Forum d'Entraide Informatique (FEI)

Bonjour,
Je fais appel à vous car j'ai récemment eu un problème en introduisant ma clé USB dans le PC d'une amie...
Tout le contenu de ma clé s'est transformé en raccourcis... En introduisant une nouvelle clé dans mon PC le même problème est survenu donc je pense avoir infecté mon pc également...
J'ai lu sur plusieurs forum qu'il fallait utiliser USBfix et autres outils (je ne suis pas très calée en informatique :$) mais étant donné que les Helpers demandaient toujours de poster des rapports je préfère demander de l'aide ici plutôt que d'essayer toute seule et faire une bêtise.
Merci d'avance à la personne qui prendra la penne de m'aider.   
P.S: (1) j'ai déjà formaté ma première clé mais ça n'a pas aidé   
(2) La deuxième clé infectée appartenant à mon père, j'aimerais savoir si la procédure supprimera le contenu de sa clé ? Parce qu'il s'y trouve des documents important donc j'aimerais être rassurée 

Bonsoir,

Pour mieux recevoir les réponses, tu peux t'inscrire au forum (plus d'informations ici).

Le contenu ne sera pas supprimé.

Passe UsbFix en Suppression et poste le rapport : http://www.forum-entraide-informatique. ... o-tutoriel

Gabriel.

Voici le rapport que j'ai eu:

############################## | UsbFix V 7.165 | [Suppression]

Utilisateur: Leila (Administrateur) # LEILA
Mis à jour le 20/02/2014 par El Desaparecido - Team SosVirus
Lancé à 21:28:53 | 21/02/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Support : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: Intel (PLCSF8)
CPU: Intel(R) Core(TM) i5-3230M CPU @ 2.60GHz
RAM - [Total : 8075 Mo| Free : 6879 Mo]
Bios: Insyde Corp.
Boot: Normal boot

OS: Microsoft Windows 8 (6.2.9200 64-Bit)
WB: Windows Internet Explorer : 10.0.9200.16660
WB: Google Chrome : 33.0.1750.117

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: McAfee Anti-Virus et Anti-Spyware [(!) Disabled | Updated]
AV: Windows Defender [(!) Disabled | Updated]
AS: McAfee Anti-Virus et Anti-Spyware [(!) Disabled | (!) Outdated]
AS: Windows Defender [(!) Disabled | Updated]
FW: Pare-feu McAfee [(!) Disabled]
FW: Windows FireWall [(!) Disabled]

C:\ (%systemdrive%) - Disque fixe # 687 Go (503 Go libre(s) - 73%) [TI31051200A] # NTFS
D:\ - CD-ROM
E:\ - Disque amovible # 15 Go (15 Go libre(s) - 99%) [USB DISK] # FAT32
F:\ - CD-ROM
G:\ - Disque amovible # 7 Go (3 Go libre(s) - 34%) [Cruzer] # FAT32

