Comment se debarasser de VBS malware-gen
Résolu/Fermé
alquint
Messages postés
5
Date d'inscription
vendredi 6 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
-
6 mai 2016 à 13:39
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 mai 2016 à 21:34
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 mai 2016 à 21:34
A voir également:
- Remediate vbs worm
- Vbs windows - Guide
- Vbs worm ✓ - Forum Virus
- Vbs pause ✓ - Forum Autoit / batch
- Vbs runauto - Forum Virus
- Vbs edit - Télécharger - Édition & Programmation
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
6 mai 2016 à 13:41
6 mai 2016 à 13:41
Salut,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
puis :
Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
1°) Remediate VBS Worm
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
2°) Relancer "Remediate VBS Worm"
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
puis :
Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
1°) Remediate VBS Worm
1°) Brancher toutes les clefs USB et autres périphériques amovibles.
- Télécharger Remediate VBS Worm
- Lancer l'option A ( appuyer sur A et entrée )
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
2°) Relancer "Remediate VBS Worm"
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
alquint
Messages postés
5
Date d'inscription
vendredi 6 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
Modifié par alquint le 6/05/2016 à 14:25
Modifié par alquint le 6/05/2016 à 14:25
Rem-VBSworm v7.0
=========== - General info:
Running under: NZ on profile: C:\Users\NZ
Computer name: NZ-PC
Operating System:
Microsoft Windowsÿ7 dition Familiale Premium
Boot Mode:
Normal boot
Antivirus software installed:
avast! Antivirus
Executed on: 06/05/2016 @ 14:07:33,19
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Acer
D: Disque CD-ROM
F: Disque fixe local Elements
Q: Disque fixe local
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
Q: \Device\SftVol <Unknown>
F: \Device\HarddiskVolume8 NTFS
=========== - Disinfection info:
Deleting Run key: Format
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=========== - General info:
Running under: NZ on profile: C:\Users\NZ
Computer name: NZ-PC
Operating System:
Microsoft Windowsÿ7 dition Familiale Premium
Boot Mode:
Normal boot
Antivirus software installed:
avast! Antivirus
Executed on: 06/05/2016 @ 14:07:33,19
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Acer
D: Disque CD-ROM
F: Disque fixe local Elements
Q: Disque fixe local
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
Q: \Device\SftVol <Unknown>
F: \Device\HarddiskVolume8 NTFS
=========== - Disinfection info:
Deleting Run key: Format
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
alquint
Messages postés
5
Date d'inscription
vendredi 6 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 14:11
6 mai 2016 à 14:11
Rem-VBSworm v7.0
=========== - General info:
Running under: NZ on profile: C:\Users\NZ
Computer name: NZ-PC
Operating System:
Microsoft Windowsÿ7 dition Familiale Premium
Boot Mode:
Normal boot
Antivirus software installed:
avast! Antivirus
Executed on: 06/05/2016 @ 14:07:33,19
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Acer
D: Disque CD-ROM
F: Disque fixe local Elements
Q: Disque fixe local
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
Q: \Device\SftVol <Unknown>
F: \Device\HarddiskVolume8 NTFS
=========== - Disinfection info:
Deleting Run key: Format
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=========== - USB drive info:
F: selected
USB Device ID:
IDE\DISKWDC_WD3200BPVT-22ZEST0__________________01.01A01\4&D22C5F5&0&0.0.0
USBSTOR\DISK&VEN_WD&PROD_ELEMENTS_1078&REV_1065\575841314535344E48533137&0
WARNING
Listing root contents of F:
Le volume dans le lecteur F s'appelle Elements
Le num‚ro de s‚rie du volume est 1AEA-6007
R‚pertoire de F:\
18/03/2013 03:33 735ÿ183ÿ688 Guns.Girls.and.Gambling..avi
25/11/2013 02:44 734ÿ865ÿ412 Inbred.2011.STV.FRENCH.DVDRiP.zone-telechargement.com.avi
28/07/2014 10:51 <REP> WD Smartware Pro Free Trial
12/11/2014 23:09 <REP> autorun
15/11/2014 19:16 <REP> $RECYCLE.BIN
04/02/2015 16:44 733ÿ023ÿ024 Rage.2014.TRUEFRENCH.BRRiP.XviD-Slay3R.zone-telechargement.com.avi
11/02/2015 01:32 1ÿ464ÿ291ÿ335 Nightcrawler.2014.FRENCH.DVDRIP.XVID.AC3-PREM.zone-telechargement.com.avi
19/02/2015 02:28 <REP> ca04d98355d3b43bae3b8e
28/02/2015 00:27 719ÿ820ÿ803 At.The.Devil's.Door.2014.TRUEFRENCH.DVDRiP.XViD-ARTEFAC.zone-telechargement.com.avi
15/03/2015 17:38 1ÿ496ÿ989ÿ713 La.Prochaine.fois.je.Viserai.le.Coeur.2014.FRENCH.BRRip.XviD.AC3-S.V.zone-telechargement.com.avi
15/03/2015 19:09 743ÿ933ÿ679 Refroidis.2014.VOSTFR.BRRip.XviD-BLUB.zone-telechargement.com.avi
03/04/2015 00:02 1ÿ464ÿ932ÿ360 Outcast.2015.FRENCH.DVDRIP.XVID.AC3-PREM.zone-telechargement.com.avi
10/04/2015 23:30 731ÿ916ÿ294 Wolf.Creek.2.2013.TRUEFRENCH.BRRip.XviD-BzH.zone-telechargement.com.avi
11/04/2015 00:38 732ÿ403ÿ736 Wolf.Creek.UNRATED.FRENCH.DVDRiP.XViD-RULE-www.Zone-Telechargement.com.avi
24/05/2015 23:23 <REP> ea7835aa51a99d376ed316
12/06/2015 20:46 734ÿ230ÿ541 Ex.Machina.2015.FRENCH.BDRiP.XViD-AViTECH-www.Zone-Telechargement.com.avi
12/10/2015 10:59 121ÿ030 Video.3gp
26/10/2015 00:50 <REP> e41de0f7e611d0f448a542708c
29/03/2016 03:16 <REP> vrac
02/04/2016 00:26 1ÿ507ÿ971ÿ902 Easy.Money.I.2010.VOSTFR.TVRiP.XviD.KisKouL-www.Zone-Telechargement.com.avi
02/04/2016 01:59 1ÿ366ÿ157ÿ312 Easy.Money.2.2012.FRENCH.DVDRiP.XViD.MP3.-www.Zone-Telechargement.com.avi
02/04/2016 02:29 1ÿ466ÿ708ÿ644 Easy.Money.III.2013.VOSTFR.TVRiP.XviD.KisKouL-www.Zone-Telechargement.com.avi
06/05/2016 14:03 <REP> Autorun.inf
15 fichier(s) 14ÿ632ÿ549ÿ473 octets
8 R‚p(s) 314ÿ034ÿ786ÿ304 octets libres
USB drive disinfected and files unhidden
=========== - General info:
Running under: NZ on profile: C:\Users\NZ
Computer name: NZ-PC
Operating System:
Microsoft Windowsÿ7 dition Familiale Premium
Boot Mode:
Normal boot
Antivirus software installed:
avast! Antivirus
Executed on: 06/05/2016 @ 14:07:33,19
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Acer
D: Disque CD-ROM
F: Disque fixe local Elements
Q: Disque fixe local
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
Q: \Device\SftVol <Unknown>
F: \Device\HarddiskVolume8 NTFS
=========== - Disinfection info:
Deleting Run key: Format
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.
=========== - Shortcut info:
=========== - Scheduled tasks info:
Commentaire: Collecteur d'informations r‚seau
=========== - USB drive info:
F: selected
USB Device ID:
IDE\DISKWDC_WD3200BPVT-22ZEST0__________________01.01A01\4&D22C5F5&0&0.0.0
USBSTOR\DISK&VEN_WD&PROD_ELEMENTS_1078&REV_1065\575841314535344E48533137&0
WARNING
Listing root contents of F:
Le volume dans le lecteur F s'appelle Elements
Le num‚ro de s‚rie du volume est 1AEA-6007
R‚pertoire de F:\
18/03/2013 03:33 735ÿ183ÿ688 Guns.Girls.and.Gambling..avi
25/11/2013 02:44 734ÿ865ÿ412 Inbred.2011.STV.FRENCH.DVDRiP.zone-telechargement.com.avi
28/07/2014 10:51 <REP> WD Smartware Pro Free Trial
12/11/2014 23:09 <REP> autorun
15/11/2014 19:16 <REP> $RECYCLE.BIN
04/02/2015 16:44 733ÿ023ÿ024 Rage.2014.TRUEFRENCH.BRRiP.XviD-Slay3R.zone-telechargement.com.avi
11/02/2015 01:32 1ÿ464ÿ291ÿ335 Nightcrawler.2014.FRENCH.DVDRIP.XVID.AC3-PREM.zone-telechargement.com.avi
19/02/2015 02:28 <REP> ca04d98355d3b43bae3b8e
28/02/2015 00:27 719ÿ820ÿ803 At.The.Devil's.Door.2014.TRUEFRENCH.DVDRiP.XViD-ARTEFAC.zone-telechargement.com.avi
15/03/2015 17:38 1ÿ496ÿ989ÿ713 La.Prochaine.fois.je.Viserai.le.Coeur.2014.FRENCH.BRRip.XviD.AC3-S.V.zone-telechargement.com.avi
15/03/2015 19:09 743ÿ933ÿ679 Refroidis.2014.VOSTFR.BRRip.XviD-BLUB.zone-telechargement.com.avi
03/04/2015 00:02 1ÿ464ÿ932ÿ360 Outcast.2015.FRENCH.DVDRIP.XVID.AC3-PREM.zone-telechargement.com.avi
10/04/2015 23:30 731ÿ916ÿ294 Wolf.Creek.2.2013.TRUEFRENCH.BRRip.XviD-BzH.zone-telechargement.com.avi
11/04/2015 00:38 732ÿ403ÿ736 Wolf.Creek.UNRATED.FRENCH.DVDRiP.XViD-RULE-www.Zone-Telechargement.com.avi
24/05/2015 23:23 <REP> ea7835aa51a99d376ed316
12/06/2015 20:46 734ÿ230ÿ541 Ex.Machina.2015.FRENCH.BDRiP.XViD-AViTECH-www.Zone-Telechargement.com.avi
12/10/2015 10:59 121ÿ030 Video.3gp
26/10/2015 00:50 <REP> e41de0f7e611d0f448a542708c
29/03/2016 03:16 <REP> vrac
02/04/2016 00:26 1ÿ507ÿ971ÿ902 Easy.Money.I.2010.VOSTFR.TVRiP.XviD.KisKouL-www.Zone-Telechargement.com.avi
02/04/2016 01:59 1ÿ366ÿ157ÿ312 Easy.Money.2.2012.FRENCH.DVDRiP.XViD.MP3.-www.Zone-Telechargement.com.avi
02/04/2016 02:29 1ÿ466ÿ708ÿ644 Easy.Money.III.2013.VOSTFR.TVRiP.XviD.KisKouL-www.Zone-Telechargement.com.avi
06/05/2016 14:03 <REP> Autorun.inf
15 fichier(s) 14ÿ632ÿ549ÿ473 octets
8 R‚p(s) 314ÿ034ÿ786ÿ304 octets libres
USB drive disinfected and files unhidden
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
6 mai 2016 à 14:19
6 mai 2016 à 14:19
12/10/2015 10:59 121ÿ030 Video.3gp
C'est cette infection : https://www.malekal.com/virus-vbs-crypt-virus-usb-raccourcis/
Marmiton devrait t'en protéger.
Après tu peux aller supprimer le fichier Video.3gp sur tes clefs.
Pour voir si encore actif :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
C'est cette infection : https://www.malekal.com/virus-vbs-crypt-virus-usb-raccourcis/
Marmiton devrait t'en protéger.
Après tu peux aller supprimer le fichier Video.3gp sur tes clefs.
Pour voir si encore actif :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
alquint
Messages postés
5
Date d'inscription
vendredi 6 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 15:00
6 mai 2016 à 15:00
les clés et le disque dur externe ont été nettoyés.
J'ai lancé un scan complet du PC; ça a l'air ok pour l'instant.
Je vous tiens au courant du reste des opérations
Un grand merci pour tout.
J'ai lancé un scan complet du PC; ça a l'air ok pour l'instant.
Je vous tiens au courant du reste des opérations
Un grand merci pour tout.
alquint
Messages postés
5
Date d'inscription
vendredi 6 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 15:48
6 mai 2016 à 15:48
les liens pjjoint :
https://pjjoint.malekal.com/files.php?id=20160506_t15n15n10l5y11
https://pjjoint.malekal.com/files.php?id=FRST_20160506_s5c11i9b13v6
https://pjjoint.malekal.com/files.php?id=20160506_j8c9i9x12p9
Le scan rapide de ma machine n'a pas indiqué de menaces; elle semble nettoyée. Je lancerai un scan méticuleu ce soir pour vérifier.
Grand merci pour votre aide.
https://pjjoint.malekal.com/files.php?id=20160506_t15n15n10l5y11
https://pjjoint.malekal.com/files.php?id=FRST_20160506_s5c11i9b13v6
https://pjjoint.malekal.com/files.php?id=20160506_j8c9i9x12p9
Le scan rapide de ma machine n'a pas indiqué de menaces; elle semble nettoyée. Je lancerai un scan méticuleu ce soir pour vérifier.
Grand merci pour votre aide.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
6 mai 2016 à 20:28
6 mai 2016 à 20:28
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3022122342-1435775178-133175828-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\NZ\AppData\Roaming\Video.3gp
C:\Users\NZ\AppData\Roaming\Video.3gp
reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Correction faite.
Voici le fichier texte post-opératoire :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:09-05-2016
Exécuté par NZ (2016-05-09 19:31:52) Run:1
Exécuté depuis C:\Users\NZ\Desktop
Profils chargés: NZ (Profils disponibles: NZ)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3022122342-1435775178-133175828-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\NZ\AppData\Roaming\Video.3gp
C:\Users\NZ\AppData\Roaming\Video.3gp
reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-3022122342-1435775178-133175828-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
C:\Users\NZ\AppData\Roaming\Video.3gp => déplacé(es) avec succès
Le système a dû redémarrer.
Merci.
Voici le fichier texte post-opératoire :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:09-05-2016
Exécuté par NZ (2016-05-09 19:31:52) Run:1
Exécuté depuis C:\Users\NZ\Desktop
Profils chargés: NZ (Profils disponibles: NZ)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3022122342-1435775178-133175828-1000\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\NZ\AppData\Roaming\Video.3gp
C:\Users\NZ\AppData\Roaming\Video.3gp
reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-3022122342-1435775178-133175828-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
C:\Users\NZ\AppData\Roaming\Video.3gp => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 19:32:41
J'attends votre analyse.Merci.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
9 mai 2016 à 20:03
9 mai 2016 à 20:03
Un petit coup d'option B sur tes clefs pour les renettoyer.
Installe Marmiton et voilou.
Installe Marmiton et voilou.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
alquint
11 mai 2016 à 21:34
11 mai 2016 à 21:34
de rien =)
