Votre question
Fermé

Disques amovibles infectés par le virus VBS:Agent-AXN [Trj] créant des raccourcis

Tags :
  • VBS:Agent-AXN
  • Virus
  • Agent
  • PC
  • Raccourcis
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
26 Décembre 2013 19:00:20

Bonjour à vous,

Mon PC est infecté par le virus VBS:Agent-AXN [Trj] que j'ai attrapé en connectant ma clef USB sur un ordinateur de la bibliothèque de mon université. Depuis, d'autres périphériques sont infectés (une autre clef usb, une carte SD, un disque dur externe).

Cela a pour principale conséquence de transformer les fichiers présents sur ces supports en raccourcis, et accessoirement de faire gueuler avast.

J'en appelle alors à votre expertise afin, je l'espère, de résoudre ce problème.

Bien cordialement,

Flo

Autres pages sur : disques amovibles infectes virus vbs agent axn trj creant raccourcis

a c 1009 8 Sécurité
26 Décembre 2013 19:54:42

Bonjour,


Un peu de lecture sur cette Infection vbs/vbe autorun

IIl faudra donc avertir le responsable informatique de la bibliothèque de l'université, pour qu'il fasse le nécessaire pour désinfecter les PCs avant d'infecter toute l'université.

Nous allons commencer par établir un diagnostic pour cibler les éléments néfastes avec ces outils :

---------------------------------------------------------------------------------------------

FRST :

/!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, ....)
  • Double-clique sur UsbFix sur ton Bureau

    • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
      Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse

    • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
    • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
      Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche, valide par OK les différents messages d'informations
    • La recherche se lance, patiente le temps de l'analyse
    • Le rapport UsbFix.txt s'affiche. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

      /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.


  • Tutoriel d'utilisation USBFix en images

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    @+
    Score
    0
    26 Décembre 2013 22:06:48

    Bonsoir,

    Voici les rapports FRST:
    http://up.security-x.fr/file.php?h=R14a9e6bd9b29a41e946...
    http://up.security-x.fr/file.php?h=R4fb25183ffffc7e277f...

    Par contre, le rapport Recherche d'USBFix n'est pas complet car à plusieurs reprises la recherche a bloqué ("ne répond pas") à 16% et 26%. Voici le rapport de ma 3e tentative:

    Spoiler
    ############################## | UsbFix V 7.155 | [Recherche]

    Utilisateur: m0o (Administrateur) # M0O-PC
    Mis à jour le 16/12/2013 par El Desaparecido - Team SosVirus
    Lancé à 21:43:41 | 26/12/2013

    Site Web : http://www.usbfix.net
    Forum : http://www.sosvirus.net/
    Upload Malware : http://www.sosvirus.net/upload_malware.php
    Contact : http://www.usbfix.net/contact/

    PC: LENOVO (INVALID)
    CPU: Intel(R) Celeron(R) CPU 887 @ 1.50GHz
    RAM -> [Total : 3963 | Free : 2381]
    Bios: LENOVO
    Boot: Normal boot

    OS: Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) Service Pack 1
    WB: Windows Internet Explorer : 11.0.9600.16476
    WB: Google Chrome : 31.0.1650.63
    WB: Mozilla Firefox : 26.0

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: avast! Antivirus [Enabled | Updated]
    AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
    AS: Malwarebytes' Anti-Malware : 1.75.0001
    FW: Windows FireWall Service [Enabled]

    C:\ (%systemdrive%) -> Disque fixe # 107 Go (10 Go libre(s) - 10%) [] # NTFS
    D:\ -> Disque fixe # 12 Go (4 Go libre(s) - 34%) [Documents] # NTFS
    E:\ -> Disque fixe # 466 Go (68 Go libre(s) - 15%) [Verbatim] # FAT32
    F:\ -> Disque amovible # 15 Go (14 Go libre(s) - 97%) [EASY KEY] # FAT32
    G:\ -> Disque amovible # 14 Go (564 Mo libre(s) - 4%) [KINGSTON] # FAT32
    H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 92%) [] # FAT32

