Discussion :

[hackoofr]

et en gros que fait il ce virus?

Ce Virus est très malicieux (environ 900 Lignes de code).
Il présente plusieurs types d'attaques de tout genre :
(Downloader,Trojan,Backdoor,RootKit,Killer Antivirus,Désactivation UAC,Démarrage avec IE et Google Chrome,Propagation par USB etc......) et même du self-defense.
Franchement c'est un virus très coriace et casse tête
Voila en gros et sans le code les principaux fonctions de ce virus :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
'---------------------------------------------------------------------------
' ByPass wscript=1
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
'  Var . Decl
'---------------------------------------------------------------------------

'--------------------------------------------------------------------------- 
' CMD enable
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
' UAC = 0 + REG enable
'---------------------------------------------------------------------------
  
'---------------------------------------------------------------------------
' LoL
'---------------------------------------------------------------------------
'
'---------------------------------------------------------------------------
' Proc Contr
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
' 0wner
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
' Install
'---------------------------------------------------------------------------

'------------------------------------------------------------------
' Spr34dinG
'------------------------------------------------------------------
'
'---------------------------------------------------------------------------
' W0r/\./\ T3$T3r
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' Ro0otKit
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' Self Defense
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
' B4ckd00r
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
' OLD CLN + FDD Stop
'---------------------------------------------------------------------------

'---------------------------------------------------------------------------
' Profiles 0
'--------------------------------------------------------------------------- 

'---------------------------------------------------------------------------
'IE
'---------------------------------------------------------------------------
'Google Chrome
'--------------------------------------------------------------------------
' Restaur 0 xp
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' \/\/0Rm_._S4t/\N
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' P0st Inf0s & Defender
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' AV 0
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' system . x
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' explorer . x
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' update . jpg
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' Detect. + heads
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' Usb f()
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' Usb spread Meth
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' LNK 
'---------------------------------------------------------------------------
'---------------------------------------------------------------------------
' +H Attr
'---------------------------------------------------------------------------

[hackoofr]

Voila j'ai codé un petit script pour tuer les processus douteux "Tueur de Processus"
Donc vous pouvez copier et coller ce code et enregistrer-le sous le nom : Process Killer.vbs
Exécuter-le et poster son rapport

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
Option Explicit
Dim Ws,fso,LogFile,Command,Execution,MyDate
Const Titre = "Tuer les processus KillProcess.vbs © Hackoo © 2013" 
Set Ws = CreateObject("Wscript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
LogFile = Left(Wscript.ScriptFullName,InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then fso.DeleteFile LogFile
Kill("systemprotection.exe")
Kill("Cmd.exe")
WScript.sleep 2000
Formater(LogFile)
MsgBox Formater(LogFile),64,Titre
ws.run LogFile,1,False
Kill("wscript.exe")

Sub Kill(Process)
    MyDate = "cmd /c echo %date% ^@ %time%  >> "&LogFile&""
    Command = "cmd /c Taskkill /F /IM "&Process&" >> "&LogFile&""
    Execution = Ws.Run(MyDate,0,True)
    Execution = Ws.Run(Command,0,True)
End Sub

'Fonction pour formater et remplacer les caractères spéciaux unicode dans le LogFile
Function Formater(File)
    Dim fso,fRead,fWrite,Text
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set fRead = fso.OpenTextFile(File,1)
    Text = fRead.ReadAll
    fRead.Close
    Set fWrite = fso.OpenTextFile(File,2,True)
    Text = Replace(Text,"‚","é")
    Text = Replace(Text,"ÿ"," ")
    Text = Replace(Text,"ˆ","ê")
    Text = Replace(Text,"‡","ç")
    Text = Replace(Text,"“","ô")
    Text = Replace(Text,"…","à")
    Text = Replace(Text,"Š","è")
    Text = Replace(Text,"ƒ","â")
    Text = Replace(Text,"?"," ")
    fWrite.WriteLine Text
    Formater = Text
End Function

[ledouxxx]

Voila j'ai codé un petit script pour tuer les processus douteux "Tueur de Processus"
Donc vous pouvez copier et coller ce code et enregistrer-le sous le nom : Process Killer.vbs
Exécuter-le et poster son rapport

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
Option Explicit
Dim Ws,fso,LogFile,Command,Execution,MyDate
Const Titre = "Tuer les processus KillProcess.vbs © Hackoo © 2013" 
Set Ws = CreateObject("Wscript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
LogFile = Left(Wscript.ScriptFullName,InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then fso.DeleteFile LogFile
Kill("systemprotection.exe")
Kill("Cmd.exe")
WScript.sleep 2000
Formater(LogFile)
MsgBox Formater(LogFile),64,Titre
ws.run LogFile,1,False
Kill("wscript.exe")

Sub Kill(Process)
    MyDate = "cmd /c echo %date% ^@ %time%  >> "&LogFile&""
    Command = "cmd /c Taskkill /F /IM "&Process&" >> "&LogFile&""
    Execution = Ws.Run(MyDate,0,True)
    Execution = Ws.Run(Command,0,True)
End Sub

'Fonction pour formater et remplacer les caractères spéciaux unicode dans le LogFile
Function Formater(File)
    Dim fso,fRead,fWrite,Text
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set fRead = fso.OpenTextFile(File,1)
    Text = fRead.ReadAll
    fRead.Close
    Set fWrite = fso.OpenTextFile(File,2,True)
    Text = Replace(Text,"‚","é")
    Text = Replace(Text,"ÿ"," ")
    Text = Replace(Text,"ˆ","ê")
    Text = Replace(Text,"‡","ç")
    Text = Replace(Text,"“","ô")
    Text = Replace(Text,"…","à")
    Text = Replace(Text,"Š","è")
    Text = Replace(Text,"ƒ","â")
    Text = Replace(Text,"?"," ")
    fWrite.WriteLine Text
    Formater = Text
End Function

Salut hackoofr.
Merci pour tout ce travail qui a permis d'en savoir plus sur mon problème, et pour tout ce que vous entreprennez pour la resolution.
Après exécution du nouveau vbscript, j'obtiens le messege d'erreur suivant:

Script: C:\....\Process Killer.vbs
Line: 27
Char: 5
Error: File not found
Code: 800A0035
Source: Microsoft VBScript runtime error.

[hackoofr]

Salut hackoofr.
Merci pour tout ce travail qui a permis d'en savoir plus sur mon problème, et pour tout ce que vous entreprennez pour la resolution.
Après exécution du nouveau vbscript, j'obtiens le messege d'erreur suivant:
Script: C:\....\Process Killer.vbs
Line: 27
Char: 5
Error: File not found
Code: 800A0035
Source: Microsoft VBScript runtime error.

tu as enregistré le code dans quel chemin ? peut-être un problème de droits que le virus a du le modifier.
Chez-moi marche 5/5
essaies de copier et coller ce code et enregistrer-le sous le nom c:\KillProcess.vbs et (sans espace dans le nom) ou bien dans le dossier temporaire.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Option Explicit
Dim Ws,fso,LogFile,Command,Execution,MyDate
Const Titre = "Tuer les processus KillProcess.vbs © Hackoo © 2013" 
Set Ws = CreateObject("Wscript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
LogFile = Left(Wscript.ScriptFullName,InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then fso.DeleteFile LogFile
Kill("systemprotection.exe")
Kill("Cmd.exe")
WScript.sleep 5000
Formater(LogFile)
MsgBox Formater(LogFile),64,Titre
ws.run LogFile,1,False

Sub Kill(Process)
	MyDate = "cmd /c echo %date% ^@ %time%  >> "&LogFile&""
	Command = "cmd /c Taskkill /F /IM "&Process&" >> "&LogFile&""
	Execution = Ws.Run(MyDate,0,True)
	Execution = Ws.Run(Command,0,True)
End Sub

'Fonction pour formater et remplacer les caractères spéciaux unicode dans le LogFile
Function Formater(File)
	Dim fso,fRead,fWrite,Text
	Set fso = CreateObject("Scripting.FileSystemObject")
	Set fRead = fso.OpenTextFile(File,1)
	Text = fRead.ReadAll
	fRead.Close
	Set fWrite = fso.OpenTextFile(File,2,True)
	Text = Replace(Text,"‚","é")
	Text = Replace(Text,"ÿ"," ")
	Text = Replace(Text,"ˆ","ê")
	Text = Replace(Text,"‡","ç")
	Text = Replace(Text,"“","ô")
	Text = Replace(Text,"…","à")
	Text = Replace(Text,"Š","è")
	Text = Replace(Text,"ƒ","â")
	Text = Replace(Text,"?"," ")
	fWrite.WriteLine Text
	Formater = Text
End Function

[ledouxxx]

tu as enregistré le code dans quel chemin ? peut-être un problème de droits que le virus a du le modifier.
Chez-moi marche 5/5
essaies de copier et coller ce code et enregistrer-le sous le nom c:\KillProcess.vbs et (sans espace dans le nom) ou bien dans le dossier temporaire.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Option Explicit
Dim Ws,fso,LogFile,Command,Execution,MyDate
Const Titre = "Tuer les processus KillProcess.vbs © Hackoo © 2013" 
Set Ws = CreateObject("Wscript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
LogFile = Left(Wscript.ScriptFullName,InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then fso.DeleteFile LogFile
Kill("systemprotection.exe")
Kill("Cmd.exe")
WScript.sleep 5000
Formater(LogFile)
MsgBox Formater(LogFile),64,Titre
ws.run LogFile,1,False

Sub Kill(Process)
	MyDate = "cmd /c echo %date% ^@ %time%  >> "&LogFile&""
	Command = "cmd /c Taskkill /F /IM "&Process&" >> "&LogFile&""
	Execution = Ws.Run(MyDate,0,True)
	Execution = Ws.Run(Command,0,True)
End Sub

'Fonction pour formater et remplacer les caractères spéciaux unicode dans le LogFile
Function Formater(File)
	Dim fso,fRead,fWrite,Text
	Set fso = CreateObject("Scripting.FileSystemObject")
	Set fRead = fso.OpenTextFile(File,1)
	Text = fRead.ReadAll
	fRead.Close
	Set fWrite = fso.OpenTextFile(File,2,True)
	Text = Replace(Text,"‚","é")
	Text = Replace(Text,"ÿ"," ")
	Text = Replace(Text,"ˆ","ê")
	Text = Replace(Text,"‡","ç")
	Text = Replace(Text,"“","ô")
	Text = Replace(Text,"…","à")
	Text = Replace(Text,"Š","è")
	Text = Replace(Text,"ƒ","â")
	Text = Replace(Text,"?"," ")
	fWrite.WriteLine Text
	Formater = Text
End Function

Salut Hackoofr
je viens de reprendre le nouveau code et j'ai le meme message d'erreur, mais cette fois ci
Line: 26
Char: 2

j'ai copié le fichier sur le bureau, dans le repertoire C: et meme dans le dossier temporaire et j'ai le meme resultat.

[hackoofr]

Votre problème est que votre UAC est activé !
Bon essayez maintenant ce script modifié :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
Option Explicit
Dim Ws,fso,Temp,LogFile,Command,Execution,MyDate
Const Titre = "Tuer les processus KillProcess.vbs © Hackoo © 2013" 
Set Ws = CreateObject("Wscript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
Temp = WS.ExpandEnvironmentStrings("%Temp%")& "\"
LogFile = Temp & "KillProcess.txt"
MsgBox Logfile
If fso.FileExists(LogFile) Then fso.DeleteFile LogFile
Kill("systemprotection.exe")
Kill("Cmd.exe")
WScript.sleep 5000
Formater(LogFile)
MsgBox Formater(LogFile),64,Titre
ws.run LogFile,1,False
RestaurerBDR()

Sub Kill(Process)
	MyDate = "cmd /c echo %date% ^@ %time%  >> "&LogFile&""
	Command = "cmd /c Taskkill /F /IM "&Process&" >> "&LogFile&""
	Execution = Ws.Run(MyDate,0,True)
	Execution = Ws.Run(Command,0,True)
End Sub

'Fonction pour formater et remplacer les caractères spéciaux unicode dans le LogFile
Function Formater(File)
	Dim fso,fRead,fWrite,Text
	Set fso = CreateObject("Scripting.FileSystemObject")
	Set fRead = fso.OpenTextFile(File,1)
	Text = fRead.ReadAll
	fRead.Close
	Set fWrite = fso.OpenTextFile(File,2,True)
	Text = Replace(Text,"‚","é")
	Text = Replace(Text,"ÿ"," ")
	Text = Replace(Text,"ˆ","ê")
	Text = Replace(Text,"‡","ç")
	Text = Replace(Text,"“","ô")
	Text = Replace(Text,"…","à")
	Text = Replace(Text,"Š","è")
	Text = Replace(Text,"ƒ","â")
	Text = Replace(Text,"?"," ")
	fWrite.WriteLine Text
	Formater = Text
End Function

Sub RestaurerBDR()
Dim Titre,Ws,Restauration
Titre = "Restauration de la base de Registre"
Set Ws = CreateObject("wscript.shell")
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\  /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\  /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg delete  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  /v CheckedValue /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\  /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\  /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\  /v Type /t REG_SZ /d Group /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\  /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\  /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\  /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\  /v DisableTaskMgr /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
    Restauration=Ws.Run("cmd /C start explorer.exe",0,TRUE)
    MsgBox "Restauration de la base de registre est Terminé avec Sucées !",64,Titre
End Sub

[ledouxxx]

Votre problème est que votre UAC est activé !
Bon essayez maintenant ce script modifié :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
Option Explicit
Dim Ws,fso,Temp,LogFile,Command,Execution,MyDate
Const Titre = "Tuer les processus KillProcess.vbs © Hackoo © 2013" 
Set Ws = CreateObject("Wscript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")
Temp = WS.ExpandEnvironmentStrings("%Temp%")& "\"
LogFile = Temp & "KillProcess.txt"
MsgBox Logfile
If fso.FileExists(LogFile) Then fso.DeleteFile LogFile
Kill("systemprotection.exe")
Kill("Cmd.exe")
WScript.sleep 5000
Formater(LogFile)
MsgBox Formater(LogFile),64,Titre
ws.run LogFile,1,False
RestaurerBDR()

Sub Kill(Process)
	MyDate = "cmd /c echo %date% ^@ %time%  >> "&LogFile&""
	Command = "cmd /c Taskkill /F /IM "&Process&" >> "&LogFile&""
	Execution = Ws.Run(MyDate,0,True)
	Execution = Ws.Run(Command,0,True)
End Sub

'Fonction pour formater et remplacer les caractères spéciaux unicode dans le LogFile
Function Formater(File)
	Dim fso,fRead,fWrite,Text
	Set fso = CreateObject("Scripting.FileSystemObject")
	Set fRead = fso.OpenTextFile(File,1)
	Text = fRead.ReadAll
	fRead.Close
	Set fWrite = fso.OpenTextFile(File,2,True)
	Text = Replace(Text,"‚","é")
	Text = Replace(Text,"ÿ"," ")
	Text = Replace(Text,"ˆ","ê")
	Text = Replace(Text,"‡","ç")
	Text = Replace(Text,"“","ô")
	Text = Replace(Text,"…","à")
	Text = Replace(Text,"Š","è")
	Text = Replace(Text,"ƒ","â")
	Text = Replace(Text,"?"," ")
	fWrite.WriteLine Text
	Formater = Text
End Function

Sub RestaurerBDR()
Dim Titre,Ws,Restauration
Titre = "Restauration de la base de Registre"
Set Ws = CreateObject("wscript.shell")
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\  /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\  /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\  /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg delete  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  /v CheckedValue /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\  /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\  /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\  /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\  /v Type /t REG_SZ /d Group /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\  /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\  /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\  /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C reg add  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\  /v DisableTaskMgr /t REG_DWORD /d 0 /f",0,TRUE)
    Restauration=Ws.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
    Restauration=Ws.Run("cmd /C start explorer.exe",0,TRUE)
    MsgBox "Restauration de la base de registre est Terminé avec Sucées !",64,Titre
End Sub

Salut hackoofr.
je pense qu'avec ce nouveau code, soit nous avons resolu le problème, soit il reste très peu à faire. je veux commencer par dire un grand merci à tous les membres de ce forum et à toi particulièrement, pour ce que vous avez hait pourmoi et pour tous les autres qui ont des problèmes avec leur ordi.

Maintenant au demarrage de la machine, la fenètre qui demandait mon autorisation à modifier mon appareil n'apparait plus, les fichiers CPBA.bat, auc.bat, admin.vbe et tp.vbe ne se forment plus dans la dossier temporaire. en gros, tout ce qui se passait de visible ne se passe plus.
maintenant, j'ai plutôt un message du Windows script host qui dit << Can not find script file "C:\kernel\r00t3r">>. j'attends juste que tu me dise que tout va bien et je dirai un grand hourahhhhhh

[hackoofr]

Oui, on a fait un grand pas mais il reste des choses a nettoyer, mais tu dois être plus rapide dans ta réponse
Essaies avec ce logiciel
UnHackMe est le meilleur logiciel destiné à l’élimination de programmes malveillants. Ce programme permet d’identifier et d’éliminer tous types de programmes malveillants et de suivre instantanément le code indésirable dans le système. UnHackMe a été initialement créé comme un logiciel anti-rootkit, mais élimine en fait tous les types de logiciels malveillants tels que les redirections de recherche Google, les rootkits, les chevaux de Troie, les backdoors, les virus, les vers, les logiciels commerciaux, les logiciels espions, les keyloggers, les programmes indésirables, etc.

Et faites vite car il vous reste que 7 heures depuis que je rédige ce message , afin d'obtenir la version complète

[ledouxxx]

Oui, on a fait un grand pas mais il reste des choses a nettoyer, mais tu dois être plus rapide dans ta réponse
Essaies avec ce logiciel
UnHackMe est le meilleur logiciel destiné à l’élimination de programmes malveillants. Ce programme permet d’identifier et d’éliminer tous types de programmes malveillants et de suivre instantanément le code indésirable dans le système. UnHackMe a été initialement créé comme un logiciel anti-rootkit, mais élimine en fait tous les types de logiciels malveillants tels que les redirections de recherche Google, les rootkits, les chevaux de Troie, les backdoors, les virus, les vers, les logiciels commerciaux, les logiciels espions, les keyloggers, les programmes indésirables, etc.

Et faites vite car il vous reste que 7 heures depuis que je rédige ce message , afin d'obtenir la version complète

Salut Hackoofr.
je ne suis certainement pas arrivé à l'heure pour avoir la version illimitée de ce logiciel mais j'ai quand même eu la version d'éssai que j'ai utilisé et qui m'a permis de supprimer certains trucs. néamoins, le message d'erreur précedent est toujours là. désolé pour la durée avant reponse, je suis plutot sédentaire ces derniers temps et quand je me déplace, je n'ai pas d'accès internet. encore désolé.
merci

[hackoofr]

J'ai codé un nouveau script qui s’appelle : Find&kill_WScript.vbs
Alors ce script peut tuer toutes les instances de wscript.exe qui sont en cours d'exécution sauf le mien bien sûr, disons un "Killer sélectif"
puis à la fin il te donne un fichier Log qui contient les chemins des scripts douteux, voir infectés. Alors tu peux poster le contenu de ce fichier
Et ceci dans un cadre général pour toi et pour les autres membres.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Titre = " Processus "& qq("Wscript.exe") &" en cours d'exécution "
Set fso = CreateObject("Scripting.FileSystemObject")
Set sho = CreateObject( "Wscript.Shell" )
NomFichierLog="Processus VBScript.txt"
temp = sho.ExpandEnvironmentStrings("%temp%")
PathNomFichierLog = temp & "\" & NomFichierLog
Set OutPut = fso.CreateTextFile(temp & "\" & NomFichierLog,1)
count=0 
strComputer = "."
Call FindAndKillScript()
Call Explorer(PathNomFichierLog)
'***************************************************************************************************
Function Explorer(File)
	Set ws=CreateObject("wscript.shell")
	ws.run "Explorer "& File & "\",1,True
end Function
'***************************************************************************************************
Sub FindAndKillScript()
	Set colItems = GetObject("winmgmts:").ExecQuery("Select * from Win32_Process " _
	& "Where Name like '%wscript.exe%' AND NOT commandline like '%" & wsh.scriptname & "%'",,48)
	For Each objItem in colItems
		MsgBox "Arrêter ce script : " & objItem.CommandLine,48,Titre
		count= count + 1
		'msgbox Mid(objItem.CommandLine,InStr(objItem.CommandLine,""" """) + 2),64,Titre
		OutPut.WriteLine Mid(objItem.CommandLine,InStr(objItem.CommandLine,""" """) + 2)
		objItem.Terminate(0)
	Next
OutPut.WriteLine
OutPut.WriteLine count & Titre & "ont été arrêtés"
End Sub
'***************************************************************************************************
Function qq(strIn)
	qq = Chr(34) & strIn & Chr(34)
End Function
'***************************************************************************************************