Virus.Worm.VBS : Clef USB infectée (suite)
Résolu/Fermé
Trombone
-
5 nov. 2016 à 14:42
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 nov. 2016 à 17:31
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 5 nov. 2016 à 17:31
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
5 nov. 2016 à 14:46
5 nov. 2016 à 14:46
Salut,
Voici les étapes à réaliser.
1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Voici les étapes à réaliser.
1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Bonjour, je souffre du même virus que Trombone :
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20161105_h13p9n13v14t9
Addition : http://pjjoint.malekal.com/files.php?id=20161105_s9y11e11j5u11
Shortcut : http://pjjoint.malekal.com/files.php?id=20161105_t14v6g9q5s13
Merci d'avance :).
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20161105_h13p9n13v14t9
Addition : http://pjjoint.malekal.com/files.php?id=20161105_s9y11e11j5u11
Shortcut : http://pjjoint.malekal.com/files.php?id=20161105_t14v6g9q5s13
Merci d'avance :).
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
5 nov. 2016 à 15:32
5 nov. 2016 à 15:32
Installe bien Marmiton et désactive Windows Script Hosting.
Utilise l'option B de Remediate VBS Worm pour nettoyer tes clés USB et autres médias amovibles.
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
En plus il se charge au démarrage, ce qui peut ralentir le démarrage.
Utilise l'option B de Remediate VBS Worm pour nettoyer tes clés USB et autres médias amovibles.
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
En plus il se charge au démarrage, ce qui peut ralentir le démarrage.
J'ai suivi vos conseils, cependant il semblerait qu'il persiste un dossier ("System Volum Information") sur ma clé USB.
J'ai essayé plusieurs fois la désinfection sur cette clé (K), et sur un autre disque (E, lui ça a fonctionné), voici le rapport que j'ai eu de VBS : http://pjjoint.malekal.com/files.php?id=20161105_z6c15x5l11e5
J'ai essayé plusieurs fois la désinfection sur cette clé (K), et sur un autre disque (E, lui ça a fonctionné), voici le rapport que j'ai eu de VBS : http://pjjoint.malekal.com/files.php?id=20161105_z6c15x5l11e5
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
Trombone
5 nov. 2016 à 16:28
5 nov. 2016 à 16:28
Ce dossier est relative à la restauration du système.
Il n'est pas malicieux.
Vérifie si tu as le fichier Video.3gp sur tes clés etc.
Si oui, supprime le.
Il n'est pas malicieux.
Vérifie si tu as le fichier Video.3gp sur tes clés etc.
Si oui, supprime le.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
Trombone
5 nov. 2016 à 17:31
5 nov. 2016 à 17:31
bravo =)
5 nov. 2016 à 15:01
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 03-11-2016
Exécuté par Num (05-11-2016 14:51:04) Run:2
Exécuté depuis C:\Users\Num\Desktop
Profils chargés: Num (Profils disponibles: Num)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Num\AppData\Roaming\Video.3gp
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1064192849-657113169-665433704-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 96703091 B
Java, Flash, Steam htmlcache => 154409542 B
Windows/system/drivers => 16051519 B
Edge => 0 B
Chrome => 0 B
Firefox => 379867100 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 84313 B
LocalService => 134542 B
NetworkService => 162188 B
Num => 116922336 B
RecycleBin => 0 B
EmptyTemp: => 737 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 14:54:38