
J'ai installé USBFix, lancé une analyse et un nettoyage. En voici les 2 rapports :

1. Scan

Code : Tout sélectionner

############################## | UsbFix Premium V 10.020 | [Full scan]

Utilisateur: maxen (Administrateur) # DESKTOP-M8JVGPS
Mis à jour le 27/03/2018 par SOSVirus
Lancé à 18:20:01 | 24/04/2018

################## | System information |

MB: ASUSTeK COMPUTER INC. (UX360UAK) 
CPU: Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz
RAM -> [Total : 8073 Mo | Free : 4117 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft™ Windows 10 Home (6.3.16299 64-Bit) 
WB: Internet Explorer : 11.00.16299.15
WB: Microsoft Edge : 11.00.16299.371 (WinBuild.160101.0800)
WB: Google Chrome : 65.0.3325.181

################## | Security Information |

AV: Avast Antivirus [(!) Désactivé |A jour]
AV: Windows Defender [(!) Désactivé |A jour]
AV: McAfee VirusScan [Actif |A jour]
AS: Windows Defender [(!) Désactivé |A jour]
AS: McAfee VirusScan [Actif |A jour]
AS: Avast Antivirus [(!) Désactivé |A jour]
FW: Pare-feu McAfee  [Actif]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disque fixe # 238 Go (110 Go libre(s) - 46%) [OS] # NTFS
D:\ -> Disque fixe # 931 Go (251 Go libre(s) - 27%) [My Passport Maxence] # NTFS

################## | Autorun |


################## | Recherche générique | Full scan |

Ignoré! D:\Cesure.lnk
Ignoré! D:\CV Maxence Houdelot - Internship EU Photo.docx.lnk
Ignoré! D:\CV Maxence Houdelot - Internship EU Photo.docx.pdf.lnk
Ignoré! D:\CV Maxence Houdelot - Internship UK.docx.lnk
Ignoré! D:\CV Maxence Houdelot - Internship UK.pdf.lnk
Ignoré! D:\Documents.lnk
Ignoré! D:\Films.lnk
Ignoré! D:\Logiciels.lnk
Ignoré! D:\Music.lnk
Ignoré! D:\Passwords.lnk
Ignoré! D:\Photos.lnk
Ignoré! D:\Pictures.lnk
Ignoré! D:\Save GoPro Titi.lnk
Ignoré! D:\Séries.lnk
Ignoré! D:\WD Apps Setup.exe.lnk
Ignoré! D:\WD Backup.swstor.lnk
Ignoré! D:\WD.lnk
Ignoré! D:\Files.bat

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\windows\system32\userinit.exe,
04 - HKCU\..\Run : [OneDrive] "C:\Users\maxen\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKCU\..\Run : [Dashlane] "C:\Users\maxen\AppData\Roaming\Dashlane\Dashlane.exe" autoLaunchAtStartup
04 - HKCU\..\Run : [DashlanePlugin] "C:\Users\maxen\AppData\Roaming\Dashlane\DashlanePlugin.exe" ws
04 - HKCU\..\Run : [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKCU\..\RunOnce : [Application Restart #0] C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe  --no-displaying-insecure-content --disable-devtools --disable-raf-throttling --user-data-dir="C:\Users\maxen\AppData\Local\ASUS GIFTBOX\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwapp="C:\Program Files (x86)\ASUS\Giftbox" --restore-last-session
04 - [x64] HKLM\..\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
04 - [x64] HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-4223756452-625064750-4068620572-1001\..\Run : [OneDrive] "C:\Users\maxen\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKU\S-1-5-21-4223756452-625064750-4068620572-1001\..\Run : [Dashlane] "C:\Users\maxen\AppData\Roaming\Dashlane\Dashlane.exe" autoLaunchAtStartup
04 - HKU\S-1-5-21-4223756452-625064750-4068620572-1001\..\Run : [DashlanePlugin] "C:\Users\maxen\AppData\Roaming\Dashlane\DashlanePlugin.exe" ws
04 - HKU\S-1-5-21-4223756452-625064750-4068620572-1001\..\Run : [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
04 - HKU\S-1-5-21-4223756452-625064750-4068620572-1001\..\RunOnce : [Application Restart #0] C:\Program Files (x86)\ASUS\Giftbox\Asusgiftbox.exe  --no-displaying-insecure-content --disable-devtools --disable-raf-throttling --user-data-dir="C:\Users\maxen\AppData\Local\ASUS GIFTBOX\User Data" --no-sandbox --flag-switches-begin --flag-switches-end --nwapp="C:\Program Files (x86)\ASUS\Giftbox" --restore-last-session

