Virus dont j'ai le script !!

Résolu/Fermé
alex2239 - 21 nov. 2008 à 13:31
 Hous214 - 1 févr. 2009 à 12:32
Bonjour,
depuis quelque temps, avant l'ecran d'accueil de windows xp (ou on choisit le compte utilisateur) , il y a un message qui s'affiche "Hi Alex don't worry i'm a friend" j'appuie sur OK et ça passe je n'ai pas remarqué de problèmes sur mon système, mais quand je me suis interessé de plus près a la cause, j'ai trouver que mon flashdisk contenait un 2 fichiers superflus "Wallpaper.vbs" et "autorun.inf" :


autorun.inf :

[autorun]
shellexecute = WallpaperMEHDI.vbs
shell\Open\Command=Wscript \WallpaperMEHDI.vbs
shell\Explore\Command=Wscript \WallpaperMEHDI.vbs

Wallpaper.vbs :
il contient des inscription dans la base de registre comme :
BGfix="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\NoChangingWallPaper"
je pense que cela m'empêche de changer d'arrière-plan vu que le script m'a ajouté un nouvel arriere-plan qui n'est pas si joli que ça !!!


je ne veux pas poster tout le script de peur que quelqu'un d'autre le copie et le réutilise donc est-ce que quelqu'un pourrait m'aider a comprendre le contenu du script et a le neutraliser.??

27 réponses

Utilisateur anonyme
21 nov. 2008 à 19:05
Bien reçu et merci


donne moi 5 min pour faire la maj et on nettoie
0
Utilisateur anonyme
21 nov. 2008 à 19:14
re

usbfix supprimera la vaccination tu devras refaire la et il va nettoyer le registre et supprimer le message que tu as


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisis l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
0
mehdi118218 Messages postés 10 Date d'inscription dimanche 20 janvier 2008 Statut Membre Dernière intervention 24 novembre 2008
21 nov. 2008 à 19:31
voila le rapport apres nettoyage :



-------------- UsbFix V2.411 ---------------

* User : Mehdi - BINON-LAPTOP
* Outils mis a jours le 21/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 19:28:49 le 21/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\Mehdi\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\WLTRAY.exe
D:\Program Files\Freegate\fg677p.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Program Files\vista\Aqua Dock\Aqua Dock.exe
C:\Program Files\vista\Aqua Dock 2\Aqua Dock.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[14/11/2008 20:40][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[18/11/2008 19:14][---hs----] C:\boot.ini
[21/11/2008 18:28][--a------] C:\TCleaner.txt
[21/11/2008 18:28][--a------] C:\UsbFix.txt
[14/11/2008 20:40][--a------] C:\CONFIG.SYS
[14/11/2008 20:40][--a------] C:\IO.SYS
[14/11/2008 20:40][--a------] C:\MSDOS.SYS
[14/11/2008 20:40][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe


+- Listing des fichiers présents :


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
VisualTaskTips=C:\Program Files\vista\VisualTaskTips\VisualTaskTips.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

Apoint=C:\Program Files\DellTPad\Apoint.exe
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
SigmatelSysTrayApp=%ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY.exe
Ywkiqkwu=D:\Program Files\Freegate\fg677p.exe
Openwares LiveUpdate=C:\Program Files\LiveUpdate\LiveUpdate.exe
DELL Webcam Manager="C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [21/11/2008 17:47][--a------] C:\WINDOWS\system32\tmp.reg
Supprimé ! - [21/11/2008 17:47][--a------] C:\WINDOWS\system32\tmp.txt

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[14/11/2008 20:40][--a------] C:\AUTOEXEC.BAT
[14/04/2008 13:00][-rahs----] C:\NTDETECT.COM
[18/11/2008 19:14][---hs----] C:\boot.ini

--------------- ! Fin du rapport ! ----------------


je dois faire la vaccination mnt ??
0
Utilisateur anonyme
21 nov. 2008 à 19:38
oui fait la vaccination ensuite reboot et dis moi si t as encore le message
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
mehdi118218 Messages postés 10 Date d'inscription dimanche 20 janvier 2008 Statut Membre Dernière intervention 24 novembre 2008
21 nov. 2008 à 19:53
BRAVO !!

Je te dis un grand merci Chiquitine29, ca y est le message n'apparait plus,
mais encore une petite question, vu que je n'ai pas compris tout ce qu'il y avait dans le script je me disais est-ce que tu avait tout lu et vu quels pourraient etre les autres dommages que ce script a fait, est-ce qu'il y avait autre chose que le message d'acceuil et le fond d'ecran ou c'etait seulement ca ???

Sinon je voudrais savoir ce que tu as fait pour y remédier si ce n'est pas trop demander bien sur ??
ou du moins les grandes lignes si c'est long à expliquer !!!!

Mais un grand bravo, et puis chapeau pour ta patience !!! Merci

ah au fait est-ce que je peux supprimer les autorun.ini que USBfix a ecrit sur mes disk ou dois-je les garder ???
0
Utilisateur anonyme
21 nov. 2008 à 20:16
re

t inkiete pas grand chose


quelques clé de registre qui m avaient echapé durant ma recherche sur cette infection


les autorun de usbfix garde es ils te protegent

@++ et merci pour la particiapation
0
Salut.. Alors vous avez trouvez une soluution pour le virus i'm friend..
merci
0