Cradle_of_filth.vbe

Résolu/Fermé
zivodul8 Messages postés 229 Date d'inscription jeudi 19 novembre 2009 Statut Membre Dernière intervention 19 mai 2015 - 9 déc. 2009 à 22:58
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 10 déc. 2009 à 00:01
Bonjour,
Il semblerais que j'ai chopé un virus sur ma clé USB, d'après quelques recherches sur le net, il s'appellerais "cradle_of_filth.vbe". Le problème c'est qu'aucune réponse sur un forum ne correspond au problème que je rencontre avec ce virus. Le problème intervient quand je double-clic sur l'icône de ma clé USB dans mon Poste de travail, voici le message qui s'affiche :

Windows Script Host
Imposible de trouver le fichier script "F:\cradle_of_filth.vbe".

Je peux quand même faire clic droit ouvrir mais c'est pas très très pratique :S
Merci de vos réponses ;)

5 réponses

crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
9 déc. 2009 à 23:24
Parfait.

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

*********

Pour diagnostiquer les autres infections éventuellement présentes sur le PC :
Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Double clique sur RSIT.exe pour le lancer.
* Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
* Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt.
2
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
9 déc. 2009 à 22:59
Salut,
On va s'en charger ;-).

Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …)

Télécharge et installe UsbFix de C_XX & Chiquitine29 :
= = = = >>> En cliquant ici <<< = = = =

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !


* Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 1 (Recherche)
* Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.

Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.
1
zivodul8 Messages postés 229 Date d'inscription jeudi 19 novembre 2009 Statut Membre Dernière intervention 19 mai 2015 22
9 déc. 2009 à 23:22
J'ai suivi la procédure a la lettre crapoulou, voici le rapport :

############################## | UsbFix V6.060 |

User : Ludovic (Administrateurs) # LUDO
Update on 09/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 23:08:35 | 09/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AVG Anti-Virus 8.5 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 11,18 Go (2,91 Go free) # NTFS
D:\ -> Disque fixe local # 7,43 Go (6,31 Go free) [BACKUP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,73 Go (3,13 Go free) [LUDO STID] # FAT32
G:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 680
C:\WINDOWS\system32\csrss.exe 748
C:\WINDOWS\system32\winlogon.exe 788
C:\WINDOWS\system32\services.exe 840
C:\WINDOWS\system32\lsass.exe 852
C:\WINDOWS\system32\svchost.exe 1024
C:\WINDOWS\system32\svchost.exe 1072
C:\WINDOWS\System32\svchost.exe 1236
C:\WINDOWS\system32\svchost.exe 1296
C:\WINDOWS\system32\svchost.exe 1464
C:\WINDOWS\system32\svchost.exe 1572
C:\WINDOWS\system32\spoolsv.exe 460
C:\WINDOWS\Explorer.EXE 560
C:\WINDOWS\system32\svchost.exe 1524
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1888
C:\WINDOWS\system32\Ati2evxx.exe 1928
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe 216
C:\Program Files\Bonjour\mDNSResponder.exe 520
C:\WINDOWS\system32\svchost.exe 600
C:\WINDOWS\system32\svchost.exe 628
C:\WINDOWS\System32\svchost.exe 672
C:\Program Files\CDBurnerXP\NMSAccessU.exe 744
C:\WINDOWS\System32\svchost.exe 1184
C:\WINDOWS\system32\svchost.exe 1224
C:\PROGRA~1\AVG\AVG8\avgrsx.exe 212
C:\PROGRA~1\AVG\AVG8\avgnsx.exe 548
C:\Program Files\iTunes\iTunesHelper.exe 644
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 2228
C:\PROGRA~1\AVG\AVG8\avgemc.exe 1096
C:\WINDOWS\system32\wscntfy.exe 2640
C:\WINDOWS\System32\alg.exe 2756
C:\Program Files\iPod\bin\iPodService.exe 2608
C:\Program Files\AVG\AVG8\avgcsrvx.exe 3624
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 1168
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 1532
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 3448
C:\Documents and Settings\Ludovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 472
C:\Documents and Settings\Ludovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 3696
C:\WINDOWS\system32\msiexec.exe 1216
C:\WINDOWS\system32\wbem\wmiprvse.exe 200

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\Ludovic\LOCALS~1\Temp\classnt.reg
C:\DOCUME~1\Ludovic\LOCALS~1\Temp\enumnt.reg
C:\DOCUME~1\Ludovic\LOCALS~1\Temp\print.reg
C:\DOCUME~1\Ludovic\LOCALS~1\Temp\sw_hp.reg
C:\DOCUME~1\Ludovic\LOCALS~1\Temp\sw_unins.reg
C:\DOCUME~1\Ludovic\LOCALS~1\Temp\08216633.zip
C:\DOCUME~1\Ludovic\LOCALS~1\Temp\17952605.zip
F:\autorun.inf
F:\ime\moje.exe
F:\ime

################## | Spyware.OnlineGames |

C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0012106.dll
C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0012107.dll
C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0013296.dll
C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0013297.dll

################## | Registre # Clés infectieuses |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{6b4495e0-a10d-11de-be17-0000e27edde8}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe

################## | ! Fin du rapport # UsbFix V6.060 ! |

Sachant que ma clé USB qui ne s'ouvre est : F:\ -> Disque amovible # 3,73 Go (3,13 Go free) [LUDO STID] # FAT32

PS: "Un problème sans solution est un problème mal posé." Albert Einstein.
0
zivodul8 Messages postés 229 Date d'inscription jeudi 19 novembre 2009 Statut Membre Dernière intervention 19 mai 2015 22
9 déc. 2009 à 23:59
Merci beaucoup, aucun souci, fonctionne nikel ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
10 déc. 2009 à 00:01
Je sais que ça résout ton souci mais je te conseillerais de poursuivre une désinfection plus complète, plus poussée.
0