[Worm] VBS:Solow-L, sous Windows XP (Résolu)

[Marine1]

Bonjour à tous,

J'ai entrepris de nettoyer un PC infecté dans le labo où je travaille. C'est un assez vieux PC, qui tourne sous Windows XP. Il n'est pas relié à Internet.
J'ai installé Avast, qui après un scan complet, m'a détecté de nombreux fichiers infectés par un ver, VBS:Solow-L. Le fichier .vbs qui se copiait sur les clés USB s'appelle D12XG72J.vbs. Avast a mis en quarantaine tous les fichiers infectés.
J'ai également fait un scan au démarrage, toujours avec Avast, qui a détecté 3 fichiers infectés, mis en quarantaine également, par le ver VBS:Solow-L. J'ai cherché des informations au sujet de ce ver sur Internet, mais je n'ai rien trouvé sur un fichier s'appelant D12XG72J.vbs.

Maintenant, Avast ne détecte plus rien lors de ses scans, mais j'ai deux problèmes :
- Je ne peux plus ouvrir le disque dur depuis Mon Ordinateur en double-cliquant dessus (cela m'affiche que le fichier D12XG72J.vbs est introuvable), il faut que je fasse Clic droit -> Ouvrir pour y accéder.
- Lorsque j'ouvre Internet Explorer, j'ai la mention "Hacked by D12XG72J" qui apparaît toujours.

Je voudrais donc savoir si le PC est vraiment nettoyé, ou si une trace de l'infection subsiste, et si c'est le cas, comment m'en débarrasser ?
Si l'infection est bien éliminée, j'aimerais tout de même enlever "Hacked by D12XG72J" du navigateur, et si possible rétablir l'accès normal au disque dur.

Je vous remercie d'avance pour votre aide.

[Malekal_morte]

Salut,

Tu ne peux plus ouvrir le disque car il doit y avoir un fichier autorun.inf à la racine.
Affiche les fichiers cachés et systèmes : http://forum.malekal.com/afficher-les-f ... 18239.html

Supprime le.

Sinon Remediate VBS Worm doit s'en charger
ou USBFix.

Histoire de voir :

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Marine1]

Merci pour ton aide : )

J'ai supprimé le fichier autorun.inf mais cela ne change rien : lorsque je double-clique sur le disque dur, j'ai toujours le message d'erreur "Le fichier script D12XG72J.vbs est introuvable."
Je n'arrive pas à lancer Remediate VBS Worm : la fenêtre s'ouvre mais se ferme immédiatement. J'ai essayé de l'exécuter en tant qu'administrateur, mais la seule option que j'ai, c'est de l'exécuter en tant que l'utilisateur actuel (qui s'appelle d'ailleurs "D12XG72J + James Downing", je ne sais pas trop si cela a de l'importance).
Quant à USBfix, c'est uniquement pour les supports amovibles, si j'ai bien compris ?
Peut-être qu'il est possible de réparer l'accès au disque dur en utilisant le CD de Windows ?

J'ai aussi lancé le scan FRST. Voici les rapports :
FRST.txt : http://pjjoint.malekal.com/files.php?id ... x9r9y11x12
Addition.txt : http://pjjoint.malekal.com/files.php?id ... f10p915j15
Shortcut.txt : http://pjjoint.malekal.com/files.php?id ... 4q7w11x8l8

Encore merci pour ton aide.

[Malekal_morte]

Non USBfix nettoye aussi les disques dur et ordinateurs.

Tu as deux antivirus, désinstalle McAfee si tu comptes garder Avast!.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {00d6ff4d-57ed-11e1-858d-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DH1XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {00d6ff4e-57ed-11e1-858d-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL scvhost.bat
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {0466dbfd-4876-11e3-85ad-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {060ed022-4991-11db-845e-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {1136a6de-6919-11e1-8592-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DH1XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {146f4bae-3443-11e0-852d-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {24fe0bbc-a60b-11e4-85d7-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {28b93d2b-23ae-11e0-851e-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {28e3a85c-71d1-11e1-8593-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DH1XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {2e816920-cf81-11e2-85a1-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {521c9234-8501-11e3-85b5-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {73220718-48de-11e1-8581-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DH1XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {73220719-48de-11e1-8581-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {7322071a-48de-11e1-8581-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe DH1XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {7720db92-2526-11df-8500-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {7c62191e-0bfa-11df-84e8-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {7dd3c1dd-f8ca-11e1-8598-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {7dd3c1de-f8ca-11e1-8598-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {88dd0a0a-8815-11e3-85b6-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {8fe001fe-a21d-11e4-85d0-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {8fe001ff-a21d-11e4-85d0-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {97c1f300-09d1-11e0-851d-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {a589cca6-0415-11df-84df-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {a589cca7-0415-11df-84df-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {a8b683c0-434a-11e1-857d-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {be0446a4-b321-11de-84da-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PHCRESEARCH.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {be8179cc-790e-11e3-85af-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {dda3f00e-7bbe-11e4-85cd-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {de174289-ba68-11de-84db-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {e4e5e1fa-2579-11e0-851f-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {fb2973d8-05d5-11df-84e0-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs
HKU\S-1-5-21-1957586686-1001882514-3118621263-1006\...\MountPoints2: {fb900080-2a00-11e0-8521-00038a000015} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe D12XG72J.vbs


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Eventuellement passer un coup d'USBFix, donne le rapport par http://pjjoint.malekal.com

[Marine1]

Merci pour ton aide : )

Je désinstallerai McAffee, mais je dois d'abord demander l'autorisation au propriétaire de l'ordinateur.

