VBS Downloader AJV et WIN32 Forbix A. RESOLU

[beotien29]

Bonjour.
Je suis sous Windows 10 et j'ai installé la version gratuite d'Avast. A la suite de la découverte de raccourcis sur mes fichiers j'ai fait un scan avec mon antivirus et Windows Defender qui ont détecté VBS Downloader AJV. N'y connaissant rien en informatique, j'ai réactivé mon "abonnement "Spy Hunter" que j'avais déjà eu l'occasion d'utiliser avec succès. Celui-ci m'a détecté à son tour WIN 32/ Forbix et l'a éliminé. Après avoir visité le site, j'ai téléchargé Remediate VBS Worm, superbe petit logiciel qui m'a supprimé tous les raccourcis. J'ai retrouvé mon ordinateur et mes clés USB nettoyées. Dans la foulée, j'ai également téléchargé Marmiton.
Toutefois, le rapport d'analyse de Remediate VBS Worm, dont la partie concernée est reproduite ci-dessous, fait état d'une possible infection de ma clé USB. Quelle procédure dois-je suivre pour régler ce problème ?
Merci d'avance

=========== - USB drive info:

G: selected

USB Device ID:
SCSI\DISK&VEN_&PROD_ST1000LM024_HN-M\4&34804CAA&0&000000

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\07A60A0137FCB0C4&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of G:
Le volume dans le lecteur G s'appelle USB DISK
Le num‚ro de s‚rie du volume est 9DBC-E511

R‚pertoire de G:\

05/02/2017 23:11 <DIR> USB DISK
06/02/2017 18:45 <DIR> Autorun.inf
0 fichier(s) 0 octets
3 R‚p(s) 2ÿ966ÿ978ÿ560 octets libres

USB drive disinfected and files unhidden

[Malekal_morte]

Salut,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[beotien29]

Bonsoir. Merci pour cette réponse rapide. J'ai suivi la procédure indiquée et suivent ci-après les liens des rapports FRST txt, Shortcut txt, et Addition.

http://pjjoint.malekal.com/files.php?id ... g6u10x7l14
http://pjjoint.malekal.com/files.php?id ... t5i1412c10
http://pjjoint.malekal.com/files.php?id ... j6m7b5k5d8

Bon courage... et merci d'avance !

[Malekal_morte]

Désinstalle :

Spybot - Search & Destroy
SpyHunter 4

Pas utile.

1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2017-02-16] () 
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[beotien29]

Bonjour.
J'ai désinstallé "Spybot - Search & Destroy" et Spyhunter va suivre. A la suite de ma venue sur le site, j'avais déjà installé "Marmiton".
J'ai suivi la procédure que tu m'as indiquée et tu trouveras ci-après le fichier "fixlog" qui en résulte.
Toutefois, après une nouvelle analyse de ma clé USB par "VBS Remediate Worm" dont tu trouveras le passage concerné en fin de message, la même possible infection "Andromeda/Gamarue" apparaît.
Dois-je m'en inquiéter ou considérer que ma clé a néanmoins été nettoyée ?

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 18-02-2017
Exécuté par BART (18-02-2017 10:17:00) Run:1
Exécuté depuis C:\Users\BART\Desktop
Profils chargés: BART (Profils disponibles: BART)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2017-02-16] ()
Hosts:
EmptyTemp:
RemoveProxy:

*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2590561695-3539176308-4201030633-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2590561695-3539176308-4201030633-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 93563681 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 12871060 B
Edge => 4384450 B
Chrome => 31129719 B
Firefox => 26172511 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 367816 B
NetworkService => 21509230 B
BART => 26560066 B

RecycleBin => 108959 B
EmptyTemp: => 206.6 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 10:18:51 ====

===================================ANALYSE VBS REMEDIATE WORM===================================
Rem-VBSworm v8.0

=========== - General info:

Running under: BART on profile: C:\Users\BART
Computer name: LENOVO-PC

Operating System:
Microsoft Windows 10 Home

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Avast Antivirus


Executed on: 18/02/2017 @ 11:49:10,74

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Local Fixed Disk Windows8_OS

D: Local Fixed Disk LENOVO

E: CD-ROM Disc

G: Removable Disk USB DISK




Physical drives information:
C: \Device\HarddiskVolume5 NTFS
D: \Device\HarddiskVolume6 NTFS
G: \Device\HarddiskVolume8 FAT

=========== - Disinfection info:


=========== - USB drive info:

G: selected

USB Device ID:
SCSI\DISK&VEN_&PROD_ST1000LM024_HN-M\4&34804CAA&0&000000

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\07A60A0137FCB0C4&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of G:
Le volume dans le lecteur G s'appelle USB DISK
Le num‚ro de s‚rie du volume est 9DBC-E511

R‚pertoire de G:\

05/02/2017 23:11 <DIR> USB DISK
06/02/2017 18:45 <DIR> Autorun.inf
0 fichier(s) 0 octets
3 R‚p(s) 2ÿ966ÿ978ÿ560 octets libres

USB drive disinfected and files unhidden!!


=====================================================
Scan finished at: 11:49:38,37
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/ ... lware.html

[Malekal_morte]

Ouaip mais rien de listé.
La clé est vide ?
ou tu vois tes données ?

[beotien29]

Non ma clé contient 1315 fichiers pour 975 Mo !
Je ne sais pas si ça a un rapport mais depuis ma dernière infection, j'ai remarqué, lorsque j'accède à ma clé par "explorateur de fichiers"..., Ce PC..., (G:) l'apparition, en plus de "USB DISK", de "System Volume Information" (88 octets 16 Ko sur disque). Ce dernier est composé de deux dossiers "Indexer Volume Guid (76 octets 16 ko sur disque) et "WP setting dat" (12 octets 16 Ko sur disque), curieusement créés en 2015 et 2016.

[beotien29]

Excuse moi, je n'ai pas pris ta réponse "par le bon bout". Y a-t-il un moyen, pour un non spécialiste, d'accéder au fichier infecté indiqué par VBS Remediate Worm (9DBC-E511) afin que je le détruise.

[Malekal_morte]

Je pense que ta clé n'est pas infectée.
Les dossiers que tu cites, sont des dossiers systèmes.

RemVBS doit tiquer sur le Autorun.inf.
Tu peux le supprimer à la limite.

Y a quoi dans le dossier USB Disk ?

R‚pertoire de G:\

05/02/2017 23:11 <DIR> USB DISK
06/02/2017 18:45 <DIR> Autorun.inf

[beotien29]

Je vais tenter d'être bref, je t'ai suffisamment accaparé.
Je ne trouve pas "autorun.info". Par l'explorateur de fichiers, Ce PC..., (G:) ne contient que deux dossiers :
1 - Système Volume Information (88 oct, 32 ko sur disque) comprenant 2 fichiers :
- Indexer Volume Guid (88 oct, 32 ko sur disque) que je ne peux lire;
- WP settings dat (fichier data 12 oct, 16 ko sur disque).
2 - USB DISK contenant tous mes dossiers, photos, documents excel, Word, adobe acrobat (1315 fichiers 975 Mo).

En recherchant "autorun.info" par la barre de recherche de l'explorateur de fichiers,la même réponse "aucun élément ne correspond à votre recherche" m'est donnée, que ce soit dans (G:), ses dossiers "Système Volume Information" ou USB DISK.
En frappant par erreur, toujours dans la barre de recherche, le terme "autorun.info", mais cette fois non pas dans la case recherche mais dans l'emplacement où rechercher? et en effectuant un double "Entrée", la page WEB d'un site de téléchargement que je ne connais pas (Install site) s'est ouverte.

[Malekal_morte]

Le autorun.inf est un dossier, c'est un autorun de protection.
Si tu as tes dossiers avec tes données alors c'est bon.

Pour moi, c'est correct.
Après tu peux déplacer tes documents, si l'arborescence ne te convient pas.

[beotien29]

Merci pour ton aide et ta disponibilité. Je te dois un outil propre et réparé. A moi maintenant de me "dégrossir" en parcourant les sujets du site. Je vais placer le fil de discussion en résolu. Bonne continuation !

[Malekal_morte]

De rien

Ton ordinateur va avoir la paix avec Marmiton
par contre, si tu utilises la clé USB sur un ordinateur infecté, autre, il peut l'être
il faudra le nettoye alors avec Remediate VBS Worm.