################## | E.O.F | 

2. Clean

Code : Tout sélectionner

############################## | UsbFix Premium V 10.020 | [Full scan]

Utilisateur: maxen (Administrateur) # DESKTOP-M8JVGPS
Mis à jour le 27/03/2018 par SOSVirus
Lancé à 18:21:39 | 24/04/2018

################## | System information |

MB: ASUSTeK COMPUTER INC. (UX360UAK) 
CPU: Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz
RAM -> [Total : 8073 Mo | Free : 4117 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft™ Windows 10 Home (6.3.16299 64-Bit) 
WB: Internet Explorer : 11.00.16299.15
WB: Microsoft Edge : 11.00.16299.371 (WinBuild.160101.0800)
WB: Google Chrome : 65.0.3325.181

################## | Security Information |

AV: Avast Antivirus [(!) Désactivé |A jour]
AV: Windows Defender [(!) Désactivé |A jour]
AV: McAfee VirusScan [Actif |A jour]
AS: Windows Defender [(!) Désactivé |A jour]
AS: McAfee VirusScan [Actif |A jour]
AS: Avast Antivirus [(!) Désactivé |A jour]
FW: Pare-feu McAfee  [Actif]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disque fixe # 238 Go (110 Go libre(s) - 46%) [OS] # NTFS
D:\ -> Disque fixe # 931 Go (251 Go libre(s) - 27%) [My Passport Maxence] # NTFS

################## | Autorun |


################## | Nettoyage générique | Full scan |

Supprimé! D:\Cesure.lnk
Supprimé! D:\CV Maxence Houdelot - Internship EU Photo.docx.lnk
Supprimé! D:\CV Maxence Houdelot - Internship EU Photo.docx.pdf.lnk
Supprimé! D:\CV Maxence Houdelot - Internship UK.docx.lnk
Supprimé! D:\CV Maxence Houdelot - Internship UK.pdf.lnk
Supprimé! D:\Documents.lnk
Supprimé! D:\Films.lnk
Supprimé! D:\Logiciels.lnk
Supprimé! D:\Music.lnk
Supprimé! D:\Passwords.lnk
Supprimé! D:\Photos.lnk
Supprimé! D:\Pictures.lnk
Supprimé! D:\Save GoPro Titi.lnk
Supprimé! D:\Séries.lnk
Supprimé! D:\WD Apps Setup.exe.lnk
Supprimé! D:\WD Backup.swstor.lnk
Supprimé! D:\WD.lnk
Supprimé! D:\Files.bat

(!) Fichiers temporaires supprimés. (6.91558647155762 MB)

################## | Attrib - Restore |


################## | E.O.F | 

Le disque dur apparaît maintenant vide sauf un fichier de back up western digital qui n'était pas en raccourci avant.
Sauf qu'il est toujours occupé par la place supposée des dossiers que j'avais avant.

Maintenant je crois que j'ai besoin d'avis pour continuer la désinfection, quelqu'un peut-il m'aider svp ?
Vais-je récupérer les anciens dossiers après désinfection?

Merci d'avance,

Cordialement

maxneedshelpHDD

[angelique]

Bonjour/Bonsoir

Les fichiers ne sont peut être que cachés ➯ viewtopic.php?t=18239&start=

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lancer l'option A ( appuyer sur A et entrée )
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

2°) Relancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, D et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[maxneedshelpHDD]

Bonsoir Angélique,

Merci pour ta réponse, les fichiers étaient bien cachés ! Je peux les voir en activant les éléments masqués.
Est-il possible de les rendre à nouveau "visibles" comme normalement ?

[angelique]

essaie remediate vbs worm

sinon ouvre une invite de commande cmd < clic droit exécuter en tant qu'administrateur

chaque ligne tu valides par entrée:

D:
attrib *.* /s /d -a -r -s -h

[maxneedshelpHDD]

J'ai essayé Remediate WBS worms, l'étape A se passe bien mais pour la B il ne reconnait pas mon disque dur, il est bien en D:, je tape d mais il me donne un message d'erreur..
J'ai essayé avec l'invite de commande, après la 2eme ligne il est indiqué :

C:\Users\maxen>D:

D:\>attrib *.* /s /d -a -r -s -h
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-1228387082-1587413325-2831801477-1003
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-1265389421-3598857926-4096286311-1001
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-2322430562-3798165626-3875472477-1001
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-2405737835-1264918504-1608353374-1004
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-3059774693-1792119387-2539942182-1000
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-3115729647-2529837016-1036158246-1000
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-3314684471-546233891-590504948-1001
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-3628407446-2323735515-3517742306-1001
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-4083922028-2234154423-3510793494-501
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-506839946-602887922-1483243839-1001
Accès refusé - D:\$RECYCLE.BIN\S-1-5-21-828923710-467391722-1560798797-1001

Qu'est ce que je peux faire ?

[Malekal_morte]

Bonsoir,

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

et si tu veux être sûr que l'ordinateur n'est plus infecté :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[angelique]

Branche ta clef usb D:
cmd<clic droit exécuter en tant qu'administrateur

attrib -h -r -s /s /d D:\*.*

[maxneedshelpHDD]

Bonsoir,

Merci Angélique la commande a bien marché, les fichiers sont restaurés sur le disque dur.
Il y a aussi maintenant un dossier $RECYCLE.BIN qui contient des dossiers du type "S-1-5-21-506839946-602887922-1483243839-1001" , Windows demande une autorisation pour y accéder.
Est-ce que je peux simplement supprimer le dossier $RECYCLE.BIN ?

Merci Malekal_morte pour tes conseils, j'ai téléchargé Marmiton et il fonctionne.
Par contre pour FRST quand je télécharge la version 64 bits (mon PC est bien en 64 bits), je l’exécute après l'avoir copié sur le bureau et une fenêtre apparaît : "Cette version de FRST est incompatible avec votre système d'exploitation. Veuillez utiliser FRST64." Et on ne peut que en sortir, pas moyen de lancer FRST...
J'ai essayé en 32 bits, c'est pareil. Je peux faire quelque chose d'autres ?

[angelique]

tu peux laisser $RECYCLE.BIN, ça concerne la corbeille, si tu le supprimes, il va se recréer automatiquement.

Normalement FRST https://download.bleepingcomputer.com/d ... FRST64.exe devrait fonctionner sur ton PC

[maxneedshelpHDD]

Bonjour,

Désolé pour le retard, merci pour ta réponse Angélique je laisse donc ce dossier.
J'ai enfin réussi à faire fonctionner FRST, voici les 3 fichiers comme demandés malekal :
FRST : https://pjjoint.malekal.com/files.php?i ... o12d7k1012
Addition : https://pjjoint.malekal.com/files.php?i ... 2v8c7g8l11
Shortcut : https://pjjoint.malekal.com/files.php?i ... i13f8m8x15

Pour info : maintenant un fichier texte vide nommé "Errorlog" s'ouvre à chaque fois que je démarre Windows. Je pense que ça doit être lié à la désinfection en cours.

Merci beaucoup pour votre aide et bonne journée !

[angelique]

Avast et McaFee , un antivirus en trop qui peut provoquer des plantages.

Supprime:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt

C:\Rem-VBSqt

C:\FRST

WinZip devrait être remplacé par https://www.7-zip.org/


Sinon c'est OK

[maxneedshelpHDD]

Merci beaucoup pour ton aide et tes conseils Angélique.
Bonne soirée,