Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Suppression de Antinul.vbe

Dernière réponse le 29 jan 2009 à 11:30:18 Abennor, le 29 oct 2008 à 17:38:04

Signaler ce message aux modérateurs

Bonjour à tous,

Voilà, j'ai été "contaminé" par ceci:

Au travail !!
---------------------------

Il est maintenant XX:XX:XX
il est temps de se mettre au travail,au lieu de rester à ne rien faire d'important!!
Ce n'est pas un mabraze ici !!

A priori, c'est du au fichier:

C:\Windows\system32\antinul.vbe

Grâce à un pc sous Ubuntu, j'ai pu le voir présent aussi sur mes clés etc...

Donc, il se copie sur votre PC, interdit les modif de la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools=dword:1

empêche certaines options d'affichage et emmerde le monde avec des messages vous rappelant de bosser...

J'ai d'abord essayé de le supprimer avec Hijackthis mais rien à faire et il n'est pas reconnu par les antivirus (J'ai Antivir et il ne bronche pas). Donc j'ai opté pour une solution un plus bourrine.

Là voici décrite pas à pas...
Si vous remarquez des fichiers liés à ce virus que j'ai zappé n'oubliez pas de m'informer en tout cas, il n'est plus actif sur mes bécanes.

Suppression du fichier antinul.vbe => généralement C:\WINDOWS\system32\antinul.vbe

Prérequis
- Avoir installé Hijackthis ou connaître les lignes de la base de registre à modifier (perso, je préfère Hijackthis, car ce « virus » bloque l’accès à la base et on est obligé d’utiliser un autre logiciel pour l’atteindre.)
- Télécharger un live CD Knoppix ftp://ftp.free.fr/pub/Distributions_Linux/knoppix/KNOPPIX_V5.1.1CD-2007-01-04-EN.iso

Mettre la galette de Knoppix
Redémarrer le PC en le bootant sur le CD

Ecran de titre : taper => knoppix lang=fr

Laisser charger…

Arrivée sur le bureau, repérer le DD où se trouve le fichier system32
Normalement hda1 ou hdc1 etc…
Clic gauche, Changer le mode ecriture/lecture, OK (si le DD est indiqué non monté – unmounted – patienter le temps que le syst. finisse de charger).

Aller dans le hdc1 afin de contrôler le chemin du fichier à supprimer (Patienter le temps que tous les fichiers apparaissent). Notez la.
Normalement, le chemin est du type : /media/hdc1/Windows/system32/antinul.vbe

Fermer la fenêtre.

Alt+F2, taper : xterm

Ouverture console, taper : rm –rf /chemin du fichier
Attention, contrôler toujours votre commande !!!!
Valider

AVANT DE QUITTER KNOPPIX PENSEZ A NETTOYER VOS CLES USB AVEC :
Clic droit sur la clé : démonter
Puis dans la console (Alt+F2, xterm): mkfs.vfat –F 32 /dev/nom de la clé

Pour quitter Knoppix, redémarrer le PC. Attendez qu’il vous soit demandé de retirer le CD, et regarder Windows se lancer.

Un message d’erreur Wscript.exe vous accueillera….

Lancer Hijackthis :

Cocher :

R0 – HKCU\Sofware\Microsoft\Internet Explore\Main,Sart Page = Travaillez plus.com

R1 – HKCU\Sofware\Microsoft\Internet Explore\Main,Window Title = Au travail ! arrêtez de surfer !

F2 – Reg :system.ini : user …………C:\WINDOWS\system32\antinul.vbe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (ca permettra d'avoir accés à nouveau à la base de registre)

Fix Checked

Redémarrer

Un coup d’Hijackthis pour vérifier que les modifs ont été apportées et normalement c’est OK
Plus de message « Au Travail » ^^
Si j’ai oublié qqchose, n’hésitez pas !!!!

Et si vous pouviez donner votre avis sur la méthode....

Configuration: Windows XP
Firefox 3.0.3

Meilleures réponses pour « Suppression de Antinul.vbe » dans :

Antinul.vbe (Résolu) Voir

Antinul.vbe Voir

[Windows] Impossible de supprimer un fichier ou un dossier VoirSi Windows n'arrive pas à supprimer un fichier ou un dossier, la cause peut être l'une des suivantes : Le fichier ou le dossier à supprimer est utilisé par un processus du système Le dossier à supprimer contient des fichiers ou dossiers cachés ...

[Logiciels] Désinstaller/Supprimer Windows Messenger VoirNote Suppression Suppression de Windows Messenger en ligne de commande Suppression de Windows Messenger par le panneau de configuration Note Windows Messenger est une version "allégée" de son grand frère, MSN Messenger. Elle peut...

Supprimer l'historique des recherches VoirLorsque vous utilisez un formulaire de saisie, par exemple dans la barre de recherche de Google, le navigateur affiche la liste des dernières recherches. Pour des raisons de confidentialité ou d'optimisation, vous souhaitez supprimer une ou...

Virus antinul.vbe Voir

.vbs "fin d'instruction attendue" Voir

Suppression de Antinul.vbe Voir

Télécharger Logiciel à supprimer VoirLogiciel à supprimer - illégale (En violation de la GPL) De plus, le site de l'éditeur est listé chez MalwareDomains.

Télécharger Support IPX pour Vista VoirLe protocole IPX/SPX sert à de nombreux anciens jeux pour pouvoir jouer en réseau (Red Alert, Command & Conquer, etc.). Malheureusement, Microsoft a retiré le support du protocole IPX/SPX dans Vista (32bit). Néanmoins, il est possible de...

Supplier Relationship Management (SRM) VoirSupplier Relationship Management Le terme « Supplier Relationship Management » (noté SRM), traduisez « gestion de la relation fournisseur » désigne l'utilisation de technologies par une entreprise afin d'améliorer le mécanisme d'approvisionnement...

Salut pour les personnes touché : Telecharge UsbFix (No 19 en Lire la suite

Posez votre question Répondre

Noraj, le 29 oct 2008 à 18:27:23

Salut Abennor,

J'étais justement entrain de poster un message au sujet de ce virus, cherchant à le virer. On peut dire que tu tombes à pic. Je test ta technique et je te tient au courant de son avancée.

A+ et merci.

Répondre à Noraj

Noraj, le 29 oct 2008 à 19:00:43

Bon bah 1er problème, je ne trouve pas le DD contenant windows. Dans "\media" ne s'affichent que des répertoires vides (fd0, hd, hdf,...)

Est-ce bien dans media que ce trouve le DD system, ou ailleurs ?

Répondre à Noraj

Abennor, le 29 oct 2008 à 19:27:42

Les syst. Linux n'utilisent pas les dénominations classiques en C, D, etc typiques de windows...
Le répertoire média centralise grosso modo tous les supports DD, USB, etc.... dans notre cas.

Le plus simple est de retourner sur l'affichage du bureau...
Le ou les DD doivent apparaître.... hda1 ou dénomination similaire.
Je reste à l'écoute dis moi si t'as un souci

Répondre à Abennor

Abennor, le 29 oct 2008 à 20:14:29

Bon, en relisant ma réponse, je suis pas clair ^^

Ouvre la console:
Alt+F2
tape xterm

Dans la console, tape: kfind

une fenetre va apparaitre, tape sytem32 ou antinul.vbe dans le champ de recherche
et choisis file:// dans Regarder dans
Valide et attends, le chemin du ficher devrait apparaitre...

Voili, plutot que de t'emmerder à repérer le fichier manuellement
.

Répondre à Abennor

Noraj, le 29 oct 2008 à 21:11:23

Bon, d'après ce que j'ai pu lire ici et là, il semblerait que knoppix ne reconnaisse pas les SATA, d'où le fait que je n'ai pas accès à mon DD system mais seulement à mon DD externe.

Connaitrais-tu une façon d'y accéder ?

Répondre à Noraj

Abennor, le 29 oct 2008 à 22:07:40

Il n'apparait pas quand tu tapes en console?:
ls /dev/s*

Répondre à Abennor

Abennor, le 29 oct 2008 à 22:33:52

Je suis un peu con ^^ tu dois pas avoir de connection quand tu manips...
DOnc essaye une fois sous K. repère ton dd avec la commande ci dessus (en espérant qu'il est reconnu).
Après tu devras le monter... si des personnes connaissant Debian ou autre pouvaient passer ce serait cool..

Donc pour le monter, il faut taper en console:
mount /dev/le nom que t'as repéré

Si malheureusement, ca ne fonctionne pas, va falloir frapper à la porte des Linuxiens pur et dur ^^' mais je resterai dans les parages.

Répondre à Abennor

Noraj, le 29 oct 2008 à 22:39:18

Ok je test ça.
Merci beaucoup de t'attarder quelque temps à mon problème^^
Je te tiens au courant.
A+

Répondre à Noraj

Noraj, le 29 oct 2008 à 23:19:50

Bon, voici les dernières nouvelles.

la commande ls/dev/s* marche pas car le répertoire ls n'éxiste pas. En revanche dans dev/disk/by-label se trouvent 2 fichiers (dont les îcone sont 3 carrés de couleur) dont un se nomme comme le nom attribué à mon windows. Mais je ne peux pas y accéder car je n'ai pas les droits. Serait-ce ce dossier là qui me permettrait d'accéder à mon DD ?

Répondre à Noraj

Abennor, le 30 oct 2008 à 00:52:31

Ls n'est pas un répertoire. C'est une commande qui liste les infos contenus dans un répertoire.
Il faut respecter la casse. ls /dev/s*
il devrait normalement t'afficher tout tes lecteurs ?!?

Après pour avoir les droits en console il faut taper: sudo le reste de la commande. Attention y a un espace après sudo

Mais je crois qu'il va falloir contacter des personnes qui connaissent mieux les syst Debian...

Répondre à Abennor

Abennor, le 30 oct 2008 à 01:03:49

http://www.commentcamarche.net/forum/affich 9143878 knoppix impossible de monter le disque dur

Répondre à Abennor

Chiquitine29, le 30 oct 2008 à 01:19:33

Salut

pour les personnes touché :

Telecharge UsbFix (No 19 en bas de la page) sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
Bonne écoute
@ + T' Chiki.

Répondre à Chiquitine29

Noraj, le 30 oct 2008 à 09:20:15

Bonjour Chiquitine29, et merci de ton attention.

Voici le rapport d'UsbFix :

-------------- UsbFix V2.395 ---------------

* User : XXX - XXX
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 9:10:22 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.tmp\b2e.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

E: - Lecteur fixe

F: - Lecteur fixe

+- Contenu de l'autorun : E:\autorun.inf

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<SANS NOM> REG_SZ
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LogitechCommunicationsManager REG_SZ "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
LClock REG_SZ C:\Windows\LSD\LClock\lclock.exe
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
amsn REG_SZ C:\Program Files\aMSN\amsn.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - C:\WINDOWS\system32\antinul.vbe
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Supprimé ! - F:\AutoRun

--------------- ! Fin du rapport ! ----------------

J'ai l'impression que ça n'a pas fonctionné, ce virus bloque l'accès à l'éditeur de registre, c'est peut-être la cause de cet échec.

Répondre à Noraj

makhou, le 30 oct 2008 à 09:31:45

Bonjour,
g le même soucis que t' avais j'essaie de suivre ta procédure mais le Pc n'arrive pas à bouter sur le cd. Que pourrez tu me conseiller de faire ? En fin qu'entends tu par : mettre la galette

Répondre à makhou

Noraj, le 30 oct 2008 à 10:09:28

Salut Makhou,

Mettre la galette signifie mettre le cd. Boot avec celui-ci en tapant F8 au démarrage du PC et choisi de booter à partir de ton lecteur CD. En espérant que toi tu arrives à voir tes DD sous Knoppix.

A+

Répondre à Noraj

makhou, le 30 oct 2008 à 10:28:32

J'avais fait cette manip mais l'ordi ne propose pas booter à partir du CD.

Répondre à makhou

Abennor, le 30 oct 2008 à 10:44:22

@ Noraj, si tu veux avoir accés à la base de registre, t'es obligé de passer par un autre logiciel: RegMagik
mais, j'avais tenter cette approche,et que dalle... si t'y arrives, fais le nous savoir. Ca sera toujours plus simple que de passer sous K.

@ makhou. Si le PC ne boote pas directement sur le CD, il faut modifier les options de boot dans le bios.
Pour l'atteindre, il faut taper sur F2, del ou suppr. au démarrage.
Pour atteindre que les options de boot: F12 au démarrage...

Voili, voilou

Répondre à Abennor

Noraj, le 30 oct 2008 à 12:52:44

@Abennor : j'arrive à accéder à l'éditeur de registre sans l'aide d'autres logiciel en Fix cheched dans Hijackthis, les lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

(la O7 étant la cause)

Ainsi je peux accéder à regedit SEULEMENT si je ne ferme pas Hijackthis, sinon ces lignes reviennent. Je pense donc qu'il faut d'abors supprimer le fichier vérolé antinul.vbe mais c'est cela que je n'arrive pas.

En recherchant dans le registre C:\WINDOWS\system32\antinul.vbe, il me trouve la F2, que je supprime, mais qui revient à chaque fois.

Répondre à Noraj

Abennor, le 30 oct 2008 à 13:04:38

Mouais... perplexe...
J'avais utilisé le passage sous K. car ca n'obliger pas à installer de logiciel... mais je crois que là, à part une âme charitable qui passerai dans le coin, tu vas y avoir droit.
Recherche sur Google des logiciels type MoveOnBoot qui permettent de forcer la suppression de fichiers malgré les sécurités... par contre, je ne sais pas si il faut tuer les processus avant ou non... je vais voir ça. Je vais essayer de réinfecter un pc et le virer avec un de ces logiciels... je te dis quoi après.

Répondre à Abennor

lerinar, le 10 nov 2008 à 17:16:58

Salut tout le monde,
ca fait limite chaud au coeur de voir que je suis plus tout seul. Faut vraiment faire tout ca pour le virer ? c'est la galère, je suis pas aussi calé ... enfin, je vais essayer, ca sera toujours moins chiant que d'avoir ce pop up débile !

d'ailleurs j'ai une question .... comment est il apparu sur notre PC ce pseudo virus ? un site en particulier ?

Répondre à lerinar

zamaie, le 12 nov 2008 à 15:04:31

Je crois qu il est apparu sur facebook... j ai cliké sur un lien, surement une pub bidon de facebook, depuis c le caca!
bon courage à tous, moi je cherche une solution plus simple.

Répondre à zamaie

Mog, le 17 nov 2008 à 17:10:02

Bon, alors moi j'ai trouvé une solution un peu risquée a priori ms qui s'est finalement révélée efficace. Je vais vous l'expliquer comme je peux, sachant que je ne suis pas du tout informaticien.

Voici la réflexion que je me suis faite : lorsque le message " au travail ! ce n'est pas un mabraze ici ..." s'affiche, le gestionnaire de processus affiche la source comme étant 'wscript.exe'. J'ai fait une recherche dans windows de ce script. J'ai trouvé celui qui est directement ds windows\system32, auquel il est fortement recommandé de ne pas toucher !! Mais j'ai aussi trouvé un autre ds windows\system32\dllcache. Un petit clic droit -> propriétés et je vois que la dernière date et heure d'accès au fichier correspond à l'apparition du fameux message "au travail...".

Evidemment la suite est logique : j'ai supprimé ce 2e wscript.exe puis retenter HiJackThis, et là, oh bonheur, après avoir FixChecked la ligne F2 qui faisait ces problèmes, elle et ses copines (lignes R0 'travaillezplus.com', R1 'Au travail! Arrêtez de surfer!' et O7 'disable regedit') ne sont plus réapparues aux scans suivants, et mon pc a redémarré normalement. Et je retente des petits scans de temps en temps et ça a l'air d'être vmt parti.

Voilà, alors ça vaut ce que ça vaut, ms je voulais quand même le partager avec vous pour donner de l'espoir ! Après les vrais informaticiens pourront peut-être mieux comprendre l'origine du problème, quant aux autres si vous voulez essayer cette méthode faites TRES attention, elle n'est pas garantie, et surtout pensez bien à créer un point de restoration du système avant. Bonne chance à tous

PS : je sais pas si j'ai été très clair ms j'ai fait de mon mieux, si les pros veulent bien essayer ma méthode ça permettrait de mieux expliquer, et ... de comprendre !! Merci à eux

Répondre à Mog

ben92, le 17 nov 2008 à 17:28:05

Vbscript.exe n'est pas un virus ! Ca fait partie de windows ! Ton "virus" continu de se propager par clé usb, tu ne le vois plus car son outil d'action (vbscript) n'est plus la. Lui, si !

Suis donc la méthode que j'ai donnée et tu verras qu'il est encore présent.

Répondre à ben92

Abennor, le 18 nov 2008 à 00:12:05

+1 pour Ben92
en gros ton PC est devenu un porteur sain ^^

Répondre à Abennor

47 réponses 12 Suivant

Posez votre question Répondre