Page 1 sur 1

virus colis.vbs

Publié : 12 août 2017 14:22
par GDZ
Bonjour,

Mon ordinateur a été infecté par un virus nommé colis.vbs logé dans une pièce jointe d'un mail. Bien qu'ayant tenté de supprimer tous les fichiers présents sur le disque dur à l'aide du logiciel FRST, un message d'alerte (windows script host) s'affiche de manière quasi ininterrompue sur mon bureau : "Impossible de trouver le fichier script "C:\Users\gdean\AppData\Local\Temp\Colis.vbs.

Le rapport FRST signale le point d'attention suivant :
HKU\S-1-5-21-334516603-2142431685-3527212980-1002\...\Run: [5QKDI5YJZ7] => "C:\Users\gdean\AppData\Local\Temp\Colis.vbs" <==== ATTENTION

Je me permets de faire appel à vous, ne sachant pas comment arrêter le lancement de ce message automatique.
Voici les 3 fichiers de rapport FRST :
https://pjjoint.malekal.com/files.php?i ... 14k14o8z10
https://pjjoint.malekal.com/files.php?i ... 8k14t14o12
https://pjjoint.malekal.com/files.php?i ... 6k8e15k5l8

Avec tous mes remerciements par avance!

GDZ

Re: virus colis.vbs

Publié : 12 août 2017 14:35
par Malekal_morte
Salut,

Tu peux donner une capture d'écran du mail pour voir ?
Tu peux zipper C:\Users\gdean\AppData\Local\Temp\Colis.vbs
et envoyer sur http://upload.malekal.com

pour désinfecter :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-334516603-2142431685-3527212980-1002\...\Run: [5QKDI5YJZ7] => "C:\Users\gdean\AppData\Local\Temp\Colis.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


2)

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).



3)

A désinstaller aussi pour limiter les programmes qui tournent :
CyberLink
Lenovo App Explorer

Re: virus colis.vbs

Publié : 12 août 2017 19:34
par GDZ
Re-Bonjour,

Merci infiniment pour votre réponse rapide.

Voici la capture écran du mail reçu - j'attendais un mail de livraison Mondial Relay, mais pas celui-ci... Je l'ai signalé dès hier sur hotmail comme spam.
https://pjjoint.malekal.com/files.php?i ... d9m11r7s11

Le fichier vbs n'est plus dans mes dossiers - je l'ai supprimé manuellement mais voici le lien vers lequel pointait le mail frauduleux.
https://1fichier.com/?vv0by7iz46

J'ai par ailleurs suivi vos instructions pour FRST et Marmiton.
Une boîte de dialogue continue toujours de s'ouvrir suite à la réalisation de ces instructions, avec pour texte : "L'accès à Windows Script Host est désactivé sur cette machine. Contactez votre administrateur système pour plus d'informations."

Encore un très grand merci pour votre aide!

GDZ

Voici le message Fixlog ci-dessous :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-08-2017
Exécuté par gdean (12-08-2017 18:59:42) Run:1
Exécuté depuis C:\Users\gdean\Desktop
Profils chargés: gdean (Profils disponibles: gdean)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-334516603-2142431685-3527212980-1002\...\Run: [5QKDI5YJZ7] => "C:\Users\gdean\AppData\Local\Temp\Colis.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-334516603-2142431685-3527212980-1002\Software\Microsoft\Windows\CurrentVersion\Run\\5QKDI5YJZ7 => valeur supprimé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-334516603-2142431685-3527212980-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-334516603-2142431685-3527212980-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 15936120 B
Java, Flash, Steam htmlcache => 1006 B
Windows/system/drivers => 16512333 B
Edge => 108811874 B
Chrome => 799239588 B
Firefox => 42953044 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 2486 B
NetworkService => 13716 B
gdean => 115088613 B

RecycleBin => 185734 B
EmptyTemp: => 1 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 12-08-2017 19:07:30)

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer
Impossible de restaurer Hosts.

==== Fin de Fixlog 19:07:30 ====

Re: virus colis.vbs

Publié : 12 août 2017 22:33
par Malekal_morte
Merci pour les retours de fichiers, pas top la détection :
7 moteurs ont détecté ce fichier
SHA-256 67c385546d58c0b7d71df3f9e1795497c9c70e910df8b3fe4c22a6ed69df13cd
Nom du fichier Colis.vbs
Taille du fichier 50.88 KB

Bkav
W32.MassiveVBS.TC.Worm
Fortinet
WM/Agent.C69B!tr
Kaspersky
HEUR:Trojan.Script.Agent.gen
Qihoo-360
virus.vbs.crypt.c
Rising
Trojan.Kryptik!8.8 (topis:WER9KvgGkdK)
Tencent
Html.Win32.Script.504024
ZoneAlarm
HEUR:Trojan.Script.Agent.gen
Refais un scan FRST et donne les nouveaux rapports pour voir.

Re: virus colis.vbs

Publié : 13 août 2017 10:08
par GDZ
Bonjour,

Je ne sais comment vous remercier pour votre aide.

J'ai de nouveau exécuté Marmiton puis redémarré mon ordinateur. La fenêtre de script windows n'apparaît plus.

J'ai également relancé FRST. Voici les liens vers les analyses. A priori, le virus n'est plus présent.
https://pjjoint.malekal.com/files.php?i ... 14l9t13n15
https://pjjoint.malekal.com/files.php?i ... 12x12v5m11
https://pjjoint.malekal.com/files.php?i ... 4m15w6y5s9

Pour information, lorsque j'ai ouvert la pièce jointe vérolée vendredi soir, je me suis de suite rendue compte qu'il y avait un souci. Outre le signalement SPAM, j'ai fait un scan intégral (AVIRA) du PC. Rien n'a été détecté. Ce n'est que le lendemain, après démarrage du PC, que les problèmes sont apparus (script Windows + incapacité du PC de s'éteindre - redémarrage systématique > il a fallu que je modifie les commandes d'exécution du démarrage pour remplacer le code 0 par un code 1).

Encore merci,

GDZ

Re: virus colis.vbs

Publié : 13 août 2017 10:53
par Malekal_morte
Je confirme, c'est correct.
Dans le doute, tu devrais changer tes mots de passe.

Eventuellement, à désinstaller :
CyberLink
Lenovo App Explorer