Infection errorlog.txt

[Feather652]

Bonsoir.
Au démarrage de Windows, ouverture de deux fenêtres bloc-notes errorlog.txt.
Je pense savoir d'où vient l'infection (vive les ordis de labo vérolés jusqu'à l'os qui refilent des trucs par clé USB).
J'ai fait analyses+nettoyage Usbfix, Malwarebytes Anti-Malware (MBAM), AdwCleaner et Antivirus (Avira). Comme je m'en doutais après quelques recherches, ça n'a pas réglé le souci.
Je vous joins les scans FRST via pjjoint.
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 7d5b11c13
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 5l7x6h7b11
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 1q5p8h9j14

Je suis désolée de vous prendre du temps pour un souci qui semble assez courant (vu le nombre de topics à ce sujet), mais qui semble nécessiter un script...
Si besoin d'analyses supplémentaires ou de télécharger quoi que ce soit de nécessaire, je le ferai au plus vite.
Merci d'avance.
Bonne fin de journée.

[Malekal_morte]

Salut,

Pour info, AdwCleaner vise les logiciels publicitaires et pas les virus USB.
Aucun intérêt de l'utiliser dans ton cas, supprime le.

A désinstaller, tout cela encombre Windows et le ralentit.

Akamai NetSession Interface
ASUS GIFTBOX
Avira (Windows Defender va prendre le relai, plus léger)
Dropbox (sauf si synchronises.
GlobalProtect
WebStorage
WildTangent

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2019-03-15]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~

Refais la correction FRST encore une fois pour être sûr qu'il soit bien supprimé.


~~


C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> Les virus par clé USB

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[Feather652]

Re. Merci de la réponse rapide !
Je sais très bien pour Adw mais comme je ne connaissais pas l'étendue des dégâts et des possibles logiciels tiers installés j'ai préféré ratisser large et faire un nettoyage général et sous plusieurs angles.
Du coup, sur les deux fenêtres errorlog.txt qui s'ouvraient, l'une a été supprimée. La seconde, en revanche, réapparaît toujours, même après plusieurs fix.
Fixlog le plus récent : https://pjjoint.malekal.com/files.php?i ... 9e5b7o10d6

Je ne sais pas si ça a un lien, mais cet été, dans le cadre d'un stage, j'ai dû télécharger WinAVR (je m'en mords encore les doigts) et ce truc a modifié mes fichiers path. Comme dans le script le chemin de l'errorlog.txt est indiqué, se pourrait-il que ce soit la cause de la fenêtre restante ?

J'avais oublié de le mentionner mais Marmiton est déjà installé, depuis que je soupçonne le virus USB.
Dernière question : si je "vaccine" mes clés USB, pourrais-je récupérer des données sur des ordis vérolés sans risquer une infection à mon tour ? Pour faire simple, les ordis des labos où je suis sont des dinosaures peu entretenus par le service info et déconnectés d'internet pour certains, dans un souci de sécurité, dans leur théorie il est plus prudent de récupérer ses données uniquement par USB. Cependant, comme la plupart des gens n'ont pas de clés propres, bah on se retrouve avec des ordis où il est impossible de s'envoyer les résultats par mail, donc infection en chaîne... Je vais prévenir le service info mais je doute que leur réactivité soit immédiate, que ce soit de leur part mais aussi de la part de ceux qui gèrent les labos...

[Malekal_morte]

installe marmiton comme indiqué et relance une analyse FRST.
Donne les nouveaux liens ici.

[Feather652]

Marmiton réinstallé
FRST : https://pjjoint.malekal.com/files.php?i ... 9y9n7v9y13
Addition : https://pjjoint.malekal.com/files.php?i ... z15p7z14u9
Shortcut : https://pjjoint.malekal.com/files.php?i ... 10x6d14v13

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Pioupiou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2019-03-15]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[lei]

Bonjour,
j'ai exactement le même problème si quelqu'un.e peut venir à mon secours... ce fichier txt qui s'affiche au démarrage et des fichiers qui ont disparu de ma clé usb..
Je vous joins les scans FRST via pjjoint.
https://pjjoint.malekal.com/files.php?i ... 6i12y11i13
https://pjjoint.malekal.com/files.php?i ... 1h8i5b12f5
Je n'y connais rien mais disciplinée, je suis bien prête à faire ce qui peut encore être fait pour sauver mes documents.
merci beaucoup et bonne nuit..

[Malekal_morte]

Salut tei,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2020-06-04] ()
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~

2)

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Suivre ce tutoriel : Comment désactiver Windows Script Host

[lei]

Super merci!!
L'ordi a redémarré et le fichier n’apparaît plus au démarrage.
Par contre, les fichiers sur ma clé n'apparaissent pas. La taille des dossiers ne correspond pas a ce qui apparaît et cela me fait penser qu'ils sont toujours la.. J'ai pourtant modifié les paramètres d'affichage pour faire apparaître les dossiers cachés.
J'ai eu ca :
https://pjjoint.malekal.com/files.php?i ... y9k11z14b8
désolée du dérangement..

[angelique]

Bonjour,

Télécharge Remediate VBS Worm
Branche ta clef USB à problème
lance le programme, Lance l'option B.
Tape la lettre de la clef USB UNIQUEMENT !! , par exemple, E et entrée
Cela va nettoyer la clef USB.
De même, Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.

[lei]

Merci, j'ai tenté ca hier sans succés;
cela m'affiche " Wrong letter or systemdrive selected"
Alors que ma clé s’appelle bien "D"
le rapport :
Rem-VBSworm v8.0

=========== - General info:

Running under: utilisateur on profile: C:\Users\utilisateur
Computer name: 3863bbb7ae4a

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Avast Antivirus


Executed on: 04/06/2020 @ 12:07:44,74

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local

D: Disque amovible


Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume6 FAT

=========== - Disinfection info:


Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

[angelique]

T' es sur que c'est D:

Télécharge et exécute http://angelik.altervista.org/Malekal/listD.bat

ça devrait créer et lancer un fichier txt qui liste le contenu de D:

[lei]

Merci...
Cela dit ca:

Le volume dans le lecteur D n'a pas de nom.
Le num‚ro de s‚rie du volume est 0C86-90BA

R‚pertoire de D:\

04/04/2017 18:36 <DIR> SanDiskSecureAccess
16/04/2020 11:11 <DIR> bayard
03/05/2020 18:51 <DIR> System Volume Information
02/06/2020 11:43 <DIR> Asmae
03/06/2020 21:50 <DIR> autorun.inf
23/05/2020 19:45 <DIR> semaine 9
30/05/2020 21:11 <DIR> semaine 10
30/05/2020 23:05 <DIR> Semaine10
21/05/2020 16:43 <DIR> semaine 9 - Copie
21/05/2020 16:43 <DIR> semaine 9 - Copie (2)
23/05/2020 19:45 <DIR> semaine 9 - Copie (3)
30/05/2020 21:11 <DIR> semaine 10 - Copie
17/03/2020 16:40 <DIR> crise
0 fichier(s) 0 octets
13 R‚p(s) 13ÿ858ÿ586ÿ624 octets libres

[angelique]

tous ces fichiers dossiers sont visibles sur ta clef ?

[lei]

Je ne vois pas ces deux la:
03/05/2020 18:51 <DIR> System Volume Information
03/06/2020 21:50 <DIR> autorun.inf
C'est tres bizarre, les dossiers que je vois ne contiennent plus les sous dossiers avec mes documents. seulement ceux qui étaient en vrac.