Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Probleme d'ordinateur qui transforme les fichiers des clé usb en raccourcis!
Bonjour !
voici j'ai un petit soucis, j'ai un ordinateur doté d'un antivirus AVIRA ENTREPRISE(c'est à dire à jour) qui malgré cela continue à chaque fois qu'on connecte une clé USB transforme les fichiers en raccourcis.
Alors j'ai scanné plusieurs fois avec ledit antivirus mais rien, et j'ai dû étendre mes recherches jusqu'à scanner avec Malwarebytes, mais sans succès.
voilà pourquoi je me tourne vers vous afin d'élargir encore mes chances de venir à bout de ce problème.
Merci !!
Exécutez ce vbscript ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution et les éléments à démarrage automatique puis Poster le résultat généré par ce dernier dans la réponse
rapport de processus
BIOS COMPAQ - 5000414
Nom de l'ordinateur : PROFMATHS-07
Fabriquant: Hewlett-Packard
Modèle : HP dx2000 MT(DX875A)
Microsoft Windows XP Professional|C:\WINDOWS|\Device\Harddisk0\Partition1
Version 5.1.2600
Service Pack 3.0
Dossier de Windows: C:\WINDOWS
**************Liste des Processus en cours d'exécution le 13/01/2014 à 07:28:54 sur Le PC PROFMATHS-07 connecté en tant que professeur**************
********************************************************************************
Numéro PID = 0
Nom du Processus = System Idle Process
Ligne de Commande =
****************************************************************************************************
Numéro PID = 4
Nom du Processus = System
Ligne de Commande =
*********************************************************
Numéro PID = 604
Nom du Processus = smss.exe
Ligne de Commande =
*********************************************************
Numéro PID = 668
Nom du Processus = csrss.exe
Ligne de Commande =
*********************************************************
Numéro PID = 696
Nom du Processus = winlogon.exe
Ligne de Commande =
*********************************************************
Numéro PID = 740
Nom du Processus = services.exe
Ligne de Commande =
*********************************************************
Numéro PID = 752
Nom du Processus = lsass.exe
Ligne de Commande =
*********************************************************
Numéro PID = 956
Nom du Processus = svchost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1032
Nom du Processus = svchost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1152
Nom du Processus = svchost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1224
Nom du Processus = svchost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1288
Nom du Processus = svchost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1468
Nom du Processus = spoolsv.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1512
Nom du Processus = sched.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1584
Nom du Processus = svchost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1640
Nom du Processus = avguard.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1884
Nom du Processus = jqs.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1968
Nom du Processus = MDM.EXE
Ligne de Commande =
*********************************************************
Numéro PID = 308
Nom du Processus = wdfmgr.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1704
Nom du Processus = explorer.exe
Ligne de Commande = C:\WINDOWS\Explorer.EXE
*********************************************************
Numéro PID = 1104
Nom du Processus = jusched.exe
Ligne de Commande = "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
*********************************************************
Numéro PID = 1128
Nom du Processus = MPM.EXE
Ligne de Commande = "C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe"
*********************************************************
Numéro PID = 1136
Nom du Processus = DrgToDsc.exe
Ligne de Commande = "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"
*********************************************************
Numéro PID = 1252
Nom du Processus = avshadow.exe
Ligne de Commande =
*********************************************************
Numéro PID = 1188
Nom du Processus = avgnt.exe
Ligne de Commande = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
*********************************************************
Numéro PID = 1660
Nom du Processus = ctfmon.exe
Ligne de Commande = "C:\WINDOWS\system32\ctfmon.exe"
*********************************************************
Numéro PID = 1672
Nom du Processus = GoogleToolbarNotifier.exe
Ligne de Commande = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
*********************************************************
Numéro PID = 1808
