FORUM F.A.E.I
Veuillez Vous inscrire pour pouvoir consulter les informations du Forum, Merci de votre compréhension !

FORUM F.A.E.I


 
AccueilAccueil  PortailPortail  FAQFAQ  RechercherRechercher  S'enregistrerS'enregistrer  ConnexionConnexion  Logiciel(s)Logiciel(s)  ContributionContribution  
Bonjour, Bienvenue à tous nos membres, bonne visite sur le forum et très bonne lecture Salut pour une désinfection : http://www.faei-entraide.net/post?f=4&mode=newtopic
Pour éviter tout encombrement, veuillez s'il vous plait vider votre boite de messagerie Privée .... Merci de votre compréhension Wink
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Connexion
Nom d'utilisateur:
Mot de passe:
Connexion automatique: 
:: Récupérer mon mot de passe
Mises à jour importantes
TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

Navigation
Partenaires
TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE
Sujets les plus actifs
Pour réveiller un petit peu le forum :)
Malwaresbytes
mon ordi rame
RECHERCHE VULNERABILITE
[résolu]probleme d'internet
recherche origine Windows
Secure Preférence
Quelques petits problêmes
rapport ZHPDiag
extensions Google chrome
Derniers sujets
» remerciement
par pimprenelle27 Mar 18 Juil - 0:14

» Site sur la généalogie
par pimprenelle27 Lun 10 Juil - 18:20

» Cyberattaque : pourquoi il faut avoir peur de GoldenEye
par pimprenelle27 Ven 30 Juin - 18:12

» Disparition de Simone Veil
par pimprenelle27 Ven 30 Juin - 18:02

» Savoir si des personnes ne se connecte pas à votre place sur Facebook
par pimprenelle27 Ven 30 Juin - 17:38

» Accès au streaming rançonné
par pimprenelle27 Dim 25 Juin - 12:42

» Essai Modération
par pimprenelle27 Mar 20 Juin - 13:39

» Mise a jour wind10
par pimprenelle27 Lun 19 Juin - 17:40

» Quelques petits problêmes
par pimprenelle27 Lun 19 Juin - 17:29

Les posteurs les plus actifs de la semaine
Sondage
Sous qu'elle plateforme de Windows êtes Vous ?
Windows 8
29%
 29% [ 17 ]
Windows 7
44%
 44% [ 26 ]
Windows Vista
20%
 20% [ 12 ]
Windows XP
7%
 7% [ 4 ]
Total des votes : 59




Partagez | 
 

 Infection via disques amovible

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
pimprenelle27
Administrateur
Administrateur
avatar

Messages : 1570
Points : 2215
Réputation : 51

MessageSujet: Infection via disques amovible   Mer 6 Mar - 2:29



Infection des supports amovibles qu'est ce que c'est :

De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

Ce sont donc des infections qui se propagent par supports amovibles : clé USB (cas le plus fréquent), disque dur externe, carte flash, ipod, lecteur MP3, appareil photo, etc...
Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb / disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...
(Source CCM)

Voici quelques exemples :

Worm Autorun
Brontok
Mazebat



Exemple de lignes issues d'un rapport ZHPDiag démontrant ces infections :


O4 - HKCU\..\Run: [Tok-Cirrhatus] . (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe
O4 - HKLM\..\Run: [Bron-Spizaetus] . (...) -- C:\WINDOWS\ShellNew\sempalong.exe
O4 - HKUS\S-1-5-21-1771197953-3562089158-885465456-1005\..\Run: [Tok-Cirrhatus] . (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe
O43 - CFD: 25/01/2013 - 13:38:30 - [0] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Bron.tok-12-25
O43 - CFD: 01/12/2012 - 14:17:30 - [0] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Ok-SendMail-Bron-tok
O43 - CFD: 01/12/2012 - 14:18:10 - [0,003] ----D C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Loc.Mail.Bron.Tok
O51 - MPSK:{1ffcf1e8-df35-11de-9845-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{4e47c256-763d-11df-9918-0025d3041334}\AutoRun\command. (...) -- H:\PMBP_Win.exe (.not file.)
O51 - MPSK:{5a407800-17b8-11df-9894-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{709ac2ab-d07c-11de-9831-90e6ba0dc7cb}\AutoRun\command. (...) -- G:\r2g20.exe (.not file.)
O51 - MPSK:{8283e5ba-62b6-11df-98ff-0025d3041334}\AutoRun\command. (...) -- F:\LaunchU3.exe (.not file.)
O51 - MPSK:{90f9bf67-ca57-11df-995d-0025d3041334}\AutoRun\command. (...) -- G:\WD SmartWare.exe (.not file.)
O51 - MPSK:{9a1d5da0-d67f-11de-983a-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{ccf94070-14d9-11df-988d-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{d2e889ca-e039-11de-9847-90e6ba0dc7cb}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{fe4f5576-131a-11df-988a-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O51 - MPSK:{fe6259e9-4a40-11df-98d7-0025d3041334}\AutoRun\command. (...) -- F:\cache\tmp983.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\cdoosoft [Key] . (...) -- C:\DOCUME~1\XPLODE~1\LOCALS~1\Temp\herss.exe => Infection USB (Trojan.USB)
[MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\csrss.exe [42706]
[MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\winlogon.exe [42706]
[MD5.6278DB50D232776538CB1E5ED207D864] [SPRF][25/01/2013] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Bron.tok.A12.em.bin [12393]
[MD5.0F3AFE52339807B01403891B1830D95E] [SPRF][25/01/2013] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\Update.12.Bron.Tok.bin [12393]
007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\smss.exe [42706]
[MD5.CD0EAB95E9F6CDFBBA1BFB2E1C4240A9] [SPRF][14/03/2007] (...) -- C:\Documents and Settings\POIDRAS\Local Settings\Application Data\services.exe [42706]


Exemple d'infections visible sur un rapport USBfix :

################## | Éléments infectieux |

Supprimé! C:\Documents and Settings\HP\Application Data\inst.exe
Supprimé! D:\Recycler\NokiaN73Tools.exe
Supprimé! C:\Documents and Settings\hook.dl_
Supprimé! C:\Documents and Settings\tazebama.dl_
Supprimé! C:\Documents and Settings\tazebama.dll
Supprimé! C:\zPharaoh.exe
Supprimé! C:\Recycler\S-1-5-21-606747145-1336601894-725345543-1003
Supprimé! D:\Recycler\S-1-5-21-606747145-1336601894-725345543-1003
Supprimé! C:\autorun.inf
Supprimé! D:\autorun.inf
Supprimé! D:\zPharaoh.exe
Supprimé! H:\UNUCI

(!) Fichiers temporaires supprimés.

################## | Mabezat |

Supprimé! C:\Documents and Settings\HP\Application Data\tazebama
Supprimé! C:\Documents and Settings\HP\Bureau\Antivirus\tazebama.dll\Nouveau dossier\WinrRarSerialInstall.exe
Supprimé! D:\Default\User StyleSheets\InstallMSN11En.exe
Supprimé! D:\Default\WinrRarSerialInstall.exe
Supprimé! D:\Rabo\bureau\appel d'offre\FloppyDiskPartion.exe
Supprimé! D:\Rabo\bureau\Batiment\HP_LaserJetAllInOneConfig.exe
Supprimé! D:\Rabo\bureau\dossier technique\Microsoft Windows Network.exe
Supprimé! D:\Rabo\bureau\ETIJANI Mining\Adjust Time.exe
Supprimé! D:\Rabo\bureau\ETIJANI Mining\Méthodes et matériels de prospection minière\LockWindowsPartition.exe
Supprimé! D:\Rabo\bureau\Make Windows Original.exe
Supprimé! D:\Rabo\bureau\materiels\Recycle Bin.exe
Supprimé! D:\Rabo\bureau\Mines\WindowsXp StartMenu Settings.exe
Supprimé! D:\Rabo\bureau\Recueil_de_Normes_EuroCodes__1\MakeUrOwnFamilyTree.exe
Supprimé! D:\Rabo\bureau\Tests\image\BrowseAllUsers.exe
Supprimé! D:\Rabo\bureau\Tests\Win98compatibleXP.exe
Supprimé! D:\Rabo\Classement\Beton\autre\IDE Conector P2P.exe
Supprimé! D:\Rabo\Classement\Beton\materiel\Sony Erikson DigitalCam.exe
Supprimé! D:\Rabo\Classement\Beton\normes-essais\Microsoft MSN.exe
Supprimé! D:\Rabo\Classement\Beton\route-essais-materiel\RadioTV.exe
Supprimé! D:\Rabo\Classement\Beton\ShowDesktop.exe
Supprimé! D:\Rabo\Classement\Ciment\autre\Antenna2Net.exe
Supprimé! D:\Rabo\Classement\Ciment\CD Burner.exe
Supprimé! D:\Rabo\Classement\Ciment\materiel\PanasonicDVD_DigitalCam.exe
Supprimé! D:\Rabo\Classement\Diagnostique\Disk Defragmenter.exe
Supprimé! D:\Rabo\Classement\Granulat\RecycleBinProtect.exe
Supprimé! D:\Rabo\Classement\Sable\12 Dictionnaires indispensables\mm_ress\HTML\Aide\NokiaN73Tools.exe
Supprimé! D:\Rabo\Classement\Sable\12 Dictionnaires indispensables\mm_ress\media\WinrRarSerialInstall.exe
Supprimé! D:\Rabo\Classement\Sable\Windows Keys Secrets.exe
Supprimé! D:\Rabo\Divers\09 06 09\2000 m2\Microsoft MSN.exe
Supprimé! D:\Rabo\Divers\09 06 09\40 ha\RadioTV.exe
Supprimé! D:\Rabo\Divers\09 06 09\AL IZDIHAR OMRANI\Antenna2Net.exe
Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\Photos Projet\NokiaN73Tools.exe
Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\Plan côté\Make Windows Original.exe
Supprimé! D:\Rabo\Divers\09 06 09\Jardin d'eau Agadir\VUES\Office2007 Serial.txt.exe
Supprimé! D:\Rabo\Divers\09 06 09\Make Windows Original.exe
Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Envoyé le 14 07 2009\Crack_GoogleEarthPro.exe
Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Envoyé le 14 07 2009\VOIRIE envoyé le 30 07 2009\HP_LaserJetAllInOneConfig.exe
Supprimé! D:\Rabo\Divers\40 ha1ère tranche 04 07 2009\Office2007 Serial.txt.exe
Supprimé! D:\Rabo\Divers\Adobe Photoshop CS4 Me\adobe_epic\Adjust Time.exe
Supprimé! D:\Rabo\Divers\BAHAR\InstallMSN11Ar.exe
Supprimé! D:\Rabo\Divers\Brouillon\InstallMSN11En.exe
Supprimé! D:\Rabo\Divers\Caprari pump\Lock Folder.exe
Supprimé! D:\Rabo\Divers\cv\Crack_GoogleEarthPro.exe
Supprimé! D:\Rabo\Divers\EP\AmericanOnLine.exe
Supprimé! D:\Rabo\Divers\Fourretout\FloppyDiskPartion.exe
Supprimé! D:\Rabo\Divers\Hayki\HP_LaserJetAllInOneConfig.exe
Supprimé! D:\Rabo\Divers\IB\Microsoft Windows Network.exe
Supprimé! D:\Rabo\Divers\JC\Adjust Time.exe
Supprimé! D:\Rabo\Divers\JC 2011\Recycle Bin.exe
Supprimé! D:\Rabo\Divers\Nachat\WindowsXp StartMenu Settings.exe
Supprimé! D:\Rabo\Divers\Nouveau dossier\MakeUrOwnFamilyTree.exe
Supprimé! D:\Rabo\Divers\Office2007 Serial.txt.exe
Supprimé! D:\Rabo\Divers\Parler arabe\Win98compatibleXP.exe
Supprimé! D:\Rabo\Divers\PDF Memoires IAV\Lock Folder.exe
Supprimé! D:\Rabo\Divers\photo\LockWindowsPartition.exe
Supprimé! D:\Rabo\Divers\pilote hp Sani\BrowseAllUsers.exe
Supprimé! D:\Rabo\Divers\PROJET SANI AEP\ShowDesktop.exe
Supprimé! D:\Rabo\Divers\S.Boukar\CD Burner.exe
Supprimé! D:\Rabo\Divers\Sissoko\Disk Defragmenter.exe
Supprimé! D:\Rabo\Divers\Téléchargements\RecycleBinProtect.exe
Supprimé! D:\Rabo\Divers\Voirie et assanissement modif 40 ha du 23 06 2009\Windows Keys Secrets.exe
Supprimé! D:\Rabo\Divers\WinRAR\IDE Conector P2P.exe
Supprimé! D:\Rabo\Divers\Zénith\Sony Erikson DigitalCam.exe
Supprimé! H:\Fourretout\CV\NokiaN73Tools.exe
Supprimé! D:\System Volume Information\_restore{73CDC212-CA3D-48CB-AFA4-CE79A855137C}\RP406\A0241213.exe

