Cradle_of_filth.vbe

Résolu
zivodul8 Messages postés 248 Statut Membre -  
crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Il semblerais que j'ai chopé un virus sur ma clé USB, d'après quelques recherches sur le net, il s'appellerais "cradle_of_filth.vbe". Le problème c'est qu'aucune réponse sur un forum ne correspond au problème que je rencontre avec ce virus. Le problème intervient quand je double-clic sur l'icône de ma clé USB dans mon Poste de travail, voici le message qui s'affiche :

Windows Script Host
Imposible de trouver le fichier script "F:\cradle_of_filth.vbe".

Je peux quand même faire clic droit ouvrir mais c'est pas très très pratique :S
Merci de vos réponses ;)
Configuration: Windows XP
Safari 532.0

5 réponses

  1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Parfait.

    Nettoyage avec UsbFix :

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

    *Double clique sur le raccourci UsbFix présent sur ton bureau.
    * Choisis l’option 2 (Suppression)
    * Ton bureau disparaîtra et le PC redémarrera.
    * Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
    * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau.

    Note :
    Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    *********

    Pour diagnostiquer les autres infections éventuellement présentes sur le PC :
    Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
    = = = = >>> En cliquant ici <<< = = = =

    * Double clique sur RSIT.exe pour le lancer.
    * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
    * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
    * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
    * Poste le contenu de log.txt.
    2
  2. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,
    On va s'en charger ;-).

    Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …)

    Télécharge et installe UsbFix de C_XX & Chiquitine29 :
    = = = = >>> En cliquant ici <<< = = = =

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

    * Double clique sur le raccourci UsbFix présent sur ton bureau.
    * Choisis l’option 1 (Recherche)
    * Laisse travailler l’outil.
    * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.

    Notes :
    - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
    - "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.
    1
  3. zivodul8 Messages postés 248 Statut Membre 22
     
    J'ai suivi la procédure a la lettre crapoulou, voici le rapport :

    ############################## | UsbFix V6.060 |

    User : Ludovic (Administrateurs) # LUDO
    Update on 09/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 23:08:35 | 09/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 2.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Enabled
    AV : AVG Anti-Virus 8.5 [ Enabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 11,18 Go (2,91 Go free) # NTFS
    D:\ -> Disque fixe local # 7,43 Go (6,31 Go free) [BACKUP] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 3,73 Go (3,13 Go free) [LUDO STID] # FAT32
    G:\ -> Disque CD-ROM

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 680
    C:\WINDOWS\system32\csrss.exe 748
    C:\WINDOWS\system32\winlogon.exe 788
    C:\WINDOWS\system32\services.exe 840
    C:\WINDOWS\system32\lsass.exe 852
    C:\WINDOWS\system32\svchost.exe 1024
    C:\WINDOWS\system32\svchost.exe 1072
    C:\WINDOWS\System32\svchost.exe 1236
    C:\WINDOWS\system32\svchost.exe 1296
    C:\WINDOWS\system32\svchost.exe 1464
    C:\WINDOWS\system32\svchost.exe 1572
    C:\WINDOWS\system32\spoolsv.exe 460
    C:\WINDOWS\Explorer.EXE 560
    C:\WINDOWS\system32\svchost.exe 1524
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1888
    C:\WINDOWS\system32\Ati2evxx.exe 1928
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe 216
    C:\Program Files\Bonjour\mDNSResponder.exe 520
    C:\WINDOWS\system32\svchost.exe 600
    C:\WINDOWS\system32\svchost.exe 628
    C:\WINDOWS\System32\svchost.exe 672
    C:\Program Files\CDBurnerXP\NMSAccessU.exe 744
    C:\WINDOWS\System32\svchost.exe 1184
    C:\WINDOWS\system32\svchost.exe 1224
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe 212
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe 548
    C:\Program Files\iTunes\iTunesHelper.exe 644
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 2228
    C:\PROGRA~1\AVG\AVG8\avgemc.exe 1096
    C:\WINDOWS\system32\wscntfy.exe 2640
    C:\WINDOWS\System32\alg.exe 2756
    C:\Program Files\iPod\bin\iPodService.exe 2608
    C:\Program Files\AVG\AVG8\avgcsrvx.exe 3624
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 1168
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 1532
    C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 3448
    C:\Documents and Settings\Ludovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 472
    C:\Documents and Settings\Ludovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 3696
    C:\WINDOWS\system32\msiexec.exe 1216
    C:\WINDOWS\system32\wbem\wmiprvse.exe 200

    ################## | Fichiers # Dossiers infectieux |

    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\classnt.reg
    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\enumnt.reg
    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\print.reg
    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\sw_hp.reg
    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\sw_unins.reg
    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\08216633.zip
    C:\DOCUME~1\Ludovic\LOCALS~1\Temp\17952605.zip
    F:\autorun.inf
    F:\ime\moje.exe
    F:\ime

    ################## | Spyware.OnlineGames |

    C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0012106.dll
    C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0012107.dll
    C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0013296.dll
    C:\System Volume Information\_restore{C2D6048A-45B1-4C51-8F4F-EFBBADAB24D5}\RP56\A0013297.dll

    ################## | Registre # Clés infectieuses |

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{6b4495e0-a10d-11de-be17-0000e27edde8}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cradle_of_filth.vbe

    ################## | ! Fin du rapport # UsbFix V6.060 ! |

    Sachant que ma clé USB qui ne s'ouvre est : F:\ -> Disque amovible # 3,73 Go (3,13 Go free) [LUDO STID] # FAT32

    PS: "Un problème sans solution est un problème mal posé." Albert Einstein.
    0
  4. zivodul8 Messages postés 248 Statut Membre 22
     
    Merci beaucoup, aucun souci, fonctionne nikel ;)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Je sais que ça résout ton souci mais je te conseillerais de poursuivre une désinfection plus complète, plus poussée.
    0