Virus Clé USB

**simo700** · 05/07/2013, 12h12

Bonjour les amis,
J'ai un virus s'intitulant Autorun.inf.ren et Facbook.vbs qui met tout les fichiers existant dans ma clé Usb en racourcis.
j'ai essayé avec USBFIX mais je l'ai toujours en branchant la clé.
merci de m'aider dans ce sens

**hackoofr** · 05/07/2013, 14h09

Si vous pouvez m'envoyer le fichier Facebook.vbs avant de faire cette MANIP pour l'analyse !

Téléchargez sur le bureau Malwarebyte's Anti-Malware

=> double-clic sur mbam-setup pour lancer l'installation
=> Installer simplement sans rien modifier
=> Faites les mises à jour (Clic sur "Mise à jour" puis "Recherche de mises à jour").
=> si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
=> Quand le programme lancé ==> Cocher Exécuter un examen complet
=> Clic Rechercher
=> Eventuellement décocher les disques à ne pas analyser
=> Clic Lancer l'examen
=> En fin de scan ( 1h environ), si infection trouvée
=> Clic Afficher résultat
=> Fermer vos applications en cours
=> Si MalwareByte's n'a rien détecté, cliquez sur OK Un rapport va apparaître fermez-le.
=> Si MalwareByte's a détecté des infections, cliquez sur Afficher les résultats ensuite Vérifier si tout est coché et clic Supprimer la sélection.
=> Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur "OK".
un rapport s'ouvre le copier et le coller dans la réponse

et complétez le travail avec : AdwCleaner
AdwCleaner est un outil visant à supprimer :

Les adware (programmes publicitaires)
Les PUP/LPIs (programmes potentiellement indésirables)
Les toolbar (barres d'outil greffées au navigateur)
Les hijacker (détournement de la page de démarrage)

Adwcleaner dispose d'un mode recherche et d'un mode suppression.
Si vous avez fait le mode recherche il faut alors passer au mode Suppression
Après vous allez redémarrer le PC et un autre Rapport va être ouvert ; Alors vous pouvez poster ce dernier Rapport
Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Puis exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans la réponse aussi

* Pour restaurer les fichiers et les dossiers cachés et supprimer les raccourcis infectés , Utilisez ShortcutRemover

**simo700** · 05/07/2013, 15h07

Merci pour la reponse et ton soutien,
voila j'ai mis en copie les rapports que tu m'a demandé, je ny comprend rien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
mohammed_karouane :: WN7-G6X405J [administrateur]

Protection: Activé

7/5/2013 2:00:00 PM
mbam-log-2013-07-05 (14-00-00).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 201479
Temps écoulé: 3 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
BIOS DELL   - 15

Nom de l'ordinateur : WN7-G6X405J
Fabriquant: Dell Inc.
Modèle : OptiPlex 960                 

Microsoft Windows 7 Enterprise |C:\Windows|\Device\Harddisk0\Partition2
Version 6.1.7601
Service Pack 1.0
Dossier de Windows: C:\Windows

**************Liste des Processus en cours d'exécution le 7/5/2013 à 1:49:39 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane**************
********************************************************************************
Numéro PID = 0
Nom du Processus = System Idle Process
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 4
Nom du Processus = System
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 384
Nom du Processus = smss.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 512
Nom du Processus = csrss.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 564
Nom du Processus = wininit.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 652
Nom du Processus = services.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 688
Nom du Processus = lsass.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 696
Nom du Processus = lsm.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 816
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 892
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1012
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1052
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1076
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1232
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1372
Nom du Processus = ngvpnmgr.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1480
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1624
Nom du Processus = spoolsv.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1652
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1772
Nom du Processus = armsvc.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1824
Nom du Processus = DTUpdate.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1956
Nom du Processus = FireSvc.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2032
Nom du Processus = FrameworkService.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 528
Nom du Processus = mfevtps.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 744
Nom du Processus = NomadBranch.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1740
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2200
Nom du Processus = sftvsa.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2220
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2312
Nom du Processus = mfefire.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2408
Nom du Processus = sftlist.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2416
Nom du Processus = naPrdMgr.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 2720
Nom du Processus = CcmExec.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 3832
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 3916
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 756
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 3928
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 4892
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5104
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 4452
Nom du Processus = SearchIndexer.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5620
Nom du Processus = CmRcService.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5616
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5132
Nom du Processus = svchost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 4172
Nom du Processus = OSPPSVC.EXE
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5120
Nom du Processus = csrss.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5252
Nom du Processus = winlogon.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 4240
Nom du Processus = taskhost.exe
Ligne de Commande = "taskhost.exe"
****************************************************************************************************
Numéro PID = 3696
Nom du Processus = sftdcc.exe
Ligne de Commande = "C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe"
****************************************************************************************************
Numéro PID = 664
Nom du Processus = dwm.exe
Ligne de Commande = "C:\Windows\system32\Dwm.exe"
****************************************************************************************************
Numéro PID = 6040
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\Explorer.EXE
****************************************************************************************************
Numéro PID = 6020
Nom du Processus = communicator.exe
Ligne de Commande = "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
****************************************************************************************************
Numéro PID = 5772
Nom du Processus = UdaterUI.exe
Ligne de Commande = "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
****************************************************************************************************
Numéro PID = 1144
Nom du Processus = igfxtray.exe
Ligne de Commande = "C:\Windows\System32\igfxtray.exe" 
****************************************************************************************************
Numéro PID = 2588
Nom du Processus = hkcmd.exe
Ligne de Commande = "C:\Windows\System32\hkcmd.exe" 
****************************************************************************************************
Numéro PID = 4996
Nom du Processus = igfxpers.exe
Ligne de Commande = "C:\Windows\System32\igfxpers.exe" 
****************************************************************************************************
Numéro PID = 2732
Nom du Processus = smax4pnp.exe
Ligne de Commande = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" 
****************************************************************************************************
Numéro PID = 5712
Nom du Processus = USBGuard.exe
Ligne de Commande = "C:\Program Files\USB Disk Security\USBGuard.exe" 
****************************************************************************************************
Numéro PID = 4524
Nom du Processus = MSOSYNC.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" 
****************************************************************************************************
Numéro PID = 4948
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" 
****************************************************************************************************
Numéro PID = 5472
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System File [Not Delete].vbe" 
****************************************************************************************************
Numéro PID = 3692
Nom du Processus = McTray.exe
Ligne de Commande = /load
****************************************************************************************************
Numéro PID = 4076
Nom du Processus = SCNotification.exe
Ligne de Commande = "C:\Windows\CCM\SCNotification.exe"
****************************************************************************************************
Numéro PID = 604
Nom du Processus = UcMapi.exe
Ligne de Commande = "C:\Program Files\Microsoft Lync\UcMapi.exe" -Embedding
****************************************************************************************************
Numéro PID = 5872
Nom du Processus = OUTLOOK.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" 
****************************************************************************************************
Numéro PID = 7308
Nom du Processus = dllhost.exe
Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
****************************************************************************************************
Numéro PID = 6216
Nom du Processus = vstskmgr.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 5680
Nom du Processus = mcshield.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 4320
Nom du Processus = mfeann.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 3136
Nom du Processus = conhost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 7416
Nom du Processus = engineserver.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 3780
Nom du Processus = taskhost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 8144
Nom du Processus = POWERPNT.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\powerpnt.exe" "C:\Users\mohammed_karouane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z3VNDOJ2\EMEA Duplicates Update Q1FY14  Project D440 check Results for Q2 FY14.pptx"
****************************************************************************************************
Numéro PID = 8068
Nom du Processus = EXCEL.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /restore
****************************************************************************************************
Numéro PID = 2860
Nom du Processus = mbamscheduler.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 9944
Nom du Processus = mbamservice.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 9248
Nom du Processus = mbamgui.exe
Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
****************************************************************************************************
Numéro PID = 7588
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
****************************************************************************************************
Numéro PID = 6864
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
****************************************************************************************************
Numéro PID = 8804
Nom du Processus = policyHost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 8392
Nom du Processus = taskeng.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 8208
Nom du Processus = audiodg.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 8848
Nom du Processus = FlashUtil32_11_6_602_171_ActiveX.exe
Ligne de Commande = C:\Windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe -Embedding
****************************************************************************************************
Numéro PID = 8420
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" 
****************************************************************************************************
Numéro PID = 6032
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:71938
****************************************************************************************************
Numéro PID = 9592
Nom du Processus = mbam.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 7552
Nom du Processus = taskhost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 1964
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203009
****************************************************************************************************
Numéro PID = 8356
Nom du Processus = SearchProtocolHost.exe
Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124330_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124330 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"  "1"
****************************************************************************************************
Numéro PID = 8412
Nom du Processus = SearchFilterHost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 8224
Nom du Processus = SearchProtocolHost.exe
Ligne de Commande = 
****************************************************************************************************
Numéro PID = 9704
Nom du Processus = dllhost.exe
Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
****************************************************************************************************
Numéro PID = 1908
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ListProcessCmdLine.zip\ListProcessCmdLine.vbs" 
****************************************************************************************************
Il y a 90 Processus en cours d'exécution le 7/5/2013 à 1:49:39 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane

************************************************** Les éléments à démarrage automatique ****************************************
Nom: FlashPlayerPlug
Description: FlashPlayerPlug
Emplacement: Startup
Commande: FlashPlayerPlug.lnk
Utilisateur: EUROPE\mohammed_karouane
****************************************************************************************************
Nom: System File [Not Delete]
Description: System File [Not Delete]
Emplacement: Startup
Commande: System File [Not Delete].vbe
Utilisateur: EUROPE\mohammed_karouane
****************************************************************************************************
Nom: OfficeSyncProcess
Description: OfficeSyncProcess
Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"
Utilisateur: EUROPE\mohammed_karouane
****************************************************************************************************
Nom: Facebook.vbs
Description: Facebook.vbs
Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs"
Utilisateur: EUROPE\mohammed_karouane
****************************************************************************************************
Nom: BCSSync
Description: BCSSync
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
Utilisateur: Public
****************************************************************************************************
Nom: Communicator
Description: Communicator
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
Utilisateur: Public
****************************************************************************************************
Nom: Adobe ARM
Description: Adobe ARM
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Utilisateur: Public
****************************************************************************************************
Nom: SoftGridTray
Description: SoftGridTray
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart
Utilisateur: Public
****************************************************************************************************
Nom: McAfeeUpdaterUI
Description: McAfeeUpdaterUI
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
Utilisateur: Public
****************************************************************************************************
Nom: ShStatEXE
Description: ShStatEXE
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
Utilisateur: Public
****************************************************************************************************
Nom: IgfxTray
Description: IgfxTray
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\igfxtray.exe
Utilisateur: Public
****************************************************************************************************
Nom: HotKeysCmds
Description: HotKeysCmds
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\hkcmd.exe
Utilisateur: Public
****************************************************************************************************
Nom: Persistence
Description: Persistence
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\igfxpers.exe
Utilisateur: Public
****************************************************************************************************
Nom: SoundMAXPnP
Description: SoundMAXPnP
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Analog Devices\Core\smax4pnp.exe
Utilisateur: Public
****************************************************************************************************
Nom: McAfee Host Intrusion Prevention Tray
Description: McAfee Host Intrusion Prevention Tray
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe"
Utilisateur: Public
****************************************************************************************************
Nom: USB Security
Description: USB Security
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\USB Disk Security\USBGuard.exe
Utilisateur: Public
****************************************************************************************************

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
BIOS DELL   - 15

Nom de l'ordinateur : WN7-G6X405J
Fabriquant: Dell Inc.
Modèle : OptiPlex 960                 

Microsoft Windows 7 Enterprise |C:\Windows|\Device\Harddisk0\Partition2
Version 6.1.7601
Service Pack 1.0
Dossier de Windows: C:\Windows

**************Liste des Processus en cours d'exécution le 7/5/2013 à 1:54:47 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane**************
***********************************************************************************************************************************************
Numéro PID = 0
Nom du Processus = System Idle Process
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 4
Nom du Processus = System
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 384
Nom du Processus = smss.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 512
Nom du Processus = csrss.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 564
Nom du Processus = wininit.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 652
Nom du Processus = services.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 688
Nom du Processus = lsass.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 696
Nom du Processus = lsm.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 816
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 892
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1012
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1052
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1076
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1232
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1372
Nom du Processus = ngvpnmgr.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1480
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1624
Nom du Processus = spoolsv.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1652
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1772
Nom du Processus = armsvc.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1824
Nom du Processus = DTUpdate.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1956
Nom du Processus = FireSvc.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2032
Nom du Processus = FrameworkService.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 528
Nom du Processus = mfevtps.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 744
Nom du Processus = NomadBranch.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1740
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2200
Nom du Processus = sftvsa.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2220
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2312
Nom du Processus = mfefire.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2408
Nom du Processus = sftlist.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2416
Nom du Processus = naPrdMgr.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 2720
Nom du Processus = CcmExec.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 3832
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 3916
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 756
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 3928
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 4892
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5104
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 4452
Nom du Processus = SearchIndexer.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5620
Nom du Processus = CmRcService.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5616
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5132
Nom du Processus = svchost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 4172
Nom du Processus = OSPPSVC.EXE
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5120
Nom du Processus = csrss.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5252
Nom du Processus = winlogon.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 4240
Nom du Processus = taskhost.exe
Ligne de Commande = "taskhost.exe"
************************************************************************************************************************
Numéro PID = 3696
Nom du Processus = sftdcc.exe
Ligne de Commande = "C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe"
************************************************************************************************************************
Numéro PID = 664
Nom du Processus = dwm.exe
Ligne de Commande = "C:\Windows\system32\Dwm.exe"
************************************************************************************************************************
Numéro PID = 6040
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\Explorer.EXE
************************************************************************************************************************
Numéro PID = 6020
Nom du Processus = communicator.exe
Ligne de Commande = "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
************************************************************************************************************************
Numéro PID = 5772
Nom du Processus = UdaterUI.exe
Ligne de Commande = "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
************************************************************************************************************************
Numéro PID = 1144
Nom du Processus = igfxtray.exe
Ligne de Commande = "C:\Windows\System32\igfxtray.exe" 
************************************************************************************************************************
Numéro PID = 2588
Nom du Processus = hkcmd.exe
Ligne de Commande = "C:\Windows\System32\hkcmd.exe" 
************************************************************************************************************************
Numéro PID = 4996
Nom du Processus = igfxpers.exe
Ligne de Commande = "C:\Windows\System32\igfxpers.exe" 
************************************************************************************************************************
Numéro PID = 2732
Nom du Processus = smax4pnp.exe
Ligne de Commande = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" 
************************************************************************************************************************
Numéro PID = 5712
Nom du Processus = USBGuard.exe
Ligne de Commande = "C:\Program Files\USB Disk Security\USBGuard.exe" 
************************************************************************************************************************
Numéro PID = 4524
Nom du Processus = MSOSYNC.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" 
************************************************************************************************************************
Numéro PID = 4948
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs" 
************************************************************************************************************************
Numéro PID = 5472
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System File [Not Delete].vbe" 
************************************************************************************************************************
Numéro PID = 3692
Nom du Processus = McTray.exe
Ligne de Commande = /load
************************************************************************************************************************
Numéro PID = 4076
Nom du Processus = SCNotification.exe
Ligne de Commande = "C:\Windows\CCM\SCNotification.exe"
************************************************************************************************************************
Numéro PID = 604
Nom du Processus = UcMapi.exe
Ligne de Commande = "C:\Program Files\Microsoft Lync\UcMapi.exe" -Embedding
************************************************************************************************************************
Numéro PID = 5872
Nom du Processus = OUTLOOK.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE" 
************************************************************************************************************************
Numéro PID = 7308
Nom du Processus = dllhost.exe
Ligne de Commande = C:\Windows\system32\DllHost.exe /Processid:{76D0CB12-7604-4048-B83C-1005C7DDC503}
************************************************************************************************************************
Numéro PID = 6216
Nom du Processus = vstskmgr.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 5680
Nom du Processus = mcshield.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 4320
Nom du Processus = mfeann.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 3136
Nom du Processus = conhost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 7416
Nom du Processus = engineserver.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 3780
Nom du Processus = taskhost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 8144
Nom du Processus = POWERPNT.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\powerpnt.exe" "C:\Users\mohammed_karouane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\Z3VNDOJ2\EMEA Duplicates Update Q1FY14  Project D440 check Results for Q2 FY14.pptx"
************************************************************************************************************************
Numéro PID = 8068
Nom du Processus = EXCEL.EXE
Ligne de Commande = "C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /restore
************************************************************************************************************************
Numéro PID = 2860
Nom du Processus = mbamscheduler.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 9944
Nom du Processus = mbamservice.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 9248
Nom du Processus = mbamgui.exe
Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
************************************************************************************************************************
Numéro PID = 7588
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
************************************************************************************************************************
Numéro PID = 6864
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
************************************************************************************************************************
Numéro PID = 8208
Nom du Processus = audiodg.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 8848
Nom du Processus = FlashUtil32_11_6_602_171_ActiveX.exe
Ligne de Commande = C:\Windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe -Embedding
************************************************************************************************************************
Numéro PID = 8420
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" 
************************************************************************************************************************
Numéro PID = 6032
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:71938
************************************************************************************************************************
Numéro PID = 9592
Nom du Processus = mbam.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 1964
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203009
************************************************************************************************************************
Numéro PID = 6476
Nom du Processus = iexplore.exe
Ligne de Commande = "C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:8420 CREDAT:203010
************************************************************************************************************************
Numéro PID = 9288
Nom du Processus = WUDFHost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 3196
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
************************************************************************************************************************
Numéro PID = 8360
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ShortcutRemoverHTML[1].zip\ShortcutRemoverHTML.vbs" 
************************************************************************************************************************
Numéro PID = 9620
Nom du Processus = wscript.exe
Ligne de Commande = "C:\Windows\System32\WScript.exe" "C:\Users\mohammed_karouane\AppData\Local\Temp\Temp1_ShortcutRemoverHTML[1].zip\ShortcutRemoverHTML.vbs" 
************************************************************************************************************************
Numéro PID = 8720
Nom du Processus = SearchProtocolHost.exe
Ligne de Commande = "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124332_ Global\UsGthrCtrlFltPipeMssGthrPipe_S-1-5-21-198575724-866408411-929701000-204124332 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"  "1"
************************************************************************************************************************
Numéro PID = 7400
Nom du Processus = SearchFilterHost.exe
Ligne de Commande = 
************************************************************************************************************************
Numéro PID = 10216
Nom du Processus = explorer.exe
Ligne de Commande = C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding
************************************************************************************************************************
Numéro PID = 5540
Nom du Processus = WmiPrvSE.exe
Ligne de Commande = 
************************************************************************************************************************
Il y a 91 Processus en cours d'exécution le 7/5/2013 à 1:54:47 PM sur Le PC WN7-G6X405J connecté en tant que mohammed_karouane

************************************************** Les éléments à démarrage automatique **************************************************
Nom: FlashPlayerPlug
Description: FlashPlayerPlug
Emplacement: Startup
Commande: FlashPlayerPlug.lnk
Utilisateur: EUROPE\mohammed_karouane
************************************************************************************************************************
Nom: System File [Not Delete]
Description: System File [Not Delete]
Emplacement: Startup
Commande: System File [Not Delete].vbe
Utilisateur: EUROPE\mohammed_karouane
************************************************************************************************************************
Nom: OfficeSyncProcess
Description: OfficeSyncProcess
Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"
Utilisateur: EUROPE\mohammed_karouane
************************************************************************************************************************
Nom: Facebook.vbs
Description: Facebook.vbs
Emplacement: HKU\S-1-5-21-198575724-866408411-929701000-204124\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Users\mohammed_karouane\AppData\Local\Temp\Facebook.vbs"
Utilisateur: EUROPE\mohammed_karouane
************************************************************************************************************************
Nom: BCSSync
Description: BCSSync
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
Utilisateur: Public
************************************************************************************************************************
Nom: Communicator
Description: Communicator
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Lync\communicator.exe" /fromrunkey
Utilisateur: Public
************************************************************************************************************************
Nom: Adobe ARM
Description: Adobe ARM
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Utilisateur: Public
************************************************************************************************************************
Nom: SoftGridTray
Description: SoftGridTray
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart
Utilisateur: Public
************************************************************************************************************************
Nom: McAfeeUpdaterUI
Description: McAfeeUpdaterUI
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
Utilisateur: Public
************************************************************************************************************************
Nom: ShStatEXE
Description: ShStatEXE
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
Utilisateur: Public
************************************************************************************************************************
Nom: IgfxTray
Description: IgfxTray
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\igfxtray.exe
Utilisateur: Public
************************************************************************************************************************
Nom: HotKeysCmds
Description: HotKeysCmds
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\hkcmd.exe
Utilisateur: Public
************************************************************************************************************************
Nom: Persistence
Description: Persistence
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Windows\system32\igfxpers.exe
Utilisateur: Public
************************************************************************************************************************
Nom: SoundMAXPnP
Description: SoundMAXPnP
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Analog Devices\Core\smax4pnp.exe
Utilisateur: Public
************************************************************************************************************************
Nom: McAfee Host Intrusion Prevention Tray
Description: McAfee Host Intrusion Prevention Tray
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe"
Utilisateur: Public
************************************************************************************************************************
Nom: USB Security
Description: USB Security
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\USB Disk Security\USBGuard.exe
Utilisateur: Public
************************************************************************************************************************

**hackoofr** · 05/07/2013, 19h20

Je vais vous faire un Vbscript qui va récupérer les fichiers infectés de type VBS et VBE pour l'analyse juste une question de temps Patienter un peu

**hackoofr** · 05/07/2013, 21h26

Voila, copier et coller ce code dans votre notepad et enregistrez-le sous le nom : recherche.vbs et exécutez-le, il va vous créer deux dossiers dans le bureau VBE et VBS qui vont contenir les fichiers infectés et non infectés de type VBS et VBE, alors vous les compresser ces deux derniers avec WinRAR ou bien WinZIP et me l'envoyer en pièce-jointe par mail.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
'****************Programme principal de Recherche*****************
Dim fso,sho,OutFile,sDrv,sFName,sReport,sFile,sTitle,strHTML
sTitle      = "Recherche des Fichiers Par leurs Extensions © Hackoo"
Set fso     = CreateObject("Scripting.FileSystemObject")
Set sho     = CreateObject("Wscript.Shell")
Set ws      = CreateObject("WScript.Shell")
Set ProcessEnv = Ws.Environment("Process") 
Computername = ProcessEnv("COMPUTERNAME")
basefolder  = sho.SpecialFolders("desktop")'Bureau
Set bf      = fso.GetFolder(basefolder)
OutFile     = "Recherche_" & Day(Now) & "_" & Month(Now) & "_" & Year(Now) & "-" & Hour(Now) & "-" & Minute(Now) & ".hta"
'If fso.FileExists(OutFile) Then fso.DeleteFile(OutFile)
FolderType  = "vbs,vbe"
Set sReport = fso.OpenTextFile(OutFile,8,True)
'sDrv        = InputBox("Entrez la lettre du Lecteur pour la Recherche ( juste la Lettre )" & vbcr & _
'"OU " & vbcrlf & " Entrez * pour Rechercher dans tous les lecteurs locales ", sTitle)
'If sDrv = "" Then WScript.Quit
sFName = InputBox ("Entrez l'extension du fichier à rechercher separé par virgule : " & vbcr & _
"comme ceci " & qq(FolderType),sTitle,FolderType)
Tab    = Split(sFname,",")

For i = LBound(Tab) To UBound(Tab)
    CreateFolder(Tab(i))
    ws.Popup "Le Dossier " & qq(UCase(Tab(i))) & " est crée sur votre Bureau !"&vbcr&_
    "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(Tab(i))) & " est en cours .....",4,sTitle,0+64
    
    If sFName = "" Then WScript.Quit
    
    strHTML = "<html>" & vbcr & _
    "<title>Recherche des Fichiers et Sauvegarde Par leurs Extensions © Hackoo © 2013</title>" & vbcr & _
    "<HTA:APPLICATION" & vbcr & _
    "APPLICATIONNAME=""Recherche des Fichiers et Sauvegarde Par leurs Extensions © Hackoo © 2013""" & vbcr & _
    "SCROLL=""yes""" & vbcr & _
    "SINGLEINSTANCE=""No""" & vbcr & _
    "WINDOWSTATE=""Maximize""" & vbcr & _
    "icon=""Explorer.exe""" & vbcr & _
    ">" & vbcr & _
    "<body text=white bgcolor=#1234568><style type='text/css'>" & vbcr & _
    "a:link {color: #F19105;}" & vbcr & _
    "a:visited {color: #F19105;}" & vbcr & _
    "a:active {color: #F19105;}" & vbcr & _
    "a:hover {color: #FF9900;background-color: rgb(255, 255, 255);}" & vbcr & _
    "</style>" & vbcr & _
    "<SCRIPT LANGUAGE=""VBScript"">" & vbcr & _
    "Function Explore(filename)" & vbcr & _
    "Set ws = CreateObject(""WScript.Shell"")" & vbcr & _
    "ws.run ""Explorer /n,/select,""&filename&""""" & vbcr & _
    "End Function" & vbcr & _
    "</script>"
    
    strHTML = strHTML & "<center><h2><B> <font color=Red>[COUNT] </font>Fichiers Trouvés dont l'extension est <font color=red>""" & Tab(i) & """ </font> sur le PC de <font color=red>" & qq(UCase(Computername)) & "</B></font></h2></center>" & _
    "<center><table border='3' cellpadding='1' style='border-collapse: collapse; font size:11pt' bordercolor='#CCCCCC' width='100%' id='Table1'></center>" & _
    "<td><center><strong>Chemin</strong></center></td>" & _
    "<td><center><strong>Date de Création</strong></center></td>" & _
    "<td><center><strong>Date de Modification</strong></center></td>" & _
    "<td><center><strong>Taille</strong></center></td>" & _
    "<td><center><strong>Attributs</strong></center></td>"
    
    Dim d,dc,racine
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set dc  = fso.Drives
    For Each d in dc
        If d.IsReady Then
            racine = d.Driveletter & ":"
            ws.Popup "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(Tab(i))) & " dans le Lecteur " & qq(racine) & " est en cours .....",4,sTitle,0+64
            GetResults racine , Tab(i)
        End If    
    Next    
    GetResults sDrv & ":", Tab(i)
    sReport.WriteLine strHTML & "</table>"
Next

Signature = "<br><center><img src='" & Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(110) & Chr(115) & Chr(109) & _
Chr(48) & Chr(53) & Chr(46) & Chr(99) & Chr(97) & Chr(115) & Chr(105) & _
Chr(109) & Chr(97) & Chr(103) & Chr(101) & Chr(115) & Chr(46) & Chr(99) & Chr(111) & Chr(109) & Chr(47) & Chr(105) & _
Chr(109) & Chr(103) & Chr(47) & Chr(50) & Chr(48) & Chr(49) & Chr(49) & Chr(47) & Chr(48) & Chr(55) & Chr(47) & Chr(50) & _
Chr(51) & Chr(47) & Chr(47) & Chr(49) & Chr(49) & Chr(48) & Chr(55) & _
Chr(50) & Chr(51) & Chr(48) & Chr(55) & Chr(52) & Chr(49) & _
Chr(52) & Chr(48) & Chr(49) & Chr(51) & Chr(49) & Chr(49) & Chr(48) & _
Chr(52) & Chr(56) & Chr(53) & Chr(48) & Chr(54) & Chr(52) & Chr(49) & _
Chr(57) & Chr(46) & Chr(103) & Chr(105) & Chr(102) & "' alt='" & Chr(104) & Chr(97) & _
Chr(99) & Chr(107) & Chr(111) & Chr(111) & Chr(102) & Chr(114) & Chr(64) & _
Chr(121) & Chr(97) & Chr(104) & Chr(111) & Chr(111) & Chr(46) & Chr(102) & Chr(114) & "'</img></center></body></html>"
sReport.WriteLine Signature
ws.Run OutFile

Sub GetResults(drv,fname)
    On Error Resume Next
    Dim sWQL
    Dim oFile
    Dim sAttrib
    Dim sFilePath
    Dim size
    ext      = Array("png","jpg","jpeg","gif","bmp","psd","tif","ico")
    sWQL     = "select * from cim_datafile where Drive='" & _
    drv & "' AND Extension = '" & fname & "'"
    Results  = 0
    
    For Each oFile In GetObject("winmgmts:").execquery(sWQL)
        Results = Results + 1
        sFile   = oFile.Name
        Set f   = fso.GetFile(sFile)
        
        SizeKo  = Round(FormatNumber(f.Size)/(1024),0) & " Ko" 'Taille en Ko 
        SizeMo  = Round(FormatNumber(f.Size)/(1048576),0) & " Mo" 'Taille en Mo 
        SizeGo  = Round(FormatNumber(f.Size)/(1073741824),0) & " Go" 'Taille en Go 
        
        If f.size < 1024 Then
            Size     = f.size & " Octets"
        ElseIf f.size < 1048576 Then
            Size     = SizeKo
        ElseIf f.size < 1073741824 Then
            Size     = SizeMo
        Else
            Size     = SizeGo
        End If
        
        sFilePath = f.Path
        If oFile.Archive Then sAttrib = "Archive "
        If oFile.Compressed Then sAttrib = sAttrib & " Compressé "
        If oFile.Encrypted Then sAttrib = sAttrib & " Crypté "
        If oFile.Hidden Then sAttrib = sAttrib & " Caché "
        If oFile.System Then sAttrib = sAttrib & " Système "
        If oFile.Readable Then sAttrib = sAttrib & " Lecture "
        If oFile.Writeable Then sAttrib = sAttrib & " Ecriture "
        
        If UCase(ext(0)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(1)) = UCase(fso.GetExtensionName(oFile.Name))Or UCase(ext(2)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(3)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(4)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(5)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(6)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(7)) = UCase(fso.GetExtensionName(oFile.Name))Then
            
            strHTML = strHTML & "<tr><td><center><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & sFile & "<br><img src='" & sFilePath & "' border=1  height=80 width=100></center></td><td><center>" & f.DateCreated & "</center></td>" & _
            "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
            "<td><center>" & sAttrib & "</center></td></tr>"
        Else
            strHTML = strHTML & "<tr><td><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & _
            sFile & "</a></td><td><center>" & f.DateCreated & "</center></td>" & _
            "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
            "<td><center>" & sAttrib & "</center></td></tr>"
        End If
        
        CopyFile sFile,Tab(i)
    Next
    
    strHTML = Replace(strHTML, "[COUNT]", Results)
End Sub

Sub CreateFolder(name)
    Set fso    = CreateObject("Scripting.FileSystemObject")
    Set sho    = CreateObject("Wscript.Shell")
    basefolder = sho.SpecialFolders("desktop")'Creation du dossier dans le Bureau
    Set bf     = fso.GetFolder(basefolder)
    
    If Not FSO.FolderExists(bf & "\" & name) Then
        bf.subFolders.Add(name)
        
        Else : Exit Sub
    End If
    
End Sub

Function CopyFile(sFile,name)
    Dim  FSO
    Set FSO = CreateObject("Scripting.FileSystemObject")
    
    If FSO.FolderExists(bf & "\" & name) Then
'MsgBox "Copie de : " & Chr(34) & FSO.GetFileName(sFile) & Chr(34) & " dans " & bf & "\" & name,64,"Copie....."
        FSO.GetFile(sFile).Copy bf & "\" & name & "\" & FSO.GetFileName(sFile),True
    End If
    
End Function

Function qq(strIn)
    qq = Chr(34) & strIn & Chr(34)
End Function

**hackoofr** · 08/07/2013, 11h47

J'attends toujours votre réponse pour mettre à jour le script ou bien de créer un autre c'est pas pour vous seulement, mais aussi pour tout le monde s'en profitent.

vous avez un Vbscript Encodé je veux le décoder qui s'appelle :
System File [Not Delete].vbe dans votre dossier de démarrage à part de Facebook.vbs
http://r.virscan.org/551df9fe8f765d826f0eaa48eb6092bc

**simo700** · 10/07/2013, 16h03

Bonjour,
je viens de t'envoyer les fichier zipes dans ta boite email, et désolé pour le derangement, j'espere que tu trouvera une solution rapidement.

**hackoofr** · 10/07/2013, 23h04

Envoyé par simo700

Bonjour,
je viens de t'envoyer les fichier zipes dans ta boite email, et désolé pour le derangement, j'espere que tu trouvera une solution rapidement.

Malheureusement, j'ai rien reçu dans ma boîte email ?? ceci peut-être du à un blocage d'envoi car le serveur ou bien son antivirus a détecté un virus.
Essayez avec ceci http://www.partage-fichiers.com
ou bien avec http://1fichier.com/
et m'envoyer le lien et les identifiants par messagerie privé.

**hackoofr** · 15/07/2013, 00h18

Alors quoi de neuf chez vous ?
Je n'ai rien encore reçu de votre part ? et aucune nouvelle de vous ?
Vous êtes toujours infecté ?

**hackoofr** · 17/07/2013, 02h06

Je crois que c'est moi que j'attends la réponse ou quoi

**hackoofr** · 23/07/2013, 03h06

J'attends toujours les fichiers ???

**hackoofr** · 23/07/2013, 12h17

Envoyé par aimerzuo

Je suis très intéressé par ce sujet.Merci pour l'info,bonne journée！

et

pour votre intérêt à ce sujet

Je crois qu'il doit falloir écrire un article unique pour expliquer les raisons, le fonctionnement et l'utilité de la démarche à suivre, et dire quand l'utiliser ou pas etc.....
Qu'en pensez-vous ?

**hackoofr** · 05/08/2013, 00h43

J'ai enfin trouvé quelqu'un qui est infecté par le même virus: System File [Not Delete].vbe
Voila ce qu'il crée comme fichiers supplémentaires :

c:\documents and settings\Nom d'utilisateur\local settings\application data\ares\my shared folder\linda.vbe Taille 33 Ko Archive Lecture Ecriture
c:\documents and settings\Nom d'utilisateur\menu démarrer\programmes\démarrage\system file [not delete].vbe Taille 33 Ko Archive Lecture Ecriture
c:\documents and settings\Nom d'utilisateur\microsoft\linda.vbe Taille 33 Ko Archive Lecture Ecriture
c:\documents and settings\Nom d'utilisateur\securities\scan.vbe Taille 33 Ko Archive Caché Système Lecture Ecriture
c:\program files\emule\incoming\linda.vbe Taille 33 Ko Archive Lecture Ecriture
c:\program files\limewire\linda.vbe Taille 33 Ko Archive Lecture Ecriture

Je l'ai décoder par cet outil : [HTA] Encoder VBS2VBE & Decoder VBE2VBS
et voila un aperçu des fonctions qu'il utilise ce virus :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
' **************************************************************************************
' DO NOT EDIT OR DELETE THIS FILE . 
' Copyright (c) 1998-2011 Microsoft Corporation .      
' All Rights Reserved (R) Microsoft Corporation .  
' End User License Agreement for use with Microsoft operating system products only.
' Built Version : 27.2011
'$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
'
'  ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
'  ||||||| satan v 25.11 ¤ Be Hacker Be free |||||||    
'  ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
On error resume Next
'
'======================================================================= Var.Declar
'
'
'======================================================================= Diversion

'
'======================================================================= CMD & REG enable
'
'
'======================================================================= Deactive UAC 
'
'
'======================================================================= Self Install & spreadding 
'
'
'======================================================================= Worm tester

'
'======================================================================= RootKit function
'

'====================================================================== Backdoor
'
'
'======================================================================= Profiles Deleter 
'IE

        'LANCEMENT DE LA FONCTION ICI
'
'======================================================================= Compt.Bot
'
'
'======================================================================= kill av
'
'
'======================================================================= RDP 32_termsrv.dll Patcher
'
'
'======================================================================= File Updater
'
'
'========= kill Proc && Delete Temp File

'
'======================================================================= Bot install tunnelling / Persistent File  
'
 
'========= kill Proc && Delete Temp File

'
'======================================================================= Usb Detection & Worm header
'
detecterracines
sub detecterracines()
'
'======================================================================= Usb Functions
'
' Force Hidding Files
'

' End FHF -- Usb Functions 
'

'======================================================================= Usb spreader
'
  
'
'======================================================================= LNK Creater
'
' inFormations / about :
' Code Name : Satan 
' Functions : Worm && Bot installer
' Language : Vbscript and encoded by Vbscript Encoder

**hackoofr** · 05/08/2013, 00h49

Il faut passer maintenant un scan avec Spybot Search and Destroy

**hackoofr** · 05/08/2013, 04h21

Pour tout membre qui veut localiser et mettre les fichiers suspects de type VBE dans un Dossier nommé : VBE_Quarantaine dans son bureau,il peut exécuter ce Vbscript.
Donc;copier et coller ce code Vbscript dans votre notepad et enregistrez-le sous le nom : MoveFileVBE.vbs et exécutez-le.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
Dim fso,sho,OutFile,sDrv,sFName,sReport,sFile,sTitle,strHTML
sTitle      = "Recherche des Fichiers Vbscript Encodés de type VBE © Hackoo © 2013"
Set fso     = CreateObject("Scripting.FileSystemObject")
Set sho     = CreateObject("Wscript.Shell")
Set ws      = CreateObject("WScript.Shell")
Set ProcessEnv = Ws.Environment("Process") 
Computername = ProcessEnv("COMPUTERNAME")
basefolder  = sho.SpecialFolders("desktop")'Bureau
Set bf      = fso.GetFolder(basefolder)
OutFile     = "Recherche_VBE_" & Computername & "_" & Day(Now) & "_" & Month(Now) & "_" & Year(Now) & "-" & Hour(Now) & "-" & Minute(Now) & ".hta"
ExtensionType  = "vbe"
DossierQuarantaine = Ucase(ExtensionType) & "_Quarantaine"
Set sReport = fso.OpenTextFile(OutFile,8,True)
    CreateFolder(DossierQuarantaine)
    ws.Popup "Le Dossier " & qq(UCase(ExtensionType)) & " est crée sur votre Bureau !"&vbcr&_
    "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(ExtensionType)) & " est en cours .....",4,sTitle,0+64
    strHTML = "<html>" & vbcr & _
    "<title>" & sTitle & "</title>" & vbcr & _
    "<HTA:APPLICATION" & vbcr & _
    "APPLICATIONNAME=""" & sTitle & "" & vbcr & _
    "SCROLL=""yes""" & vbcr & _
    "SINGLEINSTANCE=""No""" & vbcr & _
    "WINDOWSTATE=""Maximize""" & vbcr & _
    "icon=""Explorer.exe""" & vbcr & _
    ">" & vbcr & _
    "<body text=white bgcolor=#1234568><style type='text/css'>" & vbcr & _
    "a:link {color: #F19105;}" & vbcr & _
    "a:visited {color: #F19105;}" & vbcr & _
    "a:active {color: #F19105;}" & vbcr & _
    "a:hover {color: #FF9900;background-color: rgb(255, 255, 255);}" & vbcr & _
    "</style>" & vbcr & _
    "<SCRIPT LANGUAGE=""VBScript"">" & vbcr & _
    "Function Explore(filename)" & vbcr & _
    "Set ws = CreateObject(""WScript.Shell"")" & vbcr & _
    "ws.run ""Explorer /n,/select,""&filename&""""" & vbcr & _
    "End Function" & vbcr & _
    "</script>"
    
    strHTML = strHTML & "<center><h2><B> <font color=Red>[COUNT] </font>Fichiers Trouvés dont l'extension est <font color=red>""" & ExtensionType & """ </font> sur le PC de <font color=red>" & qq(UCase(Computername)) & "</B></font></h2></center>" & _
    "<center><table border='3' cellpadding='1' style='border-collapse: collapse; font size:11pt' bordercolor='#CCCCCC' width='100%' id='Table1'></center>" & _
    "<td><center><strong>Chemin</strong></center></td>" & _
    "<td><center><strong>Date de Création</strong></center></td>" & _
    "<td><center><strong>Date de Modification</strong></center></td>" & _
    "<td><center><strong>Taille</strong></center></td>" & _
    "<td><center><strong>Attributs</strong></center></td>"
    
    Dim d,dc,racine
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set dc  = fso.Drives
    For Each d in dc
        If d.IsReady Then
            racine = d.Driveletter & ":"
            ws.Popup "Veuillez Patientez SVP ! La Recherche des fichiers avec l'extension " & qq(UCase(ExtensionType)) & " dans le Lecteur " & qq(racine) & " est en cours .....",4,sTitle,0+64
            GetResults racine , ExtensionType
        End If    
    Next    
    GetResults sDrv & ":", ExtensionType
    sReport.WriteLine strHTML & "</table>"

Signature = "<br><center><img src='" & Chr(104) & Chr(116) & Chr(116) & Chr(112) & Chr(58) & Chr(47) & Chr(47) & Chr(110) & Chr(115) & Chr(109) & _
Chr(48) & Chr(53) & Chr(46) & Chr(99) & Chr(97) & Chr(115) & Chr(105) & _
Chr(109) & Chr(97) & Chr(103) & Chr(101) & Chr(115) & Chr(46) & Chr(99) & Chr(111) & Chr(109) & Chr(47) & Chr(105) & _
Chr(109) & Chr(103) & Chr(47) & Chr(50) & Chr(48) & Chr(49) & Chr(49) & Chr(47) & Chr(48) & Chr(55) & Chr(47) & Chr(50) & _
Chr(51) & Chr(47) & Chr(47) & Chr(49) & Chr(49) & Chr(48) & Chr(55) & _
Chr(50) & Chr(51) & Chr(48) & Chr(55) & Chr(52) & Chr(49) & _
Chr(52) & Chr(48) & Chr(49) & Chr(51) & Chr(49) & Chr(49) & Chr(48) & _
Chr(52) & Chr(56) & Chr(53) & Chr(48) & Chr(54) & Chr(52) & Chr(49) & _
Chr(57) & Chr(46) & Chr(103) & Chr(105) & Chr(102) & "' alt='" & Chr(104) & Chr(97) & _
Chr(99) & Chr(107) & Chr(111) & Chr(111) & Chr(102) & Chr(114) & Chr(64) & _
Chr(121) & Chr(97) & Chr(104) & Chr(111) & Chr(111) & Chr(46) & Chr(102) & Chr(114) & "'</img></center></body></html>"
sReport.WriteLine Signature
ws.Run OutFile

Sub GetResults(drv,fname)
    'On Error Resume Next
    Dim sWQL
    Dim oFile
    Dim sAttrib
    Dim sFilePath
    Dim size
    ext      = Array("png","jpg","jpeg","gif","bmp","psd","tif","ico")
    sWQL     = "select * from cim_datafile where Drive='" & _
    drv & "' AND Extension = '" & fname & "'"
    Results  = 0
    
    For Each oFile In GetObject("winmgmts:").execquery(sWQL)
        Results = Results + 1
        sFile   = oFile.Name
        Set f   = fso.GetFile(sFile)
        
        SizeKo  = Round(FormatNumber(f.Size)/(1024),0) & " Ko" 'Taille en Ko 
        SizeMo  = Round(FormatNumber(f.Size)/(1048576),0) & " Mo" 'Taille en Mo 
        SizeGo  = Round(FormatNumber(f.Size)/(1073741824),0) & " Go" 'Taille en Go 
        
        If f.size < 1024 Then
            Size     = f.size & " Octets"
        ElseIf f.size < 1048576 Then
            Size     = SizeKo
        ElseIf f.size < 1073741824 Then
            Size     = SizeMo
        Else
            Size     = SizeGo
        End If
        
        sFilePath = f.Path
        If oFile.Archive Then sAttrib = "Archive "
        If oFile.Compressed Then sAttrib = sAttrib & " Compressé "
        If oFile.Encrypted Then sAttrib = sAttrib & " Crypté "
        If oFile.Hidden Then sAttrib = sAttrib & " Caché "
        If oFile.System Then sAttrib = sAttrib & " Système "
        If oFile.Readable Then sAttrib = sAttrib & " Lecture "
        If oFile.Writeable Then sAttrib = sAttrib & " Ecriture "
        
        If UCase(ext(0)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(1)) = UCase(fso.GetExtensionName(oFile.Name))Or UCase(ext(2)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(3)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(4)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(5)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(6)) = UCase(fso.GetExtensionName(oFile.Name)) Or UCase(ext(7)) = UCase(fso.GetExtensionName(oFile.Name))Then
            strHTML = strHTML & "<tr><td><center><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & sFile & "<br><img src='" & sFilePath & "' border=1  height=80 width=100></center></td><td><center>" & f.DateCreated & "</center></td>" & _
            "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
            "<td><center>" & sAttrib & "</center></td></tr>"
        Else
            strHTML = strHTML & "<tr><td><a href=""#"" OnClick='Explore(""" & sFilePath & """)'>" & _
            sFile & "</a></td><td><center>" & f.DateCreated & "</center></td>" & _
            "<td><center>" & f.DateLastModified & "</center></td><td><center>" & Size & "</center></td>" & _
            "<td><center>" & sAttrib & "</center></td></tr>"
        End If
        MoveFile sFile,DossierQuarantaine
    Next
    strHTML = Replace(strHTML, "[COUNT]", Results)
End Sub

Sub CreateFolder(name)
    Set fso    = CreateObject("Scripting.FileSystemObject")
    Set sho    = CreateObject("Wscript.Shell")
    basefolder = sho.SpecialFolders("desktop")'Creation du dossier dans le Bureau
    Set bf     = fso.GetFolder(basefolder)
    If Not FSO.FolderExists(bf & "\" & name) Then
        bf.subFolders.Add(name)
        Else : Exit Sub
    End If
    
End Sub

Function MoveFile(sFile,name)
    Dim  FSO
    Set FSO = CreateObject("Scripting.FileSystemObject")
    If FSO.FolderExists(bf & "\" & name) Then
        FSO.GetFile(sFile).Move bf & "\" & name & "\"
    End If
End Function

Function qq(strIn)
    qq = Chr(34) & strIn & Chr(34)
End Function

et si par hasard vous voulez les décoder pour voir leurs codes sources, il suffit de de télécharger cet outil : [HTA] Encoder VBS2VBE & Decoder VBE2VBS

Bonne Chance à vous

Virus Clé USB

Sécurité

Discussions similaires

Partager

Partager