Bonjour les amis,
J'ai un virus s'intitulant Autorun.inf.ren et Facbook.vbs qui met tout les fichiers existant dans ma clé Usb en racourcis.
j'ai essayé avec USBFIX mais je l'ai toujours en branchant la clé.
merci de m'aider dans ce sens
Bonjour les amis,
J'ai un virus s'intitulant Autorun.inf.ren et Facbook.vbs qui met tout les fichiers existant dans ma clé Usb en racourcis.
j'ai essayé avec USBFIX mais je l'ai toujours en branchant la clé.
merci de m'aider dans ce sens
Si vous pouvez m'envoyer le fichier Facebook.vbs avant de faire cette MANIP pour l'analyse !
Téléchargez sur le bureau Malwarebyte's Anti-Malware
- => double-clic sur mbam-setup pour lancer l'installation
- => Installer simplement sans rien modifier
- => Faites les mises à jour (Clic sur "Mise à jour" puis "Recherche de mises à jour").
- => si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
- => Quand le programme lancé ==> Cocher Exécuter un examen complet
- => Clic Rechercher
- => Eventuellement décocher les disques à ne pas analyser
- => Clic Lancer l'examen
- => En fin de scan ( 1h environ), si infection trouvée
- => Clic Afficher résultat
- => Fermer vos applications en cours
- => Si MalwareByte's n'a rien détecté, cliquez sur OK Un rapport va apparaître fermez-le.
- => Si MalwareByte's a détecté des infections, cliquez sur Afficher les résultats ensuite Vérifier si tout est coché et clic Supprimer la sélection.
- => Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur "OK".
un rapport s'ouvre le copier et le coller dans la réponse
et complétez le travail avec : AdwCleaner
AdwCleaner est un outil visant à supprimer :
- Les adware (programmes publicitaires)
- Les PUP/LPIs (programmes potentiellement indésirables)
- Les toolbar (barres d'outil greffées au navigateur)
- Les hijacker (détournement de la page de démarrage)
Adwcleaner dispose d'un mode recherche et d'un mode suppression.
Si vous avez fait le mode recherche il faut alors passer au mode Suppression
Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Puis exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans la réponse aussi
* Pour restaurer les fichiers et les dossiers cachés et supprimer les raccourcis infectés , Utilisez ShortcutRemover
Merci pour la reponse et ton soutien,
voila j'ai mis en copie les rapports que tu m'a demandé, je ny comprend rien
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42 Malwarebytes Anti-Malware (Essai) 1.75.0.1300 www.malwarebytes.org Version de la base de données: v2013.04.04.07 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 mohammed_karouane :: WN7-G6X405J [administrateur] Protection: Activé 7/5/2013 2:00:00 PM mbam-log-2013-07-05 (14-00-00).txt Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 201479 Temps écoulé: 3 minute(s), 58 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté) (fin)
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472 BIOS DELL - 15 Nom de l'ordinateur : WN7-G6X405J Fabriquant: Dell Inc. Modèle : OptiPlex 960 Microsoft Windows 7 Enterprise |C:\Windows|\Device\Harddisk0\Partition2 Version 6.1.7601 Service Pack 1.0 Dossier de Windows: C:\Windows **************Liste des Processus en cours d'exécution le 7/5/2013 à 1:49:39 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane************** ******************************************************************************** Numéro PID = 0 Nom du Processus = System Idle Process Ligne de Commande = **************************************************************************************************** Numéro PID = 4 Nom du Processus = System Ligne de Commande = **************************************************************************************************** Numéro PID = 384 Nom du Processus = smss.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 512 Nom du Processus = csrss.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 564 Nom du Processus = wininit.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 652 Nom du Processus = services.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 688 Nom du Processus = lsass.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 696 Nom du Processus = lsm.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 816 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 892 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1012 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1052 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1076 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1232 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1372 Nom du Processus = ngvpnmgr.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1480 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1624 Nom du Processus = spoolsv.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1652 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1772 Nom du Processus = armsvc.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1824 Nom du Processus = DTUpdate.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1956 Nom du Processus = FireSvc.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2032 Nom du Processus = FrameworkService.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 528 Nom du Processus = mfevtps.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 744 Nom du Processus = NomadBranch.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1740 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2200 Nom du Processus = sftvsa.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2220 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2312 Nom du Processus = mfefire.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2408 Nom du Processus = sftlist.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2416 Nom du Processus = naPrdMgr.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 2720 Nom du Processus = CcmExec.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 3832 Nom du Processus = WmiPrvSE.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 3916 Nom du Processus = WmiPrvSE.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 756 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 3928 Nom du Processus = WmiPrvSE.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 4892 Nom du Processus = WmiPrvSE.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 5104 Nom du Processus = WmiPrvSE.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 4452 Nom du Processus = SearchIndexer.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 5620 Nom du Processus = CmRcService.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 5616 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 5132 Nom du Processus = svchost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 4172 Nom du Processus = OSPPSVC.EXE Ligne de Commande = **************************************************************************************************** Numéro PID = 5120 Nom du Processus = csrss.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 5252 Nom du Processus = winlogon.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 4240 Nom du Processus = taskhost.exe Ligne de Commande = "taskhost.exe" **************************************************************************************************** Numéro PID = 3696 Nom du Processus = sftdcc.exe Ligne de Commande = "C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe" **************************************************************************************************** Numéro PID = 664 Nom du Processus = dwm.exe Ligne de Commande = "C:\Windows\system32\Dwm.exe" **************************************************************************************************** Numéro PID = 6040 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\Explorer.EXE **************************************************************************************************** Numéro PID = 6020 Nom du Processus = communicator.exe Ligne de Commande = "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey **************************************************************************************************** Numéro PID = 5772 Nom du Processus = UdaterUI.exe Ligne de Commande = "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey **************************************************************************************************** Numéro PID = 1144 Nom du Processus = igfxtray.exe Ligne de Commande = "C:\Windows\System32\igfxtray.exe" **************************************************************************************************** Numéro PID = 2588 Nom du Processus = hkcmd.exe Ligne de Commande = "C:\Windows\System32\hkcmd.exe" **************************************************************************************************** Numéro PID = 4996 Nom du Processus = igfxpers.exe Ligne de Commande = "C:\Windows\System32\igfxpers.exe" **************************************************************************************************** Numéro PID = 2732 Nom du Processus = smax4pnp.exe Ligne de Commande = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" **************************************************************************************************** Numéro PID = 5712 Nom du Processus = USBGuard.exe Ligne de Commande = "C:\Program Files\USB Disk Security\USBGuard.exe" **************************************************************************************************** Numéro PID = 4524 Nom du Processus = MSOSYNC.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" **************************************************************************************************** Numéro PID = 4948 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" **************************************************************************************************** Numéro PID = 5472 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System File [Not Delete].vbe" **************************************************************************************************** Numéro PID = 3692 Nom du Processus = McTray.exe Ligne de Commande = /load **************************************************************************************************** Numéro PID = 4076 Nom du Processus = SCNotification.exe Ligne de Commande = "C:\Windows\CCM\SCNotification.exe" **************************************************************************************************** Numéro PID = 604 Nom du Processus = UcMapi.exe Ligne de Commande = "C:\Program Files\Microsoft Lync\UcMapi.exe" -Embedding **************************************************************************************************** Numéro PID = 5872 Nom du Processus = OUTLOOK.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" **************************************************************************************************** Numéro PID = 7308 Nom du Processus = dllhost.exe Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503} **************************************************************************************************** Numéro PID = 6216 Nom du Processus = vstskmgr.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 5680 Nom du Processus = mcshield.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 4320 Nom du Processus = mfeann.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 3136 Nom du Processus = conhost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 7416 Nom du Processus = engineserver.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 3780 Nom du Processus = taskhost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 8144 Nom du Processus = POWERPNT.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\powerpnt.exe" "C:\Users\mohammed_karouane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z3VNDOJ2\EMEA Duplicates Update Q1FY14 Project D440 check Results for Q2 FY14.pptx" **************************************************************************************************** Numéro PID = 8068 Nom du Processus = EXCEL.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /restore **************************************************************************************************** Numéro PID = 2860 Nom du Processus = mbamscheduler.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 9944 Nom du Processus = mbamservice.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 9248 Nom du Processus = mbamgui.exe Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray **************************************************************************************************** Numéro PID = 7588 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding **************************************************************************************************** Numéro PID = 6864 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding **************************************************************************************************** Numéro PID = 8804 Nom du Processus = policyHost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 8392 Nom du Processus = taskeng.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 8208 Nom du Processus = audiodg.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 8848 Nom du Processus = FlashUtil32_11_6_602_171_ActiveX.exe Ligne de Commande = C:\Windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe -Embedding **************************************************************************************************** Numéro PID = 8420 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" **************************************************************************************************** Numéro PID = 6032 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:71938 **************************************************************************************************** Numéro PID = 9592 Nom du Processus = mbam.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 7552 Nom du Processus = taskhost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 1964 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203009 **************************************************************************************************** Numéro PID = 8356 Nom du Processus = SearchProtocolHost.exe Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124330_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124330 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1" **************************************************************************************************** Numéro PID = 8412 Nom du Processus = SearchFilterHost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 8224 Nom du Processus = SearchProtocolHost.exe Ligne de Commande = **************************************************************************************************** Numéro PID = 9704 Nom du Processus = dllhost.exe Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5} **************************************************************************************************** Numéro PID = 1908 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ListProcessCmdLine.zip\ListProcessCmdLine.vbs" **************************************************************************************************** Il y a 90 Processus en cours d'exécution le 7/5/2013 à 1:49:39 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane ************************************************** Les éléments à démarrage automatique **************************************** Nom: FlashPlayerPlug Description: FlashPlayerPlug Emplacement: Startup Commande: FlashPlayerPlug.lnk Utilisateur: EUROPE\mohammed_karouane **************************************************************************************************** Nom: System File [Not Delete] Description: System File [Not Delete] Emplacement: Startup Commande: System File [Not Delete].vbe Utilisateur: EUROPE\mohammed_karouane **************************************************************************************************** Nom: OfficeSyncProcess Description: OfficeSyncProcess Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" Utilisateur: EUROPE\mohammed_karouane **************************************************************************************************** Nom: Facebook.vbs Description: Facebook.vbs Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" Utilisateur: EUROPE\mohammed_karouane **************************************************************************************************** Nom: BCSSync Description: BCSSync Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices Utilisateur: Public **************************************************************************************************** Nom: Communicator Description: Communicator Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey Utilisateur: Public **************************************************************************************************** Nom: Adobe ARM Description: Adobe ARM Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" Utilisateur: Public **************************************************************************************************** Nom: SoftGridTray Description: SoftGridTray Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart Utilisateur: Public **************************************************************************************************** Nom: McAfeeUpdaterUI Description: McAfeeUpdaterUI Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey Utilisateur: Public **************************************************************************************************** Nom: ShStatEXE Description: ShStatEXE Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE Utilisateur: Public **************************************************************************************************** Nom: IgfxTray Description: IgfxTray Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Windows\system32\igfxtray.exe Utilisateur: Public **************************************************************************************************** Nom: HotKeysCmds Description: HotKeysCmds Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Windows\system32\hkcmd.exe Utilisateur: Public **************************************************************************************************** Nom: Persistence Description: Persistence Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Windows\system32\igfxpers.exe Utilisateur: Public **************************************************************************************************** Nom: SoundMAXPnP Description: SoundMAXPnP Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Program Files\Analog Devices\Core\smax4pnp.exe Utilisateur: Public **************************************************************************************************** Nom: McAfee Host Intrusion Prevention Tray Description: McAfee Host Intrusion Prevention Tray Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe" Utilisateur: Public **************************************************************************************************** Nom: USB Security Description: USB Security Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Program Files\USB Disk Security\USBGuard.exe Utilisateur: Public ****************************************************************************************************
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476 BIOS DELL - 15 Nom de l'ordinateur : WN7-G6X405J Fabriquant: Dell Inc. Modèle : OptiPlex 960 Microsoft Windows 7 Enterprise |C:\Windows|\Device\Harddisk0\Partition2 Version 6.1.7601 Service Pack 1.0 Dossier de Windows: C:\Windows **************Liste des Processus en cours d'exécution le 7/5/2013 à 1:54:47 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane************** *********************************************************************************************************************************************** Numéro PID = 0 Nom du Processus = System Idle Process Ligne de Commande = ************************************************************************************************************************ Numéro PID = 4 Nom du Processus = System Ligne de Commande = ************************************************************************************************************************ Numéro PID = 384 Nom du Processus = smss.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 512 Nom du Processus = csrss.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 564 Nom du Processus = wininit.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 652 Nom du Processus = services.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 688 Nom du Processus = lsass.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 696 Nom du Processus = lsm.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 816 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 892 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1012 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1052 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1076 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1232 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1372 Nom du Processus = ngvpnmgr.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1480 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1624 Nom du Processus = spoolsv.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1652 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1772 Nom du Processus = armsvc.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1824 Nom du Processus = DTUpdate.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1956 Nom du Processus = FireSvc.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2032 Nom du Processus = FrameworkService.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 528 Nom du Processus = mfevtps.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 744 Nom du Processus = NomadBranch.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1740 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2200 Nom du Processus = sftvsa.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2220 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2312 Nom du Processus = mfefire.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2408 Nom du Processus = sftlist.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2416 Nom du Processus = naPrdMgr.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 2720 Nom du Processus = CcmExec.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 3832 Nom du Processus = WmiPrvSE.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 3916 Nom du Processus = WmiPrvSE.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 756 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 3928 Nom du Processus = WmiPrvSE.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 4892 Nom du Processus = WmiPrvSE.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5104 Nom du Processus = WmiPrvSE.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 4452 Nom du Processus = SearchIndexer.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5620 Nom du Processus = CmRcService.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5616 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5132 Nom du Processus = svchost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 4172 Nom du Processus = OSPPSVC.EXE Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5120 Nom du Processus = csrss.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5252 Nom du Processus = winlogon.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 4240 Nom du Processus = taskhost.exe Ligne de Commande = "taskhost.exe" ************************************************************************************************************************ Numéro PID = 3696 Nom du Processus = sftdcc.exe Ligne de Commande = "C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe" ************************************************************************************************************************ Numéro PID = 664 Nom du Processus = dwm.exe Ligne de Commande = "C:\Windows\system32\Dwm.exe" ************************************************************************************************************************ Numéro PID = 6040 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\Explorer.EXE ************************************************************************************************************************ Numéro PID = 6020 Nom du Processus = communicator.exe Ligne de Commande = "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey ************************************************************************************************************************ Numéro PID = 5772 Nom du Processus = UdaterUI.exe Ligne de Commande = "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey ************************************************************************************************************************ Numéro PID = 1144 Nom du Processus = igfxtray.exe Ligne de Commande = "C:\Windows\System32\igfxtray.exe" ************************************************************************************************************************ Numéro PID = 2588 Nom du Processus = hkcmd.exe Ligne de Commande = "C:\Windows\System32\hkcmd.exe" ************************************************************************************************************************ Numéro PID = 4996 Nom du Processus = igfxpers.exe Ligne de Commande = "C:\Windows\System32\igfxpers.exe" ************************************************************************************************************************ Numéro PID = 2732 Nom du Processus = smax4pnp.exe Ligne de Commande = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" ************************************************************************************************************************ Numéro PID = 5712 Nom du Processus = USBGuard.exe Ligne de Commande = "C:\Program Files\USB Disk Security\USBGuard.exe" ************************************************************************************************************************ Numéro PID = 4524 Nom du Processus = MSOSYNC.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" ************************************************************************************************************************ Numéro PID = 4948 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" ************************************************************************************************************************ Numéro PID = 5472 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System File [Not Delete].vbe" ************************************************************************************************************************ Numéro PID = 3692 Nom du Processus = McTray.exe Ligne de Commande = /load ************************************************************************************************************************ Numéro PID = 4076 Nom du Processus = SCNotification.exe Ligne de Commande = "C:\Windows\CCM\SCNotification.exe" ************************************************************************************************************************ Numéro PID = 604 Nom du Processus = UcMapi.exe Ligne de Commande = "C:\Program Files\Microsoft Lync\UcMapi.exe" -Embedding ************************************************************************************************************************ Numéro PID = 5872 Nom du Processus = OUTLOOK.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" ************************************************************************************************************************ Numéro PID = 7308 Nom du Processus = dllhost.exe Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503} ************************************************************************************************************************ Numéro PID = 6216 Nom du Processus = vstskmgr.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 5680 Nom du Processus = mcshield.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 4320 Nom du Processus = mfeann.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 3136 Nom du Processus = conhost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 7416 Nom du Processus = engineserver.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 3780 Nom du Processus = taskhost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 8144 Nom du Processus = POWERPNT.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\powerpnt.exe" "C:\Users\mohammed_karouane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z3VNDOJ2\EMEA Duplicates Update Q1FY14 Project D440 check Results for Q2 FY14.pptx" ************************************************************************************************************************ Numéro PID = 8068 Nom du Processus = EXCEL.EXE Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /restore ************************************************************************************************************************ Numéro PID = 2860 Nom du Processus = mbamscheduler.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 9944 Nom du Processus = mbamservice.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 9248 Nom du Processus = mbamgui.exe Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray ************************************************************************************************************************ Numéro PID = 7588 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding ************************************************************************************************************************ Numéro PID = 6864 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding ************************************************************************************************************************ Numéro PID = 8208 Nom du Processus = audiodg.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 8848 Nom du Processus = FlashUtil32_11_6_602_171_ActiveX.exe Ligne de Commande = C:\Windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe -Embedding ************************************************************************************************************************ Numéro PID = 8420 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" ************************************************************************************************************************ Numéro PID = 6032 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:71938 ************************************************************************************************************************ Numéro PID = 9592 Nom du Processus = mbam.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 1964 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203009 ************************************************************************************************************************ Numéro PID = 6476 Nom du Processus = iexplore.exe Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203010 ************************************************************************************************************************ Numéro PID = 9288 Nom du Processus = WUDFHost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 3196 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding ************************************************************************************************************************ Numéro PID = 8360 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ShortcutRemoverHTML[1].zip\ShortcutRemoverHTML.vbs" ************************************************************************************************************************ Numéro PID = 9620 Nom du Processus = wscript.exe Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ShortcutRemoverHTML[1].zip\ShortcutRemoverHTML.vbs" ************************************************************************************************************************ Numéro PID = 8720 Nom du Processus = SearchProtocolHost.exe Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124332_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124332 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" "1" ************************************************************************************************************************ Numéro PID = 7400 Nom du Processus = SearchFilterHost.exe Ligne de Commande = ************************************************************************************************************************ Numéro PID = 10216 Nom du Processus = explorer.exe Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding ************************************************************************************************************************ Numéro PID = 5540 Nom du Processus = WmiPrvSE.exe Ligne de Commande = ************************************************************************************************************************ Il y a 91 Processus en cours d'exécution le 7/5/2013 à 1:54:47 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane ************************************************** Les éléments à démarrage automatique ************************************************** Nom: FlashPlayerPlug Description: FlashPlayerPlug Emplacement: Startup Commande: FlashPlayerPlug.lnk Utilisateur: EUROPE\mohammed_karouane ************************************************************************************************************************ Nom: System File [Not Delete] Description: System File [Not Delete] Emplacement: Startup Commande: System File [Not Delete].vbe Utilisateur: EUROPE\mohammed_karouane ************************************************************************************************************************ Nom: OfficeSyncProcess Description: OfficeSyncProcess Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" Utilisateur: EUROPE\mohammed_karouane ************************************************************************************************************************ Nom: Facebook.vbs Description: Facebook.vbs Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" Utilisateur: EUROPE\mohammed_karouane ************************************************************************************************************************ Nom: BCSSync Description: BCSSync Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices Utilisateur: Public ************************************************************************************************************************ Nom: Communicator Description: Communicator Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey Utilisateur: Public ************************************************************************************************************************ Nom: Adobe ARM Description: Adobe ARM Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" Utilisateur: Public ************************************************************************************************************************ Nom: SoftGridTray Description: SoftGridTray Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart Utilisateur: Public ************************************************************************************************************************ Nom: McAfeeUpdaterUI Description: McAfeeUpdaterUI Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey Utilisateur: Public ************************************************************************************************************************ Nom: ShStatEXE Description: ShStatEXE Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE Utilisateur: Public ************************************************************************************************************************ Nom: IgfxTray Description: IgfxTray Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Windows\system32\igfxtray.exe Utilisateur: Public ************************************************************************************************************************ Nom: HotKeysCmds Description: HotKeysCmds Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Windows\system32\hkcmd.exe Utilisateur: Public ************************************************************************************************************************ Nom: Persistence Description: Persistence Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Windows\system32\igfxpers.exe Utilisateur: Public ************************************************************************************************************************ Nom: SoundMAXPnP Description: SoundMAXPnP Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Program Files\Analog Devices\Core\smax4pnp.exe Utilisateur: Public ************************************************************************************************************************ Nom: McAfee Host Intrusion Prevention Tray Description: McAfee Host Intrusion Prevention Tray Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: "C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe" Utilisateur: Public ************************************************************************************************************************ Nom: USB Security Description: USB Security Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Commande: C:\Program Files\USB Disk Security\USBGuard.exe Utilisateur: Public ************************************************************************************************************************
Je vais vous faire un Vbscript qui va récupérer les fichiers infectés de type VBS et VBE pour l'analyse juste une question de temps Patienter un peu
Voila, copier et coller ce code dans votre notepad et enregistrez-le sous le nom : recherche.vbs et exécutez-le, il va vous créer deux dossiers dans le bureau VBE et VBS qui vont contenir les fichiers infectés et non infectés de type VBS et VBE, alors vous les compresser ces deux derniers avec WinRAR ou bien WinZIP et me l'envoyer en pièce-jointe par mail.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172 '****************Programme principal de Recherche***************** Dim fso,sho,OutFile,sDrv,sFName,sReport,sFile,sTitle,strHTML sTitle = "Recherche des Fichiers Par leurs Extensions © Hackoo" Set fso = CreateObject("Scripting.FileSystemObject") Set sho = CreateObject("Wscript.Shell") Set ws = CreateObject("WScript.Shell") Set ProcessEnv = Ws.Environment("Process") Computername = ProcessEnv("COMPUTERNAME") basefolder = sho.SpecialFolders("desktop")'Bureau Set bf = fso.GetFolder(basefolder) OutFile = "Recherche_" & Day(Now) & "_" & Month(Now) & "_" & Year(Now) & "-" & Hour(Now) & "-" & Minute(Now) & ".hta" 'If fso.FileExists(OutFile) Then fso.DeleteFile(OutFile) FolderType = "vbs,vbe" Set sReport = fso.OpenTextFile(OutFile,8,True) 'sDrv = InputBox("Entrez la lettre du Lecteur pour la Recherche ( juste la Lettre )" & vbcr & _ '"OU " & vbcrlf & " Entrez * pour Rechercher dans tous les lecteurs locales ", sTitle) 'If sDrv = "" Then WScript.Quit sFName = InputBox ("Entrez l'extension du fichier à rechercher separé par virgule : " & vbcr & _ "comme ceci " & qq(FolderType),sTitle,FolderType) Tab = Split(sFname,",") For i = LBound(Tab) To UBound(Tab) CreateFolder(Tab(i)) ws.Popup "Le Dossier " & qq(UCase(Tab(i))) & " est crée sur votre Bureau !"&vbcr&_ "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(Tab(i))) & " est en cours .....",4,sTitle,0+64 If sFName = "" Then WScript.Quit strHTML = "<html>" & vbcr & _ "<title>Recherche des Fichiers et Sauvegarde Par leurs Extensions © Hackoo © 2013</title>" & vbcr & _ "<HTA:APPLICATION" & vbcr & _ "APPLICATIONNAME=""Recherche des Fichiers et Sauvegarde Par leurs Extensions © Hackoo © 2013""" & vbcr & _ "SCROLL=""yes""" & vbcr & _ "SINGLEINSTANCE=""No""" & vbcr & _ "WINDOWSTATE=""Maximize""" & vbcr & _ "icon=""Explorer.exe""" & vbcr & _ ">" & vbcr & _ "<body text=white bgcolor=#1234568><style type='text/css'>" & vbcr & _ "a:link {color: #F19105;}" & vbcr & _ "a:visited {color: #F19105;}" & vbcr & _ "a:active {color: #F19105;}" & vbcr & _ "a:hover {color: #FF9900;background-color: rgb(255, 255, 255);}" & vbcr & _ "</style>" & vbcr & _ "<SCRIPT LANGUAGE=""VBScript"">" & vbcr & _ "Function Explore(filename)" & vbcr & _ "Set ws = CreateObject(""WScript.Shell"")" & vbcr & _ "ws.run ""Explorer /n,/select,""&filename&""""" & vbcr & _ "End Function" & vbcr & _ "</script>" strHTML = strHTML & "<center><h2><B> <font color=Red>[COUNT] </font>Fichiers Trouvés dont l'extension est <font color=red>""" & Tab(i) & """ </font> sur le PC de <font color=red>" & qq(UCase(Computername)) & "</B></font></h2></center>" & _ "<center><table border='3' cellpadding='1' style='border-collapse: collapse; font size:11pt' bordercolor='#CCCCCC' width='100%' id='Table1'></center>" & _ "<td><center><strong>Chemin</strong></center></td>" & _ "<td><center><strong>Date de Création</strong></center></td>" & _ "<td><center><strong>Date de Modification</strong></center></td>" & _ "<td><center><strong>Taille</strong></center></td>" & _ "<td><center><strong>Attributs</strong></center></td>" Dim d,dc,racine Set fso = CreateObject("Scripting.FileSystemObject") Set dc = fso.Drives For Each d in dc If d.IsReady Then racine = d.Driveletter & ":" ws.Popup "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(Tab(i))) & " dans le Lecteur " & qq(racine) & " est en cours .....",4,sTitle,0+64 GetResults racine , Tab(i) End If Next GetResults sDrv & ":", Tab(i) sReport.WriteLine strHTML & "</table>" Next Signature = "<br><center><img src='" & Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(110) & Chr(115) & Chr(109) & _ Chr(48) & Chr(53) & Chr(46) & Chr(99) & Chr(97) & Chr(115) & Chr(105) & _ Chr(109) & Chr(97) & Chr(103) & Chr(101) & Chr(115) & Chr(46) & Chr(99) & Chr(111) & Chr(109) & Chr(47) & Chr(105) & _ Chr(109) & Chr(103) & Chr(47) & Chr(50) & Chr(48) & Chr(49) & Chr(49) & Chr(47) & Chr(48) & Chr(55) & Chr(47) & Chr(50) & _ Chr(51) & Chr(47) & Chr(47) & Chr(49) & Chr(49) & Chr(48) & Chr(55) & _ Chr(50) & Chr(51) & Chr(48) & Chr(55) & Chr(52) & Chr(49) & _ Chr(52) & Chr(48) & Chr(49) & Chr(51) & Chr(49) & Chr(49) & Chr(48) & _ Chr(52) & Chr(56) & Chr(53) & Chr(48) & Chr(54) & Chr(52) & Chr(49) & _ Chr(57) & Chr(46) & Chr(103) & Chr(105) & Chr(102) & "' alt='" & Chr(104) & Chr(97) & _ Chr(99) & Chr(107) & Chr(111) & Chr(111) & Chr(102) & Chr(114) & Chr(64) & _ Chr(121) & Chr(97) & Chr(104) & Chr(111) & Chr(111) & Chr(46) & Chr(102) & Chr(114) & "'</img></center></body></html>" sReport.WriteLine Signature ws.Run OutFile Sub GetResults(drv,fname) On Error Resume Next Dim sWQL Dim oFile Dim sAttrib Dim sFilePath Dim size ext = Array("png","jpg","jpeg","gif","bmp","psd","tif","ico") sWQL = "select * from cim_datafile where Drive='" & _ drv & "' AND Extension = '" & fname & "'" Results = 0 For Each oFile In GetObject("winmgmts:").execquery(sWQL) Results = Results + 1 sFile = oFile.Name Set f = fso.GetFile(sFile) SizeKo = Round(FormatNumber(f.Size)/(1024),0) & " Ko" 'Taille en Ko SizeMo = Round(FormatNumber(f.Size)/(1048576),0) & " Mo" 'Taille en Mo SizeGo = Round(FormatNumber(f.Size)/(1073741824),0) & " Go" 'Taille en Go If f.size < 1024 Then Size = f.size & " Octets" ElseIf f.size < 1048576 Then Size = SizeKo ElseIf f.size < 1073741824 Then Size = SizeMo Else Size = SizeGo End If sFilePath = f.Path If oFile.Archive Then sAttrib = "Archive " If oFile.Compressed Then sAttrib = sAttrib & " Compressé " If oFile.Encrypted Then sAttrib = sAttrib & " Crypté " If oFile.Hidden Then sAttrib = sAttrib & " Caché " If oFile.System Then sAttrib = sAttrib & " Système " If oFile.Readable Then sAttrib = sAttrib & " Lecture " If oFile.Writeable Then sAttrib = sAttrib & " Ecriture " If UCase(ext(0)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(1)) = UCase(fso.GetExtensionName(oFile.Name))Or UCase(ext(2)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(3)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(4)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(5)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(6)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(7)) = UCase(fso.GetExtensionName(oFile.Name))Then strHTML = strHTML & "<tr><td><center><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & sFile & "<br><img src='" & sFilePath & "' border=1 height=80 width=100></center></td><td><center>" & f.DateCreated & "</center></td>" & _ "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _ "<td><center>" & sAttrib & "</center></td></tr>" Else strHTML = strHTML & "<tr><td><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & _ sFile & "</a></td><td><center>" & f.DateCreated & "</center></td>" & _ "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _ "<td><center>" & sAttrib & "</center></td></tr>" End If CopyFile sFile,Tab(i) Next strHTML = Replace(strHTML, "[COUNT]", Results) End Sub Sub CreateFolder(name) Set fso = CreateObject("Scripting.FileSystemObject") Set sho = CreateObject("Wscript.Shell") basefolder = sho.SpecialFolders("desktop")'Creation du dossier dans le Bureau Set bf = fso.GetFolder(basefolder) If Not FSO.FolderExists(bf & "\" & name) Then bf.subFolders.Add(name) Else : Exit Sub End If End Sub Function CopyFile(sFile,name) Dim FSO Set FSO = CreateObject("Scripting.FileSystemObject") If FSO.FolderExists(bf & "\" & name) Then 'MsgBox "Copie de : " & Chr(34) & FSO.GetFileName(sFile) & Chr(34) & " dans " & bf & "\" & name,64,"Copie....." FSO.GetFile(sFile).Copy bf & "\" & name & "\" & FSO.GetFileName(sFile),True End If End Function Function qq(strIn) qq = Chr(34) & strIn & Chr(34) End Function
J'attends toujours votre réponse pour mettre à jour le script ou bien de créer un autre c'est pas pour vous seulement, mais aussi pour tout le monde s'en profitent.
vous avez un Vbscript Encodé je veux le décoder qui s'appelle :
System File [Not Delete].vbe dans votre dossier de démarrage à part de Facebook.vbs
http://r.virscan.org/551df9fe8f765d826f0eaa48eb6092bc
Bonjour,
je viens de t'envoyer les fichier zipes dans ta boite email, et désolé pour le derangement, j'espere que tu trouvera une solution rapidement.
Malheureusement, j'ai rien reçu dans ma boîte email ?? ceci peut-être du à un blocage d'envoi car le serveur ou bien son antivirus a détecté un virus.
Essayez avec ceci http://www.partage-fichiers.com
ou bien avec http://1fichier.com/
et m'envoyer le lien et les identifiants par messagerie privé.
Alors quoi de neuf chez vous ?
Je n'ai rien encore reçu de votre part ? et aucune nouvelle de vous ?
Vous êtes toujours infecté ?
Je crois que c'est moi que j'attends la réponse ou quoi
J'attends toujours les fichiers ???
J'ai enfin trouvé quelqu'un qui est infecté par le même virus: System File [Not Delete].vbe
Voila ce qu'il crée comme fichiers supplémentaires :
Je l'ai décoder par cet outil : [HTA] Encoder VBS2VBE & Decoder VBE2VBSc:\documents and settings\Nom d'utilisateur\local settings\application data\ares\my shared folder\linda.vbe Taille 33 Ko Archive Lecture Ecriture
c:\documents and settings\Nom d'utilisateur\menu démarrer\programmes\démarrage\system file [not delete].vbe Taille 33 Ko Archive Lecture Ecriture
c:\documents and settings\Nom d'utilisateur\microsoft\linda.vbe Taille 33 Ko Archive Lecture Ecriture
c:\documents and settings\Nom d'utilisateur\securities\scan.vbe Taille 33 Ko Archive Caché Système Lecture Ecriture
c:\program files\emule\incoming\linda.vbe Taille 33 Ko Archive Lecture Ecriture
c:\program files\limewire\linda.vbe Taille 33 Ko Archive Lecture Ecriture
et voila un aperçu des fonctions qu'il utilise ce virus :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86 ' ************************************************************************************** ' DO NOT EDIT OR DELETE THIS FILE . ' Copyright (c) 1998-2011 Microsoft Corporation . ' All Rights Reserved (R) Microsoft Corporation . ' End User License Agreement for use with Microsoft operating system products only. ' Built Version : 27.2011 '$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ ' ' ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ' ||||||| satan v 25.11 ¤ Be Hacker Be free ||||||| ' ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ On error resume Next ' '======================================================================= Var.Declar ' ' '======================================================================= Diversion ' '======================================================================= CMD & REG enable ' ' '======================================================================= Deactive UAC ' ' '======================================================================= Self Install & spreadding ' ' '======================================================================= Worm tester ' '======================================================================= RootKit function ' '====================================================================== Backdoor ' ' '======================================================================= Profiles Deleter 'IE 'LANCEMENT DE LA FONCTION ICI ' '======================================================================= Compt.Bot ' ' '======================================================================= kill av ' ' '======================================================================= RDP 32_termsrv.dll Patcher ' ' '======================================================================= File Updater ' ' '========= kill Proc && Delete Temp File ' '======================================================================= Bot install tunnelling / Persistent File ' '========= kill Proc && Delete Temp File ' '======================================================================= Usb Detection & Worm header ' detecterracines sub detecterracines() ' '======================================================================= Usb Functions ' ' Force Hidding Files ' ' End FHF -- Usb Functions ' '======================================================================= Usb spreader ' ' '======================================================================= LNK Creater ' ' inFormations / about : ' Code Name : Satan ' Functions : Worm && Bot installer ' Language : Vbscript and encoded by Vbscript Encoder
Il faut passer maintenant un scan avec Spybot Search and Destroy
Pour tout membre qui veut localiser et mettre les fichiers suspects de type VBE dans un Dossier nommé : VBE_Quarantaine dans son bureau,il peut exécuter ce Vbscript.
Donc;copier et coller ce code Vbscript dans votre notepad et enregistrez-le sous le nom : MoveFileVBE.vbs et exécutez-le.
et si par hasard vous voulez les décoder pour voir leurs codes sources, il suffit de de télécharger cet outil : [HTA] Encoder VBS2VBE & Decoder VBE2VBS
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151 Dim fso,sho,OutFile,sDrv,sFName,sReport,sFile,sTitle,strHTML sTitle = "Recherche des Fichiers Vbscript Encodés de type VBE © Hackoo © 2013" Set fso = CreateObject("Scripting.FileSystemObject") Set sho = CreateObject("Wscript.Shell") Set ws = CreateObject("WScript.Shell") Set ProcessEnv = Ws.Environment("Process") Computername = ProcessEnv("COMPUTERNAME") basefolder = sho.SpecialFolders("desktop")'Bureau Set bf = fso.GetFolder(basefolder) OutFile = "Recherche_VBE_" & Computername & "_" & Day(Now) & "_" & Month(Now) & "_" & Year(Now) & "-" & Hour(Now) & "-" & Minute(Now) & ".hta" ExtensionType = "vbe" DossierQuarantaine = Ucase(ExtensionType) & "_Quarantaine" Set sReport = fso.OpenTextFile(OutFile,8,True) CreateFolder(DossierQuarantaine) ws.Popup "Le Dossier " & qq(UCase(ExtensionType)) & " est crée sur votre Bureau !"&vbcr&_ "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(ExtensionType)) & " est en cours .....",4,sTitle,0+64 strHTML = "<html>" & vbcr & _ "<title>" & sTitle & "</title>" & vbcr & _ "<HTA:APPLICATION" & vbcr & _ "APPLICATIONNAME=""" & sTitle & "" & vbcr & _ "SCROLL=""yes""" & vbcr & _ "SINGLEINSTANCE=""No""" & vbcr & _ "WINDOWSTATE=""Maximize""" & vbcr & _ "icon=""Explorer.exe""" & vbcr & _ ">" & vbcr & _ "<body text=white bgcolor=#1234568><style type='text/css'>" & vbcr & _ "a:link {color: #F19105;}" & vbcr & _ "a:visited {color: #F19105;}" & vbcr & _ "a:active {color: #F19105;}" & vbcr & _ "a:hover {color: #FF9900;background-color: rgb(255, 255, 255);}" & vbcr & _ "</style>" & vbcr & _ "<SCRIPT LANGUAGE=""VBScript"">" & vbcr & _ "Function Explore(filename)" & vbcr & _ "Set ws = CreateObject(""WScript.Shell"")" & vbcr & _ "ws.run ""Explorer /n,/select,""&filename&""""" & vbcr & _ "End Function" & vbcr & _ "</script>" strHTML = strHTML & "<center><h2><B> <font color=Red>[COUNT] </font>Fichiers Trouvés dont l'extension est <font color=red>""" & ExtensionType & """ </font> sur le PC de <font color=red>" & qq(UCase(Computername)) & "</B></font></h2></center>" & _ "<center><table border='3' cellpadding='1' style='border-collapse: collapse; font size:11pt' bordercolor='#CCCCCC' width='100%' id='Table1'></center>" & _ "<td><center><strong>Chemin</strong></center></td>" & _ "<td><center><strong>Date de Création</strong></center></td>" & _ "<td><center><strong>Date de Modification</strong></center></td>" & _ "<td><center><strong>Taille</strong></center></td>" & _ "<td><center><strong>Attributs</strong></center></td>" Dim d,dc,racine Set fso = CreateObject("Scripting.FileSystemObject") Set dc = fso.Drives For Each d in dc If d.IsReady Then racine = d.Driveletter & ":" ws.Popup "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(ExtensionType)) & " dans le Lecteur " & qq(racine) & " est en cours .....",4,sTitle,0+64 GetResults racine , ExtensionType End If Next GetResults sDrv & ":", ExtensionType sReport.WriteLine strHTML & "</table>" Signature = "<br><center><img src='" & Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(110) & Chr(115) & Chr(109) & _ Chr(48) & Chr(53) & Chr(46) & Chr(99) & Chr(97) & Chr(115) & Chr(105) & _ Chr(109) & Chr(97) & Chr(103) & Chr(101) & Chr(115) & Chr(46) & Chr(99) & Chr(111) & Chr(109) & Chr(47) & Chr(105) & _ Chr(109) & Chr(103) & Chr(47) & Chr(50) & Chr(48) & Chr(49) & Chr(49) & Chr(47) & Chr(48) & Chr(55) & Chr(47) & Chr(50) & _ Chr(51) & Chr(47) & Chr(47) & Chr(49) & Chr(49) & Chr(48) & Chr(55) & _ Chr(50) & Chr(51) & Chr(48) & Chr(55) & Chr(52) & Chr(49) & _ Chr(52) & Chr(48) & Chr(49) & Chr(51) & Chr(49) & Chr(49) & Chr(48) & _ Chr(52) & Chr(56) & Chr(53) & Chr(48) & Chr(54) & Chr(52) & Chr(49) & _ Chr(57) & Chr(46) & Chr(103) & Chr(105) & Chr(102) & "' alt='" & Chr(104) & Chr(97) & _ Chr(99) & Chr(107) & Chr(111) & Chr(111) & Chr(102) & Chr(114) & Chr(64) & _ Chr(121) & Chr(97) & Chr(104) & Chr(111) & Chr(111) & Chr(46) & Chr(102) & Chr(114) & "'</img></center></body></html>" sReport.WriteLine Signature ws.Run OutFile Sub GetResults(drv,fname) 'On Error Resume Next Dim sWQL Dim oFile Dim sAttrib Dim sFilePath Dim size ext = Array("png","jpg","jpeg","gif","bmp","psd","tif","ico") sWQL = "select * from cim_datafile where Drive='" & _ drv & "' AND Extension = '" & fname & "'" Results = 0 For Each oFile In GetObject("winmgmts:").execquery(sWQL) Results = Results + 1 sFile = oFile.Name Set f = fso.GetFile(sFile) SizeKo = Round(FormatNumber(f.Size)/(1024),0) & " Ko" 'Taille en Ko SizeMo = Round(FormatNumber(f.Size)/(1048576),0) & " Mo" 'Taille en Mo SizeGo = Round(FormatNumber(f.Size)/(1073741824),0) & " Go" 'Taille en Go If f.size < 1024 Then Size = f.size & " Octets" ElseIf f.size < 1048576 Then Size = SizeKo ElseIf f.size < 1073741824 Then Size = SizeMo Else Size = SizeGo End If sFilePath = f.Path If oFile.Archive Then sAttrib = "Archive " If oFile.Compressed Then sAttrib = sAttrib & " Compressé " If oFile.Encrypted Then sAttrib = sAttrib & " Crypté " If oFile.Hidden Then sAttrib = sAttrib & " Caché " If oFile.System Then sAttrib = sAttrib & " Système " If oFile.Readable Then sAttrib = sAttrib & " Lecture " If oFile.Writeable Then sAttrib = sAttrib & " Ecriture " If UCase(ext(0)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(1)) = UCase(fso.GetExtensionName(oFile.Name))Or UCase(ext(2)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(3)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(4)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(5)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(6)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(7)) = UCase(fso.GetExtensionName(oFile.Name))Then strHTML = strHTML & "<tr><td><center><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & sFile & "<br><img src='" & sFilePath & "' border=1 height=80 width=100></center></td><td><center>" & f.DateCreated & "</center></td>" & _ "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _ "<td><center>" & sAttrib & "</center></td></tr>" Else strHTML = strHTML & "<tr><td><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & _ sFile & "</a></td><td><center>" & f.DateCreated & "</center></td>" & _ "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _ "<td><center>" & sAttrib & "</center></td></tr>" End If MoveFile sFile,DossierQuarantaine Next strHTML = Replace(strHTML, "[COUNT]", Results) End Sub Sub CreateFolder(name) Set fso = CreateObject("Scripting.FileSystemObject") Set sho = CreateObject("Wscript.Shell") basefolder = sho.SpecialFolders("desktop")'Creation du dossier dans le Bureau Set bf = fso.GetFolder(basefolder) If Not FSO.FolderExists(bf & "\" & name) Then bf.subFolders.Add(name) Else : Exit Sub End If End Sub Function MoveFile(sFile,name) Dim FSO Set FSO = CreateObject("Scripting.FileSystemObject") If FSO.FolderExists(bf & "\" & name) Then FSO.GetFile(sFile).Move bf & "\" & name & "\" End If End Function Function qq(strIn) qq = Chr(34) & strIn & Chr(34) End Function
Bonne Chance à vous
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager