Virus.Worm.VBS : Clef USB infectée (suite)

Résolu/Fermé
Trombone - 5 nov. 2016 à 14:42
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 nov. 2016 à 17:31
Bonjour,

En raison de l'impossibilité de poster davantage sur l'ancien topic pour gérer ce problème, j'en crée un nouveau pour déclarer mon virus.

Voici les rapports requis :
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20161105_w15e8j13e8x15
Addition : http://pjjoint.malekal.com/files.php?id=20161105_h8q7n8r6b7
Shortcut : http://pjjoint.malekal.com/files.php?id=20161105_x11p12q14r10v6

Je vous remercie par avance de votre réponse.

3 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 615
5 nov. 2016 à 14:46
Salut,

Voici les étapes à réaliser.

1/

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
0
Merci, je viens de suivre les étapes, voici le contenu de Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 03-11-2016
Exécuté par Num (05-11-2016 14:51:04) Run:2
Exécuté depuis C:\Users\Num\Desktop
Profils chargés: Num (Profils disponibles: Num)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 96703091 B
Java, Flash, Steam htmlcache => 154409542 B
Windows/system/drivers => 16051519 B
Edge => 0 B
Chrome => 0 B
Firefox => 379867100 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 84313 B
LocalService => 134542 B
NetworkService => 162188 B
Num => 116922336 B

RecycleBin => 0 B
EmptyTemp: => 737 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 14:54:38

0
Bonjour, je souffre du même virus que Trombone :

FRST : http://pjjoint.malekal.com/files.php?id=FRST_20161105_h13p9n13v14t9

Addition : http://pjjoint.malekal.com/files.php?id=20161105_s9y11e11j5u11

Shortcut : http://pjjoint.malekal.com/files.php?id=20161105_t14v6g9q5s13

Merci d'avance :).
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 615
5 nov. 2016 à 15:32
Installe bien Marmiton et désactive Windows Script Hosting.

Utilise l'option B de Remediate VBS Worm pour nettoyer tes clés USB et autres médias amovibles.

Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
En plus il se charge au démarrage, ce qui peut ralentir le démarrage.
0
J'ai suivi vos conseils, cependant il semblerait qu'il persiste un dossier ("System Volum Information") sur ma clé USB.

J'ai essayé plusieurs fois la désinfection sur cette clé (K), et sur un autre disque (E, lui ça a fonctionné), voici le rapport que j'ai eu de VBS : http://pjjoint.malekal.com/files.php?id=20161105_z6c15x5l11e5
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 615 > Trombone
5 nov. 2016 à 16:28
Ce dossier est relative à la restauration du système.
Il n'est pas malicieux.

Vérifie si tu as le fichier Video.3gp sur tes clés etc.
Si oui, supprime le.
0
Parfait, cela me semble résolu (par contre, ma clé USB n'a plus son "nom", mais bon, ce n'est pas important ^^).

En tous cas, merci encore et bonne soirée.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 615 > Trombone
5 nov. 2016 à 17:31
bravo =)
0