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\F
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2afa83b6-f299-11e0-b1e7-001cbfb7d7a6}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{52b34318-1cc7-11e1-b233-001e3708856a}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7985572b-029e-11e2-b2ed-001cc4cb0dd7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b26b1ef0-24ed-11e2-b30e-001cc4cb0dd7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c2270caf-3fa9-11e1-b269-001e3708856a}


Comment faire pour s'en débarasser :

- Utiliser Usbfix (créé par El Desaparecido) pour désinfecter sa clé USB ainsi que tous les autres supports

- Ensuite passez cet outil généraliste MalwareBytes Anti-Malware afin de supprimer d'éventuels restes.

Certains antivirus peuvent scanner les supports USB c'est le cas d' Avast


Comment faire pour les éviter :

Vacciner les ports USB et les clés par le biais de USBfix

Désactiver la détection automatique des supports amovibles


- Ou quand vous installez un programme, il faut faire attention aux logiciels qui sont proposés en plus de celui que vous souahitez installer. Il sont directement pré-cochés à l'installation donc si vous ne faites pas attention, le logiciel installera le logiciels tiers tout ça sans s'en rendre compte.


Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum :
=> http://faei-entraide.forumactif.org/f4-virus-securite


Fiche réalisé par lilidurhone


__________________________
PIMPRENELLE27
Contributeur sécurité sur : F.A.E.I - C.C.M -   Windows 7-Windows 8 -
Helper-Formation-Entraide
Diplômée de : Helper Formation (lien cliquable)
Revenir en haut Aller en bas
http://faei-entraide.forumactif.org
 
Infection via disques amovible
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» infection winlogon ? pc lent
» Ultra defrag : défragmenter vos disques durs
» [Résolu] Pb infection searchqu.com
» Infection ( abandonné)
» Infection MSN / Windows Live Messenger

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
FORUM F.A.E.I :: .:: FAQ / Tutoriel / Astuces ::. :: Tutoriels :: Windows-
Sauter vers: