Bonjour à toutes et tous,
Je me présente : Joberth, la quarantaine, ingénieur, inscrit sur votre forum depuis quelques jours au détour d'une recherche sur le Web concernant un virus USB désigné sous le nom de "Jenxcus".
J'ai récemment observé un comportement inhabituel lorsque je branche une clé USB sur mon PC :
Un fichier tout juste placé sur cette dernière disparait quasi immédiatement et mon antivirus (Avira Antivir) m'alerte immédiatement et place ce fichier en quarantaine.
Après quelques recherches, j'ai découvert ce forum et en fouillant un peu, j'ai pu voir que plusieurs personnes avaient déjà fait appel à votre aide pour des soucis du même ordre.
Après avoir installé FRST, j'ai lancé l'analyse et viens de placer les 3 fichiers générés sur "ppjoint.malekal":
ci dessous les adresses :
FRST.txt==>https://pjjoint.malekal.com/files.php?i ... 9e6k11w8v6
addition.txt==>https://pjjoint.malekal.com/files.php?i ... 0z15s15n10
shortcut.txt==>https://pjjoint.malekal.com/files.php?i ... 4i9j9d12f8
J'ai également remarqué qu'Antivir a placé en quarantaine un fichier "suivi-colis-mondial-relay.vbs", fichier déjà mentionné dans un post que vous avez traité.
J'imagine que l'infection s'est faite suite à l'ouverture d'un fichier reçu par mail récemment alors que nous attendions justement un colis (eh oui ...une commande qui tarde à arriver alors que Noël approche...une seconde d'inattention)
Merci de votre aide
Joberth
[VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles
Modérateurs : Mods Windows, Helper
[VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles
Dernière modification par joberth le 09 mars 2018 19:53, modifié 1 fois.
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Bonjour/Bonsoir
Tu as un raccourci sur ton Bureau qui pointe sur un bat sur la seconde partition, enlève la ligne du fixlist.txt si tu connais.
Shortcut: C:\Documents and Settings\BERTHEAU\Bureau\Philaplus.lnk -> F:\PhilaPlus\Run\PhilaPlus.bat ()
Tu as un raccourci sur ton Bureau qui pointe sur un bat sur la seconde partition, enlève la ligne du fixlist.txt si tu connais.
Shortcut: C:\Documents and Settings\BERTHEAU\Bureau\Philaplus.lnk -> F:\PhilaPlus\Run\PhilaPlus.bat ()
- Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Bonsoir,
Oui, je connais ce raccourci "Philaposte". Il pointe sur un logiciel (j'ai l'impression qu'il tourne sous JAVA) qui permet de gérer une collection de timbres !
Je viens de vérifier les attributs de ce philaplus.bat et rien d'anormal : pas de fichiers cachés ou d'extensions "parasites" sur ds noms de fichiers
En tout ce .bat n'a pas été modifié récemment (date identique à tous les fichiers associés à cet outil).
je modifie donc le fixlist.txt en cohérence, je lance FRST et je te transmets le rapport de correction.
Oui, je connais ce raccourci "Philaposte". Il pointe sur un logiciel (j'ai l'impression qu'il tourne sous JAVA) qui permet de gérer une collection de timbres !
Je viens de vérifier les attributs de ce philaplus.bat et rien d'anormal : pas de fichiers cachés ou d'extensions "parasites" sur ds noms de fichiers
En tout ce .bat n'a pas été modifié récemment (date identique à tous les fichiers associés à cet outil).
je modifie donc le fixlist.txt en cohérence, je lance FRST et je te transmets le rapport de correction.
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
OK je me doutais que Shortcut: C:\Documents and Settings\BERTHEAU\Bureau\Philaplus.lnk -> F:\PhilaPlus\Run\PhilaPlus.bat () t' était connu , d' ou mon commentaire.
Donc enlève la ligne et procède à la correction, et ajoute ton commentaire sur le problème si disparu.
le fichier ou dossier C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar peuvent je pense être supprimé après correction.
Donc enlève la ligne et procède à la correction, et ajoute ton commentaire sur le problème si disparu.
le fichier ou dossier C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar peuvent je pense être supprimé après correction.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
A noter pendant que FRST a procédé à la correction qu'Antivir a ouvert un Pop-up "Host file Blocked".
Certains fichiers n'ont peut-être pas été traités ...
En tout cas le "suivi-colis-mondial-relay.vbs" n'apparait plus dans la liste des logiciels dispos au démarrage : "démarrer/tous les prgms/démarrage/(vide)".
En effet, comme tu l'envisageais, le dossier C:\Documents and Settings\BERTHEAU\Application Data\Java\ a été supprimé suite au correctif par FRST
J'avais remarqué qu'il n'était plus possible de mettre à jour Java depuis plusieurs mois, sans doute parce que le support sous XP n'est plus assuré.
Est-ce que c'est la faiblesse que le virus peut/pouvait potentiellement exploiter?
Est-il possible de savoir à quoi ce virus était destiné? : criptage des fichiers et demande de rançon /vol des mots de passe sur le sites web, vol des codes de CB ...
Une question encore : comment m'assurer désormais que tous les supports amovibles qui ont été connectés au PC ces derniers temps ne sont pas contaminés et/ou ne vont pas contaminer de nouveau le PC a la prochaine occasion?
Après avoir parcouru le forum, j'ai téléchargé Remediate VBS au cas où.
Je l'installe et passe au crible toutes mes clés et HDD amovibles à tour de rôle ?
Sinon, méthode plus radicale : je formate les clés USB pour être définitivement tranquille.
En revanche impossible de formater le HDD amovible qui sert de stockage "backup" de mes fichiers de données ...
Ci-joint le rapport Fixlog.txt généré après que redémarrage Windows :
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 21.02.2018
Exécuté par BERTHEAU (23-02-2018 19:41:12) Run:1
Exécuté depuis C:\Documents and Settings\BERTHEAU\Bureau
Profils chargés: BERTHEAU (Profils disponibles: BERTHEAU)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [SpybotSD TeaTimer] => C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [Java] => "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar"
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [QVJWUO8I0A] => C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs [224987 2018-01-15] ()
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\MountPoints2: {5d6e2ade-a6a1-11dc-a69f-e949e8f3f586} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
Startup: C:\Documents and Settings\BERTHEAU\Menu Démarrer\Programmes\Démarrage\Suivi-Colis-Mondial-Relay.vbs [2018-01-15] ()
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://search.zonealarm.com/?src=nt&tbid=HFA5&Lan=FR&gu=9f185f1c39ea42c981cfbcf7a0dde357&tu=10GYy00Fa4D33N0&sku=&tstsId=&ver=&" <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> DefaultScope {45436578-4790-4829-8278-AF184B34BF50} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=goughGA&Lan=fr&q={searchTerms}&gu=487c7c3b63344160aeff809ea634639b&tu=10GXy00B44C01g0&sku=&tstsId=&ver=&&r=906
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> {45436578-4790-4829-8278-AF184B34BF50} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=goughGA&Lan=fr&q={searchTerms}&gu=487c7c3b63344160aeff809ea634639b&tu=10GXy00B44C01g0&sku=&tstsId=&ver=&&r=906
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
Toolbar: HKLM - Pas de nom - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Pas de fichier
Toolbar: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
Toolbar: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> Pas de nom - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - Pas de fichier
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X]
S3 SetupNTGLM7X; \??\E:\NTGLM7X.sys [X]
2018-02-18 22:35 - 2018-01-15 03:35 - 000224987 _____ C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs
C:\Program Files\Spybot - Search & Destroy
Hosts:
EmptyTemp:
*****************
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\Java" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\QVJWUO8I0A" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5d6e2ade-a6a1-11dc-a69f-e949e8f3f586}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{5d6e2ade-a6a1-11dc-a69f-e949e8f3f586} => non trouvé(e)
C:\Documents and Settings\BERTHEAU\Menu Démarrer\Programmes\Démarrage\Suivi-Colis-Mondial-Relay.vbs => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\Tabs => valeur restauré(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{45436578-4790-4829-8278-AF184B34BF50}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{45436578-4790-4829-8278-AF184B34BF50} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b} => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{327C2873-E90D-4c37-AA9D-10AC9BABA46C}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{327C2873-E90D-4c37-AA9D-10AC9BABA46C} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} => non trouvé(e)
"HKLM\System\CurrentControlSet\Services\GMSIPCI" => supprimé(es) avec succès
GMSIPCI => service supprimé(es) avec succès
"HKLM\System\CurrentControlSet\Services\SetupNTGLM7X" => supprimé(es) avec succès
SetupNTGLM7X => service supprimé(es) avec succès
C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs => déplacé(es) avec succès
C:\Program Files\Spybot - Search & Destroy => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.
