Fichier vbs non supprimable

Résolu
wessim -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,
deux jours plus tôt j'ai télécharger un fichier intitulé result.vbs posté dans un groupe sur facebook et supposé contenir le résultat d'un concours auquel j'ai participé , après téléchargement j'ai vu qu'il n'y avait rien dedans, certains m'ont dis que c'est un virus ou un fichier espion ( je ne sais pas comment ça s'appelle ) avec lequel le hackeur pourra me pirater tous mes comptes facebook,msn,skype.... et utiliser mon ordinateur comme il voudra , je n'ai rien vu depuis sauf le voyant de ma webcam intégrée qui s'allume et s'éteint tout seul en plus du fichier result.vbs qui s'exécute tout seul à chaque démarrage malgré que je l'ai supprimé , que faire ? merci de me répondre

17 réponses

Résumé de la discussion

Un utilisateur rapporte avoir téléchargé un fichier nommé result.vbs supposé contenir le résultat d'un concours, qui semble être un virus ou fichier espion et s'exécuter au démarrage, la webcam s'allumant malgré sa suppression. Des conseils orientent vers des mesures de désinfection et analyses approfondies pour prévenir le piratage des comptes et la prise de contrôle de l'ordinateur à distance. En cas de suspicion, il est conseillé d'utiliser des outils dédiés et de suivre des guides de sécurité, puis de générer des rapports permettant d'évaluer les infections et les étapes à suivre. D'autres éléments suggèrent que l'analyse peut nécessiter des scans ciblés et le partage de rapports techniques via des outils comme OTL pour clarifier les traces d'infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjour,

    il faut suivre une seule désinfection :

    https://forums.commentcamarche.net/forum/affich-28195943-fichier-vbs
    1
    1. wessim
       
      oui l'autre n'a pas bien fonctionné je suis celle là en plus j'ai posté ce message car j'ai cru que personne n'a vu l'autre
      0
    2. Utilisateur anonyme
       
      ok, mais sache qu'on est tous des bénévoles et on ne passe pas notre temps devant le pc!

      apprends à être patient, je fais fermer l'autre !

      bonne continuation
      0
    3. wessim
       
      non ça je le sais mais comme je suis nouveau ici , j'ai cru que personne ne le verra car je l'ai posté hier à une heure trop tardive
      0
  2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut la prochaine fois tu n'ouvriras qu'un seul sujet ca evitera que plusieurs personnes se cassent le c*l pour t'aider

    maintenant suis ce que malekal te demande , oublie ce que je t'ai demandé sur l'autre topic

    pour ceux que ca interesse , le contenu du vbs

    https://forums.commentcamarche.net/forum/affich-28195943-fichier-vbs#4

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    Windows 8 => meme flop que Vista X 10
    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau (icone grise en bas à droite avec la flèche verte).
    Lance le, clique sur [Suppression] - je répète [SUPRESSION] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    PUIS :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  4. wessim
     
    le rapport de Adwcleaner
    http://pjjoint.malekal.com/files.php?id=20130707_d10l6r139b15
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. wessim
     
    le rapport de OTL :
    http://pjjoint.malekal.com/files.php?id=OTL_20130707_l9t13b15g6h5
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Désinstalle :
    Spybot - dépassé et pas efficace.
    Vonteera

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2013/07/07 04:14:52 | 000,006,556 | ---- | M] () -- C:\Users\HP\AppData\Roaming\mozilla\firefox\profiles\dxiif3oy.default\searchplugins\BrowserDefender.xml
    [2013/07/02 15:49:40 | 000,000,000 | ---D | M] (Vonteera Safe ads) -- C:\Users\HP\AppData\Roaming\mozilla\Firefox\Profiles\dxiif3oy.default\extensions\addon@Vonteera.com
    [2013/07/07 04:14:52 | 000,006,556 | ---- | M] () -- C:\Users\HP\AppData\Roaming\mozilla\firefox\profiles\dxiif3oy.default\searchplugins\babylon.xml
    CHR - Extension: Vonteera Safe ads = C:\Users\HP\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfhbklndhffnahdploecdffbedhgjnce\1.0_0\
    O4:[b]64bit:[/b] - HKLM..\Run: [45ca55fc1756e880072f0dde4455397b] C:\Users\HP\AppData\Local\Temp\win32.exe (PELock Software)
    O2 - BHO: (Vonteera Class) - {437B9306-2FDE-4054-A3C9-6B49507C12D0} - C:\Program Files (x86)\VonteeraAddon\Vonteera.dll (Vonteera)
    O4 - HKU\S-1-5-21-2905662075-535276676-1066136865-1000..\Run: [45ca55fc1756e880072f0dde4455397b] C:\Users\HP\AppData\Local\Temp\win32.exe (PELock Software)
    O4 - HKU\S-1-5-21-2905662075-535276676-1066136865-1000..\Run: [result] wscript.exe //B C:\Users\HP\AppData\Local\Temp\result.vbs File not found
    [2013/07/02 20:40:31 | 000,000,000 | ---D | C] -- C:\Users\HP\Documents\Youcam
    [2013/07/02 16:30:35 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserDefender
    [2013/07/02 15:49:36 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Volaro
    [2013/07/02 15:49:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vonteera
    [2013/07/02 15:49:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\VonteeraAddon
    [2013/07/05 16:25:21 | 002,937,344 | ---- | M] (PELock Software) -- C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\45ca55fc1756e880072f0dde4455397b.exe
    [2013/07/04 18:46:03 | 000,012,915 | ---- | M] () -- C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\result.vbs

    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. wessim
     
    le rapport de correction :
    http://pjjoint.malekal.com/files.php?id=20130707_x10u9w511u8
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK niquel, fais ça, je voudrais récup les fichiers :

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    0
  10. wessim
     
    y'a pas de "envoyer vers dossier compressé" je trouve seulement "add to archive" et "compress to OTL_.rar and email"
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      compress to OTL_.rar
      et envoye OTL_.rar
      0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ha c'est un doublon...

    Toute façon, on a terminé.

    ~~

    Pour info, la détection d'un des fichiers : https://www.virustotal.com/gui/file/f13163c50afa34aba7f5f96f76008c3fc440d8177965589348bfe3a09514a18b

    SHA256: f13163c50afa34aba7f5f96f76008c3fc440d8177965589348bfe3a09514a18b
    Nom du fichier : win32.ex
    Ratio de détection : 8 / 47
    Date d'analyse : 2013-07-07 14:56:25 UTC (il y a 0 minute)

    ~~

    Tu as été infecté par un RAT (Remote Access Tools).
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.

    Faire attention à ce que vous téléchargez

    ~~

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.

    ~~

    Je veux bien le nom du compte Facebook qui propage ces m*rdes ou un lien si possible.
    0
  12. Utilisateur anonyme
     
    on verra le quel va être fermé !

    suis un seul poste, qu'il fonctionne ou pas !

    0
  13. wessim
     
    maintenant je fais quoi ? le fichier comment le supprimer et suis-je en sécurité maintenant ? le compte facebook de celui qui m'a envoyé le lien https://www.facebook.com/conzallo.tarek?fref=ts
    0
    1. Utilisateur anonyme
       
      yop mak,

      désolé !

      bon dimanche ;-)
      0
    2. Utilisateur anonyme
       
      pour info, l'autre poste a été fermé :D
      0
    3. wessim
       
      donc j'installe malwarebyte je scan avec et c'est tout ? sinon le fichier result.vbs figure toujours dans le pc
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok
      0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    wessim le gars sur facebook, tu le connais ?
    il t'a envoyé un message privé ?
    0
    1. wessim
       
      non je ne le connais pas , voilà toute l'histoire j'ai eu mon bac j'ai donc rejoint un groupe pour m'aider à l'orientation universitaire ce mec a publié ce fichier en disant qu'il contient le résultat de l'orientation c'est tout
      0
  15. wessim
     
    je ne comprend pas j'ai installé malwarebyte j'ai fais un scan et il a trouvé jusqu'à maintenant deux éléments infectés en plus du fichier result.vbs qui est toujours présent
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est des restes, mets en quarantaine.
      0
    2. wessim
       
      ok merci beaucoup, et pour result.vbs si je le supprime il ne vas plus réapparaître ?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      il est détecté dans C:\_OTL etc ?
      si c'est le cas non il va pas revenir.

      Tu aurais moyen de faire une capture d'écran du message du gars sur facebook ?
      et si possible le lien vers son truc de résultat stp.

      Pour faire une capture d'écran : https://www.commentcamarche.net/faq/398-comment-faire-une-capture-d-ecran
      0
    4. wessim
       
      non il est encore dans son emplacement initial
      pour le lien il l'a malheureusement supprimé une heure après mon téléchargement ... désolé
      0
  16. wessim
     
    rapports de malware :
    scan rapide : http://pjjoint.malekal.com/files.php?id=20130707_v10o12e10p7z13
    scan complet interrompu après 40 minutes : http://pjjoint.malekal.com/files.php?id=20130707_o15c8w15o5v12
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ouais bha ce sont des restes, comme je disais;
      0
    2. wessim
       
      y'a 4 éléments en quarantaine dont 3 trojans je les supprime ?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui puis fais OTL.
      Mais il devrait être OK.
      0
    4. wessim
       
      j'ai commencé le scan OTL et j'ai oublié de cocher tous les utilisateurs , c'est important ? sachant qu'il n'y qu'un seul utilisateur sur l'ordinateur , l'administrateur
      0
    5. wessim
       
      voici le rapport OTL : http://pjjoint.malekal.com/files.php?id=OTL_20130707_t12l6p13p12m8
      0
  17. wessim
     
    j'ai supprimé result.vbs et j'ai redémarrer et je l'ai trouvé une nouvelle fois dans son emplacement initial , il m'énerve
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      dans startup, enfin dans le menu Démarrer ?
      0
    2. wessim
       
      C:\Users\hp\appdata\roaming\microsoft\windows\start menu\programs\startup
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      CTRL+ALT+Suppr et gestionnaire de tâches.
      Onglet Processus.
      Cherche wscript dans la liste, sélectionne le et fin de tâches.

      Fais une recherche de fichiers sur result.vbs et supprime les tous.
      Regarde s'il revient au démarrage.
      0
    4. wessim
       
      fait. mais il revient toujours
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Affiche les extensions de fichiers, et fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

      Vas dans C:\Users\hp\appdata\roaming\microsoft\windows\start menu\programs\startup
      Supprime result.vbs
      puis clic droit / Nouveau fichier / document texte
      nomme le result.vbs

      puis dans la barre d'adresse, tape : %TEMP% et valide, ça doit t'ammener sur C:\Users\HP\AppData\Local\Temp\
      si y a result.vbs, il y est ? si oui, supprime le et recommence :
      clic droit / Nouveau fichier / document texte
      nomme le result.vbs
      Si y a win32.exe vire le.

      Redémarre le PC
      touche à rien pour le moment.
      0