Virus.Worm.VBS : Clef USB infectée - Video.3gp

Résolu/Fermé
JodoDune Messages postés 2 Statut Membre -  
 Gitane -
Bonjour à tous et à toutes,
Hier, j'ai rentré ma clef USB dans un PC inconnu, et, en la remettant sur mon propre PC, je me suis aperçue qu'elle contenait de nouveaux dossiers nommés "DCIM" "PHOTO FAMILY" "VIDEO" et autres.
Deux choses :
-Tous ces dossiers sont des raccourcis, qui m'ouvrent de nouvelles fenêtres quand je clique dessus
-Ils réapparaissent directement après la suppression
J'ai donc retiré ma clef USB, mais, malheur, "PHOTO FAMILY" est à présent dans mon disque D: et ne veut pas disparaître.
C'est un dossier manifestement .lnk et voici d'autres informations :
Voilà le chemin : C:\Windows\system32\WScript.exe /e:VBScript.Encode Video.3gp
L'emplacement est system 32
Type de cible : application

Que dois-je faire pour le supprimer de mon PC et pour guérir ma clef USB ?

Merci,

Quelqu'un qui n'est pas sorti couvert

14 réponses

  1. RGESCHE
     
    Bonjour,

    Suite a l'infection de notre établissement par ce virus, j'ai du développer des contre mesure. Je me permet donc de vous les partager ici.

    L'archive se constitue de 2 script et d'un document expliquant la procédure pour ceux n'ayant pas confiance dans les script (enfaite faite avant) ou simplement désirant comprendre les scripts.

    Le script anti-video3gp déverolle les clé
    Le script anti-video3gp-cleanPC déverolle les postes Windows(mac et Linux n'étant pas infecter)

    lien gdrive : https://drive.google.com/file/d/0Bw96BWzgemOmTzV4UGJpTGJyeXc/view?usp=sharing
    13
    1. Jack
       
      Super, merci beaucoup
      0
    2. Phil
       
      Un grand merci à l'auteur car j'étais très ennuyé par rapport à la sommes des données importantes qu'il y avait sur mon support USB. En quelques clics seulement, la clé a été entèrement nettoyée et l'opération a duré moins d'une minute.
      Bravo !
      Philippe
      1
    3. garulfo69
       
      Un grand merci à vous pour votre aide! Ordinateur nettoyé puis les 2 clés infectées. Merci Merci!!
      0
    4. STT
       
      Merci beaucoup! vraiment!
      1
    5. Gitane
       
      Vraiment c'est de la magie, Thank you SO much for your help
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Il s'agit de cette infection Virus USB VBS.Crypt.

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    1
    1. Julien
       
      Bonjour,
      j'ai exactement le même problème...
      je me permet de vous donner les trois liens demandés ci-dessus:
      frst http://pjjoint.malekal.com/files.php?id=FRST_20160510_z8c7y69j7
      addition http://pjjoint.malekal.com/files.php?id=20160510_g5k1313f13e6
      shotcut http://pjjoint.malekal.com/files.php?id=20160510_d11n7q6o9s15
      Merci de votre aide
      Cordialement
      Julien
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bizarre, les rapports que tu transmets ne sont pas entier.

    Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :


    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
    C:\Users\Clara\AppData\Roaming\Video.3gp
    c:\programdata\quickset
    Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
    reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
    reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
    Reboot:

    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    1
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voilou,

    Pour nettoyer tes clefs USB :

    1°) Brancher toutes les clefs USB et autres périphériques amovibles.
    • Télécharger Remediate VBS Worm
    • Lancer l'option B
    • Taper la lettre de la clef USB, par exemple, E et entrée

    [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    et ce sera good,

    Pour te protéger des infections amovibles type Wscript (Windows Script Host)
    Télécharge et installer Marmiton
    Clic sur Désactiver au niveau de Windows Script Host.
    Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

    Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

    1
    1. JodoDune Messages postés 2 Statut Membre
       
      Quand j'installe marmiton on me demande un mdp, et je ne comprends pas ce que tu veux dire par "Clic sur Désactiver au niveau de Windows Script Host" ... Désolé ahah je suis un peu lente ...
      Merci !
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > JodoDune Messages postés 2 Statut Membre
         
        le mot de passe est malekal
        c'est écrit sur la page de téléchargement.
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Si vous avez besoin d'aide, veuillez créer votre propre sujet en allant dans la partie Virus du forum et en cliquant sur le bouton Poser une question.
    Remplissez les champs et envoyer votre demande.



