Infecté par VBS agent sur PC

Résolu
trezdoc Messages postés 6 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Mon ordinateur est infecté par le virus VBS-Agent-AXN [TRj]. Pour l'instant, sauf erreur de ma part, il a deux actions:
- sur les clés USB, MP3, dictaphone, il cache les fichiers et les remplace par des raccourcis.
- sur le dictaphone, il cache tout sans remplacer quoi que ce soit.
Ce virus a-t-il d'autres effets plus dangereux?
Les fichiers cachés ont-ils été contaminé ? Est-ce que je peux les récupérer ?
Comment me débarrasser de ce virus?
Merci de vos réponses.

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
    Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

    Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
    Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

    Comprendre les infections par disques amovibles : https://forum.malekal.com/viewtopic.php?t=3350&start=

    Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
    Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
    Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.

    L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/

    0
  2. trezdoc Messages postés 6 Statut Membre
     
    ############################## | UsbFix V 7.166 | [Research]

    User: _13OR_ (Administrator) # _13OR_-PC
    Updated 26/02/2014 by El Desaparecido - Team SosVirus
    Started at 15:55:01 | 08/03/2014

    Website : http://www.en.usbfix.net/
    Changelog : http://www.en.usbfix.net/changelog/
    Support : https://www.sosvirus.net/
    Upload Malware : http://www.sosvirus.net/upload_malware.php
    Contact : http://www.en.usbfix.net/contact/

    PC: TOSHIBA (Portable PC)
    CPU: Intel(R) Celeron(R) CPU 900 @ 2.20GHz
    RAM -> [Total : 1916 Mo| Free : 545 Mo]
    Bios: INSYDE
    Boot: Normal boot

    OS: Microsoft Windows 7 Professional (6.1.7601 32-Bit) Service Pack 1
    WB: Windows Internet Explorer : 11.0.9600.16518
    WB: Google Chrome : 33.0.1750.146

    SC: Security Center [Enabled]
    WU: Windows Update [Enabled]
    AV: avast! Internet Security [Enabled | Updated]
    AS: Windows Defender [Enabled | Updated]
    AS: avast! Internet Security [Enabled | Updated]
    FW: avast! Internet Security [Enabled]
    FW: Windows FireWall [(!) Disabled]

    C:\ (%systemdrive%) -> Fixed drive # 59 Gb (5 Mb free - 8%) [Système] # NTFS
    D:\ -> Fixed drive # 90 Gb (4 Mb free - 5%) [Data] # NTFS
    E:\ -> CD-ROM
    F:\ -> Removable drive # 4 Gb (4 Mb free - 98%) [DR TRESOR] # FAT32

    ################## | Active Processes |

    C:\Windows\system32\csrss.exe (ID: 352 |ParentID: 344)
    C:\Windows\system32\wininit.exe (ID: 408 |ParentID: 344)
    C:\Windows\system32\csrss.exe (ID: 420 |ParentID: 400)
    C:\Windows\system32\winlogon.exe (ID: 476 |ParentID: 400)
    C:\Windows\system32\services.exe (ID: 512 |ParentID: 408)
    C:\Windows\system32\lsass.exe (ID: 528 |ParentID: 408)
    C:\Windows\system32\lsm.exe (ID: 536 |ParentID: 408)
    C:\Windows\system32\svchost.exe (ID: 640 |ParentID: 512)
    C:\Windows\system32\svchost.exe (ID: 716 |ParentID: 512)
    C:\Windows\System32\svchost.exe (ID: 768 |ParentID: 512)
    C:\Windows\System32\svchost.exe (ID: 884 |ParentID: 512)
    C:\Windows\system32\svchost.exe (ID: 920 |ParentID: 512)
    C:\Windows\system32\svchost.exe (ID: 944 |ParentID: 512)
    C:\Program Files\EgisTec Port Locker\Egishlpsvc.exe (ID: 1184 |ParentID: 512)
    C:\Windows\system32\svchost.exe (ID: 1256 |ParentID: 512)
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1356 |ParentID: 512)
    C:\Program Files\AVAST Software\Avast\afwServ.exe (ID: 1432 |ParentID: 512)
    C:\Windows\System32\spoolsv.exe (ID: 1632 |ParentID: 512)
    C:\Windows\system32\taskhost.exe (ID: 1688 |ParentID: 512)
    C:\Windows\system32\Dwm.exe (ID: 1748 |ParentID: 884)
    C:\Windows\system32\svchost.exe (ID: 1788 |ParentID: 512)
    C:\Windows\Explorer.EXE (ID: 1832 |ParentID: 1736)
    C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 656 |ParentID: 512)
    C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe (ID: 1164 |ParentID: 512)
    C:\Windows\system32\svchost.exe (ID: 1388 |ParentID: 512)
    C:\Windows\system32\svchost.exe (ID: 2220 |ParentID: 512)
    C:\Windows\system32\SearchIndexer.exe (ID: 2520 |ParentID: 512)
    C:\Program Files\EgisTec Port Locker\EgisPLTSR.exe (ID: 2628 |ParentID: 1832)
    C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 2724 |ParentID: 1832)
    C:\Program Files\uTorrent\uTorrent.exe (ID: 2900 |ParentID: 1832)
    C:\Program Files\Skype\Phone\Skype.exe (ID: 2920 |ParentID: 1832)
    C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\MediaDico36.exe (ID: 2940 |ParentID: 2836)
    C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE (ID: 3068 |ParentID: 1832)
    C:\Program Files\Windows Sidebar\sidebar.exe (ID: 3076 |ParentID: 1832)
    C:\Windows\System32\wscript.exe (ID: 3088 |ParentID: 1832)
    C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (ID: 3096 |ParentID: 1832)
    C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\RAC36.exe (ID: 3176 |ParentID: 2836)
    C:\Windows\system32\wbem\wmiprvse.exe (ID: 2912 |ParentID: 640)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 3428 |ParentID: 1832)
    C:\Windows\System32\svchost.exe (ID: 2936 |ParentID: 512)
    C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 2144 |ParentID: 512)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 2568 |ParentID: 3428)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 608 |ParentID: 3428)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 4800 |ParentID: 3428)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 4904 |ParentID: 3428)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 5412 |ParentID: 3428)
    C:\Program Files\Smadav\SM?RTP.exe (ID: 864 |ParentID: 5348)
    C:\Windows\system32\taskhost.exe (ID: 5760 |ParentID: 512)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 5380 |ParentID: 3428)
    C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 1024 |ParentID: 3428)
    C:\Windows\system32\wuauclt.exe (ID: 6040 |ParentID: 944)
    C:\Windows\System32\WUDFHost.exe (ID: 2704 |ParentID: 884)
    \\?\C:\Windows\system32\wbem\WMIADAP.EXE (ID: 5624 |ParentID: 944)
    C:\Windows\system32\wbem\wmiprvse.exe (ID: 6140 |ParentID: 640)
    C:\Windows\system32\SearchProtocolHost.exe (ID: 596 |ParentID: 2520)
    C:\Windows\system32\SearchFilterHost.exe (ID: 6064 |ParentID: 2520)

    ################## | Regedit Run |

    04 - HKCU\..\Run : [MediaDICO36] C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe Lancement
    04 - HKCU\..\Run : [Facebook Update] "C:\Users\_13OR_\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
    04 - HKCU\..\Run : [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED
    04 - HKCU\..\Run : [Google Update] "C:\Users\_13OR_\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    04 - HKCU\..\Run : [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    04 - HKCU\..\Run : [servieca.vbe] "C:\Users\_13OR_\AppData\Local\Temp\servieca.vbe"
    04 - HKCU\..\Run : [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
    04 - HKCU\..\Run : [E09FXLRD_420157] "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
    04 - HKCU\..\Run : [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    04 - HKCU\..\Run : [iTunesHelper] wscript.exe //B "C:\Users\_13OR_\AppData\Local\Temp\iTunesHelper.vbe"
    04 - HKCU\..\Run : [UpdateStar Drivers] C:\Program Files\UpdateStar Drivers\drivers.exe
    04 - HKCU\..\Run : [SM?RT-Protection] C:\Program Files\Smadav\SM?RTP.exe rtp
    04 - HKLM\..\Run : [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
    04 - HKLM\..\Run : [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12
    04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    04 - HKLM\..\Run : [PLTSR] "C:\Program Files\EgisTec Port Locker\EgisPLTSR.exe"
    04 - HKLM\..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
    04 - HKLM\..\RunOnce : []
    04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [MediaDICO36] C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe Lancement
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [Facebook Update] "C:\Users\_13OR_\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [Google Update] "C:\Users\_13OR_\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [servieca.vbe] "C:\Users\_13OR_\AppData\Local\Temp\servieca.vbe"
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [E09FXLRD_420157] "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [iTunesHelper] wscript.exe //B "C:\Users\_13OR_\AppData\Local\Temp\iTunesHelper.vbe"
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [UpdateStar Drivers] C:\Program Files\UpdateStar Drivers\drivers.exe
    04 - HKU\S-1-5-21-1131347218-134053863-1918800172-1000\..\Run : [SM?RT-Protection] C:\Program Files\Smadav\SM?RTP.exe rtp
    04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
    04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

    ################## | Generic Research |

    Found ! C:\Users\_13OR_\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
    Found ! C:\Users\_13OR_\AppData\Local\Temp\iTunesHelper.vbe
    Found ! F:\iTunesHelper.vbe
    Found ! C:\Users\_13OR_\AppData\Local\Temp\CPBA.bat

    ################## | Registry |

    Found ! HKCU|njq8
    Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyGames -> 0
    Found ! HKU\S-1-5-21-1131347218-134053863-1918800172-1000\Software\Microsoft\Windows\CurrentVersion\Run|Servieca.vbe
    Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Servieca.vbe
    Found ! HKU\S-1-5-21-1131347218-134053863-1918800172-1000\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper
    Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|iTunesHelper

    ################## | E.O.F | http://www.en.usbfix.net/ - https://www.sosvirus.net/ |
    0
  3. trezdoc Messages postés 6 Statut Membre
     
    le probleme existe toujours
    que faire?
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    fais suppression sur USBFix :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. trezdoc Messages postés 6 Statut Membre
     
    merci de votre soutien
    0
  7. trezdoc Messages postés 6 Statut Membre
     
    le probleme est resolu.
    MERCI
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    cool :)

    bon WE :)
    0