Avast détecte - Vbs:downloader-ajv[trj] - branchement clés usb
Bouztiflex
Messages postés
11
Date d'inscription
Statut
Membre
Dernière intervention
-
Bouztiflex Messages postés 11 Date d'inscription Statut Membre Dernière intervention -
Bouztiflex Messages postés 11 Date d'inscription Statut Membre Dernière intervention -
Bonjour, je viens ici chercher de l'aide, étant un noob en informatique. Y'aurait-il une âme charitable prête à m'aider ?
Depuis une semaine tout au plus, quand je branche mes clés usb (ancienne comme neuve, achetée hier) dans n'importe quel port de mon ordinateur, avast affiche en boucle une alerte virus :
Objet : f:\manuel.doc[embedded:msencoded] infection : Vbs:downloader-ajv[trj] Processus c:\windows\system32\wscript.exe
Apparement, avast bloque la menace mais quand je lance un scan il ne la détecte pas. Je vous avoue être un peu perdu et ne plus pouvoir utiliser de clés usb de peur d'infecter d'autres ordis me met un peu dans la galère pour ma recherche de taff :D
J'espère que l'un de vous pourra m'aider <3
Depuis une semaine tout au plus, quand je branche mes clés usb (ancienne comme neuve, achetée hier) dans n'importe quel port de mon ordinateur, avast affiche en boucle une alerte virus :
Objet : f:\manuel.doc[embedded:msencoded] infection : Vbs:downloader-ajv[trj] Processus c:\windows\system32\wscript.exe
Apparement, avast bloque la menace mais quand je lance un scan il ne la détecte pas. Je vous avoue être un peu perdu et ne plus pouvoir utiliser de clés usb de peur d'infecter d'autres ordis me met un peu dans la galère pour ma recherche de taff :D
J'espère que l'un de vous pourra m'aider <3
A voir également:
- Vbs downloader
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Vbs windows - Accueil - Optimisation
- Freemake video downloader - Télécharger - Téléchargement & Transfert
- Telecharger youtube downloader - Télécharger - Conversion & Codecs
- Flash video downloader - Télécharger - Téléchargement & Transfert
6 réponses
Salut,
Pour désinfecter ton média amovible infecté et t'en protéger :
1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
2/
Lance Rem VBS.
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
3/
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Pour désinfecter ton média amovible infecté et t'en protéger :
1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
2/
- Télécharger Remediate VBS Worm
Lance Rem VBS.
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
3/
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Voilà pour le rapport Rem-VBS worm :
Rem-VBSworm v8.0
=========== - General info:
Running under: Julien on profile: C:\Users\Julien
Computer name: PC-JUL
Operating System:
Microsoft Windows 8.1
Boot Mode:
Normal boot
Antivirus software installed:
Windows Defender
Avast Antivirus
Executed on: 04/11/2016 @ 18:54:22,82
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Windows
D: Disque fixe local RECOVERY
E: Disque CD-ROM
Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume5 NTFS
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
SCSI\DISK&VEN_HGST&PROD__HTS541075A9E680\4&3705FD32&0&000000
USBSTOR\DISK&VEN_WILK&PROD_GOODRAM_32GB&REV_PMAP\070B4BB4CDF60118&0
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 4052 a ‚t‚ arrˆt‚.
Fichier supprim‚ - F:\System Volume Information.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F s'appelle USB DISK
Le num‚ro de s‚rie du volume est 276A-0C64
R‚pertoire de F:\
0 fichier(s) 0 octets
1 R‚p(s) 32ÿ069ÿ615ÿ616 octets libres
USB drive disinfected and files unhidden!!
Rem-VBSworm v8.0
=========== - General info:
Running under: Julien on profile: C:\Users\Julien
Computer name: PC-JUL
Operating System:
Microsoft Windows 8.1
Boot Mode:
Normal boot
Antivirus software installed:
Windows Defender
Avast Antivirus
Executed on: 04/11/2016 @ 18:54:22,82
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque fixe local Windows
D: Disque fixe local RECOVERY
E: Disque CD-ROM
Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume5 NTFS
=========== - Disinfection info:
=========== - USB drive info:
F: selected
USB Device ID:
SCSI\DISK&VEN_HGST&PROD__HTS541075A9E680\4&3705FD32&0&000000
USBSTOR\DISK&VEN_WILK&PROD_GOODRAM_32GB&REV_PMAP\070B4BB4CDF60118&0
Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 4052 a ‚t‚ arrˆt‚.
Fichier supprim‚ - F:\System Volume Information.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F s'appelle USB DISK
Le num‚ro de s‚rie du volume est 276A-0C64
R‚pertoire de F:\
0 fichier(s) 0 octets
1 R‚p(s) 32ÿ069ÿ615ÿ616 octets libres
USB drive disinfected and files unhidden!!
Et pour le FRST scan :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161104_r14g14e11u106
Addition : https://pjjoint.malekal.com/files.php?id=20161104_e12o8o5f5t12
Shortcut : https://pjjoint.malekal.com/files.php?id=20161104_v13l10f9t14l14
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161104_r14g14e11u106
Addition : https://pjjoint.malekal.com/files.php?id=20161104_e12o8o5f5t12
Shortcut : https://pjjoint.malekal.com/files.php?id=20161104_v13l10f9t14l14
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
EmptyTemp:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 04-11-2016
Exécuté par Julien (05-11-2016 18:51:17) Run:1
Exécuté depuis C:\Users\Julien\Desktop
Profils chargés: Julien (Profils disponibles: Julien)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
EmptyTemp:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13153124 B
Java, Flash, Steam htmlcache => 770 B
Windows/system/drivers => 13955700 B
Edge => 0 B
Chrome => 588730381 B
Firefox => 7725168 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 258474 B
systemprofile32 => 0 B
LocalService => 9962 B
NetworkService => 0 B
Julien => 105263797 B
RecycleBin => 1479065030 B
EmptyTemp: => 2.1 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par Julien (05-11-2016 18:51:17) Run:1
Exécuté depuis C:\Users\Julien\Desktop
Profils chargés: Julien (Profils disponibles: Julien)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
EmptyTemp:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13153124 B
Java, Flash, Steam htmlcache => 770 B
Windows/system/drivers => 13955700 B
Edge => 0 B
Chrome => 588730381 B
Firefox => 7725168 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 258474 B
systemprofile32 => 0 B
LocalService => 9962 B
NetworkService => 0 B
Julien => 105263797 B
RecycleBin => 1479065030 B
EmptyTemp: => 2.1 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
J'étais en train de lancer FRST, tout en suivant le tuto, et la version n'arrête pas de se mettre à jour en boucle. Une fenêtre s'ouvre m'indiquant que l'outil est prêt à fonctionner, et directement FRST se relance et télécharge à nouveau une mise à jour, etc...
Farbar Recovery Scan Tool (x64) Version 03 - 11 - 2016.
- ou coupe internet
avant de le lancer et tu remets tout pendant le scan.
J'ai édité mon message, tu as deux étapes avant à faire.
Je n'ai pas compris la seconde question.