=========== EmptyTemp: ==========
BITS transfer queue => 10169 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 65871 B
Java, Flash, Steam htmlcache => 372379 B
Windows/system/dllcache/drivers => 18010453 B
Edge => 0 B
Chrome => 0 B
Firefox => 112047758 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 66164 B
All Users => 0 B
systemprofile => 13888319 B
LocalService => 6381577 B
NetworkService => 2110252 B
BERTHEAU => 897065779 B
RecycleBin => 172119 B
EmptyTemp: => 1001.5 MB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 23-02-2018 19:46:04)
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
==== Fin de Fixlog 19:46:24 ====
Certains fichiers n'ont peut-être pas été traités ...
En tout cas le "suivi-colis-mondial-relay.vbs" n'apparait plus dans la liste des logiciels dispos au démarrage : "démarrer/tous les prgms/démarrage/(vide)".
En effet, comme tu l'envisageais, le dossier C:\Documents and Settings\BERTHEAU\Application Data\Java\ a été supprimé suite au correctif par FRST
J'avais remarqué qu'il n'était plus possible de mettre à jour Java depuis plusieurs mois, sans doute parce que le support sous XP n'est plus assuré.
Est-ce que c'est la faiblesse que le virus peut/pouvait potentiellement exploiter?
Est-il possible de savoir à quoi ce virus était destiné? : criptage des fichiers et demande de rançon /vol des mots de passe sur le sites web, vol des codes de CB ...
Une question encore : comment m'assurer désormais que tous les supports amovibles qui ont été connectés au PC ces derniers temps ne sont pas contaminés et/ou ne vont pas contaminer de nouveau le PC a la prochaine occasion?
Après avoir parcouru le forum, j'ai téléchargé Remediate VBS au cas où.
Je l'installe et passe au crible toutes mes clés et HDD amovibles à tour de rôle ?
Sinon, méthode plus radicale : je formate les clés USB pour être définitivement tranquille.
En revanche impossible de formater le HDD amovible qui sert de stockage "backup" de mes fichiers de données ...
Ci-joint le rapport Fixlog.txt généré après que redémarrage Windows :
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 21.02.2018
Exécuté par BERTHEAU (23-02-2018 19:41:12) Run:1
Exécuté depuis C:\Documents and Settings\BERTHEAU\Bureau
Profils chargés: BERTHEAU (Profils disponibles: BERTHEAU)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [SpybotSD TeaTimer] => C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2260480 2009-03-05] (Safer-Networking Ltd.)
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [Java] => "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar"
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\Run: [QVJWUO8I0A] => C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs [224987 2018-01-15] ()
HKU\S-1-5-21-1844237615-630328440-839522115-1004\...\MountPoints2: {5d6e2ade-a6a1-11dc-a69f-e949e8f3f586} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
Startup: C:\Documents and Settings\BERTHEAU\Menu Démarrer\Programmes\Démarrage\Suivi-Colis-Mondial-Relay.vbs [2018-01-15] ()
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://search.zonealarm.com/?src=nt&tbid=HFA5&Lan=FR&gu=9f185f1c39ea42c981cfbcf7a0dde357&tu=10GYy00Fa4D33N0&sku=&tstsId=&ver=&" <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> DefaultScope {45436578-4790-4829-8278-AF184B34BF50} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=goughGA&Lan=fr&q={searchTerms}&gu=487c7c3b63344160aeff809ea634639b&tu=10GXy00B44C01g0&sku=&tstsId=&ver=&&r=906
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> {45436578-4790-4829-8278-AF184B34BF50} URL = hxxp://search.zonealarm.com/search?src=sp&tbid=goughGA&Lan=fr&q={searchTerms}&gu=487c7c3b63344160aeff809ea634639b&tu=10GXy00B44C01g0&sku=&tstsId=&ver=&&r=906
SearchScopes: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
Toolbar: HKLM - Pas de nom - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Pas de fichier
Toolbar: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
Toolbar: HKU\S-1-5-21-1844237615-630328440-839522115-1004 -> Pas de nom - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - Pas de fichier
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X]
S3 SetupNTGLM7X; \??\E:\NTGLM7X.sys [X]
2018-02-18 22:35 - 2018-01-15 03:35 - 000224987 _____ C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs
C:\Program Files\Spybot - Search & Destroy
Hosts:
EmptyTemp:
*****************
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\Java" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run\\QVJWUO8I0A" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5d6e2ade-a6a1-11dc-a69f-e949e8f3f586}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{5d6e2ade-a6a1-11dc-a69f-e949e8f3f586} => non trouvé(e)
C:\Documents and Settings\BERTHEAU\Menu Démarrer\Programmes\Démarrage\Suivi-Colis-Mondial-Relay.vbs => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\Tabs => valeur restauré(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => supprimé(es) avec succès
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{45436578-4790-4829-8278-AF184B34BF50}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{45436578-4790-4829-8278-AF184B34BF50} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b} => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{327C2873-E90D-4c37-AA9D-10AC9BABA46C}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{327C2873-E90D-4c37-AA9D-10AC9BABA46C} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440} => non trouvé(e)
"HKU\S-1-5-21-1844237615-630328440-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} => non trouvé(e)
"HKLM\System\CurrentControlSet\Services\GMSIPCI" => supprimé(es) avec succès
GMSIPCI => service supprimé(es) avec succès
"HKLM\System\CurrentControlSet\Services\SetupNTGLM7X" => supprimé(es) avec succès
SetupNTGLM7X => service supprimé(es) avec succès
C:\Documents and Settings\BERTHEAU\Application Data\Suivi-Colis-Mondial-Relay.vbs => déplacé(es) avec succès
C:\Program Files\Spybot - Search & Destroy => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.
=========== EmptyTemp: ==========
BITS transfer queue => 10169 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 65871 B
Java, Flash, Steam htmlcache => 372379 B
Windows/system/dllcache/drivers => 18010453 B
Edge => 0 B
Chrome => 0 B
Firefox => 112047758 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 66164 B
All Users => 0 B
systemprofile => 13888319 B
LocalService => 6381577 B
NetworkService => 2110252 B
BERTHEAU => 897065779 B
RecycleBin => 172119 B
EmptyTemp: => 1001.5 MB données temporaires supprimées.
================================
Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 23-02-2018 19:46:04)
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
==== Fin de Fixlog 19:46:24 ====
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Le fichier hosts est protégé par antivir, d’où le message d'alerte de sa part (voir capture)
Il est dangereux de rester sous XP, une alternative gratuite est d'abandonner Windows pour mettre une mint XFCE sur tout le disk à la place de Windows:
https://linuxmint.com/download.php
Tu peux supprimer frst, ses rapports et C:\FRST
Par sécurité oui tu peux changer tous tes mots de passe malgré que je ne pense pas que ce soit un Trojan RAT
Il est dangereux de rester sous XP, une alternative gratuite est d'abandonner Windows pour mettre une mint XFCE sur tout le disk à la place de Windows:
https://linuxmint.com/download.php
Tu peux supprimer frst, ses rapports et C:\FRST
Par sécurité oui tu peux changer tous tes mots de passe malgré que je ne pense pas que ce soit un Trojan RAT
ça sera suffisant.j'ai téléchargé Remediate VBS au cas où.
Je l'installe et passe au crible toutes mes clés et HDD amovibles à tour de rôle ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Bonjour,
Merci pour ton aide et tes conseils.
J'ai testé 3 clés USB (dont 2 pour lesquelles Antivir avait bippé) depuis l'application de l'antidote.
Tout semble de nouveau normal : les fichiers restent en place et visibles, pas d'alerte Antivir, pas de fichier caché.
Je vais tester mon HDD amovible et l'appareil photo dans la foulée et faire un scan complet du PC avec Antivir par acquis de conscience (même si ça dure des heures sur ma vieille config !).
Je suis plutôt confiant; je pense qu'Antivir a empêché la contamination des clés en plaçant tout de suite les fichiers vérolés en quarantaine.
Pour l'abandon de XP, c'est prévu ! Mais c'est plus radical, je change de PC !
J'étais d'ailleurs sur le point de transférer mes données de l'ancien vers le nouveau vis la HDD amovible quand j'ai eu le problème avec les clés USB. Alerte juste à temps il semblerait ...
Bravo à toute l'équipe qui tient les rênes de ce forum.
On y trouve énormément d'infos intéressantes et utiles et finalement assez accessibles quand on s'intéresse un peu au sujet et qu'on prend le temps de naviguer de post en post.
Super boulot !
Je vais recommander ce forum autour de moi (et aux collègues du support informatique au boulot !)
encore merci
Joberth
Merci pour ton aide et tes conseils.
J'ai testé 3 clés USB (dont 2 pour lesquelles Antivir avait bippé) depuis l'application de l'antidote.
Tout semble de nouveau normal : les fichiers restent en place et visibles, pas d'alerte Antivir, pas de fichier caché.
Je vais tester mon HDD amovible et l'appareil photo dans la foulée et faire un scan complet du PC avec Antivir par acquis de conscience (même si ça dure des heures sur ma vieille config !).
Je suis plutôt confiant; je pense qu'Antivir a empêché la contamination des clés en plaçant tout de suite les fichiers vérolés en quarantaine.
Pour l'abandon de XP, c'est prévu ! Mais c'est plus radical, je change de PC !
J'étais d'ailleurs sur le point de transférer mes données de l'ancien vers le nouveau vis la HDD amovible quand j'ai eu le problème avec les clés USB. Alerte juste à temps il semblerait ...
Bravo à toute l'équipe qui tient les rênes de ce forum.
On y trouve énormément d'infos intéressantes et utiles et finalement assez accessibles quand on s'intéresse un peu au sujet et qu'on prend le temps de naviguer de post en post.
Super boulot !
Je vais recommander ce forum autour de moi (et aux collègues du support informatique au boulot !)
encore merci
Joberth
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
RE_bonjour,
Je viens donc de procéder à l'analyse de mon disque avec Antivir, au cas où.
Il renvoie 2 alertes concernant des fichiers.zip qui serait présent dans un répertoire "Documents and Settings\BERTHEAU\Application Data\Java\" qui a pourtant fait l'objet d'un traitement par le correctif FRST et qui est censé avoir été supprimé. Antivir a pourtant placé 2 fichiers de ce soit-disant répertoire en quarantaine dans la foulée.
Pourtant ce répertoire "Java" n'est plus "visible" sur mon disque. J'ai pourtant pris la précaution d'activer la visualisation des dossiers et fichiers cachés sous Windows. et depuis l'application du correctif FRST, j'ai redémarré le PC au moins 2 fois
Du coup, je ne sais pas quoi en penser ... bug Antivir ou fix FRST défaillant ?
Ci-dessous un extrait du rapport de scan d'Avira Antivir :
Starting to scan executable files (registry):
C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar
[0] Archive type: ZIP
--> Adwind.class
[DETECTION] Contains recognition pattern of the EXP/JAVA.Adwind.AO.Gen exploit
Je viens donc de procéder à l'analyse de mon disque avec Antivir, au cas où.
Il renvoie 2 alertes concernant des fichiers.zip qui serait présent dans un répertoire "Documents and Settings\BERTHEAU\Application Data\Java\" qui a pourtant fait l'objet d'un traitement par le correctif FRST et qui est censé avoir été supprimé. Antivir a pourtant placé 2 fichiers de ce soit-disant répertoire en quarantaine dans la foulée.
Pourtant ce répertoire "Java" n'est plus "visible" sur mon disque. J'ai pourtant pris la précaution d'activer la visualisation des dossiers et fichiers cachés sous Windows. et depuis l'application du correctif FRST, j'ai redémarré le PC au moins 2 fois
Du coup, je ne sais pas quoi en penser ... bug Antivir ou fix FRST défaillant ?
Ci-dessous un extrait du rapport de scan d'Avira Antivir :
Starting to scan executable files (registry):
C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar
[0] Archive type: ZIP
--> Adwind.class
[DETECTION] Contains recognition pattern of the EXP/JAVA.Adwind.AO.Gen exploit
! | Infected files in archives cannot be repaired FP reports error 0xCCC00006 for file 'C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar' The Protection Cloud scan of file 'C:\OLIFAXVX\TOOLBAR.EXE' completed with the error code 0xEA. SHA256 = 08E1DA2528C5477197763A9E336F96C1876E09397018C88711AE09273CA16D8C The registry was scanned ( '3008' files ). Starting the file scan: Begin scan in 'C:\' The Protection Cloud scan of file 'C:\C_DILLA\setup\cdremove.exe' completed with the error code 0xEA. SHA256 = 9C1208DDA40A59BAD68A37F2903A803EE3E6FF4192E059909D27429A2F4879B5 C:\Documents and Settings\BERTHEAU\Application Data\Java\Java.jar [0] Archive type: ZIP --> Adwind.class [DETECTION] Contains recognition pattern of the EXP/JAVA.Adwind.AO.Gen exploit
|
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
On avait juste corrigé son entrée de démarrage automatique [Run] et je t'avais dit de supprimer manuellement C:\Documents and Settings\BERTHEAU\Application Data\Java
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Merci Angélique mais ...
comment supprimer manuellement un répertoire qui n'apparaissait plus après application de la fixlist par FRST !?
et qui n'apparait pas plus maintenant ...
conclusion ? je supprime les fichiers mis en quarantaine par Antivir et tout est réglé ?
comment supprimer manuellement un répertoire qui n'apparaissait plus après application de la fixlist par FRST !?
et qui n'apparait pas plus maintenant ...
conclusion ? je supprime les fichiers mis en quarantaine par Antivir et tout est réglé ?
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Oui mais refais moi 2 nouveaux rapports frst.txt et addition.txt
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
Re: [VBS/LNK.Jenxcus.GEN] - demande aide pour désinfection PC et supports amovibles
Bonsoir Angélique,
Ci-joint les liens vers les 2 nouveaux rapports FRST demandés :
FRST.txt =>https://pjjoint.malekal.com/files.php?i ... 6l11m13x11
addition.txt =>https://pjjoint.malekal.com/files.php?i ... 13l8q14b12
Ci-joint les liens vers les 2 nouveaux rapports FRST demandés :
FRST.txt =>https://pjjoint.malekal.com/files.php?i ... 6l11m13x11
addition.txt =>https://pjjoint.malekal.com/files.php?i ... 13l8q14b12
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles
Java 7 Update 79 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217079FF}) (Version: 7.0.790 - Oracle) pas nécessaire, tu peux désinstaller
Sinon rien de particulier sur tes rapports.
Vide la quarantaine de ton antivirus.
Sinon rien de particulier sur tes rapports.
Vide la quarantaine de ton antivirus.
- Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
Re: [VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles
Bonsoir Angélique,
J'ai désinstallé Java7 via le panneau de config Windows et vidé le dossier "mise en quarantaine" d'AV.
Ci-dessous le rapport fixlog.txt.
Tout semble s'être bien passé.
Merci pour ton aide.
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 04.03.2018
Exécuté par BERTHEAU (09-03-2018 22:29:19) Run:1
Exécuté depuis C:\Documents and Settings\BERTHEAU\Bureau
Profils chargés: BERTHEAU (Profils disponibles: BERTHEAU)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
HKLM\...\Run: [Java] => "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "
C:\Documents and Settings\BERTHEAU\Application Data\Java
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched"
EmptyTemp:
*****************
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Java" => supprimé(es) avec succès
C:\Documents and Settings\BERTHEAU\Application Data\Java => déplacé(es) avec succès
========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" =========
Permanently delete the registry key SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched (Y/N)?
L'opération s'est bien déroulée
========= Fin de Reg: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 10169 B
Java, Flash, Steam htmlcache => 1066 B
Windows/system/dllcache/drivers => 249087 B
Edge => 0 B
Chrome => 0 B
Firefox => 376509530 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 0 B
LocalService => 692 B
NetworkService => 692 B
BERTHEAU => 2392400 B
RecycleBin => 2398666 B
EmptyTemp: => 363.9 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 22:35:30 ====
J'ai désinstallé Java7 via le panneau de config Windows et vidé le dossier "mise en quarantaine" d'AV.
Ci-dessous le rapport fixlog.txt.
Tout semble s'être bien passé.
Merci pour ton aide.
Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 04.03.2018
Exécuté par BERTHEAU (09-03-2018 22:29:19) Run:1
Exécuté depuis C:\Documents and Settings\BERTHEAU\Bureau
Profils chargés: BERTHEAU (Profils disponibles: BERTHEAU)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
HKLM\...\Run: [Java] => "C:\Program Files\Java\jre7\bin\javaw.exe" -jar "
C:\Documents and Settings\BERTHEAU\Application Data\Java
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched"
EmptyTemp:
*****************
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Java" => supprimé(es) avec succès
C:\Documents and Settings\BERTHEAU\Application Data\Java => déplacé(es) avec succès
========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" =========
Permanently delete the registry key SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched (Y/N)?
L'opération s'est bien déroulée
========= Fin de Reg: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 10169 B
Java, Flash, Steam htmlcache => 1066 B
Windows/system/dllcache/drivers => 249087 B
Edge => 0 B
Chrome => 0 B
Firefox => 376509530 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User => 0 B
All Users => 0 B
systemprofile => 0 B
LocalService => 692 B
NetworkService => 692 B
BERTHEAU => 2392400 B
RecycleBin => 2398666 B
EmptyTemp: => 363.9 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
==== Fin de Fixlog 22:35:30 ====
- Messages : 32355
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: [VBS/LNK.Jenxcus.GEN] -RESOLU- demande aide pour désinfection PC et supports amovibles
c'est OK, tu peux supprimer frst, ses rapports et C:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 129 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 31 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 212 Vues
-
Dernier message par Malekal_morte
-
- 16 Réponses
- 765 Vues
-
Dernier message par Mendesz
-
- 6 Réponses
- 245 Vues
-
Dernier message par Malekal_morte