[Résolu] Seven infecté, exécutions wscript sur Manuel.doc

[KtrocK]

Bonjour,

Il y a deux semaines j'ai bien peur d'en avoir hérité un virus sur une clé usb... Je ne m'en rend compte que tardivement, j'espère n'avoir contaminé personne de mon entourage je ne me souviens plus où je l'ai branchée depuis...

Sur la clé, tous les documents sont devenus des raccourcis (mais ils restent accessibles) et un "Manuel.doc" est apparu et excite Avast en continu quand je branche la clé (ça c'est nouveau, avant je n'avais que les raccourcis).
Le problème des raccourcis s'est propagée dans la carte SD de ma caméra qui était connectée. Je ne vois pas d'anomalies même si au milieu des alertes Avast pour la clé j'ai cru en apercevoir quelques unes qui venaient du system32.

Pour ne pas vous déranger j'ai passé ma soirée à faire des tours de Malwarebytes Anti-Malware (MBAM ) (qui ne trouve rien du tout), de RogueKiller (qui me supprime 8 éléments mais ceux-ci reviennent à chaque scan) et j'ai même tenté une soluce de FRST donnée pour quelqu'un d'autre et ça n'a pas marché sur moi...

Du coup désolé mais je m'en remets à votre gentillesse, cette histoire m'angoisse pas mal car autant je songeais changer d'ordinateur, autant si je ne peux pas me permettre de transférer mes données sous peine de propager le virus ce n'est pas possible... Et j'ai peur de résoudre le problème du Windows infecté mais qu'il revienne à cause des clés, ou enfin formater mes clés toutes propres mais qu'elles soient aussitôt souillées. C'est une boucle infernale ...

J'ai effectué un scan FRST:
http://pjjoint.malekal.com/files.php?id ... 5b10i8x8y5
http://pjjoint.malekal.com/files.php?id ... 9x11e14x13
http://pjjoint.malekal.com/files.php?id ... u9z9z14w10

Merci d'avance

[angelique]

Bonjour,


RogueKiller est inadapté contre les Virus par clé USB.

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
  HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\MountPoints2: {0b325825-9054-11e6-bff7-bc5ff4d726c0} - G:\OnePlus_setup.exe /s
  HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\MountPoints2: {27c00268-64c5-11e3-b949-bc5ff4d726c0} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL D:\KitSetup.exe
  HKU\S-1-5-21-2406474403-1894115697-1507818006-1000\...\MountPoints2: {4668d293-d18e-11e5-b050-bc5ff4d726c0} - G:\OnePlus_setup.exe /s
  Toolbar: HKLM - Pas de nom - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Pas de fichier
  Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
  Toolbar: HKU\S-1-5-21-2406474403-1894115697-1507818006-1000 -> Pas de nom - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Pas de fichier
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Correction/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
• Utilise ce tuto avec les outils cités pour désinfecter tes clefs et sécuriser l’USB ➫ http://forum.malekal.com/remediate-vbs-worm-t48588.html

Pour te protéger des infections amovibles type Windows Script Host. Télécharge et installe MARMITON. Clique sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications. Marmiton bloquera de manière préventive les exécutions de scripts malicieux (VBS, VBE, JavaScript etc).

[KtrocK]

Bonjour et merci pour cette réponse !
Je reviens 3 semaines en retard car le virus ne gênant pas mon utilisation de l'ordinateur ma procrastination a encore frappée...

Du coup j'ai suivi votre démarche, je joins le fichier fixlog.

J'ai également nettoyé les clés mais comme elles étaient formatées je dois faire des tests pour voir si ce que je mets dessus fini encore par redevenir des raccourcis.

De toutes façons j'ai profité des soldes pour acheter de quoi me monter un pc neuf mais comme je compte récupérer mes données et mes disques ce n'est pas une raison pour ne pas éliminer ce virus ^^"

[angelique]

Le rapport est OK , si les clefs sont formatées alors c'est OK,Utilise Marmiton qui bloquera de manière préventive les exécutions de scripts malicieux (VBS, VBE, JavaScript etc).

Du coup tu peux alors supprimer frst, ses rapports et c:\FRST

[KtrocK]

Merci bien !
J'avais entre temps connecté un disque dur externe, puis-je utiliser le même outil que pour les clés usb afin de m'assurer qu'il n'y a rien de mauvais dessus ? Est-ce que je prend le risque de re-contaminer mon pc en le branchant ou est-ce que maintenant que j'ai Marmiton c'est safe ?

[Malekal_morte]

Si tu as bien désactive Windows Script Hosting depuis Marmiton.
Tu devrais avoir la paix avec ce type d'infection.

Du moins l'ordinateur sera protégé.
Si tu utilises tes cles sur des PC infectés, faudra la nettoyer.

[KtrocK]

Et bien merci à vous, je marque en résolu !

[Malekal_morte]

[Justinee]

S'il vous plait désolée de vous déranger j'ai le même problème sur le pc de mon petit frère sa fait 6 mois que sa dure, j'aimerais quelle qu'un qui peut venir en teamviewer me régler se problème le dossier malveillant est manuel.doc j'ai tout essayé je n'arrive point
MERCI D'AVANCE :'(

[Malekal_morte]

Bonjour,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Justinee]

Addition = http://pjjoint.malekal.com/files.php?id ... h12o6f12z8
fixlog = http://pjjoint.malekal.com/files.php?id ... k8i1315w13
frst = http://pjjoint.malekal.com/files.php?id ... 13c12z5w12

[Malekal_morte]

voila :

1°)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
CreateRestorePoint:
 HKU\S-1-5-21-2752142714-2263072931-1226180571-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db  
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

3°) il faut nettoyer tes clés USB potentiellement infectées.
Insère les.
Télécharge : Remediate VBS Worm
Prends l'option B.
Indique le lecteur de la clé USB.

[Justinee]

L'alerte de l'antivirus c'est arrêtée lorsque j'ai brancher la clé usb, j'ai ouvert le logiciel REMEDIATE VBS... je fait comme vous m'avez dit? j'écrit la lettre B puis s'elle de mon Lecteur USB sa me renméne sur le dossier de ma clé usb et les virus sont encore la ce n'est plus manuel.doc mais Système Volume Information qui ne veut s'enlever ;(

- Se dossier est dans la clé usb : http://pjjoint.malekal.com/files.php?id ... 2f10h11b12


ps: Merci de m'avoir aider vous être très gentil.

[Malekal_morte]

Système Volume Information est lié à la restauration du système Windows.
En désactivant puis réactivant, cela purge les points de restauration et devrait le supprimer.
=> La restauration du système de Windows.

[Justinee]

Daccord, franchement MERCI !!