################## | Processus Actif |

C:\windows\system32\csrss.exe (ID: 716 |ParentID: 700)
C:\windows\system32\wininit.exe (ID: 772 |ParentID: 700)
C:\windows\system32\csrss.exe (ID: 788 |ParentID: 780)
C:\windows\system32\winlogon.exe (ID: 832 |ParentID: 780)
C:\windows\system32\services.exe (ID: 876 |ParentID: 772)
C:\windows\system32\lsass.exe (ID: 884 |ParentID: 772)
C:\windows\system32\svchost.exe (ID: 992 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 316 |ParentID: 876)
C:\windows\System32\svchost.exe (ID: 532 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 640 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 700 |ParentID: 876)
C:\windows\System32\svchost.exe (ID: 1008 |ParentID: 876)
C:\windows\system32\dwm.exe (ID: 1060 |ParentID: 832)
C:\Program Files\Classic Shell\ClassicShellService.exe (ID: 1176 |ParentID: 876)
C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe (ID: 1228 |ParentID: 876)
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (ID: 1252 |ParentID: 1228)
C:\windows\system32\svchost.exe (ID: 1316 |ParentID: 876)
C:\windows\system32\WLANExt.exe (ID: 1396 |ParentID: 1008)
C:\windows\system32\conhost.exe (ID: 1408 |ParentID: 1396)
C:\Program Files (x86)\TOSHIBA\Password Utility\GFNEXSrv.exe (ID: 1416 |ParentID: 876)
C:\windows\System32\spoolsv.exe (ID: 1576 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 1632 |ParentID: 876)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 1996 |ParentID: 876)
C:\windows\system32\dashost.exe (ID: 2020 |ParentID: 1008)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 1032 |ParentID: 876)
C:\Program Files\McAfee\MSC\McAPExe.exe (ID: 1592 |ParentID: 876)
C:\windows\system32\mfevtps.exe (ID: 1584 |ParentID: 876)
C:\windows\System32\svchost.exe (ID: 1816 |ParentID: 876)
C:\windows\System32\svchost.exe (ID: 1172 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 1800 |ParentID: 876)
C:\Windows\system32\TODDSrv.exe (ID: 1904 |ParentID: 876)
C:\Program Files\Common Files\McAfee\AMCore\mcshield.exe (ID: 2096 |ParentID: 876)
C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe (ID: 2244 |ParentID: 876)
C:\windows\system32\wbem\wmiprvse.exe (ID: 2264 |ParentID: 992)
C:\Program Files\TOSHIBA\Teco\TecoService.exe (ID: 2328 |ParentID: 876)
C:\windows\system32\wbem\unsecapp.exe (ID: 2336 |ParentID: 992)
C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe (ID: 2520 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 2932 |ParentID: 876)
C:\Program Files\Classic Shell\ClassicStartMenu.exe (ID: 2988 |ParentID: 1176)
C:\windows\servicing\TrustedInstaller.exe (ID: 3040 |ParentID: 876)
C:\windows\system32\taskhostex.exe (ID: 1884 |ParentID: 876)
C:\windows\system32\svchost.exe (ID: 3120 |ParentID: 876)
C:\windows\system32\taskeng.exe (ID: 3168 |ParentID: 640)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 3244 |ParentID: 876)
C:\windows\Explorer.EXE (ID: 3944 |ParentID: 3272)
C:\windows\system32\runonce.exe (ID: 4056 |ParentID: 3944)
C:\windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_6.2.9200.16613_none_6273bd8950d6cae2\TiWorker.exe (ID: 4168 |ParentID: 992)
C:\Windows\System32\WUDFHost.exe (ID: 4600 |ParentID: 1008)
C:\windows\system32\wbem\wmiprvse.exe (ID: 4736 |ParentID: 992)
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (ID: 4596 |ParentID: 2808)

################## | Regedit Run |

04 - HKCU\..\Run : [Spotify Web Helper] "C:\Users\Leila\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
04 - HKCU\..\Run : [Facebook Update] "C:\Users\Leila\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
04 - HKCU\..\Run : [SURVIVAL] wscript.exe //B "C:\Users\Leila\AppData\Local\Temp\SURVIVAL.vbe"
04 - HKCU\..\Run : [cacaoweb] "C:\Users\Leila\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04 - HKCU\..\Run : [b90a4cff7d58f177d93768ea17ef34ae] "C:\Users\Leila\AppData\Local\Temp\RtHDv2.exe" ..
04 - HKLM\..\Run : [Intel AppUp(R) center] "C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe" --domain-id F0399437-FD0C-4A48-B101-F0314A6172E4
04 - HKLM\..\Run : [TPUReg] "C:\Program Files (x86)\TOSHIBA\Password Utility\TosPU.exe" /Retimes
04 - HKLM\..\Run : [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
04 - HKLM\..\Run : [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
04 - HKLM\..\Run : [mcpltui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\RunOnce : []
04 - HKLM64\..\Run : []
04 - HKLM64\..\Run : [IgfxTray] C:\windows\system32\igfxtray.exe
04 - HKLM64\..\Run : [HotKeysCmds] C:\windows\system32\hkcmd.exe
04 - HKLM64\..\Run : [Persistence] C:\windows\system32\igfxpers.exe
04 - HKLM64\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - HKLM64\..\Run : [TCrdMain] %ProgramFiles%\TOSHIBA\Hotkey\TCrdMain_Win8.exe
04 - HKLM64\..\Run : [TODDMain] C:\Program Files (x86)\TOSHIBA\System Setting\TODDMain.exe
04 - HKLM64\..\Run : [TecoResident] C:\Program Files\TOSHIBA\Teco\TecoResident.exe
04 - HKLM64\..\Run : [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
04 - HKLM64\..\Run : [SRS Premium Sound HD] "C:\Program Files\SRS Labs\SRS Control Panel\SRSPanel_64.exe" /f="C:\Program Files\SRS Labs\SRS Control Panel\SRS_Premium_Sound_HD.zip" /h
04 - HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\..\Run : [Spotify Web Helper] "C:\Users\Leila\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
04 - HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\..\Run : [Facebook Update] "C:\Users\Leila\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
04 - HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\..\Run : [SURVIVAL] wscript.exe //B "C:\Users\Leila\AppData\Local\Temp\SURVIVAL.vbe"
04 - HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\..\Run : [cacaoweb] "C:\Users\Leila\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
04 - HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\..\Run : [b90a4cff7d58f177d93768ea17ef34ae] "C:\Users\Leila\AppData\Local\Temp\RtHDv2.exe" ..