    1
  7. JodoDune Messages postés 2 Statut Membre
     
    Voilà ce que j'obtiens, le redémarrage c'est fait automatiquement :

    fixlist contenu:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
    C:\Users\Clara\AppData\Roaming\Video.3gp
    Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
    reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
    reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
    Reboot:

    Erreur: (0) Impossible de créer un point de restauration.
    Processus fermé avec succès.
    HKU\S-1-5-21-3744038216-4012881299-519130704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
    Impossible de déplacer "C:\Users\Clara\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
    C:\Windows\Tasks\SK.Enhancer-S-161304646.job => non trouvé(e).

    ========= reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

    L'op‚ration a r‚ussi.

    ========= Fin de Reg: =========

    ========= reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

    L'op‚ration a r‚ussi.

    ========= Fin de Reg: =========

    Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-09 17:47:27)

    C:\Users\Clara\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès

    Fin de Fixlog 17:47:27

    0
  8. JodoDune Messages postés 2 Statut Membre
     
    Vous me sauvez !

    Rem-VBSworm v7.0

    =========== - General info:

    Running under: Clara on profile: C:\Users\Clara
    Computer name: ORDINATEUR

    Operating System:
    Microsoft Windowsÿ7 dition Familiale Premium

    Boot Mode:
    Normal boot

    Antivirus software installed:
    avast! Antivirus

    Executed on: 09/04/2016 @ 17:59:28,67

    =========== - Drive info:

    Listing currently attached drives:
    Caption Description VolumeName

    C: Disque fixe local OS

    D: Disque fixe local Data

    E: Disque CD-ROM

    F: Disque amovible

    Physical drives information:
    C: \Device\HarddiskVolume2 NTFS
    D: \Device\HarddiskVolume3 NTFS
    F: \Device\HarddiskVolume4 exFAT

    =========== - Disinfection info:

    =========== - USB drive info:

    F: selected

    USB Device ID:
    IDE\DISKST9320325AS_____________________________0003SDM1\4&19E15798&0&0.0.0

    USBSTOR\DISK&VEN_SONY&PROD_STORAGE_MEDIA&REV_PMAP\5C071059D0E3156A71&0

    Fichier supprim‚ - F:\PHOTO FAMIlY.lnk
    Fichier supprim‚ - F:\syncguid.lnk
    Fichier supprim‚ - F:\VIDEO.lnk
    Fichier supprim‚ - F:\Nouveau dossier.lnk
    Fichier supprim‚ - F:\DCIM.lnk
    Listing root contents of F:
    Le volume dans le lecteur F n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2CB9-EDFA

    R‚pertoire de F:\

    12/10/2015 11:59 121ÿ030 Video.3gp
    08/04/2016 13:49 36 syncguid.dat
    08/04/2016 13:50 <REP> VIDEO
    08/04/2016 13:50 <REP> DCIM
    2 fichier(s) 121ÿ066 octets
    2 R‚p(s) 62ÿ146ÿ609ÿ152 octets libres

    USB drive disinfected and files unhidden!!
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Supprime Video.3gp sur ta clef USB et voilou =)
      0
  9. Aranud87 Messages postés 277 Date d'inscription   Statut Contributeur Dernière intervention   3 299
     
    Eset 4.2...très vieux je te conseil de le mettre à jour en version 9 :

    https://www.eset.com/fr/home/products/smart-security/
    0
    1. Julien
       
      D'accord.
      Que dois-je faire après ?
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Julien
         
        Normalement plus rien.
        A part ce qui est dit dans mon message précédent.
        0
    2. Julien
       
      ah oui c'est bon super ! le raccourci photo famiiy sur le disque D ne réapparait plus quand je le supprime ! Merci beaucoup :)
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Julien
         
        de rien =)
        0
  10. Trombone
     
    Bonjour, j'ai également été infecté par un virus du même type, voici les rapports d'analyse :

    - Addition : http://pjjoint.malekal.com/files.php?id=20160621_u8b14y15t5k5

    - FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160621_n11c6w9z11z12

    - Shortcut : http://pjjoint.malekal.com/files.php?id=20160621_i15j10h15x5o7

    Je vous remercie d'avance de votre réponse :).
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

      Ouvre le bloc-notes : Touche Windows + R,
      Dans le champs "Exécuter", saisir notepad et OK.
      Copie/Colle dedans ce qui suit :

      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
      HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
      2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
      Reboot:


      Une fois, le texte collé dans le Bloc-notes,
      Menu "Fichier" puis "Enregistrer sous",
      A gauche, place toi sur le Bureau,

      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

      Relance FRST et clique sur le bouton "Corriger / Fix"
      Un redémarrage sera peut-être nécessaire ( pas obligatoire )
      Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


      Redémarre l'ordinateur.

      puis faire ce qui est en message #5 : Rem-VBS et Marmiton.
      0
  11. Trombone
     
    Merci de votre première réponse, voici le texte qui est apparu :

    Exécuté par Num (2016-06-21 22:00:29) Run:1
    Exécuté depuis C:\Users\Num\Desktop\FRST
    Profils chargés: Num (Profils disponibles: Num)
    Mode d'amorçage: Normal

    ==============================================

    fixlist contenu:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
    HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
    2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
    Reboot:

    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
    HKU\S-1-5-21-1064192849-657113169-665433704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
    Impossible de déplacer "C:\Users\Num\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.

    Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-21 22:02:27)

    C:\Users\Num\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès

    Fin de Fixlog 22:02:27

    0
  12. Trombone
     
    Re, j'ai utilisé les logiciels recommandés, donc voici le rapport Rem-VBS :

    Rem-VBSworm v8.0

    =========== - General info:

    Running under: Num on profile: C:\Users\Num
    Computer name: JULLIAN-PC

    Operating System:
    Microsoft Windowsÿ7 dition Int‚grale

    Boot Mode:
    Normal boot

    Antivirus software installed:

    Executed on: 21/06/2016 @ 22:08:51,91

    =========== - Drive info:

    Listing currently attached drives:
    Caption Description VolumeName

    C: Disque fixe local

    D: Disque fixe local R‚serv‚ au systŠme

    E: Disque fixe local

    F: Disque CD-ROM

    G: Disque amovible

    H: Disque amovible

    I: Disque amovible

    J: Disque amovible

    K: Disque amovible GOURMELIN

    Physical drives information:
    C: \Device\HarddiskVolume1 NTFS
    D: \Device\HarddiskVolume2 NTFS
    E: \Device\HarddiskVolume3 NTFS
    K: \Device\HarddiskVolume4 FAT

    =========== - Disinfection info:

    =========== - USB drive info:

    K: selected

    USB Device ID:
    IDE\DISKMAXTOR_6V080E0__________________________VA111630\5&EBBD404&0&0.0.0

    IDE\DISKST3500418AS_____________________________CC46____\5&379CED66&0&1.0.0

    USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070B388592213F42&0

    USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00\20021111153705700&0

    USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.00\20021111153705700&3

    USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\20021111153705700&2

    USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.00\20021111153705700&1

    Fichier supprim‚ - K:\VIDEO.lnk
    Fichier supprim‚ - K:\PHOTO FAMIlY.lnk
    Fichier supprim‚ - K:\Nouveau dossier.lnk
    Fichier supprim‚ - K:\DCIM.lnk
    Listing root contents of K:
    Le volume dans le lecteur K s'appelle GOURMELIN
    Le num‚ro de s‚rie du volume est 4470-FFCF

    R‚pertoire de K:\

    ----------------------------

    Par contre, il reste PHOTO FAMIY sur mon disque local E (qui est un disque dur qui me sert pour stocker mes données), du coup, devrais-je utiliser Remediate VBS sur ce disque aussi ou y a t'il une autre solution ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui tu peux bien sûr.
      0
    2. Trombone
       
      J'ai suivi vos démarches il y a quelques jours et désormais il n'y a plus ce problème, merci de votre aide :).
      0
  13. Soleil
     
    Bonjour, je rencontre actuellement le même type de problèmes que décris ci-dessus, donc j'ai réalisé l'analyse préconisée avec FRST.

    Voici les résultats des analyses :
    Shortcut : http://pjjoint.malekal.com/files.php?id=20160625_l13d6q8n8x13
    Addition : http://pjjoint.malekal.com/files.php?id=20160625_e6z15j12e13c5
    FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160625_h15p14k15k6y7

    Je vous remercie par avance de votre réponse :).
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,


      Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

      Ouvre le bloc-notes : Touche Windows + R,
      Dans le champs "Exécuter", saisir notepad et OK.
      Copie/Colle dedans ce qui suit :

      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
      2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp


      Une fois, le texte collé dans le Bloc-notes,
      Menu "Fichier" puis "Enregistrer sous",
      A gauche, place toi sur le Bureau,

      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

      Relance FRST et clique sur le bouton "Corriger / Fix"
      Un redémarrage sera peut-être nécessaire ( pas obligatoire )
      Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

      Redémarre l'ordinateur.
      0
    2. Soleil
       
      Voici les résultats de la correction :

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
      Exécuté par dominique1 (2016-06-26 11:22:06) Run:1
      Exécuté depuis C:\Users\dominique1\Desktop
      Profils chargés: dominique1 & caroline (Profils disponibles: dominique1 & caroline)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
      2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      HKU\S-1-5-21-718064900-3672066035-3243911331-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
      Impossible de déplacer "C:\Users\dominique1\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.

      Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-26 11:24:36)

      C:\Users\dominique1\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès

      Fin de Fixlog 11:24:36

      0
    3. Soleil
       
      Re, je viens d'effectuer le scan de VBS, en voici les résultats :


      =========== - Disinfection info:


      =========== - USB drive info:

      E: selected

      USB Device ID:
      SCSI\DISK&VEN_HITACHI&PROD_HDT725050VLA380\4&38FBD192&0&000000

      USBSTOR\DISK&VEN_&PROD_&REV_8.07\AU28151F50000003&0

      SCSI\DISK&VEN_ST350041&PROD_8AS\4&38FBD192&0&010000




      Fichier supprim‚ - E:\PHOTO FAMIlY.lnk
      Fichier supprim‚ - E:\System Volume Information.lnk
      Fichier supprim‚ - E:\Nouveau dossier.lnk
      Fichier supprim‚ - E:\VIDEO.lnk
      Fichier supprim‚ - E:\DCIM.lnk
      WARNING... Possible Andromeda/Gamarue infection...
      Listing root contents of E:
      Le volume dans le lecteur E n'a pas de nom.
      Le num‚ro de s‚rie du volume est BE7B-C394

      R‚pertoire de E:\

      12/10/2015 10:59 121ÿ030 Video.3gp
      25/06/2016 05:49 <DIR> DCIM
      25/06/2016 05:49 <DIR> VIDEO
      1 fichier(s) 121ÿ030 octets
      3 R‚p(s) 7ÿ744ÿ077ÿ824 octets libres

      USB drive disinfected and files unhidden!!

      Op‚ration r‚ussieÿ: le processus avec PID 5764 a ‚t‚ termin‚.
      Op‚ration r‚ussieÿ: le processus avec PID 6220 a ‚t‚ termin‚.

      Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

      =========== - Shortcut info:

      Shortcut: !shortcut!
      ----------------------------------------------------------------
      Shortcut: !shortcut!
      ----------------------------------------------------------------

      =========== - Scheduled tasks info:


      Je vous remercie de votre aide :).
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Soleil
         
        Ca doit rouler,


        Pour te protéger des infections amovibles type Wscript (Windows Script Host)
        Télécharger et installer Marmiton
        (le mot de passe est malekal)
        Clic sur Désactiver au niveau de Windows Script Host.
        Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
        0
  14. Claire2169
     
    Bonjour,

    Mon ordinateur a aussi été infecté par ce virus.

