Virus.Worm.VBS : Clef USB infectée - Video.3gp
Résolu/Fermé
JodoDune
Messages postés
1
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016
-
Modifié par Malekal_morte- le 9/04/2016 à 17:15
Gitane - 18 mars 2019 à 00:51
Gitane - 18 mars 2019 à 00:51
14 réponses
Bonjour,
Suite a l'infection de notre établissement par ce virus, j'ai du développer des contre mesure. Je me permet donc de vous les partager ici.
L'archive se constitue de 2 script et d'un document expliquant la procédure pour ceux n'ayant pas confiance dans les script (enfaite faite avant) ou simplement désirant comprendre les scripts.
Le script anti-video3gp déverolle les clé
Le script anti-video3gp-cleanPC déverolle les postes Windows(mac et Linux n'étant pas infecter)
lien gdrive : https://drive.google.com/file/d/0Bw96BWzgemOmTzV4UGJpTGJyeXc/view?usp=sharing
Suite a l'infection de notre établissement par ce virus, j'ai du développer des contre mesure. Je me permet donc de vous les partager ici.
L'archive se constitue de 2 script et d'un document expliquant la procédure pour ceux n'ayant pas confiance dans les script (enfaite faite avant) ou simplement désirant comprendre les scripts.
Le script anti-video3gp déverolle les clé
Le script anti-video3gp-cleanPC déverolle les postes Windows(mac et Linux n'étant pas infecter)
lien gdrive : https://drive.google.com/file/d/0Bw96BWzgemOmTzV4UGJpTGJyeXc/view?usp=sharing
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 9/04/2016 à 17:15
Modifié par Malekal_morte- le 9/04/2016 à 17:15
Salut,
Il s'agit de cette infection Virus USB VBS.Crypt.
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Il s'agit de cette infection Virus USB VBS.Crypt.
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Bonjour,
j'ai exactement le même problème...
je me permet de vous donner les trois liens demandés ci-dessus:
frst http://pjjoint.malekal.com/files.php?id=FRST_20160510_z8c7y69j7
addition http://pjjoint.malekal.com/files.php?id=20160510_g5k1313f13e6
shotcut http://pjjoint.malekal.com/files.php?id=20160510_d11n7q6o9s15
Merci de votre aide
Cordialement
Julien
j'ai exactement le même problème...
je me permet de vous donner les trois liens demandés ci-dessus:
frst http://pjjoint.malekal.com/files.php?id=FRST_20160510_z8c7y69j7
addition http://pjjoint.malekal.com/files.php?id=20160510_g5k1313f13e6
shotcut http://pjjoint.malekal.com/files.php?id=20160510_d11n7q6o9s15
Merci de votre aide
Cordialement
Julien
cyber75
Messages postés
5
Date d'inscription
lundi 30 mai 2016
Statut
Membre
Dernière intervention
30 mai 2016
30 mai 2016 à 11:47
30 mai 2016 à 11:47
Bonjour,
Aidez moi svp voici les rapports
https://pjjoint.malekal.com/files.php?id=FRST_20160530_u6e15e126l9
https://pjjoint.malekal.com/files.php?id=20160530_r6j13i12c135
https://pjjoint.malekal.com/files.php?id=20160530_i11p7t5e14r15
Merci d'avance
Aidez moi svp voici les rapports
https://pjjoint.malekal.com/files.php?id=FRST_20160530_u6e15e126l9
https://pjjoint.malekal.com/files.php?id=20160530_r6j13i12c135
https://pjjoint.malekal.com/files.php?id=20160530_i11p7t5e14r15
Merci d'avance
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
cyber75
Messages postés
5
Date d'inscription
lundi 30 mai 2016
Statut
Membre
Dernière intervention
30 mai 2016
30 mai 2016 à 12:00
30 mai 2016 à 12:00
continue sur ton sujet : https://forums.commentcamarche.net/forum/affich-33565487-sysinfy2x-virus-raccourcis
souadker
Messages postés
1
Date d'inscription
jeudi 20 octobre 2016
Statut
Membre
Dernière intervention
21 octobre 2016
Modifié par souadker le 20/10/2016 à 22:29
Modifié par souadker le 20/10/2016 à 22:29
les voila les 3 liens svp c urgent
https://pjjoint.malekal.com/files.php?id=FRST_20161020_r7w15z10z11w13
https://pjjoint.malekal.com/files.php?id=20161020_i8x12e13m9z7
http://pjjoint.malekal.com+R/files.php?id=20161020_t6e13x15z8e8
https://pjjoint.malekal.com/files.php?id=FRST_20161020_r7w15z10z11w13
https://pjjoint.malekal.com/files.php?id=20161020_i8x12e13m9z7
http://pjjoint.malekal.com+R/files.php?id=20161020_t6e13x15z8e8
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 9/04/2016 à 17:42
Modifié par Malekal_morte- le 9/04/2016 à 17:42
bizarre, les rapports que tu transmets ne sont pas entier.