################## | Recherche générique |

Supprimé! C:\Users\Leila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe
Supprimé! C:\Users\Leila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b90a4cff7d58f177d93768ea17ef34ae.exe
Supprimé! C:\Users\Leila\AppData\Local\Temp\SURVIVAL.vbe
Supprimé! C:\Users\Leila\AppData\Local\Temp\RtHDv2.exe
Supprimé! E:\SURVIVAL.vbe
Supprimé! G:\SURVIVAL.vbe
Supprimé! E:\RAPPORT USB.lnk
Supprimé! G:\5PE-JUIN.lnk
Supprimé! G:\6PE-JUIN.lnk
Supprimé! G:\13-MEFTAH.lnk
Supprimé! G:\System.lnk
Supprimé! G:\vrai correction ecopol.lnk
Supprimé! G:\7-El hallabi.lnk
Supprimé! G:\18-EPREUVE INTEGREE (version finale)2.lnk
Supprimé! G:\17-IRC.lnk
Supprimé! G:\6-Pascal.lnk
Supprimé! G:\16-IFAPME.lnk
Supprimé! G:\15-Programmes.lnk
Supprimé! G:\epreuve integré sbai.lnk
Supprimé! G:\Abdelaziz Meftah.lnk
Supprimé! G:\5TQEA JUIN 2012 Pascal.lnk
Supprimé! G:\5-Epreuve intégrées (5QEA).lnk
Supprimé! G:\Documents.lnk
Supprimé! G:\Mourad psychologie.lnk
Supprimé! G:\EPREUVE INTEGREE VERSION FINALE.lnk
Supprimé! G:\4-Cours Meftah.lnk
Supprimé! G:\10-Visio.lnk
Supprimé! G:\IZLAZIM.lnk
Supprimé! G:\2-Planification 2011-2012 IRC.lnk
Supprimé! G:\9-Pondération des intérros.lnk
Supprimé! G:\8-INOFRMATIQUE.lnk
Supprimé! G:\11-Frais Réels - Déclaration D'impot.lnk
Supprimé! G:\1-Planifications.lnk
Supprimé! G:\3-Epreuve intégrée de qualif. 5PE - MAJ 05 mai.lnk
Supprimé! C:\Users\Leila\AppData\Local\Temp\de54DebugFile.pif
Supprimé! G:\IZLAZIM

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKCU|di
Supprimé! HKCU\Software\b90a4cff7d58f177d93768ea17ef34ae
Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|EnableLUA - 1
Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|ConsentPromptBehaviorAdmin - 5
Supprimé! HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\Software\Microsoft\Windows\CurrentVersion\Run|b90a4cff7d58f177d93768ea17ef34ae
Supprimé! HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\Software\Microsoft\Windows\CurrentVersion\Run|SURVIVAL
Supprimé! HKU\S-1-5-21-1299229952-2809825563-3402127746-1001\Software\.\.\.\.\Mountpoints2\{0cea00df-561a-11e3-be8a-7c05078e8249}

################## | UsbFix - Information |

UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.

