Sujet Précédent Sujet Suivant

Problème raccourci sur clé USB (vbscript.encode ?)

Fermé
stumeo Messages postés 22 Date d'inscription samedi 13 juillet 2013 Statut Membre Dernière intervention 18 octobre 2017 - 6 août 2017 à 11:06
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 août 2017 à 17:20
Bonjour

J'ai un problème sur ma clé USB, tous les dossiers que j'avais à la racine de la clé USB sont maintenant des raccourcis et je ne peux ni les mettre en surbrillance, ni double cliquer dessus rien ne se passe.
Par contre, quand je fais clique droit, voici le lien du raccourci (cible) :E:\Adobe\runsc.exe /E:Vbscript.Encode E:\Adobe\Pictur.Png

Quand je clique sur emplacement du fichier, je tombe sur E:\Adobe, alors que le dossier n'apparait pas sur la clé.

Fichier FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20170806_h13o12v7e15d12
Fichier Addition.txt : https://pjjoint.malekal.com/files.php?id=20170806_x7s7q69w15
Fichier Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20170806_p12u14m8o9r15

Egalement le rapport ADWCleaner : https://pjjoint.malekal.com/files.php?id=20170806_n5s10f9t13f14

Si jamais vous voyez d'autres choses, n'hésitez pas car je suis sur l'ordinateur d'un ami qui n'a pas été nettoyé depuis longtemps.

Merci d'avance pour votre super boulot !

8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié le 6 août 2017 à 11:24
Salut,

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

~~

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

~~



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
C:\Users\FERRY\AppData\Roaming\Adobe PhotoShop\Pictur.Png 
HKU\S-1-5-21-3394222100-2902429559-3245559647-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9803992 2017-06-13] (Piriform Ltd)
HKU\S-1-5-21-3394222100-2902429559-3245559647-1000\...\RunOnce: [Adobe PhotoShop] => C:\Users\FERRY\AppData\Roaming\Adobe PhotoShop\Pictur.Png [187866 2016-03-13] () <==== ATTENTION
2017-08-06 10:38 - 2017-08-06 10:40 - 000000000 ____D C:\Users\FERRY\AppData\Roaming\ZHP
2017-08-06 10:38 - 2017-08-06 10:39 - 000000000 ____D C:\Users\FERRY\AppData\Local\ZHP
2017-08-06 10:38 - 2017-08-06 10:38 - 000000915 _____ C:\Users\FERRY\Desktop\ZHPDiag.lnk
2017-08-06 10:37 - 2017-08-06 10:38 - 002806656 _____ C:\Users\FERRY\Downloads\ZHPDiag3.exe
2017-08-06 10:31 - 2017-08-06 10:31 - 008185288 _____ (Malwarebytes) C:\Users\FERRY\Downloads\adwcleaner_7.0.1.0 (3).exe
2017-08-06 10:30 - 2017-08-06 10:32 - 008185288 _____ (Malwarebytes) C:\Users\FERRY\Downloads\adwcleaner_7.0.1.0.exe
2017-08-06 10:30 - 2017-08-06 10:31 - 008185288 _____ (Malwarebytes) C:\Users\FERRY\Downloads\adwcleaner_7.0.1.0 (2).exe
2017-08-06 10:30 - 2017-08-06 10:31 - 008185288 _____ (Malwarebytes) C:\Users\FERRY\Downloads\adwcleaner_7.0.1.0 (1).exe
2014-08-21 18:45 - 2014-08-21 18:45 - 000000036 _____ () C:\Users\FERRY\AppData\Roaming\SuYZkvrV.tmp
2012-03-05 19:41 - 2012-03-05 19:41 - 000033134 _____ () C:\Users\FERRY\AppData\Roaming\UserTile.png
2014-09-29 18:58 - 2014-10-03 06:58 - 000000059 _____ () C:\Users\FERRY\AppData\Roaming\WB.CFG
2016-11-28 23:50 - 2016-11-28 23:50 - 045700992 _____ (Sony) C:\Users\FERRY\AppData\Local\pcc.exe
2016-03-02 15:53 - 2016-03-02 15:53 - 000000218 _____ () C:\Users\FERRY\AppData\Local\recently-used.xbel
2014-08-13 17:39 - 2014-08-13 17:44 - 000000000 _____ () C:\Users\FERRY\AppData\Local\{7AEC2234-8A3A-447C-AA60-5B80A24BE3CF}
2014-08-14 18:22 - 2014-08-14 18:22 - 000000000 _____ () C:\Users\FERRY\AppData\Local\{BD30142E-90C0-427B-9E31-F43E75900EEF}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


~~


Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.



Veuillez appuyer sur une touche pour continuer la désinfection...
0
Réponse 2 / 8
stumeo Messages postés 22 Date d'inscription samedi 13 juillet 2013 Statut Membre Dernière intervention 18 octobre 2017
Modifié le 6 août 2017 à 15:35
1/ Le rapport fixlog.txt

https://pjjoint.malekal.com/files.php?id=20170806_u7n14p5x9v15
0
Réponse 3 / 8
stumeo Messages postés 22 Date d'inscription samedi 13 juillet 2013 Statut Membre Dernière intervention 18 octobre 2017
Modifié le 6 août 2017 à 15:37
2/ Rapport du premier media USB infecté :

https://pjjoint.malekal.com/files.php?id=20170806_o8c1412l7h8
0
Réponse 4 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
6 août 2017 à 15:36
plus de soucis ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
stumeo Messages postés 22 Date d'inscription samedi 13 juillet 2013 Statut Membre Dernière intervention 18 octobre 2017
6 août 2017 à 15:39
3/ Rapport du deuxième média infecté :

https://pjjoint.malekal.com/files.php?id=20170806_c12n8l14b12g8
0
Réponse 6 / 8
stumeo Messages postés 22 Date d'inscription samedi 13 juillet 2013 Statut Membre Dernière intervention 18 octobre 2017
6 août 2017 à 15:44
4 / Rapport du troisième media infecté :

https://pjjoint.malekal.com/files.php?id=20170806_k7g13c9l11h8
0
Réponse 7 / 8
stumeo Messages postés 22 Date d'inscription samedi 13 juillet 2013 Statut Membre Dernière intervention 18 octobre 2017
6 août 2017 à 15:54
Pour moi, c'est bon, j'ai ré-inséré une clé pour tester si le phénomène se reproduisait, mais non, tout se passe bien.
Si vous me confirmez qu'il n'y a plus de manipulations à faire, je mets le sujet comme résolu.
Je dirais le seul truc gênant, c'est le message Windows Host désactivé à l'ouverture de session utilisateur. Mais bon, si c'est le prix à payer pour ne plus être embêté, c'est pas très grave.
0
Réponse 8 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
6 août 2017 à 17:20
Pour moi c'est bon,
en ce qi concerne Windows Host Scripting, Marmiton doit se charger de ce problème.
0