    J'ai effectuée l'analyse préconisée avec FRST. Voici les 3 rapports :

    FRST - ADDITION - SHORTCUT

    http://pjjoint.malekal.com/files.php?id=FRST_20160706_g5d5h1513t12
    http://pjjoint.malekal.com/files.php?id=20160706_t14o15q11e85
    http://pjjoint.malekal.com/files.php?id=20160706_z11h14e12c6f14

    Un grand merci pour votre aide!
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Hello,

      Pour te protéger des infections amovibles type Wscript (Windows Script Host)
      Télécharger et installer Marmiton
      (le mot de passe est malekal)
      Clic sur Désactiver au niveau de Windows Script Host.
      Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

      puis :


      Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

      Ouvre le bloc-notes : Touche Windows + R,
      Dans le champs "Exécuter", saisir notepad et OK.
      Copie/Colle dedans ce qui suit :

      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
      2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
      EmptyTemp:


      Une fois, le texte collé dans le Bloc-notes,
      Menu "Fichier" puis "Enregistrer sous",
      A gauche, place toi sur le Bureau,

      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

      Relance FRST et clique sur le bouton "Corriger / Fix"
      Un redémarrage sera peut-être nécessaire ( pas obligatoire )
      Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


      Redémarre l'ordinateur.
      0
      1. Claire2169 > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        J'ai désinfecté mes clés USB via tes explications (plus haut).
        J'ai installé marmiton et renforcé la sécurité de mon ordinateur en suivant les explications de ton blog/forum, qui va clairement devenir ma référence en cas de souci informatique.

        Voici le message fixlog :

        Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-07-2016
        Exécuté par Claire Bedu (2016-07-06 23:24:22) Run:1
        Exécuté depuis C:\Users\Claire Bedu\Desktop\Logiciels utiles
        Profils chargés: Claire Bedu & (Profils disponibles: Claire Bedu)
        Mode d'amorçage: Normal
        ==============================================

        fixlist contenu:

        CreateRestorePoint:
        CloseProcesses:
        HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
        2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
        EmptyTemp:


        Le Point de restauration a été créé avec succès.
        Processus fermé avec succès.
        HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
        C:\Users\Claire Bedu\AppData\Roaming\Video.3gp => déplacé(es) avec succès

        =========== EmptyTemp: ==========

        BITS transfer queue => 8388608 B
        DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10671405 B
        Java, Flash, Steam htmlcache => 595 B
        Windows/system/drivers => 6399416 B
        Edge => 0 B
        Chrome => 81270673 B
        Firefox => 0 B
        Opera => 0 B

        Temp, IE cache, history, cookies, recent:
        Default => 0 B
        ProgramData => 0 B
        Public => 0 B
        systemprofile => 230606 B
        systemprofile32 => 17542338 B
        LocalService => 836 B
        NetworkService => 191546416 B
        Claire Bedu => 22073936 B

        RecycleBin => 1896099 B
        EmptyTemp: => 324.3 MB données temporaires supprimées.

        ================================


        Le système a dû redémarrer.

        Fin de Fixlog 23:26:38

        J'espère que c'est bon? Le fichier a disparu de l'emplacement où il se trouvait avant...

        En tout cas un énorme merci pour ton aide et ta réactivité !
        0
      2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Claire2169
         
        oui c'est niquel :)
        Pas de soucis!
        0
  15. Popo3728 Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour, j'ai également été infecté par un virus du même type, voici les rapports d'analyse :

    https://pjjoint.malekal.com/files.php?id=20160812_h5g8r12n13m6

    https://pjjoint.malekal.com/files.php?id=FRST_20160812_n14x6m8l7q11

    https://pjjoint.malekal.com/files.php?id=20160812_t14p11w11e14j10

    Je n'ai pas branché mes clef USB qui ont pu être infecté, fallait-il le faire pendant l'analyse ?

    Merci d'avance pour ton aide :)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      yep, je confirme.

      Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

      Ouvre le bloc-notes : Touche Windows + R,
      Dans le champs "Exécuter", saisir notepad et OK.
      Copie/Colle dedans ce qui suit :

      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-1112499590-2824273211-3812243857-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Pauline\AppData\Roaming\Video.3gp
      2016-07-11 08:59 - 2015-10-12 10:59 - 0121030 ___SH () C:\Users\Pauline\AppData\Roaming\Video.3gp
      EmptyTemp:
      Reboot:


      Une fois, le texte collé dans le Bloc-notes,
      Menu "Fichier" puis "Enregistrer sous",
      A gauche, place toi sur le Bureau,
      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

      Relance FRST et clique sur le bouton "Corriger / Fix"
      Un redémarrage sera peut-être nécessaire ( pas obligatoire )
      Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

      Redémarre l'ordinateur.

      puis Marmiton et Rem-VBS.
      0