virus VBS Jenxcus.lnk clef USB [résolu]

[profpaulfort]

Bonsoir,

Mon problème concerne un/des virus USB.

Un collègue a utilisé une clef USB visiblement infectée sur l’ordinateur de la salle que j’utilise habituellement.
Du coup, après avoir retiré la clef qu’il avait oublié dans le port USB, mise la mienne et double-cliqué machinalement sur un des dossiers de ma clef sans me méfier, je me suis retrouvée avec un/des virus sur ma clef USB.

Symptôme.s et actions prises :
-tous les dossiers de ma clef USB avaient disparu, j’ai appliqué la méthode
CMD D: dir /A
Attrib –s –h –r /D * pour les faire réapparaitre sachant que j’avais bien vu que la taille occupée sur ma clef était inchangée donc que les dossiers étaient bien toujours là mais cachés.

-cependant, un dossier System Volume Information était apparu dans la liste des dossiers maintenant présents sur la clef, mais j’ai pu le supprimer.

-enfin, j’ai lancé un scan windows defender (l’ordinateur de la salle étant sous windows 10) sur ordi et clef avec pour résultats :
VBS Jenxcus.lnk apparemment renommant tous les dossiers de la clef USB (ex : D\0 liens début d’heure.lnk mais il me met aussi D\0 liens début d’heure.lnk [CMD EMBEDDED]) état : échec / état : quarantaine
Vbs Beewly. A dans D/facebook.vbs état : supprimé
(je voulais mettre une pièce jointe .doc avec les captures d’écran mais le format n’est pas accepté par le forum….)

Problèmes/questions :
-n’étant pas administratrice de l’ordinateur de la salle, je ne peux pas le désinfecter. J’ai bien évidemment prévenu le collègue dont la clef était vecteur d’infection et la personne qui s’occupe de la maintenance informatique (mais cette personne m’a dit que windows defender avait du se débarrasser des virus sur l’ordinateur…..).
Ce que je ne comprends pas c’est pourquoi dans ce cas ma clef USB a été contaminée ?!? peut-être est-ce simplement dû au fait d’avoir mis la clef dans le port utilisé par le collègue et ouvert un dossier ?!?

-j’ai peur d’utiliser cette clef USB cependant dans toutes les pages lues sur le site/forum, il est indiqué que pour désinfecter la clef, il faut la connecter à un ordinateur …. n’étant pas administratrice de celui de la salle dans laquelle je travaille, je ne peux malheureusement pas faire les téléchargements et suivre les processus de désinfection expliqués.
Il faudrait donc que je la connecte à mon ordinateur personnel mais cela me fait peur (mon ordinateur étant très vieux, sous windows Vista avec changement de carte mémoire, de pile de batterie, mise à jour / utilisation windows defender et protection agent web AVAST étant impossible depuis l’installation malwarebytes, j’en passe et des meilleures…

1 : je voudrais pouvoir désinfecter la clef sans qu’elle ne vérole mon ordinateur et sans perdre mes dossiers et fichiers.
a) Est-ce que je peux la connecter sans peur à mon ordi perso ?
b) et suivre le processus :
Désactiver le lancement automatique
Désactiver WSH/ Utiliser marmiton
Utiliser Remediate Usb Worm et USBFIX

2 : je voudrais être sûre que les différents virus n’infectent plus ma clef. Une vaccination USBFIX suffira-t-elle ?


Bien cordialement
Prof tétanisée
-

[Malekal_morte]

Salut,

A lire : Virus par clé USB ou virus raccourcis USB
Tu vas mieux comprendre.
Il faut désinfecter les clés USB depuis un PC qui ne l'est pas.
Sinon il va réinfecter les clés USB.

System Volume Information = dossier de la restauration du système.

~~

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[profpaulfort]

Bonsoir Malekal,

Merci beaucoup pour la réponse rapide.

Pour FRST, est-ce que
1. je fais le scan pour voir déjà l'état de mon ordinateur donc sans y connecter la clef infectée?
ou 2. je connecte la clef USB infectée à mon ordi et fais le scan?

Bien cordialement
P

[profpaulfort]

Bonsoir,

J'ai fais le scan sans la clef USB.
https://pjjoint.malekal.com/files.php?i ... 12w14f8h15
https://pjjoint.malekal.com/files.php?i ... 8b7n8y14c5
https://pjjoint.malekal.com/files.php?i ... i12p13k9i5

Bonne soirée
Bien cordialement
Prof

[Malekal_morte]

oula Windows Vista.

Désinstalle :

CyberLink
Power2Go

Le scan a été fait avec une session invité donc pas de malware.
Faudrait vérifier avec une session administrateur.
Mais je pense pense pas que le PC soit infecté.
Tu peux nettoyer les clés USB.

[profpaulfort]

Bonsoir Malekal,

Merci pour la réponse. J'y réponds malheureusement seulement maintenant car je rentre du travail.

Effectivement, j'ai le dinosaure Windows Vista...j'utilise le profil invité pour me connecter à internet suite à un conseil après une infection il y a quelques années de cela (quand windows vista était utilisé....).

Je suis désolée d'ajouter des questions, c'est pour comprendre et être sûre:

1. a) si je nettoie la clef USB en étant sur le profil invité, y -a-t'il des risques d'infection de l'ordinateur et du profil administrateur?

b)s'il y a un virus/malware sur le profil administrateur, peut-il être 'réveillé' par le nettoyage de la clef sous profil invité?

2 Pour Power2Go, quel est le problème rencontré (car il m'est bien utile pour graver sur CD DVD) ?

3. Pour nettoyer la clef USB, j'utilise bien:
Désactiver le lancement automatique
Désactiver WSH
Utiliser Remediate Usb Worm et USBFIX
puis vaccination USBFIX?

Merci encore beaucoup pour le temps que vous m'avez accordé, vos explications et votre aide précieuse.

Bien cordialement
Prof

[Malekal_morte]

1) Non aucun risque de nettoyer depuis le profil invité.

2) Pas utile et se lance au démarrage.
donc ça bouffe des ressources.

3) non pas de vaccinations, mais bien désactiver WSH, c'est important !

[profpaulfort]

Merci beaucoup pour tout.

Bien cordialement
Prof

[Malekal_morte]

De rien =)
Pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[Winmx]

Bonjour à tous,

Je me permets d'utiliser ce topic résolu et si je dois recréer un topic, veuillez m'en excuser je le ferais.
je vous remercie pour vos explications c'est très clair
j'ai eu le même problème, j'ai installé une clé usb et windows defender m'a détecté le meme worm que je n'arrive pas à supprimer (via windows defender)
j'ai moi aussi fait le test FRST sans la clé usb que j'ai formatée et enlever de mon pc
voici les 3 liens, pouvez-vous m'aider s'il vous plaît?
https://pjjoint.malekal.com/files.php?i ... 13k11d14i8
https://pjjoint.malekal.com/files.php?i ... 13e5f14u13
https://pjjoint.malekal.com/files.php?i ... 9k12m14p10

En vous remerciant par avance,

Winmx

[Malekal_morte]

Il a fait le boulot, tes rapports sont corrects.
La détection est bien sur un lecteur amovible.

Date: 2020-11-09 21:42:54.4070000Z
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Worm:VBS/Jenxcus.CB!lnk
ID : 2147685488
Gravité : Grave
Catégorie : Ver
Chemin : file:_H:\.fseventsd.lnk; file:_H:\.Spotlight-V100.lnk; file:_H:\.TemporaryItems.lnk; file:_H:\.Trashes.lnk; file:_H:\EVA - fonds souverains.lnk; file:_H:\Permis.lnk; file:_H:\ppt.lnk; file:_H:\SONY.lnk
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-5MHV81G\Kevin
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.327.628.0, AS: 1.327.628.0, NIS: 1.327.628.0
Version du moteur : AM: 1.1.17600.5, NIS: 1.1.17600.5

~~

Pour nettoyer la clé USB :

Suivre les indications de cette page : Supprimer les virus par clé USB ou disque amovible
* Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C =un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

PS : N'utilise pas l'option A.

[Winmx]

Bonjour,

Merci pour votre réponse rapide, je dois exceptionnellement aller sur site aujourd'hui pour travailler et je vous envoie ça dans la soirée. Merci encore

[vitotototo]

Bonjour à tous,

Je me permets également d'utiliser ce topic résolu pour faire lire mon rapport.
j'ai eu le même problème, j'ai installé une clé usb et windows defender m'a détecté le meme worm que je n'arrive pas à supprimer (via windows defender) Jenxcus.lnk + un autre Trojan:BAT/Starter.G!lnk
j'ai moi aussi fait le test FRST sans la clé usb
Malheureusement je ne peux pas formater la clé car il y a des fichiers de travail important dedans.
Est ce possible de nettoyer la clé sans supprimer les données ?
voici les 3 liens

Addition
https://pjjoint.malekal.com/files.php?i ... 3j9n5x10w7
FRST
https://pjjoint.malekal.com/files.php?i ... 12f14u10t8
Shortcut
https://pjjoint.malekal.com/files.php?i ... 15m7j7n8v7

Une dernière question, est ce le même processus pour supprimer le Trojan sur ma clé USB ?
Merci merci merci pour votre aide !

[Malekal_morte]

Salut,

La détection porte sur des fichiers sur une clée USB que tu as insérée.
A priori, le malware n'est pas actif, Windows Defender l'a bloqué.

Date: 2022-09-13 10:49:36
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:BAT/Starter.G!lnk
ID : 2147756434
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_E:\.cm0012.lnk; file:_E:\.cmdb.lnk; file:_E:\.fseventsd.lnk; file:_E:\.Spotlight-V100.lnk; file:_E:\.TemporaryItems.lnk; file:_E:\.Trashes.lnk; file:_E:\._couv seriegraphie.pdf.lnk; file:_E:\._deux fois le meme fleuve.pptx.lnk; file:_E:\._DOSSIER ARTISTIQUE .pdf.lnk; file:_E:\._DOSSIER ARTISTIQUE hanlin .pdf.lnk; file:_E:\._DOSSIER ARTISTIQUE _avec compression_best.pdf.lnk; file:_E:\._Dossier via DAVID.lnk; file:_E:\._Han imprimer 2.tif.lnk; file:_E:\._Han imprimer.tif.lnk; file:_E:\._han0 013.tif.lnk; file:_E:\._han0 015.tif.lnk; file:_E:\._imprimer.tif.lnk; file:_E:\._marche sable 02.mp4.lnk; file:_E:\._Marche Sable Modifie Plan-1.m4v.lnk; file:_E:\._Plan-Peinture_A5.pdf.lnk; file:_E:\._Plan-Volume.pdf.lnk; file:_E:\._prune093.tif.lnk; file:_E:\._prune097.tif.lnk; file:_E:\._Sans titre-1.tif.lnk; file:_E:\._soutenance.pdf.lnk; file:_E:\._wave1-1.mp4.lnk; file:_E:\._X5_3f_delta100_3d45_2020 001.tif.lnk; file:_E:\._X5_3f_delta100_3d45_2020 002.tif.lnk; file:_E:\._X5_3f_delta100_3d45_2020 003.tif.lnk; f
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : VICPC\Compte invité
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.375.273.0, AS: 1.375.273.0, NIS: 1.375.273.0
Version du moteur : AM: 1.1.19600.3, NIS: 1.1.19600.3

~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [uupdate] => C:\ProgramData\wDcLibs\uhelper.exe [512280 2019-11-28] (Shenzhen Yi Xing Investment Co., Ltd. -> )
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
 C:\ProgramData\wDcLibs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~


Désinstalle Glary Utilities - pas utile.
Vérifie que Windows Defender fonctionne correctement et que la protection en temps réel fonctionne.

[vitotototo]

Merci beaucoup pour votre réponse si rapide !

Une question, puis je utiliser cet ordinateur pour désinfecter ma clé usb ?
Puis je conserver les données qui sont stockés dans cette clé usb ?

Voilà le résultat sur Fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-08-2022
Exécuté par Compte invité (14-09-2022 22:23:45) Run:1
Exécuté depuis C:\Users\Compte invité\Desktop
Profils chargés: Compte invité
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [uupdate] => C:\ProgramData\wDcLibs\uhelper.exe [512280 2019-11-28] (Shenzhen Yi Xing Investment Co., Ltd. -> )
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
C:\ProgramData\wDcLibs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\uupdate => Erreur = 5
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => impossible à supprimer. Accès refusé.
C:\ProgramData\wDcLibs => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

"HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\" => non trouvé(e)
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => Erreur = 5
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => Erreur = 5
"HKU\S-1-5-21-2563837644-898914065-240365077-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2563837644-898914065-240365077-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 67323476 B
Java, Discord, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 1377719 B
Brave => 22442366 B
Firefox => 141885075 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Vito => 11611534 B
Compte invité => 800573235 B

RecycleBin => 0 B
EmptyTemp: => 996.8 MB données temporaires supprimées.

================================