Info (Fr) : http://www.sosvirus.net/infection-dinih ... t4852.html
Info (Fr) : http://www.sosvirus.net/les-infections- ... t4948.html

################## | Listing |

[10/11/2013 - 16:09:22 | SHD] - C:\$RECYCLE.BIN
[26/07/2012 - 04:44:30 | RASH | 389 Ko] - C:\bootmgr
[02/06/2012 - 15:30:55 | N | 0 Ko] - C:\BOOTNXT
[14/02/2014 - 01:01:04 | D] - C:\Config.Msi
[26/07/2012 - 08:22:08 | SHD] - C:\Documents and Settings
[04/02/2014 - 00:23:01 | N | 0 Ko] - C:\END
[21/02/2014 - 21:27:13 | ASH | 6615216 Ko] - C:\hiberfil.sys
[31/05/2013 - 06:54:50 | D] - C:\Intel
[19/08/2013 - 14:54:59 | RHD] - C:\MSOCache
[21/02/2014 - 21:27:15 | ASH | 1245184 Ko] - C:\pagefile.sys
[26/07/2012 - 08:33:46 | D] - C:\PerfLogs
[01/02/2014 - 21:29:26 | D] - C:\Program Files
[21/02/2014 - 21:27:08 | D] - C:\Program Files (x86)
[04/02/2014 - 00:24:24 | HD] - C:\ProgramData
[01/08/2013 - 00:54:12 | D] - C:\sources
[21/02/2014 - 21:27:24 | ASH | 262144 Ko] - C:\swapfile.sys
[19/02/2014 - 18:27:18 | SHD] - C:\System Volume Information
[30/01/2013 - 12:37:30 | D] - C:\Toshiba
[21/02/2014 - 21:25:12 | D] - C:\UsbFix
[21/02/2014 - 21:41:26 | A | 11 Ko | 6A5F81294C7380121EEAE66ADCF26C41] - C:\UsbFix [Clean 2] LEILA.txt
[10/11/2013 - 16:07:12 | D] - C:\Users
[04/02/2014 - 00:24:21 | D] - C:\Windows
[20/02/2014 - 05:36:30 | D] - E:\RAPPORT USB
[16/07/2010 - 18:43:16 | D] - G:\13-MEFTAH
[30/11/2008 - 10:10:52 | SHD] - G:\System
[28/11/2011 - 15:49:02 | D] - G:\7-El hallabi
[25/03/2012 - 21:35:30 | D] - G:\18-EPREUVE INTEGREE (version finale)2
[15/06/2012 - 16:38:58 | D] - G:\5PE-JUIN
[22/06/2012 - 16:53:38 | D] - G:\6PE-JUIN
[16/12/2011 - 10:11:18 | D] - G:\17-IRC
[28/11/2011 - 14:37:42 | D] - G:\6-Pascal
[16/12/2011 - 10:10:16 | D] - G:\16-IFAPME
[16/12/2011 - 10:07:32 | D] - G:\15-Programmes
[11/05/2012 - 11:15:10 | D] - G:\epreuve integré sbai
[18/01/2012 - 19:47:42 | D] - G:\Abdelaziz Meftah
[30/05/2012 - 11:47:24 | D] - G:\5TQEA JUIN 2012 Pascal
[27/11/2011 - 12:07:36 | D] - G:\5-Epreuve intégrées (5QEA)
[05/03/2012 - 09:34:48 | D] - G:\Documents
[15/01/2014 - 20:32:08 | D] - G:\Mourad psychologie
[13/05/2012 - 15:59:00 | D] - G:\EPREUVE INTEGREE VERSION FINALE
[16/01/2014 - 22:35:06 | N | 14 Ko] - G:\vrai correction ecopol.docx
[25/05/2009 - 00:18:54 | D] - G:\4-Cours Meftah
[08/05/2011 - 00:54:32 | D] - G:\10-Visio
[08/11/2011 - 10:12:38 | D] - G:\2-Planification 2011-2012 IRC
[02/12/2011 - 14:33:56 | D] - G:\9-Pondération des intérros
[06/12/2011 - 10:41:26 | D] - G:\8-INOFRMATIQUE
[27/06/2010 - 22:48:14 | D] - G:\11-Frais Réels - Déclaration D'impot
[03/12/2010 - 00:44:58 | D] - G:\1-Planifications
[05/05/2011 - 14:39:46 | D] - G:\3-Epreuve intégrée de qualif. 5PE - MAJ 05 mai

################## | Vaccin |

E:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net/ - http://www.sosvirus.net |

Ah oui, pendant l'analyse de USB Fix, un message de McAfee (que je pensais périmé) m'a informé que j'aurais un cheval de Troie... Dois-je paniquer ?   

Re,

OK, toujours des soucis dans les clés ?

Désinstalle Mcafee. ^^

Gabriel.

Miracle ! Merci Infiniment !!! Plus de problème
Mes clés sont-elles susceptibles de réattraper ce virus ou sont-elles "vaccinées" à présent?
J'ai bien désinstallé McAfee :)Mais ai-je vraiment un cheval de Troie dans mon PC ? je me fais un peu de souci parce que dans le rapport de USBFix j'ai pu lire un message assez inquiétant qui me demandait de changer mes mots de passe, etc. Que dois-je faire ?
Désolé d'être si embêtante mais c'est que je m'y connais pas du tout dans le domaine :S

Bonjour,

Bien.

En effet, change les mots de passe que tu as utilisé récemment et les plus importants.

On va vérifier s'il n'y a pas d'autres choses. Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

Bonjour,

Voici le lien vers le rapport ZHP que j'ai eu: http://cjoint.com/?0Bwr3eBjXti

Merci de ta patience   

Re,

1/ Passe Shortcut_Module et poste le rapport : http://www.forum-entraide-informatique. ... e-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... -de-xplode

Gabriel.

Re,

Voilà le rapport de Shortcut_Module: http://cjoint.com/?0BwtoOawyE3

Et Voici le rapport de Adwcleaner: http://cjoint.com/?0BwtCQaoEQZ  

Re,

Fais un nouveau rapport ZHPDiag.

Gabriel.

Re,

Voilà : http://cjoint.com/?0BwtQiPLiZ9

P.S: Après l'analyse de shortcut_Module, Adblock a disparu. C'est normal ?

Re,

J'ai signalé au développeur pour Adblock, tu peux le remettre.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

Bonsoir,
mille excuses pour le retard de réponse :S
J'espère que tu peux toujours m'aider...   
Donc voilà le rapport après ZHPFix: http://cjoint.com/?0BzwjGy47j7

Ah Je viens De Voir que j'ai reçu deux rapports différents de ZHPFix...
Le premier que j'ai posté est nommé "ZHPFix[R1]"

Le second s'appelle "ZHPFixReport". Je ne sait pas lequel je dois te transmettre donc voilà le deuxième: http://cjoint.com/?0BzwKex3f3n

Merci   

Bonjour,

Bien.

Fais un examen complet sur tous les disques avec MBAM. Tu supprimeras tous les éléments détectés et me posteras le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

Re,
je n'arrive pas à répondre en bas de page comme d'habitude...
J'espère que cette réponse s'affichera au bon endroit.

Voici le rapport que tu m'as demandé (de MalwareBytes): http://cjoint.com/?0CdsjhGkUFH

P.S: Encore Désolée du retard, j'ai quelques problèmes de connexions en ce moments.
Merci, Leila.

Bonjour,

OK, toujours des soucis ?

Fais un nouveau rapport ZHPDiag.

Et c'est-à-dire répondre en bas de page ?

Gabriel.

Bonsoir,
Voilà mon dernier rapport ZHPDiag: http://cjoint.com/?0Cfvv6x2zVn

Apparemment ma réponse arrive à bon port c'est le principal
Et non je n'ai plus de souci, du moins je ne pense pas.
Merci

Bonjour,

Refais ZHPFix avec ces lignes, et poste le rapport.
Ensuite on finalisera.

Gabriel.

Bonsoir
Voici mon rapport après avoir passé ZHPFix: http://cjoint.com/?0ChxvNfgEyO
Juste pour que tu saches, ZHPFix a resupprimé Adblock... Je le réinstalle donc comme la fois passée.

Bonsoir,

Étrange, normalement il n'aurait pas du. Mais bon pas très grave.

On finalise, voici la procédure : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.