[Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

[Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par KtrocK » 31 déc. 2016 04:08

Bonjour,

Il y a deux semaines j'ai bien peur d'en avoir hérité un virus sur une clé usb... Je ne m'en rend compte que tardivement, j'espère n'avoir contaminé personne de mon entourage je ne me souviens plus où je l'ai branchée depuis...

Sur la clé, tous les documents sont devenus des raccourcis (mais ils restent accessibles) et un "Manuel.doc" est apparu et excite Avast en continu quand je branche la clé (ça c'est nouveau, avant je n'avais que les raccourcis).
Le problème des raccourcis s'est propagée dans la carte SD de ma caméra qui était connectée. Je ne vois pas d'anomalies même si au milieu des alertes Avast pour la clé j'ai cru en apercevoir quelques unes qui venaient du system32.

Pour ne pas vous déranger j'ai passé ma soirée à faire des tours de Malwarebytes Anti-Malware (MBAM ) (qui ne trouve rien du tout), de RogueKiller (qui me supprime 8 éléments mais ceux-ci reviennent à chaque scan) et j'ai même tenté une soluce de FRST donnée pour quelqu'un d'autre et ça n'a pas marché sur moi...

Du coup désolé mais je m'en remets à votre gentillesse, cette histoire m'angoisse pas mal car autant je songeais changer d'ordinateur, autant si je ne peux pas me permettre de transférer mes données sous peine de propager le virus ce n'est pas possible... Et j'ai peur de résoudre le problème du Windows infecté mais qu'il revienne à cause des clés, ou enfin formater mes clés toutes propres mais qu'elles soient aussitôt souillées. C'est une boucle infernale ...

J'ai effectué un scan FRST:
http://pjjoint.malekal.com/files.php?id ... 5b10i8x8y5
http://pjjoint.malekal.com/files.php?id ... 9x11e14x13
http://pjjoint.malekal.com/files.php?id ... u9z9z14w10

Merci d'avance :)
Dernière édition par KtrocK le 25 janv. 2017 10:54, édité 1 fois.


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27382
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Windows 7 est infecté, exécutions wscript sur Manuel.doc

Message par angelique » 31 déc. 2016 12:16

Bonjour,


RogueKiller est inadapté contre les Virus par clé USB.
  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
    Copie/colle dedans ce qui suit :

    HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
    HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\MountPoints2: {0b325825-9054-11e6-bff7-bc5ff4d726c0} - G:\OnePlus_setup.exe /s
    HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\MountPoints2: {27c00268-64c5-11e3-b949-bc5ff4d726c0} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\KitSetup.exe
    HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\MountPoints2: {4668d293-d18e-11e5-b050-bc5ff4d726c0} - G:\OnePlus_setup.exe /s
    Toolbar: HKLM - Pas de nom - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Pas de fichier
    Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
    Toolbar: HKU\S-1-5-21-2406474403-1894115697-1507818006-1000 -> Pas de nom - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Pas de fichier
    EmptyTemp:
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Correction/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
  • Utilise ce tuto avec les outils cités pour désinfecter tes clefs et sécuriser l’USB ➫ remediate-vbs-worm-t48588.html

Pour te protéger des infections amovibles type Windows Script Host. Télécharge et installe MARMITON. Clique sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications. Marmiton bloquera de manière préventive les exécutions de scripts malicieux (VBS, VBE, JavaScript etc).
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Windows 7 est infecté, exécutions wscript sur Manuel.doc

Message par KtrocK » 24 janv. 2017 02:07

Bonjour et merci pour cette réponse !
Je reviens 3 semaines en retard car le virus ne gênant pas mon utilisation de l'ordinateur ma procrastination a encore frappée...

Du coup j'ai suivi votre démarche, je joins le fichier fixlog.

J'ai également nettoyé les clés mais comme elles étaient formatées je dois faire des tests pour voir si ce que je mets dessus fini encore par redevenir des raccourcis.

De toutes façons j'ai profité des soldes pour acheter de quoi me monter un pc neuf mais comme je compte récupérer mes données et mes disques ce n'est pas une raison pour ne pas éliminer ce virus ^^"
Pièces jointes
Fixlog.txt
(3.57 Kio) Téléchargé 31 fois

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27382
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Windows 7 est infecté, exécutions wscript sur Manuel.doc

Message par angelique » 24 janv. 2017 11:11

Le rapport est OK , si les clefs sont formatées alors c'est OK,Utilise Marmiton qui bloquera de manière préventive les exécutions de scripts malicieux (VBS, VBE, JavaScript etc).

Du coup tu peux alors supprimer frst, ses rapports et c:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Windows 7 est infecté, exécutions wscript sur Manuel.doc

Message par KtrocK » 24 janv. 2017 15:06

Merci bien !
J'avais entre temps connecté un disque dur externe, puis-je utiliser le même outil que pour les clés usb afin de m'assurer qu'il n'y a rien de mauvais dessus ? Est-ce que je prend le risque de re-contaminer mon pc en le branchant ou est-ce que maintenant que j'ai Marmiton c'est safe ?


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86889
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 7 est infecté, exécutions wscript sur Manuel.doc

Message par Malekal_morte » 24 janv. 2017 15:16

Si tu as bien désactive Windows Script Hosting depuis Marmiton.
Tu devrais avoir la paix avec ce type d'infection.

Du moins l'ordinateur sera protégé.
Si tu utilises tes cles sur des PC infectés, faudra la nettoyer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

KtrocK
newbie
newbie
Messages : 39
Inscription : 19 avr. 2012 18:25

Re: Windows 7 est infecté, exécutions wscript sur Manuel.doc

Message par KtrocK » 25 janv. 2017 10:53

Et bien merci à vous, je marque en résolu !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86889
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.do

Message par Malekal_morte » 25 janv. 2017 12:26

PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Justinee
newbie
newbie
Messages : 8
Inscription : 03 mai 2017 02:41

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par Justinee » 03 mai 2017 02:44

S'il vous plait désolée de vous déranger j'ai le même problème sur le pc de mon petit frère sa fait 6 mois que sa dure, j'aimerais quelle qu'un qui peut venir en teamviewer me régler se problème le dossier malveillant est manuel.doc j'ai tout essayé je n'arrive point
MERCI D'AVANCE :'(

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86889
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par Malekal_morte » 03 mai 2017 07:15

Bonjour,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86889
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par Malekal_morte » 03 mai 2017 11:53

voila :

1°)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
CreateRestorePoint:
 HKU\S-1-5-21-2752142714-2263072931-1226180571-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db  
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

3°) il faut nettoyer tes clés USB potentiellement infectées.
Insère les.
Télécharge : Remediate VBS Worm
Prends l'option B.
Indique le lecteur de la clé USB.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Justinee
newbie
newbie
Messages : 8
Inscription : 03 mai 2017 02:41

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par Justinee » 03 mai 2017 14:43

L'alerte de l'antivirus c'est arrêtée lorsque j'ai brancher la clé usb, j'ai ouvert le logiciel REMEDIATE VBS... je fait comme vous m'avez dit? j'écrit la lettre B puis s'elle de mon Lecteur USB sa me renméne sur le dossier de ma clé usb et les virus sont encore la ce n'est plus manuel.doc mais Système Volume Information qui ne veut s'enlever ;(

- Se dossier est dans la clé usb : http://pjjoint.malekal.com/files.php?id ... 2f10h11b12


ps: Merci de m'avoir aider vous être très gentil.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86889
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par Malekal_morte » 03 mai 2017 17:12

Système Volume Information est lié à la restauration du système Windows.
En désactivant puis réactivant, cela purge les points de restauration et devrait le supprimer.
=> La restauration du système de Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Justinee
newbie
newbie
Messages : 8
Inscription : 03 mai 2017 02:41

Re: [Résolu] Seven infecté, exécutions wscript sur Manuel.doc

Message par Justinee » 03 mai 2017 19:42

Daccord, franchement MERCI !! :D


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 14 invités