Génération automatique de raccourcis + fichiers rar

[RebootGG]

Hello,

Mon pc ainsi que 2 clé USB sont infectées.

Des raccourcis (IE, Chrome) sont créés sur le bureau et mènent à des sites douteux.

Sur mes clés USB, ce sont des fichiers .rar qui sont créés (Skype.rar, VLC.rar) et des raccourcis avec les propriétés suivantes :
"C:\Windows\System32\wscript.exe /e:VBScript.Encode skype.rar"

Tous les fichiers sont évidemment recréés dès lors que j'essaye de les supprimer.

Voici mes rapports FRST :

Addition.txt :

https://pjjoint.malekal.com/files.php?i ... 12n7e10y10

FRST.txt :

https://pjjoint.malekal.com/files.php?i ... 15x7g10l14

Shortcut.txt :

https://pjjoint.malekal.com/files.php?i ... 1n10l15p14


Merci d'avance pour votre aide

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


----------


1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lancer l'option A ( appuyer sur A et entrée )
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

2°) Relancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[RebootGG]

Bonjour,

Merci pour ta réactivité, voici les messages demandés :

Contenu du fichier Fixlog.txt de FRST :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.11.2018
Exécuté par Reboot (11-11-2018 10:48:37) Run:1
Exécuté depuis C:\Users\Reboot\Desktop
Profils chargés: Reboot (Profils disponibles: Reboot)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Pas de fichier
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Pas de fichier
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Pas de fichier
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Pas de fichier
ShortcutWithArgument: C:\Users\Reboot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK -> C:\Program Files\internet explorer\iexplore.exe (Microsoft Corporation) -> hxxp://chercheztout.com/tram/116
ShortcutWithArgument: C:\Users\Reboot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.LNK -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://chercheztout.com/tram/118
HKU\S-1-5-21-3073276549-2568715115-237084179-1001\...\RunOnce: [Application Restart #4] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1589080 2018-10-23] (Google Inc.)
Startup: C:\Users\Reboot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpReboot.lnk [2018-11-11]
ShortcutTarget: HelpReboot.lnk -> C:\Reboot\Reboothost.exe (Microsoft Corporation)
Startup: C:\Users\Reboot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualReboot.lnk [2018-11-11]
ShortcutTarget: ManualReboot.lnk -> D:\Reboot\Reboothost.exe (Microsoft Corporation)
GroupPolicy: Restriction ? <==== ATTENTION
2018-11-08 20:23 - 2018-11-08 20:23 - 000000000 ____D C:\AdwCleaner
2018-11-05 20:25 - 2018-11-05 20:25 - 000000000 _RSHD C:\Reboot
D:\Reboot
Hosts:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} => non trouvé(e)
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\ANotepad++64 => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{B298D29A-A6ED-11DE-BA8C-A68E55D89593} => non trouvé(e)
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} => non trouvé(e)
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} => non trouvé(e)
C:\Users\Reboot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.LNK => Raccourci argument supprimé(es) avec succès
C:\Users\Reboot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.LNK => Raccourci argument supprimé(es) avec succès
"HKU\S-1-5-21-3073276549-2568715115-237084179-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #4" => supprimé(es) avec succès
C:\Users\Reboot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpReboot.lnk => déplacé(es) avec succès
C:\Reboot\Reboothost.exe => déplacé(es) avec succès
C:\Users\Reboot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualReboot.lnk => déplacé(es) avec succès
D:\Reboot\Reboothost.exe => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\AdwCleaner => déplacé(es) avec succès
C:\Reboot => déplacé(es) avec succès
D:\Reboot => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 205383135 B
Java, Flash, Steam htmlcache => 135684967 B
Windows/system/drivers => 1235812 B
Edge => 8805888 B
Chrome => 714964474 B
Firefox => 160015956 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 35640 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
Reboot => 215000536 B

RecycleBin => 4657927528 B
EmptyTemp: => 5.7 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 10:50:23 ====

Contenu du 1er fichier REM-VBS.log :

Code : Tout sélectionner

Rem-VBSworm v8.0

=========== - General info:

Running under: Reboot on profile: C:\Users\Reboot
Computer name: DESKTOP-0VGSTRO

Operating System:
Microsoft Windows 10 Professionnel  

Boot Mode:
Normal boot  

Antivirus software installed:
Windows Defender  


Executed on: 11/11/2018 @ 11:06:29,05

=========== - Drive info:

Listing currently attached drives:
Caption  Description         VolumeName  

C:       Disque mont‚ local              

D:       Disque mont‚ local  Disque dur  

E:       Disque CD-ROM                   

F:       Disque CD-ROM                   

G:       Disque amovible                 

H:       Disque amovible     TEC_XPRO2   

J:       Disque CD-ROM                   




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume4 NTFS
G: \Device\HarddiskVolume5 exFAT
H: \Device\HarddiskVolume6 exFAT

=========== - Disinfection info:


Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:

Shortcut: "C:\Users\Reboot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HelpReboot.lnk"
----------------------------------------------------------------
Shortcut: "C:\Users\Reboot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ManualReboot.lnk"
----------------------------------------------------------------
Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ScpToolkit Tray Notifications.lnk"
----------------------------------------------------------------
Shortcut: "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\SteelSeries Engine 3.lnk"
----------------------------------------------------------------

=========== - Scheduled tasks info:

Commentaire:                                               Collecteur d'informations r‚seau

Contenu du 2ème fichier REM-VBS.log :

Code : Tout sélectionner

Rem-VBSworm v8.0

=========== - General info:

Running under: Reboot on profile: C:\Users\Reboot
Computer name: DESKTOP-0VGSTRO

Operating System:
Microsoft Windows 10 Professionnel  

Boot Mode:
Normal boot  

Antivirus software installed:
Windows Defender  


Executed on: 11/11/2018 @ 11:12:34,37

=========== - Drive info:

Listing currently attached drives:
Caption  Description         VolumeName  

C:       Disque mont‚ local              

D:       Disque mont‚ local  Disque dur  

E:       Disque CD-ROM                   

F:       Disque CD-ROM                   

G:       Disque amovible                 

H:       Disque amovible     TEC_XPRO2   

J:       Disque CD-ROM                   




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume4 NTFS
G: \Device\HarddiskVolume5 exFAT
H: \Device\HarddiskVolume6 exFAT

=========== - Disinfection info:


=========== - USB drive info:

H: selected

USB Device ID:
USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\D314B58A&0       

SCSI\DISK&VEN_WDC&PROD_WD10EZEX-00WN4A0\4&E64A158&0&010000         

USBSTOR\DISK&VEN_GENERIC&PROD_STORAGE_DEVICE&REV_1402\6&534FB05&0  

SCSI\DISK&VEN_SAMSUNG&PROD_SSD_750_EVO_250G\4&E64A158&0&000000     




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of H:
 Le volume dans le lecteur H s'appelle TEC_XPRO2
 Le num‚ro de s‚rie du volume est AC0B-1635

 R‚pertoire de H:\

               0 fichier(s)                0 octets
               1 R‚p(s)  63ÿ830ÿ360ÿ064 octets libres

USB drive disinfected and files unhidden!!

[RebootGG]

Tout a l'air désinfecté C'était rapide et efficace merci encore

[angelique]

Oui ça doit être OK
Tu peux supprimer frst, ses rapports et C:\FRST et C:\Rem-VBSworm