Sujet Précédent Sujet Suivant

Avast détecte - Vbs:downloader-ajv[trj] - branchement clés usb

Fermé
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018 - 4 nov. 2016 à 14:09
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018 - 6 nov. 2016 à 13:09
Bonjour, je viens ici chercher de l'aide, étant un noob en informatique. Y'aurait-il une âme charitable prête à m'aider ?

Depuis une semaine tout au plus, quand je branche mes clés usb (ancienne comme neuve, achetée hier) dans n'importe quel port de mon ordinateur, avast affiche en boucle une alerte virus :
Objet : f:\manuel.doc[embedded:msencoded] infection : Vbs:downloader-ajv[trj] Processus c:\windows\system32\wscript.exe
Apparement, avast bloque la menace mais quand je lance un scan il ne la détecte pas. Je vous avoue être un peu perdu et ne plus pouvoir utiliser de clés usb de peur d'infecter d'autres ordis me met un peu dans la galère pour ma recherche de taff :D

J'espère que l'un de vous pourra m'aider <3
A voir également:

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 4/11/2016 à 14:12
Salut,

Pour désinfecter ton média amovible infecté et t'en protéger :

1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

2/

Lance Rem VBS.
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


3/
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Veuillez appuyer sur une touche pour continuer la désinfection...
0
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
4 nov. 2016 à 14:25
Merci de la réponse fulgurante :)
J'étais en train de lancer FRST, tout en suivant le tuto, et la version n'arrête pas de se mettre à jour en boucle. Une fenêtre s'ouvre m'indiquant que l'outil est prêt à fonctionner, et directement FRST se relance et télécharge à nouveau une mise à jour, etc...
Farbar Recovery Scan Tool (x64) Version 03 - 11 - 2016.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
4 nov. 2016 à 14:27
- désactive ton antivirus avant
- ou coupe internet
avant de le lancer et tu remets tout pendant le scan.

J'ai édité mon message, tu as deux étapes avant à faire.
0
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
Modifié par Bouztiflex le 4/11/2016 à 14:47
Ok. L'endroit où est installé marmiton importe-il ? De plus, puis-je faire tourner VBS worm sur mon dd externe sachant que j'ai des données que je veux garder ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
4 nov. 2016 à 14:50
Non pour la question Marmiton.
Je n'ai pas compris la seconde question.
0
Réponse 2 / 6
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
4 nov. 2016 à 18:59
Voilà pour le rapport Rem-VBS worm :


Rem-VBSworm v8.0

=========== - General info:

Running under: Julien on profile: C:\Users\Julien
Computer name: PC-JUL

Operating System:
Microsoft Windows 8.1

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Avast Antivirus


Executed on: 04/11/2016 @ 18:54:22,82

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local Windows

D: Disque fixe local RECOVERY

E: Disque CD-ROM




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume5 NTFS

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
SCSI\DISK&VEN_HGST&PROD__HTS541075A9E680\4&3705FD32&0&000000

USBSTOR\DISK&VEN_WILK&PROD_GOODRAM_32GB&REV_PMAP\070B4BB4CDF60118&0




Op‚ration r‚ussieÿ: le processus "wscript.exe" de PID 4052 a ‚t‚ arrˆt‚.
Fichier supprim‚ - F:\System Volume Information.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F s'appelle USB DISK
Le num‚ro de s‚rie du volume est 276A-0C64

R‚pertoire de F:\

0 fichier(s) 0 octets
1 R‚p(s) 32ÿ069ÿ615ÿ616 octets libres

USB drive disinfected and files unhidden!!
0
Réponse 3 / 6
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
4 nov. 2016 à 19:21
Et pour le FRST scan :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161104_r14g14e11u106

Addition : https://pjjoint.malekal.com/files.php?id=20161104_e12o8o5f5t12

Shortcut : https://pjjoint.malekal.com/files.php?id=20161104_v13l10f9t14l14
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 nov. 2016 à 00:00
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-846176321-2079231116-2820575229-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db  
EmptyTemp:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
5 nov. 2016 à 19:01
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 04-11-2016
Exécuté par Julien (05-11-2016 18:51:17) Run:1
Exécuté depuis C:\Users\Julien\Desktop
Profils chargés: Julien (Profils disponibles: Julien)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
EmptyTemp:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-846176321-2079231116-2820575229-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13153124 B
Java, Flash, Steam htmlcache => 770 B
Windows/system/drivers => 13955700 B
Edge => 0 B
Chrome => 588730381 B
Firefox => 7725168 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 258474 B
systemprofile32 => 0 B
LocalService => 9962 B
NetworkService => 0 B
Julien => 105263797 B

RecycleBin => 1479065030 B
EmptyTemp: => 2.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 18:53:37

0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
6 nov. 2016 à 00:21
Mets bien Marmiton et désactive Windows Script Hosting.


0
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
6 nov. 2016 à 03:08
Vous voulez dire par là que je dois relancer le fix avec FRST avec marmiton activé et WSH désactivé ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
Modifié par Malekal_morte- le 6/11/2016 à 09:30
non :)
Normalement c'est terminé là.
0
Bouztiflex Messages postés 11 Date d'inscription dimanche 28 août 2016 Statut Membre Dernière intervention 5 janvier 2018
6 nov. 2016 à 13:09
Ok merci beaucoup de votre aide précieuse. Je clôture le sujet ?
0

Discussions similaires

Faire une pause en VBS
quent -
quent -

3 réponses