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
C:\Users\Clara\AppData\Roaming\Video.3gp
c:\programdata\quickset
Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
9 avril 2016 à 17:54
9 avril 2016 à 17:54
Voilou,
Pour nettoyer tes clefs USB :
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
et ce sera good,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharge et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Pour nettoyer tes clefs USB :
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
- Télécharger Remediate VBS Worm
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
et ce sera good,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharge et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
JodoDune
Messages postés
1
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016
9 avril 2016 à 18:05
9 avril 2016 à 18:05
Quand j'installe marmiton on me demande un mdp, et je ne comprends pas ce que tu veux dire par "Clic sur Désactiver au niveau de Windows Script Host" ... Désolé ahah je suis un peu lente ...
Merci !
Merci !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
JodoDune
Messages postés
1
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016
9 avril 2016 à 18:14
9 avril 2016 à 18:14
le mot de passe est malekal
c'est écrit sur la page de téléchargement.
c'est écrit sur la page de téléchargement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
5 nov. 2016 à 15:31
5 nov. 2016 à 15:31
Si vous avez besoin d'aide, veuillez créer votre propre sujet en allant dans la partie Virus du forum et en cliquant sur le bouton Poser une question.
Remplissez les champs et envoyer votre demande.
Remplissez les champs et envoyer votre demande.
JodoDune
Messages postés
1
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016
9 avril 2016 à 17:51
9 avril 2016 à 17:51
Voilà ce que j'obtiens, le redémarrage c'est fait automatiquement :
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
C:\Users\Clara\AppData\Roaming\Video.3gp
Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\Clara\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
C:\Windows\Tasks\SK.Enhancer-S-161304646.job => non trouvé(e).
========= reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========
L'op‚ration a r‚ussi.
========= Fin de Reg: =========
========= reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========
L'op‚ration a r‚ussi.
========= Fin de Reg: =========
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-09 17:47:27)
C:\Users\Clara\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
C:\Users\Clara\AppData\Roaming\Video.3gp
Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\Clara\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
C:\Windows\Tasks\SK.Enhancer-S-161304646.job => non trouvé(e).
========= reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========
L'op‚ration a r‚ussi.
========= Fin de Reg: =========
========= reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========
L'op‚ration a r‚ussi.
========= Fin de Reg: =========
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-09 17:47:27)
C:\Users\Clara\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès
Fin de Fixlog 17:47:27
JodoDune
Messages postés
1
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016
9 avril 2016 à 18:00
9 avril 2016 à 18:00
Vous me sauvez !
Rem-VBSworm v7.0
=========== - General info:
Running under: Clara on profile: C:\Users\Clara
Computer name: ORDINATEUR
Operating System:
Microsoft Windowsÿ7 dition Familiale Premium
Boot Mode:
Normal boot
Antivirus software installed:
avast! Antivirus
Executed on: 09/04/2016 @ 17:59:28,67
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local OS
D: Disque fixe local Data
E: Disque CD-ROM
F: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS
F: \Device\HarddiskVolume4 exFAT
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
IDE\DISKST9320325AS_____________________________0003SDM1\4&19E15798&0&0.0.0
USBSTOR\DISK&VEN_SONY&PROD_STORAGE_MEDIA&REV_PMAP\5C071059D0E3156A71&0
Fichier supprim‚ - F:\PHOTO FAMIlY.lnk
Fichier supprim‚ - F:\syncguid.lnk
Fichier supprim‚ - F:\VIDEO.lnk
Fichier supprim‚ - F:\Nouveau dossier.lnk
Fichier supprim‚ - F:\DCIM.lnk
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est 2CB9-EDFA
R‚pertoire de F:\
12/10/2015 11:59 121ÿ030 Video.3gp
08/04/2016 13:49 36 syncguid.dat
08/04/2016 13:50 <REP> VIDEO
08/04/2016 13:50 <REP> DCIM
2 fichier(s) 121ÿ066 octets
2 R‚p(s) 62ÿ146ÿ609ÿ152 octets libres
USB drive disinfected and files unhidden!!
Rem-VBSworm v7.0
=========== - General info:
Running under: Clara on profile: C:\Users\Clara
Computer name: ORDINATEUR
Operating System:
Microsoft Windowsÿ7 dition Familiale Premium
Boot Mode:
Normal boot
Antivirus software installed:
avast! Antivirus
Executed on: 09/04/2016 @ 17:59:28,67
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local OS
D: Disque fixe local Data
E: Disque CD-ROM
F: Disque amovible
Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS
F: \Device\HarddiskVolume4 exFAT
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
IDE\DISKST9320325AS_____________________________0003SDM1\4&19E15798&0&0.0.0
USBSTOR\DISK&VEN_SONY&PROD_STORAGE_MEDIA&REV_PMAP\5C071059D0E3156A71&0
Fichier supprim‚ - F:\PHOTO FAMIlY.lnk
Fichier supprim‚ - F:\syncguid.lnk
Fichier supprim‚ - F:\VIDEO.lnk
Fichier supprim‚ - F:\Nouveau dossier.lnk
Fichier supprim‚ - F:\DCIM.lnk
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est 2CB9-EDFA
R‚pertoire de F:\
12/10/2015 11:59 121ÿ030 Video.3gp
08/04/2016 13:49 36 syncguid.dat
08/04/2016 13:50 <REP> VIDEO
08/04/2016 13:50 <REP> DCIM
2 fichier(s) 121ÿ066 octets
2 R‚p(s) 62ÿ146ÿ609ÿ152 octets libres
USB drive disinfected and files unhidden!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
9 avril 2016 à 18:01
9 avril 2016 à 18:01
Supprime Video.3gp sur ta clef USB et voilou =)
Aranud87
Messages postés
18033
Date d'inscription
dimanche 29 octobre 2006
Statut
Contributeur
Dernière intervention
7 juin 2020
3 294
10 mai 2016 à 22:26
10 mai 2016 à 22:26
Eset 4.2...très vieux je te conseil de le mettre à jour en version 9 :
https://www.eset.com/fr/home/products/smart-security/
https://www.eset.com/fr/home/products/smart-security/
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
Julien
11 mai 2016 à 15:11
11 mai 2016 à 15:11
Normalement plus rien.
A part ce qui est dit dans mon message précédent.
A part ce qui est dit dans mon message précédent.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
Julien
11 mai 2016 à 16:49
11 mai 2016 à 16:49
de rien =)
Bonjour, j'ai également été infecté par un virus du même type, voici les rapports d'analyse :
- Addition : http://pjjoint.malekal.com/files.php?id=20160621_u8b14y15t5k5
- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160621_n11c6w9z11z12
- Shortcut : http://pjjoint.malekal.com/files.php?id=20160621_i15j10h15x5o7
Je vous remercie d'avance de votre réponse :).
- Addition : http://pjjoint.malekal.com/files.php?id=20160621_u8b14y15t5k5
- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160621_n11c6w9z11z12
- Shortcut : http://pjjoint.malekal.com/files.php?id=20160621_i15j10h15x5o7
Je vous remercie d'avance de votre réponse :).
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
21 juin 2016 à 20:39
21 juin 2016 à 20:39
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis faire ce qui est en message #5 : Rem-VBS et Marmiton.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis faire ce qui est en message #5 : Rem-VBS et Marmiton.