Sinon j'ai utilisé ton script avec FRST, voici le rapport :
FixLog.txt : http://pjjoint.malekal.com/files.php?id ... 8g14b15r11

Et voici le rapport après un nettoyage par USBFix :
USBFix_Report.txt : http://pjjoint.malekal.com/files.php?id ... p15q5x9u12

J'ai redémarré le PC, je peux maintenant à nouveau double-cliquer sur le disque dur pour l'ouvrir - déjà un problème de réglé ! : )

Par contre lorsque j'ouvre Internet Explorer, il y a toujours la mention "Hacked by D12XG72J".

[Malekal_morte]

ok

pour "Hacked by D12XG72J" - ça se change dans le registre.
Touche Windows + R
tape regedit et OK.

Déroule l'arborescence HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tu dois avoir Window Title

sinon c'est dans HKEY_LOCAL_MACHINE\\Software\Microsoft\Internet Explorer\Main

Supprime le Window Title.

[Marine1]

Merci beaucoup ! internet Explorer est maintenant débarrassé de cette mention "Hacked by D12XG72J".

Par curiosité, j'ai recherché ce terme (D12XG72J) dans le registre et il a trouvé plusieurs entrées concernant ces fichiers qui contiennent ce terme dans leur nom. La grosse majorité sont des fichiers de type System Volume Information\_restore, et il y a aussi le fichier C:\D12XG72J.vbs et C:\WINDOWS\system32\D12XG72J.vbs

Ce sont les fichiers qui ont été mis en quarantaine par Avast. Est-ce que je devrais effacer aussi ces entrées du registre ?

[Malekal_morte]

C'est la restauration du système.
Donc ne pas en tenir compte.

Désactive les scripts VBS / WSH, comme expliqué sur le dossier : Malware VBS/WSH.

Cela évitera la réinfection.

[Marine1]

Merci pour ton aide, je ferai ça dès lundi.

[Malekal_morte]

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[Marine1]

Voilà, j'ai désactivé les scripts VBS/WSH. Je pense pouvoir utiliser ce pc sans avoir peur de contaminer ma clé USB maintenant Merci beaucoup de m'avoir aidée !

Il reste juste le terme D12XG72J dans certains endroits, par exemple lorsque je clique sur un fichier .exe et que je fais "Exécuter en tant que...", cela m'affiche comme nom d'utilisateur "D12XG72J/Dr James Downing", et lorsque je tape MSINFO32 dans Exécuter, le nom du système est toujours D12XG72J. Mais là je chipote sans doute un peu !

[Malekal_morte]

Fais du ménage avec Autoruns.
Doit rester des références dans le registre sinon :


Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshor ... emLook.exe

SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

[*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

[*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

:regfind
D12XG72J

[*]Click le bouton Look pour commencer le scan.
[*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

[Marine1]

Voici le rapport de SystemLook :

SystemLook 30.07.11 by jpshortstuff
Log created at 11:17 on 02/06/2015 by Dr James Downing
Administrator - Elevation successful

========== regfind ==========

Searching for "D12XG72J"
[HKEY_CURRENT_USER\Volatile Environment]
"LOGONSERVER"="\\D12XG72J"
[HKEY_LOCAL_MACHINE\SOFTWARE\AVAST Software\Avast\PUB-Removed]
"1d0949cac7603ae"="|C:\WINDOWS\system32\D12XG72J.vbs"
[HKEY_LOCAL_MACHINE\SOFTWARE\AVAST Software\Avast\PUB-Removed]
"1d0949cb1e660fe"="|C:\D12XG72J.vbs"
[HKEY_LOCAL_MACHINE\SOFTWARE\SOSVirus\USBFix]
"LastReport"="C:\UsbFix\Log\UsbFix [Clean 1] D12XG72J.txt"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
"NV Hostname"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
"Hostname"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\ComputerName\ComputerName]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters]
"NV Hostname"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters]
"Hostname"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog]
"ComputerName"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"NV Hostname"="D12XG72J"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"Hostname"="D12XG72J"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General]
"ComputerName"="D12XG72J"
[HKEY_USERS\S-1-5-21-1957586686-1001882514-3118621263-1006\Volatile Environment]
"LOGONSERVER"="\\D12XG72J"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General]
"ComputerName"="D12XG72J"

-= EOF =-

[Malekal_morte]

il a changé le nom de l'ordianteur en autre, tu peux le changer comme ceci : http://windows.microsoft.com/fr-fr/wind ... =windows-7

ou via le registre.

Pour le nom d'utilisateur, vas voir dans le panneau de configuration / Gestion utilisateurs.

[Marine1]

Merci beaucoup pour ton aide ! J'ai modifié le nom de l'ordinateur et il n'y a maintenant plus d'entrées portant le nom "D12XG72J" dans le registre, mises à part celles concernant Avast.

Problèmes résolus !