SOS-Raccourcis-virus (Wscript.exe) 2015-04-05T15:33:36+00:00
  • Auteur
    Messages
  • Photo du profil de Taoufik090Taoufik090
    Participant
    Post count: 1

    Bonjour à tous.
    Alors, l’autre jour, mon disque dur externe a été infecté après avoir été branché sur le PC aussi infecté d’un ami, la license de mon antivirus (ESET Smart Security 8) avait expiré, alors j’ai demandé à une autre personne de me laisser son ordinateur qui avait avast installé pour néttoyer mon disque dur, ce dernier a trouvé quelques 18 intrusions et les a éliminés (ou au moins c’est ce que le logiciel a dit).Lorsque j’ai rebranché mon DDR sur mon ordinateur, il y avait quelques 5 raccourcis que je savais étaient malveillants, j’ai tenté de voir où menait l’un d’eux (clique droit>ouvrir emplacement du fichier), ça donnait ” C:WindowsSystem32Wscript.exe “, j’ai voulu faire de même pour le deuxième, mais d’un geste d’habitude, j’ai double cliqué, et BAM! pc infecté…j’ai tenté de supprimer ces raccourcis, puis terminer le processus de wscript.exe, redémarrer, et ça a donné 2 fenêtres au démarrage, “impossible de trouver le fichier script […]” puis un chemin contenant un certain $recycle$ et vlc.rar. je n’avais pas accès à internet, alors lorsque je suis arrivé chez moi, j’ai vite renouvelé la license de mon antivirus et fait un scan complet pour mon ordi+le DDR externe….sans résultat, j’ai télechargé malwarebytes anti-malware premium, IDEM, pas de resultat, mais lorsque je suis tombé sur l’outil “USBFIX” le rapport a mentionné quelquechose à propos du $recycle$ à plusieurs reprises, ce qui m’a fait pensé que c’est ce que je cherche, alors, me voilà ici demandant l’assistance d’un de vous chers passionnés :D, et si possible une explication pour l’incapacité des deux AV majeurs à détecter la menace, et je vous laisse ci-joint le rapport qu’a géneré UsbFix, merci.

    ############################## | UsbFix V 7.918 | [Nettoyage]

    Utilisateur: admin (Administrateur) # ADMIN-HP
    Mis à jour le 02/04/2015 par El Desaparecido – SosVirus
    Lancé à 16:26:24 | 05/04/2015

    Site Web : http://www.usbfix.net/
    Changelog : http://www.usbfix.net/maj/
    Assistance : https://www.sosvirus.net/aide-nettoyage-pc/
    Détection en Live : http://comment-supprimer.fr/
    Contact : http://www.usbfix.net/contact/

    ################## | System information |

    MB: Hewlett-Packard (1842)
    CPU: Intel(R) Core(TM) i5-3210M CPU @ 2.50GHz
    GC: Intel(R) HD Graphics 4000
    RAM -> [Total : 3994 Mo | Free : 879 Mo]
    Bios: Insyde
    Boot: Normal boot

    OS: Microsoft™ Windows 7 Home Premium (6.1.7601 64-Bit) Service Pack 1
    WB: Internet Explorer : 11.00.9600.16428
    WB: Google Chrome : 41.0.2272.118
    WB: Mozilla Firefox : 37.0.1

    ################## | Security Information |

    AV: ESET Smart Security 8.0 [(!) Désactivé |A jour]
    AS: Windows Defender [Actif |A jour]
    AS: ESET Smart Security 8.0 [(!) Désactivé |A jour]
    FW: ESET Personal firewall [Actif]
    AS: Malwarebytes Anti-Malware : 2.1.4.1018
    FW: Windows Firewall [Actif]
    SC: Security Center [Actif]
    WU: Windows Update [Actif]

    ################## | Disk Information |

    C: (%SystemDrive%) -> Disque fixe # 446 Go (282 Go libre(s) – 63%) [] # NTFS
    D: -> Disque fixe # 20 Go (2 Go libre(s) – 11%) [Recovery] # NTFS
    H: -> Disque fixe # 466 Go (177 Go libre(s) – 38%) [TaoufikHDD] # NTFS

    ################## | Autorun |

    ################## | Recherche générique |

    Supprimé! D:Dossier.lnk
    Supprimé! C:$RECYCLEBIN6
    Supprimé! C:$RECYCLEBINAdobe.rar
    Supprimé! C:$RECYCLEBINSkype.rar
    Supprimé! C:$RECYCLEBIN
    Supprimé! C:UsersadminAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupC-cleaner.lnk
    Supprimé! C:UsersadminAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupVideoLAN.lnk
    Supprimé! D:$RECYCLEBIN1
    Supprimé! D:$RECYCLEBIN5
    Supprimé! D:$RECYCLEBIN6
    Supprimé! D:$RECYCLEBINAdobe.rar
    Supprimé! D:$RECYCLEBINSkype.rar
    Supprimé! D:$RECYCLEBIN
    Supprimé! H:$RECYCLEBIN6
    Supprimé! H:$RECYCLEBINAdobe.rar
    Supprimé! H:$RECYCLEBINSkype.rar
    Supprimé! H:$RECYCLEBIN

    (!) Fichiers temporaires supprimés. (87.447808265686 MB)

    ################## | Registre |

    Réparé ! HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer|EnableShellExecuteHooks -> 0
    Supprimé! HKCUSoftwareHola
    Supprimé! [x64] HKLMSoftwareHola
    Supprimé! [x64] HKLMSoftwareMicrosoftWindowsCurrentVersionRun|C-cleaner
    Supprimé! [x64] HKLMSoftwareMicrosoftWindowsCurrentVersionRun|VideoLAN

    ################## | Regedit Run |

    F2 – HKLM..Winlogon : [Shell] explorer.exe
    F2 – [x64] HKLM..Winlogon : [Shell] explorer.exe
    F2 – HKLM..Winlogon : [Userinit] C:Windowssystem32userinit.exe,
    F2 – [x64] HKLM..Winlogon : [Userinit] C:Windowssystem32userinit.exe,
    04 – HKCU..Run : [Sidebar] C:Program FilesWindows Sidebarsidebar.exe /autoRun
    04 – HKLM..Run : [HPOSD] C:Program Files (x86)Hewlett-PackardHP On Screen DisplayHPOSD.exe
    04 – HKLM..Run : [StartCCC] “C:Program Files (x86)AMDATI.ACECore-Staticamd64CLIStart.exe” MSRun
    04 – HKLM..RunOnce : [Malwarebytes Anti-Malware (cleanup)] “C:ProgramDataMalwarebytesMalwarebytes Anti-Malwarembamdor.exe” “C:ProgramDataMalwarebytesMalwarebytes Anti-Malware”
    04 – [x64] HKLM..Run : [SynTPEnh] %ProgramFiles%SynapticsSynTPSynTPEnh.exe
    04 – [x64] HKLM..Run : [SysTrayApp] C:Program FilesIDTWDMsttray64.exe
    04 – [x64] HKLM..Run : [IgfxTray] C:Windowssystem32igfxtray.exe
    04 – [x64] HKLM..Run : [HotKeysCmds] C:Windowssystem32hkcmd.exe
    04 – [x64] HKLM..Run : [Persistence] C:Windowssystem32igfxpers.exe
    04 – [x64] HKLM..Run : [egui] “C:Program FilesESETESET Smart Securityegui.exe” /hide /waitservice
    04 – HKUS-1-5-19..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-20..Run : [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-21-3679528439-1678374431-3476024632-1000..Run : [Sidebar] C:Program FilesWindows Sidebarsidebar.exe /autoRun
    04 – HKUS-1-5-19..RunOnce : [mctadmin] C:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-20..RunOnce : [mctadmin] C:WindowsSystem32mctadmin.exe

    ################## | UsbFix – Information |

    Info : Comment supprimer l’infection des raccourcis sur USB ? (Video)
    Info : L’infection des raccourcis USB, c’est quoi ?
    Détection en Live : http://comment-supprimer.fr/

    ################## | Attrib – Restore |

    ################## | C: %SystemDrive% – Disque Fixe (NTFS) |

    [05/04/2015 – 12:53:07 | ASH | 3067664 Ko] – C:hiberfil.sys
    [05/04/2015 – 12:53:13 | ASH | 4090220 Ko] – C:pagefile.sys
    [27/08/2014 – 22:18:57 | D] – C:SYSTEM.SAV
    [05/04/2015 – 13:31:34 | D] – C:Config.Msi
    [05/11/2014 – 17:33:56 | A | 0 Ko] – C:Setup.log
    [21/08/2014 – 16:10:30 | A | 1 Ko] – C:Dossier.lnk
    [07/11/2014 – 15:19:46 | SHD] – C:$Recycle.Bin
    [14/07/2009 – 04:20:08 | D] – C:PerfLogs
    [14/07/2009 – 06:08:56 | SHD] – C:Documents and Settings
    [21/11/2010 – 04:23:51 | RASH | 375 Ko] – C:bootmgr
    [09/02/2012 – 10:12:39 | D] – C:HP
    [09/02/2012 – 19:41:26 | SHD] – C:boot
    [27/08/2014 – 22:18:25 | RD] – C:Users
    [27/08/2014 – 22:18:52 | SHD] – C:Recovery
    [27/08/2014 – 22:21:49 | D] – C:SWSetup
    [02/10/2014 – 13:27:03 | RHD] – C:MSOCache
    [26/10/2014 – 21:33:50 | D] – C:Tokyo Ghoul
    [06/11/2014 – 14:51:30 | D] – C:Games
    [10/11/2014 – 12:24:23 | D] – C:Win64
    [10/11/2014 – 12:28:06 | D] – C:pyzo2013b
    [10/11/2014 – 12:30:54 | D] – C:Python33
    [16/11/2014 – 15:07:46 | D] – C:Kiseijuu
    [23/03/2015 – 22:14:16 | D] – C:Intel
    [23/03/2015 – 22:45:57 | D] – C:AMD
    [23/03/2015 – 22:48:15 | D] – C:Program Files
    [25/03/2015 – 19:37:51 | D] – C:Windows
    [03/04/2015 – 17:36:04 | D] – C:Fraps
    [05/04/2015 – 14:23:27 | D] – C:Program Files (x86)
    [05/04/2015 – 14:23:27 | HD] – C:ProgramData
    [05/04/2015 – 16:00:45 | D] – C:UsbFix

    ################## | D: – Disque Fixe (NTFS) |

    [20/12/2012 – 19:39:27 | N | 0 Ko] – D:HPSF_Rep.txt
    [23/05/2010 – 13:55:46 | RASH | 0 Ko] – D:Desktop.ini
    [27/08/2014 – 22:19:54 | N | 0 Ko] – D:HP_WSD.dat
    [27/08/2014 – 22:21:57 | SHD] – D:$RECYCLE.BIN
    [14/07/2009 – 19:39:00 | RASH | 375 Ko] – D:bootmgr
    [06/12/2012 – 10:47:53 | D] – D:hp
    [06/12/2012 – 10:47:53 | RASHD] – D:boot
    [06/12/2012 – 10:47:53 | RSHD] – D:preload
    [06/12/2012 – 10:47:53 | D] – D:RM_Reserve
    [06/12/2012 – 10:47:54 | D] – D:FactoryUpdate
    [27/08/2014 – 22:18:57 | RSD] – D:recovery

    ################## | H: – Disque Fixe (NTFS) |

    [26/03/2015 – 18:13:50 | A | 587 Ko] – H:TD 26 – PFS Résolution analytique (Loi entrée-sortie statique).pdf
    [26/03/2015 – 18:13:50 | A | 450 Ko] – H:TD 24 corrigé – Modélisation des AM de contact surfacique – Lois de Coulomb.pdf
    [26/03/2015 – 18:13:50 | A | 646 Ko] – H:TD 24 – Modélisation des AM de contact surfacique – Lois de Coulomb.pdf
    [26/03/2015 – 18:13:52 | A | 484 Ko] – H:TD 27 – Modélisation des AM de contact ponctuel.pdf
    [26/03/2015 – 18:13:52 | A | 490 Ko] – H:TD 27 corrigé – Modélisation des AM de contact ponctuel.pdf
    [26/03/2015 – 18:13:52 | A | 463 Ko] – H:TD 26 corrigé – PFS Résolution analytique (Loi entrée-sortie statique).pdf
    [04/09/2013 – 09:12:39 | A | 1459591 Ko] – H:the safe haven.mp4
    [22/11/2013 – 16:43:16 | A | 1058179 Ko] – H:207096036.mp4
    [27/12/2013 – 11:12:13 | A | 876191 Ko] – H:215103000.mp4
    [10/01/2014 – 15:45:40 | A | 1896227 Ko] – H:what women want.mp4
    [22/04/2014 – 19:45:02 | A | 1082596 Ko] – H:???? ??? ?????? from David Bullock on Vimeo.mp4
    [01/06/2014 – 05:38:14 | A | 1179618 Ko] – H:THE RIGHT KIND OF WRONG.mp4
    [26/07/2014 – 16:20:50 | A | 1530251 Ko] – H:spider man 2014.mp4
    [31/08/2014 – 08:40:04 | A | 1363978 Ko] – H:The Fault in Our Stars (2014) .mp4
    [12/10/2014 – 12:22:04 | A | 1721080 Ko] – H:The.Purge.Anarchy.2014.1080p.BluRay.x264.YIFY.mp4
    [18/11/2014 – 09:44:21 | A | 1277617 Ko] – H:the hundred-foot journey.mp4
    [24/12/2014 – 00:46:30 | A | 1081409 Ko] – H:origins.mp4
    [14/01/2015 – 02:42:43 | A | 1284661 Ko] – H:x2eolvr.mp4
    [01/04/2015 – 14:29:57 | SHD] – H:$RECYCLE.BIN
    [04/02/2015 – 17:22:41 | D] – H:solidworks 2014
    [14/03/2015 – 14:37:01 | D] – H:Softs
    [20/03/2015 – 18:57:27 | SHD] – H:RECYCLER
    [20/03/2015 – 23:26:47 | D] – H:Movies
    [20/03/2015 – 23:26:47 | D] – H:Series
    [22/03/2015 – 23:26:36 | D] – H:Games
    [23/03/2015 – 00:49:58 | D] – H:Troubleshooting
    [31/03/2015 – 15:27:14 | D] – H:To save
    [02/04/2015 – 13:47:03 | D] – H:x
    [03/04/2015 – 19:19:27 | D] – H:ouhhh

    ################## | Vaccin |

    C:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    D:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    H:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | https://www.sosvirus.net/ | http://www.usbfix.net/ |

    Affichage de b7fffd43080a253ed124da8df53a3b2f13d5182c.txt

  • Anonyme
    Post count: 0

    :hello: Hello ,

    Bienvenue sur SosVirus :welcome:

    UsbFix a bien travaillé, et a supprimé l’infection, enfin ses résidus en fait.
    Les Avs eux ont supprimés les fichiers malveillants donc on peut dire qu’ils ont fait leur job mais il ont pas supprimé les traces laissées par l’infection.

    Le dossier $RECYCLEBIN a été créé par l’infection, il est illégitime alors que celui ci : C:$Recycle.Bin est légitime, c’est la corbeille Windows.
    Tu vois la subtilité dans le nom des dossiers (sans le .)

    Ils ont également laissé ces deux fichiers :

    C:UsersadminAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupC-cleaner.lnk
    C:UsersadminAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupVideoLAN.lnk

    C’est 2 fichiers sont des raccourcis et ont le même but que ceux qui étaient sur le disque infecté, ces raccourcis appel wscript.exe qui lui va exécuter le script VB de l’infection si il est présent. Dans ton cas, ce script VB était absent car les AVs l’ont viré, voila pourquoi tu avais ce message d’erreur.

    Quoiqu’il en soit, te voila tranquille maintenant :)
    Si tu as des questions, je suis à ton écoute ;)

  • Photo du profil de Taoufik090Taoufik090
    Participant
    Post count: 1

    Ah! Je vous remercie infiniment cher monsieur! je viens de redémarrer mon ordinateur pour appliquer quelques mises à jour Windows en attendant votre réponse, et au démarrage, les fenêtres d’erreur ne se sont pas montrées, alors je viens vérifier mon message et je trouve que vous m’aviez déjà répondu, je vous suis très reconnaissant, j’aurais sans hésitation effectué un don, hélas je n’ai pas de compte bancaire ni de portefeuille électronique (J’ai 18 ans et vis au Maroc, voyez-vous ^^”). J’aimerais, si ça ne vous dérangerait pas me renseignez sur le type d’études que vous aviez entrepris et qui vous a aidé à créer cet outil( à part votre passion bien-entendu ^^”).
    Encore une fois, je vous remercie profondément pour le grand service que vous m’aviez rendu.
    Cordialement, Taoufik.

  • Anonyme
    Post count: 0

    De rien ;)

    J’aimerais, si ça ne vous dérangerait pas me renseignez sur le type d’études que vous aviez entrepris et qui vous a aidé à créer cet outil( à part votre passion bien-entendu ^^”).

    Aucune étude, enfin aucune en relation avec le développement.
    Je suis chef de cuisine dans la vie.
    Donc UsbFix est né par passion et amour :)

    Bon week-end :hello:

    [pagefb:1tax3nqn][/pagefb:1tax3nqn]

Le sujet ‘SOS-Raccourcis-virus (Wscript.exe)’ est fermé à de nouvelles réponses.