VBS/jxcus.lnk/MerciJacquieMichel.vbe Virus USB raccourci [Résolu/Fermé]

Signaler
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

Je viens vers vous pour une assistance afin de supprimer le virus VBS/jxcus.lnk qui infecte tout mes périphériques USB. Il cache les fichiers originaux et les remplace par des raccourcis.
Ps : Je suis sous windows 8.
Merci.

4 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
Salut,

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

Comprendre les infections par disques amovibles : https://forum.malekal.com/viewtopic.php?t=3350&start=

Il te faut maintenant nettoyer tes clefs USB/disques dur externes
Suis bien le tutorial dans l'ordre : insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.


Branche toutes tes clefs USB et autres périphériques amovibles.
Télécharge Remediate VBS Worm : https://forum.malekal.com/viewtopic.php?t=48588&start=
Lance le programme, Lance l'option B.
Tape la lettre de la clef USB, par exemple, E et entrée - NE PAS INDIQUER LE LECTEUR DE TON DISQUE.
Cela va nettoyer la clef USB.
De même, Ouvre Mon ordinateur puis disque C, un rapport Rem-VBS.log doit s'y trouver, donne le contenu ici.


Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

Bonjour, merci pour la réponse cependant je ne comprends pas tout et surtout par où commencer.
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

Rem-VBSworm v4.0
======================================================== - General info:
Ran by Sergio on profile C:\Users\Sergio
Ran on SERGE
IPv4: 192.168.0.30

Microsoft Windows 8.1

Normal boot


16/09/2015
19:28:07,75
======================================================== - Drive info:
Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local OS

D: Disque fixe local Recovery Image

E: Disque CD-ROM

F: Disque amovible

G: Disque amovible

H: Disque CD-ROM CDROM

I: Disque amovible MP3 ROCK




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume6 NTFS
H: \Device\CdRom1 CDFS
I: \Device\HarddiskVolume7 FAT
F: \Device\HarddiskVolume8 FAT
======================================================== - Disinfection info:
F: selected

Fichier supprim' - F:\System Volume Information.lnk
Fichier supprim' - F:\Autorun.inf.lnk
Fichier supprim' - F:\MerciJacquieMichel.vbe
Listing root contents of F:

Le volume dans le lecteur F n'a pas de nom.
Le num'ro de s'rie du volume est 8CFA-B563

R'pertoire de F:\

15/09/2015 23:03 <DIR> System Volume Information
16/09/2015 17:37 <DIR> Autorun.inf
0 fichier(s) 0 octets
2 R'p(s) 8ÿ260ÿ386ÿ816 octets libres

Modifying files...
USB drive disinfected!
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
ok, histoire de vérif l'ordinateur :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

Ok je fais tout ça et poste les résultats.
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\Users\Sergio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2015-09-15] ()
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Par sécurité, repasse un coup d'option B avec ta clef USB.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

Cette clé si je la lance il n'y a plus le fichier .vbe et tout les dossiers ne sont plus caché. Est ce bon?

L'ordinateur est il infecté? Ou comment le vérifier?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
si les raccourcis ne reviennent pas, non.
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

D'accord donc pour vérifié tous les périphériques usb, il suffit que je les branche et vois si des raccourcis se crées ou pas, et si il n'y en a pas c'est tout bon? J'ai bien compris?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
Tout à fait ou avec RemVBS option B.
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

D'accord j'ai pas osé faire l'option B sur le C: c'était marqué de ne pas le faire. De toute façon si j'ai bien compris l'ordinateur n'est pas infecté lui, juste les périphériques usb.
J'ai les deux clés sans raccourcis.
En tout cas un grand MERCI :).
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
de rien =)

Eventuellement, il est fortement conseillé de désactiver les scripts VBS / WSH, comme expliqué sur le dossier : Malware VBS/WSH/Windows Script Host

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Messages postés
18
Date d'inscription
mercredi 16 septembre 2015
Statut
Membre
Dernière intervention
25 septembre 2015

Parfait je vais passer le sujet en "Résolu". Merci et bonne soirée!
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 880
merci à toi aussi =)