Nom du Processus = wscript.exe
Ligne de Commande = "C:\WINDOWS\system32\wscript.exe" //B "C:\Documents and Settings\professeur\Application Data\skype.vbs"
*********************************************************
Numéro PID = 1956
Nom du Processus = WZQKPICK.EXE
Ligne de Commande = "C:\Program Files\WinZip\WZQKPICK.EXE"
*********************************************************
Numéro PID = 2168
Nom du Processus = soffice.exe
Ligne de Commande = "C:\Program Files\OpenOffice.org 3\program\soffice.exe" -quickstart
*********************************************************
Numéro PID = 2196
Nom du Processus = soffice.bin
Ligne de Commande = "C:\Program Files\OpenOffice.org 3\program\soffice.exe" "-quickstart" "-env:OOO_CWD=2C:\\Program Files\\OpenOffice.org 3\\program"
*********************************************************
Numéro PID = 2388
Nom du Processus = wmiprvse.exe
Ligne de Commande =
*********************************************************
Numéro PID = 2776
Nom du Processus = avmailc.exe
Ligne de Commande =
*********************************************************
Numéro PID = 2852
Nom du Processus = avwebgrd.exe
Ligne de Commande =
*********************************************************
Numéro PID = 3648
Nom du Processus = alg.exe
Ligne de Commande =
*********************************************************
Numéro PID = 4068
Nom du Processus = dllhost.exe
Ligne de Commande =
*********************************************************
Numéro PID = 3284
Nom du Processus = msdtc.exe
Ligne de Commande =
*********************************************************
Numéro PID = 280
Nom du Processus = wscript.exe
Ligne de Commande =
*********************************************************
Numéro PID = 3240
Nom du Processus = mbamscheduler.exe
Ligne de Commande =
*********************************************************
Numéro PID = 3100
Nom du Processus = mbamservice.exe
Ligne de Commande =
*********************************************************
Numéro PID = 2364
Nom du Processus = mbamgui.exe
Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
*********************************************************
Numéro PID = 1648
Nom du Processus = mbam.exe
Ligne de Commande = "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"
*********************************************************
Numéro PID = 344
Nom du Processus = rundll32.exe
Ligne de Commande = rundll32.exe newdev.dll,ClientSideInstall \\.\pipe\PNP_Device_Install_Pipe_0.{FC6256A6-44FF-46FE-B795-013154DC8839}
*********************************************************
Numéro PID = 3024
Nom du Processus = wscript.exe
Ligne de Commande = "C:\WINDOWS\System32\WScript.exe" "H:\ListProcessCmdLine.vbs"
*********************************************************
Numéro PID = 3828
Nom du Processus = wscript.exe
Ligne de Commande = "C:\WINDOWS\system32\wscript.exe" //B "C:\Documents and Settings\professeur\Application Data\skype.vbs"
*********************************************************
Il y a 45 Processus en cours d'exécution le 13/01/2014 à 07:28:54 sur Le PC PROFMATHS-07 connecté en tant que professeur
************************************************** Les éléments à démarrage automatique ****************************************
Nom: CTFMON.EXE
Description: CTFMON.EXE
Emplacement: HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\WINDOWS\system32\CTFMON.EXE
Utilisateur: AUTORITE NT\SYSTEM
*********************************************************
Nom: desktop
Description: desktop
Emplacement: Startup
Commande: desktop.ini
Utilisateur: LYCEE-BP\professeur
*********************************************************
Nom: OpenOffice.org 3.2
Description: OpenOffice.org 3.2
Emplacement: Startup
Commande: OpenOffice.org 3.2.lnk
Utilisateur: claude
*********************************************************
Nom: skype
Description: skype
Emplacement: Startup
Commande: skype.vbs
Utilisateur: claude
*********************************************************
Nom: CTFMON.EXE
Description: CTFMON.EXE
Emplacement: HKU\S-1-5-21-863471669-2145848503-4059566836-6265\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\WINDOWS\system32\ctfmon.exe
Utilisateur: claude
*********************************************************
Nom: swg
Description: swg
Emplacement: HKU\S-1-5-21-863471669-2145848503-4059566836-6265\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
Utilisateur: claude
*********************************************************
Nom: Google Update
Description: Google Update
Emplacement: HKU\S-1-5-21-863471669-2145848503-4059566836-6265\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Documents and Settings\professeur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
Utilisateur: claude
*********************************************************
Nom: updat
Description: updat
Emplacement: HKU\S-1-5-21-863471669-2145848503-4059566836-6265\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: wscript.exe //B "C:\DOCUME~1\PROFES~2\LOCALS~1\Temp\updat.vbs"
Utilisateur: claude
*********************************************************
Nom: skype
Description: skype
Emplacement: HKU\S-1-5-21-863471669-2145848503-4059566836-6265\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: wscript.exe //B "C:\Documents and Settings\professeur\Application Data\skype.vbs"
Utilisateur: claude
*********************************************************
Nom: CTFMON.EXE
Description: CTFMON.EXE
Emplacement: HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\WINDOWS\system32\CTFMON.EXE
Utilisateur: .DEFAULT
*********************************************************
Nom: desktop
Description: desktop
Emplacement: Common Startup
Commande: desktop.ini
Utilisateur: All Users
*********************************************************
Nom: WinZip Quick Pick
Description: WinZip Quick Pick
Emplacement: Common Startup
Commande: C:\PROGRA~1\WinZip\WZQKPICK.EXE
Utilisateur: All Users
*********************************************************
Nom: SunJavaUpdateSched
Description: SunJavaUpdateSched
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
Utilisateur: All Users
*********************************************************
Nom: HPWS myPrintMileage Agent
Description: HPWS myPrintMileage Agent
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
Utilisateur: All Users
*********************************************************
Nom: RoxioDragToDisc
Description: RoxioDragToDisc
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"
Utilisateur: All Users
*********************************************************
Nom: FinishOptions
Description: FinishOptions
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: C:\DOCUME~1\MATHS\LOCALS~1\Temp\hpbinxst.exe
Utilisateur: All Users
*********************************************************
Nom: Adobe ARM
Description: Adobe ARM
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
Utilisateur: All Users
*********************************************************
Nom: avgnt
Description: avgnt
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
Utilisateur: All Users
*********************************************************
Nom: UserFaultCheck
Description: UserFaultCheck
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: %systemroot%\system32\dumprep 0 -u
Utilisateur: All Users
*********************************************************
Nom: skype
Description: skype
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: wscript.exe //B "C:\DOCUME~1\FRANC~1.ROU\LOCALS~1\Temp\skype.vbs"
Utilisateur: All Users
*********************************************************
D'après le Log on voit bien que vous êtes infecté par un virus de type VBS
Donc, je suis entrain de coder un script pour éditer ces virus et de me l'envoyer, pour étudier ses comportements,donc juste patientez un peu*********************************************************
Numéro PID = 1808
Nom du Processus = wscript.exe
Ligne de Commande = "C:\WINDOWS\system32\wscript.exe" //B "C:\Documents and Settings\professeur\Application Data\skype.vbs"
*********************************************************
Numéro PID = 3828
Nom du Processus = wscript.exe
Ligne de Commande = "C:\WINDOWS\system32\wscript.exe" //B "C:\Documents and Settings\professeur\Application Data\skype.vbs"
*********************************************************
Nom: updat
Description: updat
Emplacement: HKU\S-1-5-21-863471669-2145848503-4059566836-6265\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: wscript.exe //B "C:\DOCUME~1\PROFES~2\LOCALS~1\Temp\updat.vbs"
Utilisateur: claude
*********************************************************
Nom: skype
Description: skype
Emplacement: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: wscript.exe //B "C:\DOCUME~1\FRANC~1.ROU\LOCALS~1\Temp\skype.vbs"
Utilisateur: All Users
*********************************************************
Voila, j'ai terminé ce script, Recherche des fichiers de type VBS, donc vous pouvez copier et coller ce code dans votre notepad et enregistrer-le sous le nom par exemple: Search.vbs puis exécutez-le par double clique
Alors, ce dernier va chercher tous les fichiers de type VBS et puis il crée une archive compressée avec Winrar et protégé par mot de passe, que vous deviez me l'envoyer vers ce site : http://www.cjoint.com/ pour l'analyse.
Remarque : Ce script nécessite que Winrar doit être installé !
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114Option Explicit Dim fso,ws,MyDoc,d,bf,dc,racine,ExtensionType,Password,Protected_Destination Dim arrResult,sDrv,sFName,sFile,Source,Destination,oExec,Temp,Voice Set fso = CreateObject("Scripting.FileSystemObject") Set ws = CreateObject("Wscript.Shell") Temp = ws.ExpandEnvironmentStrings("%Temp%") Set Voice = CreateObject("SAPI.SpVoice") MyDoc=ws.SpecialFolders("MyDocuments")'Dossier Mes Documents Set bf = fso.GetFolder(MyDoc) ExtensionType = "VBS" Source = MyDoc & "\" & ExtensionType Destination = MyDoc & "\" & ExtensionType & ".rar" 'Nom de l'archive normale sans protection par mot de passe Protected_Destination = MyDoc & "\" & ExtensionType & "_Protected.rar" 'Nom de l'archive protégé par mot de passe Password = "123456" '************************************************************************************************** 'Appel au programme principal Call MonProgramme() '************************************************************************************************** Sub MonProgramme() Dim Titre Titre = "Recherche des fichiers de type VBS © Hackoo © 2014" Call CreateFolder(ExtensionType) ws.Popup Titre + Vbcrlf + "Veuillez SVP Patienter un peu . . .","5",Titre,64 Set dc = fso.Drives For Each d in dc If d.IsReady Then racine = d.Driveletter & ":" GetResults racine,ExtensionType End If Next Call Compression(Source,Protected_Destination,Password)'L'archive est protégé par un mot de passe MsgBox "Le Scan est Terminé !" & vbcrlf & "Envoyer le fichier " & DblQuote(Protected_Destination) &_ " vers le site "+ DblQuote("http://www.cjoint.com/"),64,"Le Scan est Terminé ! " + Titre ws.run "Explorer /n,/select," & Protected_Destination wscript.Sleep 5000 ws.run "http://www.cjoint.com/" End Sub '********************************************************************************************** 'Fonction pour ajouter les doubles quotes dans une variable Function DblQuote(Str) DblQuote = Chr(34) & Str & Chr(34) End Function '********************************************************************************************** Sub GetResults(drv,fname) On Error Resume Next Dim sWQL,oFile,Results sWQL = "select * from cim_datafile where Drive='" & _ drv & "' AND Extension = '" & fname & "'" For Each oFile In GetObject("winmgmts:").execquery(sWQL) sFile = oFile.Name CopyFile sFile,ExtensionType Next End Sub '********************************************************************************** Sub CreateFolder(name) Set fso = CreateObject("Scripting.FileSystemObject") If Not FSO.FolderExists(bf & "\" & name) Then bf.subFolders.Add(name) Else : Exit Sub End If End Sub '********************************************************************************** Function CopyFile(sFile,name) Dim fso,ws,MyDoc,bf Set FSO = CreateObject("Scripting.FileSystemObject") Set ws = CreateObject("Wscript.Shell") MyDoc = ws.SpecialFolders("MyDocuments")'Dossier Mes Documents Set bf = fso.GetFolder(MyDoc) If FSO.FolderExists(bf & "\" & name) Then FSO.GetFile(sFile).Copy bf & "\" & name & "\" & FSO.GetFileName(sFile),True Else MsgBox "erreur du chemin",16,"erreur du chemin" End If End Function '********************************************************************************** Function Compression(Source,Destination,Password) Dim oFSO,oShell,aScriptFilename,sScriptFilename Dim sWorkingDirectory,ProgramFiles,sWinZipLocation Set oFSO = WScript.CreateObject("Scripting.FileSystemObject") Set oShell = WScript.CreateObject("Wscript.Shell") '--------Trouver le répertoire de travail-------- aScriptFilename = Split(Wscript.ScriptFullName, "\") sScriptFilename = aScriptFileName(Ubound(aScriptFilename)) sWorkingDirectory = Replace(Wscript.ScriptFullName, sScriptFilename, "") '-------------------------------------- ProgramFiles = oShell.ExpandEnvironmentStrings("%ProgramFiles%") '-------S'assurer que nous pouvons trouver WinRAR.exe------ If oFSO.FileExists(sWorkingDirectory & " " & "Winrar.EXE") Then sWinZipLocation = "" ElseIf oFSO.FileExists(ProgramFiles &"\Winrar\Winrar.EXE") Then sWinZipLocation = ProgramFiles &"\Winrar\" Else Compression = "Erreur: Impossible de trouver Winrar.EXE" MsgBox Compression,16,Compression Exit Function End If '-------------------------------------- 'La Commande A : Signifie ==> ajouter à une archive 'Le Commutateur -IBCK ==> Signifie : Lancer WinRAR en arrière-plan If Password = "" Then oShell.Run """" & sWinZipLocation & "winrar.exe"" M -IBCK """ & _ Destination & """ """ & Source & """",0,True Else 'Le Commutateur -P<mot_de_passe> : Pour utiliser un mot de passe oShell.Run """" & sWinZipLocation & "winrar.exe"" M -IBCK -hp"&Password&" """ & _ Destination & """ """ & Source & """",0,True End If If oFSO.FileExists(Destination) Then Compression = 1 Else Compression = "Erreur : Création d'archives a échoué !" MsgBox Compression,16,Compression End If End Function
le scrypt ne passe pas , il affiche une erreur !!
voir piece jointe
Essayer de télécharger ceci : http://cjoint.com/14jv/DAomG5lt7Tm.htm
le scrypt ne passe pas , il affiche une erreur !!
voir piece jointe
Envoyé par tonton Amé
Je ne sais pas pourquoi ça ne marche pas chez vous ?car chez moi marche 5/5
sur Windows 7 32 bits
Avez-vous installer Winrar ou non ?
c'est quoi votre éditeur de script ?
si j'ai winrar installé depuis c'est mon logiciel de compression/decompression
Vous pouvez tester ce Vbscript : pour chercher les mots clés : skype.vbs et updat.vbs puis poster son résultat
* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
puis
* Cliquer sur Scan
* Attendre la fin du scan. A ce stade aucune modification n'a été apportée au système
* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.
* Dans l'onglet Registre, décocher les éventuels faux positifs.
* Cliquer sur le bouton Suppression.
A l'inverse du bouton Scan, ce bouton supprime les infections de type rogue et modifie donc le système.
* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.
* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
puis
* Cliquer sur Scan
* Attendre la fin du scan. A ce stade aucune modification n'a été apportée au système
* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.
* Dans l'onglet Registre, décocher les éventuels faux positifs.
* Cliquer sur le bouton Suppression.
A l'inverse du bouton Scan, ce bouton supprime les infections de type rogue et modifie donc le système.
* Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton Rapport.
Il peut être utile pour la personne vous aidant.
Est-ce que ce RogueKiller est spécialement conçu pour ce type de virus qui rend des fichiers des raccourcis?
Merci
Responsable Téléchargements
Oui, avec le bouton Rac RAZ
d'accord merci!!
Responsable Téléchargements
Résolu
J'avais le même problème et j'ai essayé le logiciel USBFix et vraiment je le recommande vivement puisqu'il permet de détecter et supprimer entièrement ce genre de virus qui transforment les fichiers en raccourci!!
Responsable Téléchargements
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager