Virus.Worm.VBS : Clef USB infectée - Video.3gp [Résolu/Fermé]

Signaler
Messages postés
5
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016
-
 Gitane -
Bonjour à tous et à toutes,
Hier, j'ai rentré ma clef USB dans un PC inconnu, et, en la remettant sur mon propre PC, je me suis aperçue qu'elle contenait de nouveaux dossiers nommés "DCIM" "PHOTO FAMILY" "VIDEO" et autres.
Deux choses :
-Tous ces dossiers sont des raccourcis, qui m'ouvrent de nouvelles fenêtres quand je clique dessus
-Ils réapparaissent directement après la suppression
J'ai donc retiré ma clef USB, mais, malheur, "PHOTO FAMILY" est à présent dans mon disque D: et ne veut pas disparaître.
C'est un dossier manifestement .lnk et voici d'autres informations :
Voilà le chemin : C:\Windows\system32\WScript.exe /e:VBScript.Encode Video.3gp
L'emplacement est system 32
Type de cible : application

Que dois-je faire pour le supprimer de mon PC et pour guérir ma clef USB ?

Merci,

Quelqu'un qui n'est pas sorti couvert

14 réponses

Bonjour,

Suite a l'infection de notre établissement par ce virus, j'ai du développer des contre mesure. Je me permet donc de vous les partager ici.

L'archive se constitue de 2 script et d'un document expliquant la procédure pour ceux n'ayant pas confiance dans les script (enfaite faite avant) ou simplement désirant comprendre les scripts.

Le script anti-video3gp déverolle les clé
Le script anti-video3gp-cleanPC déverolle les postes Windows(mac et Linux n'étant pas infecter)


lien gdrive : https://drive.google.com/file/d/0Bw96BWzgemOmTzV4UGJpTGJyeXc/view?usp=sharing
13
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 81078 internautes nous ont dit merci ce mois-ci

Super, merci beaucoup
Un grand merci à l'auteur car j'étais très ennuyé par rapport à la sommes des données importantes qu'il y avait sur mon support USB. En quelques clics seulement, la clé a été entèrement nettoyée et l'opération a duré moins d'une minute.
Bravo !
Philippe
Un grand merci à vous pour votre aide! Ordinateur nettoyé puis les 2 clés infectées. Merci Merci!!
Merci beaucoup! vraiment!
Vraiment c'est de la magie, Thank you SO much for your help
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Salut,

Il s'agit de cette infection Virus USB VBS.Crypt.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Veuillez appuyer sur une touche pour continuer la désinfection...
Bonjour,
j'ai exactement le même problème...
je me permet de vous donner les trois liens demandés ci-dessus:
frst http://pjjoint.malekal.com/files.php?id=FRST_20160510_z8c7y69j7
addition http://pjjoint.malekal.com/files.php?id=20160510_g5k1313f13e6
shotcut http://pjjoint.malekal.com/files.php?id=20160510_d11n7q6o9s15
Merci de votre aide
Cordialement
Julien
cyber75
Messages postés
6
Date d'inscription
lundi 30 mai 2016
Statut
Membre
Dernière intervention
30 mai 2016

Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984 > cyber75
Messages postés
6
Date d'inscription
lundi 30 mai 2016
Statut
Membre
Dernière intervention
30 mai 2016

Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
bizarre, les rapports que tu transmets ne sont pas entier.


Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
C:\Users\Clara\AppData\Roaming\Video.3gp
c:\programdata\quickset
Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Voilou,

Pour nettoyer tes clefs USB :

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

et ce sera good,

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharge et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


JodoDune
Messages postés
5
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016

Quand j'installe marmiton on me demande un mdp, et je ne comprends pas ce que tu veux dire par "Clic sur Désactiver au niveau de Windows Script Host" ... Désolé ahah je suis un peu lente ...
Merci !
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984 > JodoDune
Messages postés
5
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016

le mot de passe est malekal
c'est écrit sur la page de téléchargement.
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Si vous avez besoin d'aide, veuillez créer votre propre sujet en allant dans la partie Virus du forum et en cliquant sur le bouton Poser une question.
Remplissez les champs et envoyer votre demande.




Messages postés
5
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016

Voilà ce que j'obtiens, le redémarrage c'est fait automatiquement :


fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Clara\AppData\Roaming\Video.3gp
C:\Users\Clara\AppData\Roaming\Video.3gp
Task: C:\Windows\Tasks\SK.Enhancer-S-161304646.job => c:\programdata\quickset\sk.enhancer\SK.Enhancer.exeG/schedule /profile c:\programdata\quickset\sk.enhancer\161304646.iniClaraSK.Enh <==== ATTENTION
reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-3744038216-4012881299-519130704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\Clara\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.
C:\Windows\Tasks\SK.Enhancer-S-161304646.job => non trouvé(e).

========= reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-04-09 17:47:27)

C:\Users\Clara\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès

Fin de Fixlog 17:47:27

Messages postés
5
Date d'inscription
samedi 9 avril 2016
Statut
Membre
Dernière intervention
19 avril 2016

Vous me sauvez !

Rem-VBSworm v7.0

=========== - General info:

Running under: Clara on profile: C:\Users\Clara
Computer name: ORDINATEUR

Operating System:
Microsoft Windowsÿ7 dition Familiale Premium

Boot Mode:
Normal boot

Antivirus software installed:
avast! Antivirus


Executed on: 09/04/2016 @ 17:59:28,67

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local OS

D: Disque fixe local Data

E: Disque CD-ROM

F: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS
F: \Device\HarddiskVolume4 exFAT

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
IDE\DISKST9320325AS_____________________________0003SDM1\4&19E15798&0&0.0.0

USBSTOR\DISK&VEN_SONY&PROD_STORAGE_MEDIA&REV_PMAP\5C071059D0E3156A71&0




Fichier supprim‚ - F:\PHOTO FAMIlY.lnk
Fichier supprim‚ - F:\syncguid.lnk
Fichier supprim‚ - F:\VIDEO.lnk
Fichier supprim‚ - F:\Nouveau dossier.lnk
Fichier supprim‚ - F:\DCIM.lnk
Listing root contents of F:
Le volume dans le lecteur F n'a pas de nom.
Le num‚ro de s‚rie du volume est 2CB9-EDFA

R‚pertoire de F:\

12/10/2015 11:59 121ÿ030 Video.3gp
08/04/2016 13:49 36 syncguid.dat
08/04/2016 13:50 <REP> VIDEO
08/04/2016 13:50 <REP> DCIM
2 fichier(s) 121ÿ066 octets
2 R‚p(s) 62ÿ146ÿ609ÿ152 octets libres

USB drive disinfected and files unhidden!!
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Supprime Video.3gp sur ta clef USB et voilou =)
Messages postés
18311
Date d'inscription
dimanche 29 octobre 2006
Statut
Contributeur
Dernière intervention
15 janvier 2020
2578
Eset 4.2...très vieux je te conseil de le mettre à jour en version 9 :

http://www.eset.com/fr/download/home/detail/family/5/
D'accord.
Que dois-je faire après ?
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984 > Julien
Normalement plus rien.
A part ce qui est dit dans mon message précédent.
ah oui c'est bon super ! le raccourci photo famiiy sur le disque D ne réapparait plus quand je le supprime ! Merci beaucoup :)
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984 > Julien
de rien =)
Bonjour, j'ai également été infecté par un virus du même type, voici les rapports d'analyse :

- Addition : http://pjjoint.malekal.com/files.php?id=20160621_u8b14y15t5k5

- FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160621_n11c6w9z11z12

- Shortcut : http://pjjoint.malekal.com/files.php?id=20160621_i15j10h15x5o7

Je vous remercie d'avance de votre réponse :).
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

puis faire ce qui est en message #5 : Rem-VBS et Marmiton.
Merci de votre première réponse, voici le texte qui est apparu :

Exécuté par Num (2016-06-21 22:00:29) Run:1
Exécuté depuis C:\Users\Num\Desktop\FRST
Profils chargés: Num (Profils disponibles: Num)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
HKU\S-1-5-21-1064192849-657113169-665433704-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
2016-06-21 19:21 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\Num\AppData\Roaming\Video.3gp
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\Num\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-21 22:02:27)

C:\Users\Num\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès

Fin de Fixlog 22:02:27

Re, j'ai utilisé les logiciels recommandés, donc voici le rapport Rem-VBS :

Rem-VBSworm v8.0

=========== - General info:

Running under: Num on profile: C:\Users\Num
Computer name: JULLIAN-PC

Operating System:
Microsoft Windowsÿ7 dition Int‚grale

Boot Mode:
Normal boot

Antivirus software installed:

Executed on: 21/06/2016 @ 22:08:51,91

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local

D: Disque fixe local R‚serv‚ au systŠme

E: Disque fixe local

F: Disque CD-ROM

G: Disque amovible

H: Disque amovible

I: Disque amovible

J: Disque amovible

K: Disque amovible GOURMELIN




Physical drives information:
C: \Device\HarddiskVolume1 NTFS
D: \Device\HarddiskVolume2 NTFS
E: \Device\HarddiskVolume3 NTFS
K: \Device\HarddiskVolume4 FAT

=========== - Disinfection info:


=========== - USB drive info:

K: selected

USB Device ID:
IDE\DISKMAXTOR_6V080E0__________________________VA111630\5&EBBD404&0&0.0.0

IDE\DISKST3500418AS_____________________________CC46____\5&379CED66&0&1.0.0

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070B388592213F42&0

USBSTOR\DISK&VEN_GENERIC-&PROD_COMPACT_FLASH&REV_1.00\20021111153705700&0

USBSTOR\DISK&VEN_GENERIC-&PROD_MS/MS-PRO&REV_1.00\20021111153705700&3

USBSTOR\DISK&VEN_GENERIC-&PROD_SD/MMC&REV_1.00\20021111153705700&2

USBSTOR\DISK&VEN_GENERIC-&PROD_SM/XD-PICTURE&REV_1.00\20021111153705700&1




Fichier supprim‚ - K:\VIDEO.lnk
Fichier supprim‚ - K:\PHOTO FAMIlY.lnk
Fichier supprim‚ - K:\Nouveau dossier.lnk
Fichier supprim‚ - K:\DCIM.lnk
Listing root contents of K:
Le volume dans le lecteur K s'appelle GOURMELIN
Le num‚ro de s‚rie du volume est 4470-FFCF

R‚pertoire de K:\



----------------------------

Par contre, il reste PHOTO FAMIY sur mon disque local E (qui est un disque dur qui me sert pour stocker mes données), du coup, devrais-je utiliser Remediate VBS sur ce disque aussi ou y a t'il une autre solution ?
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
oui tu peux bien sûr.
J'ai suivi vos démarches il y a quelques jours et désormais il n'y a plus ce problème, merci de votre aide :).
Bonjour, je rencontre actuellement le même type de problèmes que décris ci-dessus, donc j'ai réalisé l'analyse préconisée avec FRST.

Voici les résultats des analyses :
Shortcut : http://pjjoint.malekal.com/files.php?id=20160625_l13d6q8n8x13
Addition : http://pjjoint.malekal.com/files.php?id=20160625_e6z15j12e13c5
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160625_h15p14k15k6y7

Je vous remercie par avance de votre réponse :).
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Salut,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Voici les résultats de la correction :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-06-2016 01
Exécuté par dominique1 (2016-06-26 11:22:06) Run:1
Exécuté depuis C:\Users\dominique1\Desktop
Profils chargés: dominique1 & caroline (Profils disponibles: dominique1 & caroline)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\dominique1\AppData\Roaming\Video.3gp
2016-06-14 21:52 - 2015-10-12 10:59 - 00121030 ___SH C:\Users\dominique1\AppData\Roaming\Video.3gp


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-718064900-3672066035-3243911331-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Users\dominique1\AppData\Roaming\Video.3gp" => Planifié pour déplacement au redémarrage.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2016-06-26 11:24:36)

C:\Users\dominique1\AppData\Roaming\Video.3gp => a été déplacé(e) avec succès

Fin de Fixlog 11:24:36

Re, je viens d'effectuer le scan de VBS, en voici les résultats :


=========== - Disinfection info:


=========== - USB drive info:

E: selected

USB Device ID:
SCSI\DISK&VEN_HITACHI&PROD_HDT725050VLA380\4&38FBD192&0&000000

USBSTOR\DISK&VEN_&PROD_&REV_8.07\AU28151F50000003&0

SCSI\DISK&VEN_ST350041&PROD_8AS\4&38FBD192&0&010000




Fichier supprim‚ - E:\PHOTO FAMIlY.lnk
Fichier supprim‚ - E:\System Volume Information.lnk
Fichier supprim‚ - E:\Nouveau dossier.lnk
Fichier supprim‚ - E:\VIDEO.lnk
Fichier supprim‚ - E:\DCIM.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E n'a pas de nom.
Le num‚ro de s‚rie du volume est BE7B-C394

R‚pertoire de E:\

12/10/2015 10:59 121ÿ030 Video.3gp
25/06/2016 05:49 <DIR> DCIM
25/06/2016 05:49 <DIR> VIDEO
1 fichier(s) 121ÿ030 octets
3 R‚p(s) 7ÿ744ÿ077ÿ824 octets libres

USB drive disinfected and files unhidden!!

Op‚ration r‚ussieÿ: le processus avec PID 5764 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 6220 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:

Shortcut: !shortcut!
----------------------------------------------------------------
Shortcut: !shortcut!
----------------------------------------------------------------

=========== - Scheduled tasks info:


Je vous remercie de votre aide :).
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984 > Soleil
Ca doit rouler,


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
Bonjour,

Mon ordinateur a aussi été infecté par ce virus.

J'ai effectuée l'analyse préconisée avec FRST. Voici les 3 rapports :

FRST - ADDITION - SHORTCUT

http://pjjoint.malekal.com/files.php?id=FRST_20160706_g5d5h1513t12
http://pjjoint.malekal.com/files.php?id=20160706_t14o15q11e85
http://pjjoint.malekal.com/files.php?id=20160706_z11h14e12c6f14

Un grand merci pour votre aide!
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
Hello,

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

puis :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
EmptyTemp:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
> Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020

J'ai désinfecté mes clés USB via tes explications (plus haut).
J'ai installé marmiton et renforcé la sécurité de mon ordinateur en suivant les explications de ton blog/forum, qui va clairement devenir ma référence en cas de souci informatique.

Voici le message fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-07-2016
Exécuté par Claire Bedu (2016-07-06 23:24:22) Run:1
Exécuté depuis C:\Users\Claire Bedu\Desktop\Logiciels utiles
Profils chargés: Claire Bedu & (Profils disponibles: Claire Bedu)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
2016-07-05 21:30 - 2015-10-12 11:59 - 00121030 _____ C:\Users\Claire Bedu\AppData\Roaming\Video.3gp
EmptyTemp:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2801302744-3347028777-4147129343-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
C:\Users\Claire Bedu\AppData\Roaming\Video.3gp => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 10671405 B
Java, Flash, Steam htmlcache => 595 B
Windows/system/drivers => 6399416 B
Edge => 0 B
Chrome => 81270673 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 230606 B
systemprofile32 => 17542338 B
LocalService => 836 B
NetworkService => 191546416 B
Claire Bedu => 22073936 B

RecycleBin => 1896099 B
EmptyTemp: => 324.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 23:26:38

J'espère que c'est bon? Le fichier a disparu de l'emplacement où il se trouvait avant...

En tout cas un énorme merci pour ton aide et ta réactivité !
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984 > Claire2169
oui c'est niquel :)
Pas de soucis!
Messages postés
1
Date d'inscription
vendredi 12 août 2016
Statut
Membre
Dernière intervention
12 août 2016

Bonjour, j'ai également été infecté par un virus du même type, voici les rapports d'analyse :

http://pjjoint.malekal.com/files.php?id=20160812_h5g8r12n13m6

http://pjjoint.malekal.com/files.php?id=FRST_20160812_n14x6m8l7q11

http://pjjoint.malekal.com/files.php?id=20160812_t14p11w11e14j10

Je n'ai pas branché mes clef USB qui ont pu être infecté, fallait-il le faire pendant l'analyse ?

Merci d'avance pour ton aide :)
Malekal_morte-
Messages postés
174023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 janvier 2020
18984
yep, je confirme.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1112499590-2824273211-3812243857-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Pauline\AppData\Roaming\Video.3gp
2016-07-11 08:59 - 2015-10-12 10:59 - 0121030 ___SH () C:\Users\Pauline\AppData\Roaming\Video.3gp
EmptyTemp:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

puis Marmiton et Rem-VBS.