Virus USB Raccourcis - WindowsProviderDLL.vbe

[Résolu/Fermé]
Signaler
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016
-
Messages postés
1
Date d'inscription
mardi 27 décembre 2016
Statut
Membre
Dernière intervention
28 décembre 2016
-
Bonjour,

c'est un problème apparemment "traditionnel", mais je vois que chaque cas est traité dans un sujet différent, donc je poste le mien.
Problème de clé usb dont les fichiers et dossiers sont transformés en raccourcis, avec ouverture d'une nouvelle fenêtre quand on clique dessus. Le PC est sûrement lui aussi infecté.
Avira m'a mis en quarantaine tous les éléments de ma première clé infectée, que j'ai restaurés, ne voulant pas les perdre. Maintenant 2 clés touchées.
J'ai utilisé usbfix, v9.002, et j'ai cru avoir résolu le problème. Mais en ré utilisant mes clés, le problème était revenu.
J'ai essayé usbfix 9.003, qui n'a pas eu d'effet.

Merci d'avance pour votre aide,
cordialement

10 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903
Salut,


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903
Mets bien Marmiton pour te protéger de ces scripts malicieux.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\...\Run: [WindowsProviderDLL] => wscript.exe //B "C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe"
2016-11-16 16:41 - 2015-03-18 21:07 - 0870700 ____N () C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

~~
2°) Relancer "Remediate VBS Worm"
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
1
Date d'inscription
mardi 27 décembre 2016
Statut
Membre
Dernière intervention
28 décembre 2016

Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

Merci encore.
Oui, j'ai bien installé Marmiton en premier lieu.
Correction FRST effectuée, une notification d'Avira "Fichiers hôtes bloqués" mais qui n'a pas interrompu le processus.
Voici le txt fixlog créé par la correction FRST, j'enchaîne avec "Remediate VBS Worm" :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-11-2016
Exécuté par Petrouchka (17-11-2016 17:16:26) Run:1
Exécuté depuis C:\Users\Petrouchka\Desktop
Profils chargés: Petrouchka (Profils disponibles: Petrouchka)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\...\Run: [WindowsProviderDLL] => wscript.exe //B "C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe"
2016-11-16 16:41 - 2015-03-18 21:07 - 0870700 ____N () C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsProviderDLL => valeur supprimé(es) avec succès
C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe => déplacé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 169491318 B
Java, Flash, Steam htmlcache => 4507 B
Windows/system/drivers => 23985797 B
Edge => 101032163 B
Chrome => 107520 B
Firefox => 406346163 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12466 B
NetworkService => 3226 B
Petrouchka => 150626312 B

RecycleBin => 3773 B
EmptyTemp: => 812.2 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 17:16:53

Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

Rapport Rem VBS pour la clé 1 :

Rem-VBSworm v8.0

=========== - General info:

Running under: Petrouchka on profile: C:\Users\Petrouchka
Computer name: PETROUCHKA

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Avira Antivirus

Windows Defender


Executed on: 17/11/2016 @ 17:46:57,76

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local Acer

D: Disque amovible Lexar




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume5 FAT

=========== - Disinfection info:


=========== - USB drive info:

D:: selected

USB Device ID:
SCSI\DISK&VEN_&PROD_KINGSTON_RBU-SC1\4&3B39A9F3&0&000000

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AAI7O24O5NE0DX5N&0




Listing root contents of D::
Le volume dans le lecteur D s'appelle Lexar
Le num‚ro de s‚rie du volume est 210D-C1D7

R‚pertoire de D:\


USB drive disinfected and files unhidden!!
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

Rapport Rem VBS pour la clé 2 :


=========== - USB drive info:

E:: selected

USB Device ID:
SCSI\DISK&VEN_&PROD_KINGSTON_RBU-SC1\4&3B39A9F3&0&000000

USBSTOR\DISK&VEN_LEXAR&PROD_USB_FLASH_DRIVE&REV_1100\AABSXS9UYAYDFB6A&0




Listing root contents of E::
Le volume dans le lecteur E s'appelle Lexar
Le num‚ro de s‚rie du volume est 1216-5788

R‚pertoire de E:\


USB drive disinfected and files unhidden!!
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903
Plus de soucis ?
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

Sur la clé 1 :
Les fichiers et dossiers se présentent toujours sous la forme de raccourcis, même fonctionnement qu'avant : les dossiers s'ouvrent dans une nouvelle fenêtre.
Mais à chaque ouverture (de fichier ou dossier) : notification de Marmiton qui dit avoir bloqué le script.

Clé 2 : idem.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903
affiche les fichiers cachés et systèmes, ainsi que les extensions de ficheirs
Nettoye les clés manuellement.
Liste les fichiers en détails sur la clé.

Supprime tous les raccourcis qui ont le même nom que tes données.
Sélectionne tous tes dossiers/fichiers
clic droit puis propriétés
et décoche cachés.

Si tu vois un fichier type .vbs, .vbe
supprime le.
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

OK, j'ai affiché cachés, systèmes et extensions.
Les fichiers et dossiers s'affichent 'non raccourcis' s'affichent en 'transparence'.
J'ai testé sur un fichier pdf : ai supprimé le raccourci, puis propriété du fichier 'transparent' -> je ne peux pas décoché 'caché'.
J'ai supprimé un fichier appelé .vbt5
Toujours pas possible de décoché 'caché' sur le pdf.
Dois-je supprimé tous les raccourcis, sans risque de perdre les données ?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903
supprime déjà tous les raccourcis, je te donnerai une commande à passer pour remettre les fichiers "normal".
Quelle est la lettre de la clé USB,
lettre E ?
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016
>
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Lettre D: pour celle là.
C'est E: pour l'autre, après avoir ôté la première et mis la 2 sur le même port.

Sur les 2 j'ai supprimé un fichier WindowsProviderDLL.vbe
Tous les raccourcis sont supprimés.

Je remarque sur la 2 les dossiers :
.fsevenstd
.SpotlightV100
.Trashes
et le fichier
._.Trashes

Idem pour la 1, sans le .fsevenstd
Trashes, je me doute de ce que c'est, mais le reste ?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903 >
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

Ouvre une invite de commandes par un clic droit sur le menu Démarrer
puis invite de commandes en admin

passe cette commande :

attrib -r -s -h /S /D E:\*.*


et pareil avec D:\*.*
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016
>
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Perfeto !
En espérant que ça tienne.
Y-a t-il un risque que ça se reproduise, notamment sur une nouvelle clé usb ?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903
Non Marmiton va te protéger.

Par contre, tu as probablement infecté ta clé USB sur un autre PC.
Donc tu peux récupérer une clé infectée à tout moment.
Faudra la nettoyer.
Mais ton PC ne sera plus infecté comme là, grâce à Marmiton.

Si tu as une idée, quel ordinateur infecté est à la source ton infection (amis etc).
On peut le nettoyer.
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

OK.
Très grand merci, pour ton savoir et ton temps, et pour le site Malekal qu'il faudrait que je prenne le temps d'explorer !
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 903 >
Messages postés
10
Date d'inscription
mercredi 16 novembre 2016
Statut
Membre
Dernière intervention
17 novembre 2016

de rien :)