Suppression de Antinul.vbe [Résolu]

Abennor 7Messages postés 3 octobre 2008Date d'inscription - Dernière réponse le 29 janv. 2009 à 11:30

Bonjour à tous,
Voilà, j'ai été "contaminé" par ceci:
Au travail !!
---------------------------
Il est maintenant XX:XX:XX
il est temps de se mettre au travail,au lieu de rester à ne rien faire d'important!!
Ce n'est pas un mabraze ici !!
A priori, c'est du au fichier:
C:\Windows\system32\antinul.vbe
Grâce à un pc sous Ubuntu, j'ai pu le voir présent aussi sur mes clés etc...
Donc, il se copie sur votre PC, interdit les modif de la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools=dword:1
empêche certaines options d'affichage et emmerde le monde avec des messages vous rappelant de bosser...
J'ai d'abord essayé de le supprimer avec Hijackthis mais rien à faire et il n'est pas reconnu par les antivirus (J'ai Antivir et il ne bronche pas). Donc j'ai opté pour une solution un plus bourrine.
Là voici décrite pas à pas...
Si vous remarquez des fichiers liés à ce virus que j'ai zappé n'oubliez pas de m'informer en tout cas, il n'est plus actif sur mes bécanes.
Suppression du fichier antinul.vbe => généralement C:\WINDOWS\system32\antinul.vbe
Prérequis
- Avoir installé Hijackthis ou connaître les lignes de la base de registre à modifier (perso, je préfère Hijackthis, car ce « virus » bloque l’accès à la base et on est obligé d’utiliser un autre logiciel pour l’atteindre.)
- Télécharger un live CD Knoppix ftp://ftp.free.fr/pub/Distributions_Linux/knoppix/KNOPPIX_V5.1.1CD-2007-01-04-EN.iso
Mettre la galette de Knoppix
Redémarrer le PC en le bootant sur le CD
Ecran de titre : taper => knoppix lang=fr
Laisser charger…
Arrivée sur le bureau, repérer le DD où se trouve le fichier system32
Normalement hda1 ou hdc1 etc…
Clic gauche, Changer le mode ecriture/lecture, OK (si le DD est indiqué non monté – unmounted – patienter le temps que le syst. finisse de charger).
Aller dans le hdc1 afin de contrôler le chemin du fichier à supprimer (Patienter le temps que tous les fichiers apparaissent). Notez la.
Normalement, le chemin est du type : /media/hdc1/Windows/system32/antinul.vbe
Fermer la fenêtre.
Alt+F2, taper : xterm
Ouverture console, taper : rm –rf /chemin du fichier
Attention, contrôler toujours votre commande !!!!
Valider
AVANT DE QUITTER KNOPPIX PENSEZ A NETTOYER VOS CLES USB AVEC :
Clic droit sur la clé : démonter
Puis dans la console (Alt+F2, xterm): mkfs.vfat –F 32 /dev/nom de la clé
Pour quitter Knoppix, redémarrer le PC. Attendez qu’il vous soit demandé de retirer le CD, et regarder Windows se lancer.
Un message d’erreur Wscript.exe vous accueillera….
Lancer Hijackthis :
Cocher :
R0 – HKCU\Sofware\Microsoft\Internet Explore\Main,Sart Page = Travaillez plus.com
R1 – HKCU\Sofware\Microsoft\Internet Explore\Main,Window Title = Au travail ! arrêtez de surfer !
F2 – Reg :system.ini : user …………C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (ca permettra d'avoir accés à nouveau à la base de registre)
Fix Checked
Redémarrer
Un coup d’Hijackthis pour vérifier que les modifs ont été apportées et normalement c’est OK
Plus de message « Au Travail » ^^
Si j’ai oublié qqchose, n’hésitez pas !!!!
Et si vous pouviez donner votre avis sur la méthode....

Suppression de Antinul.vbe »

Suggestions

Suppression de Antinul.vbe
Suppression de Antinul.vbe » Forum
Antinul.vbe (Résolu) » Forum
Au travail Antinul.vbe (Résolu) » Forum
Antinul.vbe (Résolu) » Forum
Antinul.vbe (Résolu) » Forum

Plus

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 29 oct. 2008 à 18:27

Salut Abennor,

J'étais justement entrain de poster un message au sujet de ce virus, cherchant à le virer. On peut dire que tu tombes à pic. Je test ta technique et je te tient au courant de son avancée.

A+ et merci.

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 29 oct. 2008 à 19:00

Bon bah 1er problème, je ne trouve pas le DD contenant windows. Dans "\media" ne s'affichent que des répertoires vides (fd0, hd, hdf,...)

Est-ce bien dans media que ce trouve le DD system, ou ailleurs ?

Ajouter un commentaire

Réponse

Abennor 29 oct. 2008 à 19:27

les syst. Linux n'utilisent pas les dénominations classiques en C, D, etc typiques de windows...
Le répertoire média centralise grosso modo tous les supports DD, USB, etc.... dans notre cas.

Le plus simple est de retourner sur l'affichage du bureau...
Le ou les DD doivent apparaître.... hda1 ou dénomination similaire.
Je reste à l'écoute dis moi si t'as un souci

Ajouter un commentaire

Réponse

Abennor 29 oct. 2008 à 20:14

Bon, en relisant ma réponse, je suis pas clair ^^

Ouvre la console:
Alt+F2
tape xterm

Dans la console, tape: kfind

une fenetre va apparaitre, tape sytem32 ou antinul.vbe dans le champ de recherche
et choisis file:// dans Regarder dans
Valide et attends, le chemin du ficher devrait apparaitre...

Voili, plutot que de t'emmerder à repérer le fichier manuellement
.

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 29 oct. 2008 à 21:11

Bon, d'après ce que j'ai pu lire ici et là, il semblerait que knoppix ne reconnaisse pas les SATA, d'où le fait que je n'ai pas accès à mon DD system mais seulement à mon DD externe.

Connaitrais-tu une façon d'y accéder ?

Ajouter un commentaire

Réponse

Abennor 29 oct. 2008 à 22:07

il n'apparait pas quand tu tapes en console?:
ls /dev/s*

Ajouter un commentaire

Réponse

Abennor 29 oct. 2008 à 22:33

Je suis un peu con ^^ tu dois pas avoir de connection quand tu manips...
DOnc essaye une fois sous K. repère ton dd avec la commande ci dessus (en espérant qu'il est reconnu).
Après tu devras le monter... si des personnes connaissant Debian ou autre pouvaient passer ce serait cool..

Donc pour le monter, il faut taper en console:
mount /dev/le nom que t'as repéré

Si malheureusement, ca ne fonctionne pas, va falloir frapper à la porte des Linuxiens pur et dur ^^' mais je resterai dans les parages.

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 29 oct. 2008 à 22:39

ok je test ça.
Merci beaucoup de t'attarder quelque temps à mon problème^^
Je te tiens au courant.
A+

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 29 oct. 2008 à 23:19

Bon, voici les dernières nouvelles.

la commande ls/dev/s* marche pas car le répertoire ls n'éxiste pas. En revanche dans dev/disk/by-label se trouvent 2 fichiers (dont les îcone sont 3 carrés de couleur) dont un se nomme comme le nom attribué à mon windows. Mais je ne peux pas y accéder car je n'ai pas les droits. Serait-ce ce dossier là qui me permettrait d'accéder à mon DD ?

Ajouter un commentaire

Réponse

Abennor 7Messages postés 3 octobre 2008Date d'inscription 30 oct. 2008 à 00:52

ls n'est pas un répertoire. C'est une commande qui liste les infos contenus dans un répertoire.
Il faut respecter la casse. ls /dev/s*
il devrait normalement t'afficher tout tes lecteurs ?!?

Après pour avoir les droits en console il faut taper: sudo le reste de la commande. Attention y a un espace après sudo

Mais je crois qu'il va falloir contacter des personnes qui connaissent mieux les syst Debian...

Ajouter un commentaire

Réponse

Abennor 7Messages postés 3 octobre 2008Date d'inscription 30 oct. 2008 à 01:03

http://www.commentcamarche.net/forum/affich 9143878 knoppix impossible de monter le disque dur

Ajouter un commentaire

Réponse

Chiquitine29 30 oct. 2008 à 01:19

Salut

pour les personnes touché :

Telecharge UsbFix (No 19 en bas de la page) sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 30 oct. 2008 à 09:20

Bonjour Chiquitine29, et merci de ton attention.

Voici le rapport d'UsbFix :

-------------- UsbFix V2.395 ---------------

* User : XXX - XXX
* Outils mis a jours le 27/10/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 9:10:22 le 30/10/2008
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.tmp\b2e.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

E: - Lecteur fixe

F: - Lecteur fixe

+- Contenu de l'autorun : E:\autorun.inf

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
<SANS NOM> REG_SZ
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
LogitechCommunicationsManager REG_SZ "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon REG_SZ "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
LClock REG_SZ C:\Windows\LSD\LClock\lclock.exe
IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
amsn REG_SZ C:\Program Files\aMSN\amsn.exe
DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{772e4748-a221-11dd-a2a4-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command
Supprimé ! - HKEY_USERS\S-1-5-21-1343024091-1708537768-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8438bae4-7d20-11dd-a289-0015af22a2f2}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Echec de la supression !! - C:\WINDOWS\system32\antinul.vbe
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Echec de la supression !! - E:\autorun.inf
Supprimé ! - F:\AutoRun

--------------- ! Fin du rapport ! ----------------

J'ai l'impression que ça n'a pas fonctionné, ce virus bloque l'accès à l'éditeur de registre, c'est peut-être la cause de cet échec.

Ajouter un commentaire

Réponse

makhou 30 oct. 2008 à 09:31

bonjour,
g le même soucis que t' avais j'essaie de suivre ta procédure mais le Pc n'arrive pas à bouter sur le cd. Que pourrez tu me conseiller de faire ? En fin qu'entends tu par : mettre la galette

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 30 oct. 2008 à 10:09

Salut Makhou,

Mettre la galette signifie mettre le cd. Boot avec celui-ci en tapant F8 au démarrage du PC et choisi de booter à partir de ton lecteur CD. En espérant que toi tu arrives à voir tes DD sous Knoppix.

A+

Ajouter un commentaire

Réponse

makhou 30 oct. 2008 à 10:28

j'avais fait cette manip mais l'ordi ne propose pas booter à partir du CD.

Ajouter un commentaire

Réponse

Abennor 7Messages postés 3 octobre 2008Date d'inscription 30 oct. 2008 à 10:44

@ Noraj, si tu veux avoir accés à la base de registre, t'es obligé de passer par un autre logiciel: RegMagik
mais, j'avais tenter cette approche,et que dalle... si t'y arrives, fais le nous savoir. Ca sera toujours plus simple que de passer sous K.

@ makhou. Si le PC ne boote pas directement sur le CD, il faut modifier les options de boot dans le bios.
Pour l'atteindre, il faut taper sur F2, del ou suppr. au démarrage.
Pour atteindre que les options de boot: F12 au démarrage...

Voili, voilou

Ajouter un commentaire

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 30 oct. 2008 à 12:52

@Abennor : j'arrive à accéder à l'éditeur de registre sans l'aide d'autres logiciel en Fix cheched dans Hijackthis, les lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Travaillez plus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Au travail !Arrêtez de surfer!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\antinul.vbe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

(la O7 étant la cause)

Ainsi je peux accéder à regedit SEULEMENT si je ne ferme pas Hijackthis, sinon ces lignes reviennent. Je pense donc qu'il faut d'abors supprimer le fichier vérolé antinul.vbe mais c'est cela que je n'arrive pas.

En recherchant dans le registre C:\WINDOWS\system32\antinul.vbe, il me trouve la F2, que je supprime, mais qui revient à chaque fois.

Ajouter un commentaire

Réponse

Abennor 7Messages postés 3 octobre 2008Date d'inscription 30 oct. 2008 à 13:04

Mouais... perplexe...
J'avais utilisé le passage sous K. car ca n'obliger pas à installer de logiciel... mais je crois que là, à part une âme charitable qui passerai dans le coin, tu vas y avoir droit.
Recherche sur Google des logiciels type MoveOnBoot qui permettent de forcer la suppression de fichiers malgré les sécurités... par contre, je ne sais pas si il faut tuer les processus avant ou non... je vais voir ça. Je vais essayer de réinfecter un pc et le virer avec un de ces logiciels... je te dis quoi après.

Ajouter un commentaire

Afficher les 5 commentaires

zamaie - 12 nov. 2008 à 15:04

je crois qu il est apparu sur facebook... j ai cliké sur un lien, surement une pub bidon de facebook, depuis c le caca!
bon courage à tous, moi je cherche une solution plus simple.

Mog - 17 nov. 2008 à 17:10

Bon, alors moi j'ai trouvé une solution un peu risquée a priori ms qui s'est finalement révélée efficace. Je vais vous l'expliquer comme je peux, sachant que je ne suis pas du tout informaticien.

Voici la réflexion que je me suis faite : lorsque le message " au travail ! ce n'est pas un mabraze ici ..." s'affiche, le gestionnaire de processus affiche la source comme étant 'wscript.exe'. J'ai fait une recherche dans windows de ce script. J'ai trouvé celui qui est directement ds windows\system32, auquel il est fortement recommandé de ne pas toucher !! Mais j'ai aussi trouvé un autre ds windows\system32\dllcache. Un petit clic droit -> propriétés et je vois que la dernière date et heure d'accès au fichier correspond à l'apparition du fameux message "au travail...".

Evidemment la suite est logique : j'ai supprimé ce 2e wscript.exe puis retenter HiJackThis, et là, oh bonheur, après avoir FixChecked la ligne F2 qui faisait ces problèmes, elle et ses copines (lignes R0 'travaillezplus.com', R1 'Au travail! Arrêtez de surfer!' et O7 'disable regedit') ne sont plus réapparues aux scans suivants, et mon pc a redémarré normalement. Et je retente des petits scans de temps en temps et ça a l'air d'être vmt parti.

Voilà, alors ça vaut ce que ça vaut, ms je voulais quand même le partager avec vous pour donner de l'espoir ! Après les vrais informaticiens pourront peut-être mieux comprendre l'origine du problème, quant aux autres si vous voulez essayer cette méthode faites TRES attention, elle n'est pas garantie, et surtout pensez bien à créer un point de restoration du système avant. Bonne chance à tous

PS : je sais pas si j'ai été très clair ms j'ai fait de mon mieux, si les pros veulent bien essayer ma méthode ça permettrait de mieux expliquer, et ... de comprendre !! Merci à eux

ben92 - 17 nov. 2008 à 17:28

Vbscript.exe n'est pas un virus ! Ca fait partie de windows ! Ton "virus" continu de se propager par clé usb, tu ne le vois plus car son outil d'action (vbscript) n'est plus la. Lui, si !

Suis donc la méthode que j'ai donnée et tu verras qu'il est encore présent.

Abennor - 18 nov. 2008 à 00:12

+1 pour Ben92
en gros ton PC est devenu un porteur sain ^^

Réponse

Noraj 25Messages postés 25 juin 2008Date d'inscription 30 oct. 2008 à 14:54

Ayé enfin débarrassé !! :D

Bon, en fait j'ai démarré en mode sans échec, supprimé le fichier antinul.vbe à l'aide de MoveOnBoot.
Puis effacé les lignes d'Hijackthis et maintenant tout semble rentré dans l'ordre.

Merci beacoup à toi Abennor pour ton acharnement ;)
Et bon courage Makhou.

@+

Ajouter un commentaire

1 2

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Suppression de Antinul.vbe [Résolu]

Suppression de Antinul.vbe »

Passage au tout numérique : quel coût pour les particuliers ?