[VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

[VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles

Message par joberth » 23 févr. 2018 18:42

Bonjour à toutes et tous,

Je me présente : Joberth, la quarantaine, ingénieur, inscrit sur votre forum depuis quelques jours au détour d'une recherche sur le Web concernant un virus USB désigné sous le nom de "Jenxcus".

J'ai récemment observé un comportement inhabituel lorsque je branche une clé USB sur mon PC :
Un fichier tout juste placé sur cette dernière disparait quasi immédiatement et mon antivirus (Avira Antivir) m'alerte immédiatement et place ce fichier en quarantaine.
Après quelques recherches, j'ai découvert ce forum et en fouillant un peu, j'ai pu voir que plusieurs personnes avaient déjà fait appel à votre aide pour des soucis du même ordre.

Après avoir installé FRST, j'ai lancé l'analyse et viens de placer les 3 fichiers générés sur "ppjoint.malekal":
ci dessous les adresses :
FRST.txt==>https://pjjoint.malekal.com/files.php?i ... 9e6k11w8v6
addition.txt==>https://pjjoint.malekal.com/files.php?i ... 0z15s15n10
shortcut.txt==>https://pjjoint.malekal.com/files.php?i ... 4i9j9d12f8

J'ai également remarqué qu'Antivir a placé en quarantaine un fichier "suivi-colis-mondial-relay.vbs", fichier déjà mentionné dans un post que vous avez traité.
J'imagine que l'infection s'est faite suite à l'ouverture d'un fichier reçu par mail récemment alors que nous attendions justement un colis (eh oui ...une commande qui tarde à arriver alors que Noël approche...une seconde d'inattention)

Merci de votre aide

Joberth
Dernière édition par joberth le 09 mars 2018 20:53, édité 1 fois.




Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par angelique » 23 févr. 2018 20:11

Bonjour/Bonsoir


Tu as un raccourci sur ton Bureau qui pointe sur un bat sur la seconde partition, enlève la ligne du fixlist.txt si tu connais.

Shortcut: C:\Documents and Settings\BERTHEAU\Bureau\Philaplus.lnk -> F:\PhilaPlus\Run\PhilaPlus.bat ()

  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
Pièces jointes
fixlist.txt
(2.5 Kio) Téléchargé 22 fois
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par joberth » 23 févr. 2018 20:42

Bonsoir,

Oui, je connais ce raccourci "Philaposte". Il pointe sur un logiciel (j'ai l'impression qu'il tourne sous JAVA) qui permet de gérer une collection de timbres !
Je viens de vérifier les attributs de ce philaplus.bat et rien d'anormal : pas de fichiers cachés ou d'extensions "parasites" sur ds noms de fichiers
En tout ce .bat n'a pas été modifié récemment (date identique à tous les fichiers associés à cet outil).

je modifie donc le fixlist.txt en cohérence, je lance FRST et je te transmets le rapport de correction.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par angelique » 23 févr. 2018 20:48

OK je me doutais que Shortcut: C:\Documents and Settings\BERTHEAU\Bureau\Philaplus.lnk -> F:\PhilaPlus\Run\PhilaPlus.bat () t' était connu , d' ou mon commentaire.
Donc enlève la ligne et procède à la correction, et ajoute ton commentaire sur le problème si disparu.

le fichier ou dossier C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar peuvent je pense être supprimé après correction.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par joberth » 23 févr. 2018 21:32

A noter pendant que FRST a procédé à la correction qu'Antivir a ouvert un Pop-up "Host file Blocked".
Certains fichiers n'ont peut-être pas été traités ...
En tout cas le "suivi-colis-mondial-relay.vbs" n'apparait plus dans la liste des logiciels dispos au démarrage : "démarrer/tous les prgms/démarrage/(vide)".

