Virus USB Raccourcis - WindowsProviderDLL.vbe
Résolu
JeeG
Messages postés
10
Date d'inscription
Statut
Membre
Dernière intervention
-
copiste2016 Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
copiste2016 Messages postés 1 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
c'est un problème apparemment "traditionnel", mais je vois que chaque cas est traité dans un sujet différent, donc je poste le mien.
Problème de clé usb dont les fichiers et dossiers sont transformés en raccourcis, avec ouverture d'une nouvelle fenêtre quand on clique dessus. Le PC est sûrement lui aussi infecté.
Avira m'a mis en quarantaine tous les éléments de ma première clé infectée, que j'ai restaurés, ne voulant pas les perdre. Maintenant 2 clés touchées.
J'ai utilisé usbfix, v9.002, et j'ai cru avoir résolu le problème. Mais en ré utilisant mes clés, le problème était revenu.
J'ai essayé usbfix 9.003, qui n'a pas eu d'effet.
Merci d'avance pour votre aide,
cordialement
c'est un problème apparemment "traditionnel", mais je vois que chaque cas est traité dans un sujet différent, donc je poste le mien.
Problème de clé usb dont les fichiers et dossiers sont transformés en raccourcis, avec ouverture d'une nouvelle fenêtre quand on clique dessus. Le PC est sûrement lui aussi infecté.
Avira m'a mis en quarantaine tous les éléments de ma première clé infectée, que j'ai restaurés, ne voulant pas les perdre. Maintenant 2 clés touchées.
J'ai utilisé usbfix, v9.002, et j'ai cru avoir résolu le problème. Mais en ré utilisant mes clés, le problème était revenu.
J'ai essayé usbfix 9.003, qui n'a pas eu d'effet.
Merci d'avance pour votre aide,
cordialement
A voir également:
- Virus USB Raccourcis - WindowsProviderDLL.vbe
- Clé usb non détectée - Guide
- Usb show - Télécharger - Sauvegarde
- Hp usb disk storage format tool - Télécharger - Stockage
- Formater clé usb - Guide
- Clé usb - Accueil - Stockage
10 réponses
Salut,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
puis :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
puis :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Mets bien Marmiton pour te protéger de ces scripts malicieux.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
~~
2°) Relancer "Remediate VBS Worm"
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\...\Run: [WindowsProviderDLL] => wscript.exe //B "C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe"
2016-11-16 16:41 - 2015-03-18 21:07 - 0870700 ____N () C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
~~
- Télécharger Remediate VBS Worm
2°) Relancer "Remediate VBS Worm"
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
voici mes liens obtenus:
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20161227_o13k11o12f11g12
Addition: https://pjjoint.malekal.com/files.php?id=20161227_y9l8c7c8n9
Shortcut: https://pjjoint.malekal.com/files.php?id=20161227_m9n9e5y10o13s
prière de m'aider
FRST: https://pjjoint.malekal.com/files.php?id=FRST_20161227_o13k11o12f11g12
Addition: https://pjjoint.malekal.com/files.php?id=20161227_y9l8c7c8n9
Shortcut: https://pjjoint.malekal.com/files.php?id=20161227_m9n9e5y10o13s
prière de m'aider
Salut,
merci ! Voici les rapports :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161116_y7z6m7c8z9
Addition : https://pjjoint.malekal.com/files.php?id=20161116_y139z8y6g7
Shortcut : https://pjjoint.malekal.com/files.php?id=20161116_m12w5k14y9p6
merci ! Voici les rapports :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161116_y7z6m7c8z9
Addition : https://pjjoint.malekal.com/files.php?id=20161116_y139z8y6g7
Shortcut : https://pjjoint.malekal.com/files.php?id=20161116_m12w5k14y9p6
Merci encore.
Oui, j'ai bien installé Marmiton en premier lieu.
Correction FRST effectuée, une notification d'Avira "Fichiers hôtes bloqués" mais qui n'a pas interrompu le processus.
Voici le txt fixlog créé par la correction FRST, j'enchaîne avec "Remediate VBS Worm" :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-11-2016
Exécuté par Petrouchka (17-11-2016 17:16:26) Run:1
Exécuté depuis C:\Users\Petrouchka\Desktop
Profils chargés: Petrouchka (Profils disponibles: Petrouchka)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\...\Run: [WindowsProviderDLL] => wscript.exe //B "C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe"
2016-11-16 16:41 - 2015-03-18 21:07 - 0870700 ____N () C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsProviderDLL => valeur supprimé(es) avec succès
C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe => déplacé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 169491318 B
Java, Flash, Steam htmlcache => 4507 B
Windows/system/drivers => 23985797 B
Edge => 101032163 B
Chrome => 107520 B
Firefox => 406346163 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12466 B
NetworkService => 3226 B
Petrouchka => 150626312 B
RecycleBin => 3773 B
EmptyTemp: => 812.2 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Oui, j'ai bien installé Marmiton en premier lieu.
Correction FRST effectuée, une notification d'Avira "Fichiers hôtes bloqués" mais qui n'a pas interrompu le processus.
Voici le txt fixlog créé par la correction FRST, j'enchaîne avec "Remediate VBS Worm" :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-11-2016
Exécuté par Petrouchka (17-11-2016 17:16:26) Run:1
Exécuté depuis C:\Users\Petrouchka\Desktop
Profils chargés: Petrouchka (Profils disponibles: Petrouchka)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\...\Run: [WindowsProviderDLL] => wscript.exe //B "C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe"
2016-11-16 16:41 - 2015-03-18 21:07 - 0870700 ____N () C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsProviderDLL => valeur supprimé(es) avec succès
C:\Users\Petrouchka\AppData\Roaming\WindowsProviderDLL.vbe => déplacé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2519607346-2906162830-62908690-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 169491318 B
Java, Flash, Steam htmlcache => 4507 B
Windows/system/drivers => 23985797 B
Edge => 101032163 B
Chrome => 107520 B
Firefox => 406346163 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12466 B
NetworkService => 3226 B
Petrouchka => 150626312 B
RecycleBin => 3773 B
EmptyTemp: => 812.2 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 17:16:53
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Rapport Rem VBS pour la clé 1 :
Rem-VBSworm v8.0
=========== - General info:
Running under: Petrouchka on profile: C:\Users\Petrouchka
Computer name: PETROUCHKA
Operating System:
Microsoft Windows 10 Famille
Boot Mode:
Normal boot
Antivirus software installed:
Avira Antivirus
Windows Defender
Executed on: 17/11/2016 @ 17:46:57,76
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque mont‚ local Acer
D: Disque amovible Lexar
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume5 FAT
=========== - Disinfection info:
=========== - USB drive info:
D:: selected
USB Device ID:
SCSI\DISK&VEN_&PROD_KINGSTON_RBU-SC1\4&3B39A9F3&0&000000
USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AAI7O24O5NE0DX5N&0
Listing root contents of D::
Le volume dans le lecteur D s'appelle Lexar
Le num‚ro de s‚rie du volume est 210D-C1D7
R‚pertoire de D:\
USB drive disinfected and files unhidden!!
Rem-VBSworm v8.0
=========== - General info:
Running under: Petrouchka on profile: C:\Users\Petrouchka
Computer name: PETROUCHKA
Operating System:
Microsoft Windows 10 Famille
Boot Mode:
Normal boot
Antivirus software installed:
Avira Antivirus
Windows Defender
Executed on: 17/11/2016 @ 17:46:57,76
=========== - Drive info:
Listing currently attached drives:
Caption Description VolumeName
C: Disque mont‚ local Acer
D: Disque amovible Lexar
Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume5 FAT
=========== - Disinfection info:
=========== - USB drive info:
D:: selected
USB Device ID:
SCSI\DISK&VEN_&PROD_KINGSTON_RBU-SC1\4&3B39A9F3&0&000000
USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AAI7O24O5NE0DX5N&0
Listing root contents of D::
Le volume dans le lecteur D s'appelle Lexar
Le num‚ro de s‚rie du volume est 210D-C1D7
R‚pertoire de D:\
USB drive disinfected and files unhidden!!
Rapport Rem VBS pour la clé 2 :
=========== - USB drive info:
E:: selected
USB Device ID:
SCSI\DISK&VEN_&PROD_KINGSTON_RBU-SC1\4&3B39A9F3&0&000000
USBSTOR\DISK&VEN_LEXAR&PROD_USB_FLASH_DRIVE&REV_1100\AABSXS9UYAYDFB6A&0
Listing root contents of E::
Le volume dans le lecteur E s'appelle Lexar
Le num‚ro de s‚rie du volume est 1216-5788
R‚pertoire de E:\
USB drive disinfected and files unhidden!!
=========== - USB drive info:
E:: selected
USB Device ID:
SCSI\DISK&VEN_&PROD_KINGSTON_RBU-SC1\4&3B39A9F3&0&000000
USBSTOR\DISK&VEN_LEXAR&PROD_USB_FLASH_DRIVE&REV_1100\AABSXS9UYAYDFB6A&0
Listing root contents of E::
Le volume dans le lecteur E s'appelle Lexar
Le num‚ro de s‚rie du volume est 1216-5788
R‚pertoire de E:\
USB drive disinfected and files unhidden!!
Sur la clé 1 :
Les fichiers et dossiers se présentent toujours sous la forme de raccourcis, même fonctionnement qu'avant : les dossiers s'ouvrent dans une nouvelle fenêtre.
Mais à chaque ouverture (de fichier ou dossier) : notification de Marmiton qui dit avoir bloqué le script.
Clé 2 : idem.
Les fichiers et dossiers se présentent toujours sous la forme de raccourcis, même fonctionnement qu'avant : les dossiers s'ouvrent dans une nouvelle fenêtre.
Mais à chaque ouverture (de fichier ou dossier) : notification de Marmiton qui dit avoir bloqué le script.
Clé 2 : idem.
affiche les fichiers cachés et systèmes, ainsi que les extensions de ficheirs
Nettoye les clés manuellement.
Liste les fichiers en détails sur la clé.
Supprime tous les raccourcis qui ont le même nom que tes données.
Sélectionne tous tes dossiers/fichiers
clic droit puis propriétés
et décoche cachés.
Si tu vois un fichier type .vbs, .vbe
supprime le.
Nettoye les clés manuellement.
Liste les fichiers en détails sur la clé.
Supprime tous les raccourcis qui ont le même nom que tes données.
Sélectionne tous tes dossiers/fichiers
clic droit puis propriétés
et décoche cachés.
Si tu vois un fichier type .vbs, .vbe
supprime le.
OK, j'ai affiché cachés, systèmes et extensions.
Les fichiers et dossiers s'affichent 'non raccourcis' s'affichent en 'transparence'.
J'ai testé sur un fichier pdf : ai supprimé le raccourci, puis propriété du fichier 'transparent' -> je ne peux pas décoché 'caché'.
J'ai supprimé un fichier appelé .vbt5
Toujours pas possible de décoché 'caché' sur le pdf.
Dois-je supprimé tous les raccourcis, sans risque de perdre les données ?
Les fichiers et dossiers s'affichent 'non raccourcis' s'affichent en 'transparence'.
J'ai testé sur un fichier pdf : ai supprimé le raccourci, puis propriété du fichier 'transparent' -> je ne peux pas décoché 'caché'.
J'ai supprimé un fichier appelé .vbt5
Toujours pas possible de décoché 'caché' sur le pdf.
Dois-je supprimé tous les raccourcis, sans risque de perdre les données ?
Lettre D: pour celle là.
C'est E: pour l'autre, après avoir ôté la première et mis la 2 sur le même port.
Sur les 2 j'ai supprimé un fichier WindowsProviderDLL.vbe
Tous les raccourcis sont supprimés.
Je remarque sur la 2 les dossiers :
.fsevenstd
.SpotlightV100
.Trashes
et le fichier
._.Trashes
Idem pour la 1, sans le .fsevenstd
Trashes, je me doute de ce que c'est, mais le reste ?
C'est E: pour l'autre, après avoir ôté la première et mis la 2 sur le même port.
Sur les 2 j'ai supprimé un fichier WindowsProviderDLL.vbe
Tous les raccourcis sont supprimés.
Je remarque sur la 2 les dossiers :
.fsevenstd
.SpotlightV100
.Trashes
et le fichier
._.Trashes
Idem pour la 1, sans le .fsevenstd
Trashes, je me doute de ce que c'est, mais le reste ?
Non Marmiton va te protéger.
Par contre, tu as probablement infecté ta clé USB sur un autre PC.
Donc tu peux récupérer une clé infectée à tout moment.
Faudra la nettoyer.
Mais ton PC ne sera plus infecté comme là, grâce à Marmiton.
Si tu as une idée, quel ordinateur infecté est à la source ton infection (amis etc).
On peut le nettoyer.
Par contre, tu as probablement infecté ta clé USB sur un autre PC.
Donc tu peux récupérer une clé infectée à tout moment.
Faudra la nettoyer.
Mais ton PC ne sera plus infecté comme là, grâce à Marmiton.
Si tu as une idée, quel ordinateur infecté est à la source ton infection (amis etc).
On peut le nettoyer.