Virus VBS Downloader AJV

Résolu/Fermé
Elif - 19 avril 2017 à 18:39
 Elif - 20 avril 2017 à 23:33
Bonsoir,

J'ai un virus sur une de mes clés usb (ou les deux je ne sais plus)

j'ai suivi le tutoriel FRST sur
http://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/

J'ai déposé les trois rapports sur le site pjjoint
voici les lien :
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20170419_i15y7x12w5y14
Shortcut : http://pjjoint.malekal.com/files.php?id=20170419_r15b8j12k15v8
Additionnal : http://pjjoint.malekal.com/files.php?id=20170419_g9v10i11j6c13

Quelqu'un peut m'aider s'il vous plait ?

Je vous remercie d'avance

A voir également:

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 19 avril 2017 à 20:24
Salut,

1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-315696813-1270189368-2740019817-1005\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

3/


1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


Veuillez appuyer sur une touche pour continuer la désinfection...
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 avril 2017 à 09:09
Rien =)


Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.


1
Salut,

Merci d'avoir répondu

Voici le contenu du fichier texte

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19-04-2017
Exécuté par abdou_000 (19-04-2017 20:44:01) Run:1
Exécuté depuis C:\Users\abdou_000\Desktop
Profils chargés: baghdadi & abdou_000 (Profils disponibles: baghdadi & abdou_000)
Mode d'amorçage: Normal
==============================================

fixlist contenu:



CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-315696813-1270189368-2740019817-1005\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-315696813-1270189368-2740019817-1005\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur impossible à supprimer.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur impossible à supprimer.
HKU\S-1-5-21-315696813-1270189368-2740019817-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-315696813-1270189368-2740019817-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 32897211 B
Java, Flash, Steam htmlcache => 58937266 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 6069370 B
Firefox => 125723229 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
baghdadi => 0 B
abdou_000 => 92681287 B

RecycleBin => 7584226 B
EmptyTemp: => 308.9 MB données temporaires supprimées.

================================

Maintenant, il me reste l'étape 3/
0
ET voici le rapport Rem-VBS

Rem-VBSworm v8.0

=========== - General info:

Running under: baghdadi on profile: C:\Users\baghdadi
Computer name: BMA-PC

Operating System:
Microsoft Windows 8.1

Boot Mode:
Normal boot

Antivirus software installed:
Avast Antivirus

Windows Defender


Executed on: 19/04/2017 @ 21:22:25,59

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Local Fixed Disk Windows8_OS

D: Local Fixed Disk LENOVO

E: CD-ROM Disc

F: Removable Disk

G: Removable Disk




Physical drives information:
C: \Device\HarddiskVolume5 NTFS
D: \Device\HarddiskVolume6 NTFS
F: \Device\HarddiskVolume8 FAT
G: \Device\HarddiskVolume9 FAT

=========== - Disinfection info:


=========== - USB drive info:

G: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD5000LPVT-24G33\4&3162873E&0&000000

USBSTOR\DISK&VEN_&PROD_USB_FLASH_MEMORY&REV_1.00\001CC0C60DA8C0319424076A&0

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\079603015D5064C3&0




Fichier supprim‚ - G:\BAGHDADI Mohamed Anglais 2.odt.lnk
Fichier supprim‚ - G:\70.odt.lnk
Fichier supprim‚ - G:\BAGHDADI Mohamed Anglais.docx.lnk
Fichier supprim‚ - G:\System Volume Information.lnk
Fichier supprim‚ - G:\devoir.lnk
Fichier supprim‚ - G:\IMG_1150.JPG.lnk
Fichier supprim‚ - G:\Image art plastique.docx.lnk
Fichier supprim‚ - G:\Wakala.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of G:
Le volume dans le lecteur G n'a pas de nom.
Le num‚ro de s‚rie du volume est 4C0B-7A5A

R‚pertoire de G:\

02/02/2017 23:21 <DIR> devoir
26/02/2017 18:04 30ÿ112 BAGHDADI Mohamed Anglais 2.odt
27/03/2017 10:08 1ÿ448ÿ665 70.odt
28/03/2017 01:09 19ÿ007 BAGHDADI Mohamed Anglais.docx
28/03/2017 08:19 283ÿ188 IMG_1150.JPG
28/03/2017 16:11 11ÿ195 Manuel.doc
28/03/2017 16:12 107 .~lock.70.odt#
19/04/2017 16:47 295ÿ189 Image art plastique.docx
19/04/2017 16:51 <DIR> Wakala
19/04/2017 17:00 0 Nouveau Microsoft Word Document.docx
8 fichier(s) 2ÿ087ÿ463 octets
3 R‚p(s) 3ÿ978ÿ051ÿ584 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

F: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD5000LPVT-24G33\4&3162873E&0&000000

USBSTOR\DISK&VEN_&PROD_USB_FLASH_MEMORY&REV_1.00\001CC0C60DA8C0319424076A&0

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\079603015D5064C3&0




Fichier supprim‚ - F:\System Volume Information.lnk
Fichier supprim‚ - F:\ResileLigne-Free formulaire Idoine.pdf.lnk
Fichier supprim‚ - F:\ResilLigne-Free_18304070.pdf.lnk
Fichier supprim‚ - F:\Nouveau Microsoft Word Document.docx.lnk
Fichier supprim‚ - F:\CV Assistante Gestion Paie Compta Baghdadi.pdf.lnk
Fichier supprim‚ - F:\CV Operatrice de saisie Fatima-Zahra BAGHDADI.pdf.lnk
Fichier supprim‚ - F:\CANDIDATURES SPONTANEES.docx.lnk
Fichier supprim‚ - F:\bulletin-parrainage LCL.pdf.lnk
Fichier supprim‚ - F:\Projet tuteur‚.lnk
Fichier supprim‚ - F:\Rapport de stage Sofian RABI.lnk
Fichier supprim‚ - F:\~WRL0003.tmp
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est B228-1CC3

R‚pertoire de F:\

25/06/2014 18:06 <DIR> Projet tuteur‚
14/10/2016 14:37 101ÿ099 CV Assistante Gestion Paie Compta Baghdadi.pdf
27/10/2016 13:01 84ÿ141 CV Operatrice de saisie Fatima-Zahra BAGHDADI.pdf
25/11/2016 10:11 <DIR> Rapport de stage Sofian RABI
08/02/2017 12:24 27ÿ603 CANDIDATURES SPONTANEES.docx
08/02/2017 19:57 344ÿ595 ResilLigne-Free_18304070.pdf
08/02/2017 20:16 176ÿ440 ResileLigne-Free formulaire Idoine.pdf
13/02/2017 00:50 16ÿ262 Nouveau Microsoft Word Document.docx
05/03/2017 16:47 253ÿ469 bulletin-parrainage LCL.pdf
7 fichier(s) 1ÿ003ÿ609 octets
3 R‚p(s) 1ÿ878ÿ097ÿ920 octets libres

USB drive disinfected and files unhidden!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 avril 2017 à 21:56
Plus d'alerte, tu as récup tes dossiers ?
0
Oui j'ai pu récupérer mes dossiers et il n'y a plus d'alerte !
Mercii ")
Qu'est ce que je dois faire maintenant ?
0
Parfait, j'ai noté les liens pour renforcer la sécurité de Windows
Et mercii encore une fois pour ton aide !

Bonne journée/soirée
0