En effet, comme tu l'envisageais, le dossier C:\Documents and Settings\BERTHEAU\Application Data\Java\ a été supprimé suite au correctif par FRST

J'avais remarqué qu'il n'était plus possible de mettre à jour Java depuis plusieurs mois, sans doute parce que le support sous XP n'est plus assuré.
Est-ce que c'est la faiblesse que le virus peut/pouvait potentiellement exploiter?
Est-il possible de savoir à quoi ce virus était destiné? : criptage des fichiers et demande de rançon /vol des mots de passe sur le sites web, vol des codes de CB ...

Une question encore : comment m'assurer désormais que tous les supports amovibles qui ont été connectés au PC ces derniers temps ne sont pas contaminés et/ou ne vont pas contaminer de nouveau le PC a la prochaine occasion?
Après avoir parcouru le forum, j'ai téléchargé Remediate VBS au cas où.
Je l'installe et passe au crible toutes mes clés et HDD amovibles à tour de rôle ?
Sinon, méthode plus radicale : je formate les clés USB pour être définitivement tranquille.
En revanche impossible de formater le HDD amovible qui sert de stockage "backup" de mes fichiers de données ...


Ci-joint le rapport Fixlog.txt généré après que redémarrage Windows :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 21.02.2018
Exécuté par BERTHEAU (23-02-2018 19:41:12) Run:1
Exécuté depuis C:\Documents and Settings\BERTHEAU\Bureau
Profils chargés: BERTHEAU (Profils disponibles: BERTHEAU)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [SpybotSD TeaTimer] => C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [Java] => "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar"
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [QVJWUO8I0A] => C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs [224987 2018-01-15] ()
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\MountPoints2: {5d6e2ade-a6a1-11dc-a69f-e949e8f3f586} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
Startup: C:\Documents and Settings\BERTHEAU\Menu Démarrer\Programmes\Démarrage\Suivi-Colis-Mondial-Relay.vbs [2018-01-15] ()
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://search.zonealarm.com/?src=nt&tbid=HFA5&Lan=FR&gu=9f185f1c39ea42c981cfbcf7a0dde357&tu=10GYy00Fa4D33N0&sku=&tstsId=&ver=&" <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> DefaultScope {45436578-4790-4829-8278-AF184B34BF50} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=goughGA&Lan=fr&q={searchTerms}&gu=487c7c3b63344160aeff809ea634639b&tu=10GXy00B44C01g0&sku=&tstsId=&ver=&&r=906
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> {45436578-4790-4829-8278-AF184B34BF50} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=goughGA&Lan=fr&q={searchTerms}&gu=487c7c3b63344160aeff809ea634639b&tu=10GXy00B44C01g0&sku=&tstsId=&ver=&&r=906
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
Toolbar: HKLM - Pas de nom - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Pas de fichier
Toolbar: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
Toolbar: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> Pas de nom - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - Pas de fichier
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X]
S3 SetupNTGLM7X; \??\E:\NTGLM7X.sys [X]
2018-02-18 22:35 - 2018-01-15 03:35 - 000224987 _____ C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs
C:\Program Files\Spybot - Search & Destroy
Hosts:
EmptyTemp:

*****************

"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\Java" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\QVJWUO8I0A" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5d6e2ade-a6a1-11dc-a69f-e949e8f3f586}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{5d6e2ade-a6a1-11dc-a69f-e949e8f3f586} => non trouvé(e)
C:\Documents and Settings\BERTHEAU\Menu Démarrer\Programmes\Démarrage\Suivi-Colis-Mondial-Relay.vbs => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\Tabs => valeur restauré(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{45436578-4790-4829-8278-AF184B34BF50}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{45436578-4790-4829-8278-AF184B34BF50} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b} => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{327C2873-E90D-4c37-AA9D-10AC9BABA46C}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{327C2873-E90D-4c37-AA9D-10AC9BABA46C} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} => non trouvé(e)
"HKLM\System\CurrentControlSet\Services\GMSIPCI" => supprimé(es) avec succès
GMSIPCI => service supprimé(es) avec succès
"HKLM\System\CurrentControlSet\Services\SetupNTGLM7X" => supprimé(es) avec succès
SetupNTGLM7X => service supprimé(es) avec succès
C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs => déplacé(es) avec succès
C:\Program Files\Spybot - Search & Destroy => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

=========== EmptyTemp: ==========

BITS transfer queue => 10169 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 65871 B
Java, Flash, Steam htmlcache => 372379 B
Windows/system/dllcache/drivers => 18010453 B
Edge => 0 B
Chrome => 0 B
Firefox => 112047758 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 66164 B
All Users => 0 B
systemprofile => 13888319 B
LocalService => 6381577 B
NetworkService => 2110252 B
BERTHEAU => 897065779 B

RecycleBin => 172119 B
EmptyTemp: => 1001.5 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 23-02-2018 19:46:04)

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.

==== Fin de Fixlog 19:46:24 ====


Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par angelique » 24 févr. 2018 10:05

Le fichier hosts est protégé par antivir, d’où le message d'alerte de sa part (voir capture)

Il est dangereux de rester sous XP, une alternative gratuite est d'abandonner Windows pour mettre une mint XFCE sur tout le disk à la place de Windows:

https://linuxmint.com/download.php

Tu peux supprimer frst, ses rapports et C:\FRST

Par sécurité oui tu peux changer tous tes mots de passe malgré que je ne pense pas que ce soit un Trojan RAT
j'ai téléchargé Remediate VBS au cas où.
Je l'installe et passe au crible toutes mes clés et HDD amovibles à tour de rôle ?
ça sera suffisant.
Pièces jointes
avira-protect-windows-hosts-files-from-changes.png
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par joberth » 24 févr. 2018 11:55

Bonjour,

Merci pour ton aide et tes conseils.

J'ai testé 3 clés USB (dont 2 pour lesquelles Antivir avait bippé) depuis l'application de l'antidote.
Tout semble de nouveau normal : les fichiers restent en place et visibles, pas d'alerte Antivir, pas de fichier caché.

Je vais tester mon HDD amovible et l'appareil photo dans la foulée et faire un scan complet du PC avec Antivir par acquis de conscience (même si ça dure des heures sur ma vieille config !).
Je suis plutôt confiant; je pense qu'Antivir a empêché la contamination des clés en plaçant tout de suite les fichiers vérolés en quarantaine.

Pour l'abandon de XP, c'est prévu ! Mais c'est plus radical, je change de PC !
J'étais d'ailleurs sur le point de transférer mes données de l'ancien vers le nouveau vis la HDD amovible quand j'ai eu le problème avec les clés USB. Alerte juste à temps il semblerait ...

Bravo à toute l'équipe qui tient les rênes de ce forum.
On y trouve énormément d'infos intéressantes et utiles et finalement assez accessibles quand on s'intéresse un peu au sujet et qu'on prend le temps de naviguer de post en post.
Super boulot !
Je vais recommander ce forum autour de moi (et aux collègues du support informatique au boulot !)

encore merci
Joberth

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par joberth » 24 févr. 2018 19:08

RE_bonjour,

Je viens donc de procéder à l'analyse de mon disque avec Antivir, au cas où.
Il renvoie 2 alertes concernant des fichiers.zip qui serait présent dans un répertoire "Documents and Settings\BERTHEAU\Application Data\Java\" qui a pourtant fait l'objet d'un traitement par le correctif FRST et qui est censé avoir été supprimé. Antivir a pourtant placé 2 fichiers de ce soit-disant répertoire en quarantaine dans la foulée.
Pourtant ce répertoire "Java" n'est plus "visible" sur mon disque. J'ai pourtant pris la précaution d'activer la visualisation des dossiers et fichiers cachés sous Windows. et depuis l'application du correctif FRST, j'ai redémarré le PC au moins 2 fois
Du coup, je ne sais pas quoi en penser ... bug Antivir ou fix FRST défaillant ?

Ci-dessous un extrait du rapport de scan d'Avira Antivir :

Starting to scan executable files (registry):
C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar
[0] Archive type: ZIP
--> Adwind.class
[DETECTION] Contains recognition pattern of the EXP/JAVA.Adwind.AO.Gen exploit

!
Infected files in archives cannot be repaired
FP reports error 0xCCC00006 for file 'C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar'
The Protection Cloud scan of file 'C:\OLIFAXVX\TOOLBAR.EXE' completed with the error code 0xEA. SHA256 = 08E1DA2528C5477197763A9E336F96C1876E09397018C88711AE09273CA16D8C

The registry was scanned ( '3008' files ).


Starting the file scan:

Begin scan in 'C:\'
The Protection Cloud scan of file 'C:\C_DILLA\setup\cdremove.exe' completed with the error code 0xEA. SHA256 = 9C1208DDA40A59BAD68A37F2903A803EE3E6FF4192E059909D27429A2F4879B5
C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar
[0] Archive type: ZIP
--> Adwind.class
[DETECTION] Contains recognition pattern of the EXP/JAVA.Adwind.AO.Gen exploit

!
Infected files in archives cannot be repaired
FP reports error 0xCCC00006 for file 'C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar'
C:\Documents and Settings\BERTHEAU\Application Data\Java\java.N3f
[0] Archive type: ZIP
--> stub/EcryptedWrapper.class
[DETECTION] Contains recognition pattern of the JAVA/Adwind.XXX.2 Java virus

!
Infected files in archives cannot be repaired
--> stub/EncryptedLoader.class
[DETECTION] Contains recognition pattern of the JAVA/Adwind.XXX.1 Java virus

!
Infected files in archives cannot be repaired
--> stub/EncryptedLoaderOld.class
[DETECTION] Contains recognition pattern of the JAVA/Adwind.xxx Java virus

!
Infected files in archives cannot be repaired
Product scanning mode 1 activated (FP)
The Protection Cloud scan of file 'C:\Documents and Settings\BERTHEAU\Bureau\marmiton-install.exe' completed with the error code 0xEA. SHA256 = 4ADCA09C0E9BB9DD515261EB4F3ED0D5510455D34E7346F5B600F5AB8E8FADAD
The Protection Cloud scan of file 'C:\OLIFAXVX\TOOLBAR.EXE' completed with the error code 0xEA. SHA256 = 08E1DA2528C5477197763A9E336F96C1876E09397018C88711AE09273CA16D8C
The Protection Cloud scan of file 'C:\Program Files\CheckPoint\ZoneAlarm\diagnostics\osrbang.exe' completed with the error code 0xEA. SHA256 = F500D26B37B83A12F6AFBE8CE3240E1CEAE898906D5A34450E72E46D700EA326
The Protection Cloud scan of file 'C:\Program Files\IZArc\arc.izp' completed with the error code 0xEA. SHA256 = 921407945777EF06946B8E949B0F83BEE23C3B6DEE83B08EC2DE7214254210BB
The Protection Cloud scan of file 'C:\Program Files\IZArc\SFXS\IZArcRAR.dat' completed with the error code 0xEA. SHA256 = DFDD28782ACDAAAE3EC5A025116908B357801B6C2D87203B79CCA5782B513D76
The Protection Cloud scan of file 'C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe' completed with the error code 0xEA. SHA256 = F2CC47D2F536B8EDFD1A8F702E18C8E21972AE6CB1DF65242AD183E02DB50D74
Begin scan in 'F:\'

Beginning disinfection:
C:\Documents and Settings\BERTHEAU\Application Data\Java\java.N3f
[DETECTION] Contains recognition pattern of the JAVA/Adwind.xxx Java virus
[NOTE] The file was moved to the quarantine directory under the name '5e662c7e.qua'!
The registration entry <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> was removed successfully.
The registration entry <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Start> was successfully repaired.
The registration entry <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Java> was successfully repaired.
C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar
[DETECTION] Contains recognition pattern of the EXP/JAVA.Adwind.AO.Gen exploit
[NOTE] The file was moved to the quarantine directory under the name '46f103df.qua'!
[NOTE] The registration entry <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Java> was successfully repaired.


End of the scan: samedi 24 février 2018 16:42
Used time: 2:23:34 Hour(s)

The scan has been done completely.

10988 Scanned directories
322431 Files were scanned
5 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 Files were deleted
0 Viruses and unwanted programs were repaired
2 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
322426 Files not concerned
3141 Archives were scanned
5 Warnings
3 Notes
736926 Objects were scanned with rootkit scan
1 Hidden objects were found

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par angelique » 24 févr. 2018 19:14

On avait juste corrigé son entrée de démarrage automatique [Run] et je t'avais dit de supprimer manuellement C:\Documents and Settings\BERTHEAU\Application Data\Java
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par joberth » 24 févr. 2018 19:25

Merci Angélique mais ...
comment supprimer manuellement un répertoire qui n'apparaissait plus après application de la fixlist par FRST !?
et qui n'apparait pas plus maintenant ...
conclusion ? je supprime les fichiers mis en quarantaine par Antivir et tout est réglé ?

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par angelique » 24 févr. 2018 19:48

Oui mais refais moi 2 nouveaux rapports frst.txt et addition.txt
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles

Message par joberth » 28 févr. 2018 00:16

Bonsoir Angélique,

Ci-joint les liens vers les 2 nouveaux rapports FRST demandés :

FRST.txt =>https://pjjoint.malekal.com/files.php?i ... 6l11m13x11
addition.txt =>https://pjjoint.malekal.com/files.php?i ... 13l8q14b12

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles

Message par angelique » 09 mars 2018 21:06

Java 7 Update 79 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217079FF}) (Version: 7.0.790 - Oracle) pas nécessaire, tu peux désinstaller

Sinon rien de particulier sur tes rapports.

Vide la quarantaine de ton antivirus.


  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
Pièces jointes
fixlist.txt
(254 octets) Téléchargé 16 fois
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

joberth
newbie
newbie
Messages : 16
Inscription : 16 févr. 2018 01:16

Re: [VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles

Message par joberth » 10 mars 2018 00:13

Bonsoir Angélique,

J'ai désinstallé Java7 via le panneau de config Windows et vidé le dossier "mise en quarantaine" d'AV.
Ci-dessous le rapport fixlog.txt.
Tout semble s'être bien passé.
Merci pour ton aide.

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 04.03.2018
Exécuté par BERTHEAU (09-03-2018 22:29:19) Run:1
Exécuté depuis C:\Documents and Settings\BERTHEAU\Bureau
Profils chargés: BERTHEAU (Profils disponibles: BERTHEAU)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
HKLM\...\Run: [Java] => "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "
C:\Documents and Settings\BERTHEAU\Application Data\Java
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched"
EmptyTemp:

*****************

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Java" => supprimé(es) avec succès
C:\Documents and Settings\BERTHEAU\Application Data\Java => déplacé(es) avec succès

========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" =========


Permanently delete the registry key SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched (Y/N)?
L'opération s'est bien déroulée


========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 10169 B
Java, Flash, Steam htmlcache => 1066 B
Windows/system/dllcache/drivers => 249087 B
Edge => 0 B
Chrome => 0 B
Firefox => 376509530 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 0 B
LocalService => 692 B
NetworkService => 692 B
BERTHEAU => 2392400 B

RecycleBin => 2398666 B
EmptyTemp: => 363.9 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:35:30 ====

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28780
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: [VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles

Message par angelique » 10 mars 2018 12:04

c'est OK, tu peux supprimer frst, ses rapports et C:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »