Je_t'aime.vbs

Question

Bonjour, 

j'ai ouvert un fichier .rar sur facebook avec à l'intérieur un fichier Je_t'aime.vbs , venant du profil de ma frangine et ayant l'habitude de ses conneries j'ai cliquer sans réfléchir et donc exécuter ce fichier, rien ne c'est passer a l'exécution mais depuis toute les 10min une fenêtre internet explorer s'ouvre avec en page facebook. J'ai lu différent poste sur ce problème j'ai essayer quelques suppression de fichier analyse malwarebytes etc mais sans succès.
Que faire ?

Merci d'avance pour l'aide apporter.
cordialement.
Zihk.

juju666 · Accepted Answer

Salut,

Celle-ci fonctionne, j'ai envoyé le dropper de l'infection au développeur de l'outil pour qu'il l'intègre aux détections :)


Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

Tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

Télécharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

Miroir :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

Une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

Si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

Si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

Si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur FEC Upload puis donne le lien obtenu en echange 

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

zihk · Answer

je viens de finir le scan, mon pc a redémarrer a la fin. ou est-ce que je peut trouver le rapport ?

g3n-h@ckm@n · Answer

salut sur le bureau ou dans c:\

zihk · Answer

voici le lien :

https://forums-fec.be/upload/www/?a=d&i=9432950173

g3n-h@ckm@n · Answer

t'avais pas desactivé microsoft security essentials l'outil a pas pu finir son travail

relance-le , option kill puis heberge le rapport

ensuite :

relance-le option diaG puis heberge le rapport

tu dois donc donner deux liens

zihk · Answer

Quand je l'ai lancer j'ai fait option kill car lors du premier lancement il avait bloquer a mis chemin.

zihk · Answer

je fait quoi donc ?

zihk · Answer

parce que apparement pas de page internet qui s'ouvre et les fichier je t'aime a la racine de chaque disque on disparu...

zihk · Answer

???

g3n-h@ckm@n · Answer

ca
https://forums.commentcamarche.net/forum/affich-26363346-je-t-aime-vbs#5

zihk · Answer

voici les deux lien :


kill : https://forums-fec.be/upload/www/?a=d&i=4718784511

DiaG : https://forums-fec.be/upload/www/?a=d&i=8641741425

zihk · Answer

Que dois-je faire ? sinon j'ai un fichier old qui a apparu sur le bureau, c'est normale ?

g3n-h@ckm@n · Answer

re

 Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

il sera aussi : C:\Adwcleaner[Sx].txt

zihk · Answer

voici le rapport Adw : 

https://forums-fec.be/upload/www/?a=d&i=8443710209

juju666 · Answer

De retour 

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

zihk · Answer

voici le lien du rapport OTL : 

https://forums-fec.be/upload/www/?a=d&i=2894224515

zihk · Answer

lien OTL.txt : https://forums-fec.be/upload/www/?a=d&i=4357713831

lien Extra.txt : https://forums-fec.be/upload/www/?a=d&i=5064175077

g3n-h@ckm@n · Answer

c'est quoi ce lecteur H:\ ?

zihk · Answer

Lecteur virtuel daemon tools

g3n-h@ckm@n · Answer

tu l'as reactivé après que pre_scan l'ai desactivé ??????

zihk · Answer

non rien toucher, apres le scan de Pre-scan le pc a reboot et c'est tout , mais je n'est rien réactiver de moi même.

g3n-h@ckm@n · Answer

tu peux desinstaller PenWes ?

zihk · Answer

depuis le début je me contente de suivre vos instructions étapes par étapes et d'attendre sans rien ouvrir à coté, je n'effectue aucun travail en même temps sur le pc, j'attend patiemment devant ma fenêtre internet que j'actualise toute les deux minutes pour voir les réponses :p donc je ne pense pas avoir fait d'erreur pour l'instant ou en tout cas je l'espère...

zihk · Answer

Biensur je le désinstall de suite

zihk · Answer

c'est fait

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-3823119552-1411742921-357538352-1001\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-3823119552-1411742921-357538352-1005\..\SearchScopes,DefaultScope = 
FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33 
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKU\S-1-5-21-3823119552-1411742921-357538352-1001\..\Run: [KiesTrayAgent]  File not found
O4 - HKLM\..\RunOnce: [F:\Windows\system32\driverstore\filerepository\atiilhag.inf_x86_neutral_1d882551ede2c65b]
O4 - HKLM\..\RunOnce: [F:\Windows\system32\driverstore\filerepository\cw129965.inf_x86_neutral_130bef073ff8fc02]
O4 - HKLM\..\RunOnce: [F:\Windows\winsxs\x86_atiilhag.inf.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_eeaf6dcf52364cbc] 
O4 - HKLM\..\RunOnce: [F:\Windows\winsxs\x86_atiilhag.inf_31bf3856ad364e35_6.1.7601.17514_none_a7a5cf9ca38aacc7]
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)     
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)     
O33 - MountPoints2\{28297789-bd24-11e1-b0ef-00241d67fd29}\Shell - "" = AutoRun 
O33 - MountPoints2\{28297789-bd24-11e1-b0ef-00241d67fd29}\Shell\AutoRun\command - "" = H:\Installer.exe -- [2011/10/22 18:55:30 | 000,580,608 | R--- | M] (RELOADED)     
O33 - MountPoints2\{5c65b9fc-debb-11e0-8211-00241d67fd29}\Shell - "" = AutoRun 
O33 - MountPoints2\{cee4f456-1107-11e1-a9bd-00241d67fd29}\Shell - "" = AutoRun 
O33 - MountPoints2\I\Shell - "" = AutoRun 
[3 F:\Windows\System32\*.tmp files -> F:\Windows\System32\*.tmp -> ] 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"NeroFilterCheck"=-
"QuickTime Task"=-

:Files
F:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} 
F:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} 
F:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} 
F:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 
F:\Windows\system32\Tasks\CreateChoiceProcessTask 
F:\Windows\system32\Tasks\PenWes 
F:\Program Files\PenWes

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

zihk · Answer

je laisse OTL avec la même configuration que indiquer plus haut https://forums.commentcamarche.net/forum/affich-26363346-je-t-aime-vbs#15 ou je le laisse tel qu'il est quand je le lance ?

g3n-h@ckm@n · Answer

pour le script laisse tel quel

zihk · Answer

voici le rapport : 

https://forums-fec.be/upload/www/?a=d&i=2114751690

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

zihk · Answer

Et voila le lien Malwarebytes :

https://forums-fec.be/upload/www/?a=d&i=7254764774

g3n-h@ckm@n · Answer

arrete de telecharger chez softonic et 01net , c'est des sites pourris qui mettent des adwares dans les installeurs des programmes

zihk · Answer

ok pas de soucis je n'irai plus telecharger dessus, sinon tout est ok ? plus de scan ou truc à faire ? la menace n'est plus la ?

g3n-h@ckm@n · Answer

fais le menage :

https://gen-hackman.kanak.fr/#1037

zihk · Answer

ok cool je te remercie, je vais suivre ton tuto. Un grand merci :D

g3n-h@ckm@n · Answer

!=)

Je_t'aime.vbs

36 réponses

Votre réponse

Newsletters