Merci de votre première réponse, voici le texte qui est apparu :
Exécuté par Num (2016-06-21 22:00:29) Run:1
Exécuté depuis C:\Users\Num\Desktop\FRST
Profils chargés: Num (Profils disponibles: Num)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\Num\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-21 22:02:27)
C:\Users\Num\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès
Exécuté par Num (2016-06-21 22:00:29) Run:1
Exécuté depuis C:\Users\Num\Desktop\FRST
Profils chargés: Num (Profils disponibles: Num)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\Num\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-21 22:02:27)
C:\Users\Num\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès
Fin de Fixlog 22:02:27
Re, j'ai utilisé les logiciels recommandés, donc voici le rapport Rem-VBS :
Rem-VBSworm v8.0
=========== - General info:
Running under: Num on profile: C:\Users\Num
Computer name: JULLIAN-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
Executed on: 21/06/2016 @ 22:08:51,91
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque fixe local R‚serv‚ au systŠme
E: Disque fixe local
F: Disque CD-ROM
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
K: Disque amovible GOURMELIN
Physical drives information:
C: \Device\HarddiskVolume1 NTFS
D: \Device\HarddiskVolume2 NTFS
E: \Device\HarddiskVolume3 NTFS
K: \Device\HarddiskVolume4 FAT
=========== - Disinfection info:
=========== - USB drive info:
K: selected
USB Device ID:
IDE\DISKMAXTOR_6V080E0__________________________VA111630\5&EBBD404&0&0.0.0
IDE\DISKST3500418AS_____________________________CC46____\5&379CED66&0&1.0.0
USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070B388592213F42&0
USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00\20021111153705700&0
USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.00\20021111153705700&3
USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\20021111153705700&2
USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.00\20021111153705700&1
Fichier supprim‚ - K:\VIDEO.lnk
Fichier supprim‚ - K:\PHOTO FAMIlY.lnk
Fichier supprim‚ - K:\Nouveau dossier.lnk
Fichier supprim‚ - K:\DCIM.lnk
Listing root contents of K:
Le volume dans le lecteur K s'appelle GOURMELIN
Le num‚ro de s‚rie du volume est 4470-FFCF
R‚pertoire de K:\
----------------------------
Par contre, il reste PHOTO FAMIY sur mon disque local E (qui est un disque dur qui me sert pour stocker mes données), du coup, devrais-je utiliser Remediate VBS sur ce disque aussi ou y a t'il une autre solution ?
Rem-VBSworm v8.0
=========== - General info:
Running under: Num on profile: C:\Users\Num
Computer name: JULLIAN-PC
Operating System:
Microsoft Windowsÿ7 dition Int‚grale
Boot Mode:
Normal boot
Antivirus software installed:
Executed on: 21/06/2016 @ 22:08:51,91
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local
D: Disque fixe local R‚serv‚ au systŠme
E: Disque fixe local
F: Disque CD-ROM
G: Disque amovible
H: Disque amovible
I: Disque amovible
J: Disque amovible
K: Disque amovible GOURMELIN
Physical drives information:
C: \Device\HarddiskVolume1 NTFS
D: \Device\HarddiskVolume2 NTFS
E: \Device\HarddiskVolume3 NTFS
K: \Device\HarddiskVolume4 FAT
=========== - Disinfection info:
=========== - USB drive info:
K: selected
USB Device ID:
IDE\DISKMAXTOR_6V080E0__________________________VA111630\5&EBBD404&0&0.0.0
IDE\DISKST3500418AS_____________________________CC46____\5&379CED66&0&1.0.0
USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070B388592213F42&0
USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00\20021111153705700&0
USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.00\20021111153705700&3
USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\20021111153705700&2
USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.00\20021111153705700&1
Fichier supprim‚ - K:\VIDEO.lnk
Fichier supprim‚ - K:\PHOTO FAMIlY.lnk
Fichier supprim‚ - K:\Nouveau dossier.lnk
Fichier supprim‚ - K:\DCIM.lnk
Listing root contents of K:
Le volume dans le lecteur K s'appelle GOURMELIN
Le num‚ro de s‚rie du volume est 4470-FFCF
R‚pertoire de K:\
----------------------------
Par contre, il reste PHOTO FAMIY sur mon disque local E (qui est un disque dur qui me sert pour stocker mes données), du coup, devrais-je utiliser Remediate VBS sur ce disque aussi ou y a t'il une autre solution ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
25 juin 2016 à 23:24
25 juin 2016 à 23:24
oui tu peux bien sûr.
Bonjour, je rencontre actuellement le même type de problèmes que décris ci-dessus, donc j'ai réalisé l'analyse préconisée avec FRST.
Voici les résultats des analyses :
Shortcut : http://pjjoint.malekal.com/files.php?id=20160625_l13d6q8n8x13
Addition : http://pjjoint.malekal.com/files.php?id=20160625_e6z15j12e13c5
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160625_h15p14k15k6y7
Je vous remercie par avance de votre réponse :).
Voici les résultats des analyses :
Shortcut : http://pjjoint.malekal.com/files.php?id=20160625_l13d6q8n8x13
Addition : http://pjjoint.malekal.com/files.php?id=20160625_e6z15j12e13c5
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160625_h15p14k15k6y7
Je vous remercie par avance de votre réponse :).
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 26/06/2016 à 11:06
Modifié par Malekal_morte- le 26/06/2016 à 11:06
Salut,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Voici les résultats de la correction :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par dominique1 (2016-06-26 11:22:06) Run:1
Exécuté depuis C:\Users\dominique1\Desktop
Profils chargés: dominique1 & caroline (Profils disponibles: dominique1 & caroline)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\dominique1\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-26 11:24:36)
C:\Users\dominique1\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par dominique1 (2016-06-26 11:22:06) Run:1
Exécuté depuis C:\Users\dominique1\Desktop
Profils chargés: dominique1 & caroline (Profils disponibles: dominique1 & caroline)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\dominique1\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-26 11:24:36)
C:\Users\dominique1\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès
Fin de Fixlog 11:24:36
Re, je viens d'effectuer le scan de VBS, en voici les résultats :
=========== - Disinfection info:
=========== - USB drive info:
E: selected
USB Device ID:
SCSI\DISK&VEN_HITACHI&PROD_HDT725050VLA380\4&38FBD192&0&000000
USBSTOR\DISK&VEN_&PROD_&REV_8.07\AU28151F50000003&0
SCSI\DISK&VEN_ST350041&PROD_8AS\4&38FBD192&0&010000
Fichier supprim‚ - E:\PHOTO FAMIlY.lnk
Fichier supprim‚ - E:\System Volume Information.lnk
Fichier supprim‚ - E:\Nouveau dossier.lnk
Fichier supprim‚ - E:\VIDEO.lnk
Fichier supprim‚ - E:\DCIM.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E n'a pas de nom.
Le num‚ro de s‚rie du volume est BE7B-C394
R‚pertoire de E:\
12/10/2015 10:59 121ÿ030 Video.3gp
25/06/2016 05:49 <DIR> DCIM
25/06/2016 05:49 <DIR> VIDEO
1 fichier(s) 121ÿ030 octets
3 R‚p(s) 7ÿ744ÿ077ÿ824 octets libres
USB drive disinfected and files unhidden!!
Op‚ration r‚ussieÿ: le processus avec PID 5764 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 6220 a ‚t‚ termin‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
Shortcut: !shortcut!
----------------------------------------------------------------
Shortcut: !shortcut!
----------------------------------------------------------------
=========== - Scheduled tasks info:
Je vous remercie de votre aide :).
=========== - Disinfection info:
=========== - USB drive info:
E: selected
USB Device ID:
SCSI\DISK&VEN_HITACHI&PROD_HDT725050VLA380\4&38FBD192&0&000000
USBSTOR\DISK&VEN_&PROD_&REV_8.07\AU28151F50000003&0
SCSI\DISK&VEN_ST350041&PROD_8AS\4&38FBD192&0&010000
Fichier supprim‚ - E:\PHOTO FAMIlY.lnk
Fichier supprim‚ - E:\System Volume Information.lnk
Fichier supprim‚ - E:\Nouveau dossier.lnk
Fichier supprim‚ - E:\VIDEO.lnk
Fichier supprim‚ - E:\DCIM.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E n'a pas de nom.
Le num‚ro de s‚rie du volume est BE7B-C394
R‚pertoire de E:\
12/10/2015 10:59 121ÿ030 Video.3gp
25/06/2016 05:49 <DIR> DCIM
25/06/2016 05:49 <DIR> VIDEO
1 fichier(s) 121ÿ030 octets
3 R‚p(s) 7ÿ744ÿ077ÿ824 octets libres
USB drive disinfected and files unhidden!!
Op‚ration r‚ussieÿ: le processus avec PID 5764 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 6220 a ‚t‚ termin‚.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
Shortcut: !shortcut!
----------------------------------------------------------------
Shortcut: !shortcut!
----------------------------------------------------------------
=========== - Scheduled tasks info:
Je vous remercie de votre aide :).
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
Soleil
26 juin 2016 à 11:40
26 juin 2016 à 11:40
Ca doit rouler,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
Bonjour,
Mon ordinateur a aussi été infecté par ce virus.
J'ai effectuée l'analyse préconisée avec FRST. Voici les 3 rapports :
FRST - ADDITION - SHORTCUT
http://pjjoint.malekal.com/files.php?id=FRST_20160706_g5d5h1513t12
http://pjjoint.malekal.com/files.php?id=20160706_t14o15q11e85
http://pjjoint.malekal.com/files.php?id=20160706_z11h14e12c6f14
Un grand merci pour votre aide!
Mon ordinateur a aussi été infecté par ce virus.
J'ai effectuée l'analyse préconisée avec FRST. Voici les 3 rapports :
FRST - ADDITION - SHORTCUT
http://pjjoint.malekal.com/files.php?id=FRST_20160706_g5d5h1513t12
http://pjjoint.malekal.com/files.php?id=20160706_t14o15q11e85
http://pjjoint.malekal.com/files.php?id=20160706_z11h14e12c6f14
Un grand merci pour votre aide!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
6 juil. 2016 à 23:02
6 juil. 2016 à 23:02
Hello,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
puis :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
puis :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
EmptyTemp:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Claire2169
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
6 juil. 2016 à 23:43
6 juil. 2016 à 23:43
J'ai désinfecté mes clés USB via tes explications (plus haut).
J'ai installé marmiton et renforcé la sécurité de mon ordinateur en suivant les explications de ton blog/forum, qui va clairement devenir ma référence en cas de souci informatique.
Voici le message fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-07-2016
Exécuté par Claire Bedu (2016-07-06 23:24:22) Run:1
Exécuté depuis C:\Users\Claire Bedu\Desktop\Logiciels utiles
Profils chargés: Claire Bedu & (Profils disponibles: Claire Bedu)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
EmptyTemp:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
C:\Users\Claire Bedu\AppData\Roaming\Video.3gp => déplacé(es) avec succès
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10671405 B
Java, Flash, Steam htmlcache => 595 B
Windows/system/drivers => 6399416 B
Edge => 0 B
Chrome => 81270673 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 230606 B
systemprofile32 => 17542338 B
LocalService => 836 B
NetworkService => 191546416 B
Claire Bedu => 22073936 B
RecycleBin => 1896099 B
EmptyTemp: => 324.3 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
En tout cas un énorme merci pour ton aide et ta réactivité !
J'ai installé marmiton et renforcé la sécurité de mon ordinateur en suivant les explications de ton blog/forum, qui va clairement devenir ma référence en cas de souci informatique.
Voici le message fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-07-2016
Exécuté par Claire Bedu (2016-07-06 23:24:22) Run:1
Exécuté depuis C:\Users\Claire Bedu\Desktop\Logiciels utiles
Profils chargés: Claire Bedu & (Profils disponibles: Claire Bedu)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
EmptyTemp:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
C:\Users\Claire Bedu\AppData\Roaming\Video.3gp => déplacé(es) avec succès
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10671405 B
Java, Flash, Steam htmlcache => 595 B
Windows/system/drivers => 6399416 B
Edge => 0 B
Chrome => 81270673 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 230606 B
systemprofile32 => 17542338 B
LocalService => 836 B
NetworkService => 191546416 B
Claire Bedu => 22073936 B
RecycleBin => 1896099 B
EmptyTemp: => 324.3 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 23:26:38
J'espère que c'est bon? Le fichier a disparu de l'emplacement où il se trouvait avant...En tout cas un énorme merci pour ton aide et ta réactivité !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
Claire2169
6 juil. 2016 à 23:48
6 juil. 2016 à 23:48
oui c'est niquel :)
Pas de soucis!
Pas de soucis!
Utilisateur anonyme
Modifié par Popo3728 le 12/08/2016 à 11:19
Modifié par Popo3728 le 12/08/2016 à 11:19
Bonjour, j'ai également été infecté par un virus du même type, voici les rapports d'analyse :
https://pjjoint.malekal.com/files.php?id=20160812_h5g8r12n13m6
https://pjjoint.malekal.com/files.php?id=FRST_20160812_n14x6m8l7q11
https://pjjoint.malekal.com/files.php?id=20160812_t14p11w11e14j10
Je n'ai pas branché mes clef USB qui ont pu être infecté, fallait-il le faire pendant l'analyse ?
Merci d'avance pour ton aide :)
https://pjjoint.malekal.com/files.php?id=20160812_h5g8r12n13m6
https://pjjoint.malekal.com/files.php?id=FRST_20160812_n14x6m8l7q11
https://pjjoint.malekal.com/files.php?id=20160812_t14p11w11e14j10
Je n'ai pas branché mes clef USB qui ont pu être infecté, fallait-il le faire pendant l'analyse ?
Merci d'avance pour ton aide :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
3 sept. 2016 à 11:08
3 sept. 2016 à 11:08
yep, je confirme.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis Marmiton et Rem-VBS.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1112499590-2824273211-3812243857-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Pauline\AppData\Roaming\Video.3gp
2016-07-11 08:59 - 2015-10-12 10:59 - 0121030 ___SH () C:\Users\Pauline\AppData\Roaming\Video.3gp
EmptyTemp:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis Marmiton et Rem-VBS.
3 sept. 2016 à 07:22
12 juin 2017 à 21:15
Bravo !
Philippe
5 janv. 2018 à 11:28
16 févr. 2018 à 21:04
18 mars 2019 à 00:51