    ################## | Processus Actif |

    C:\Windows\system32\csrss.exe (ID: 604 |ParentID: 448)
    C:\Windows\system32\wininit.exe (ID: 692 |ParentID: 448)
    C:\Windows\system32\csrss.exe (ID: 704 |ParentID: 684)
    C:\Windows\system32\services.exe (ID: 752 |ParentID: 692)
    C:\Windows\system32\lsass.exe (ID: 760 |ParentID: 692)
    C:\Windows\system32\lsm.exe (ID: 768 |ParentID: 692)
    C:\Windows\system32\winlogon.exe (ID: 792 |ParentID: 684)
    C:\Windows\system32\svchost.exe (ID: 916 |ParentID: 752)
    C:\Windows\system32\svchost.exe (ID: 1012 |ParentID: 752)
    C:\Windows\System32\svchost.exe (ID: 620 |ParentID: 752)
    C:\Windows\System32\svchost.exe (ID: 708 |ParentID: 752)
    C:\Windows\system32\svchost.exe (ID: 148 |ParentID: 752)
    C:\Windows\system32\svchost.exe (ID: 1048 |ParentID: 752)
    C:\Windows\system32\svchost.exe (ID: 1256 |ParentID: 752)
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1380 |ParentID: 752)
    C:\Windows\system32\WLANExt.exe (ID: 1388 |ParentID: 708)
    C:\Windows\system32\conhost.exe (ID: 1400 |ParentID: 604)
    C:\Windows\System32\spoolsv.exe (ID: 1588 |ParentID: 752)
    C:\Windows\system32\taskeng.exe (ID: 1596 |ParentID: 1048)
    C:\Windows\system32\svchost.exe (ID: 1636 |ParentID: 752)
    C:\Windows\system32\taskhost.exe (ID: 1740 |ParentID: 752)
    C:\Windows\system32\Dwm.exe (ID: 1824 |ParentID: 708)
    C:\Windows\Explorer.EXE (ID: 1876 |ParentID: 1800)
    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 2044 |ParentID: 752)
    C:\Program Files (x86)\Bluetooth Suite\adminservice.exe (ID: 1348 |ParentID: 752)
    C:\Program Files\Intel\WiFi\bin\EvtEng.exe (ID: 1560 |ParentID: 752)
    C:\Windows\system32\svchost.exe (ID: 2020 |ParentID: 752)
    C:\Program Files\Intel\iCLS Client\HeciServer.exe (ID: 2208 |ParentID: 752)
    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (ID: 2220 |ParentID: 1876)
    C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (ID: 2244 |ParentID: 1876)
    C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe (ID: 2260 |ParentID: 1876)
    C:\Program Files (x86)\Bluetooth Suite\AthBtTray.exe (ID: 2280 |ParentID: 1876)
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 2328 |ParentID: 1876)
    C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (ID: 2336 |ParentID: 752)
    C:\Program Files (x86)\Lenovo\Energy Management\Energy Management.exe (ID: 2352 |ParentID: 1876)
    C:\Program Files (x86)\Lenovo\Energy Management\utility.exe (ID: 2364 |ParentID: 1876)
    C:\Windows\System32\igfxtray.exe (ID: 2408 |ParentID: 1876)
    C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe (ID: 2448 |ParentID: 752)
    C:\Windows\System32\hkcmd.exe (ID: 2480 |ParentID: 1876)
    C:\Windows\System32\igfxpers.exe (ID: 2520 |ParentID: 1876)
    C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe (ID: 2532 |ParentID: 1876)
    C:\Windows\System32\spool\drivers\x64\3\CNAP2LAK.EXE (ID: 2604 |ParentID: 1876)
    C:\Windows\System32\spool\drivers\x64\3\E_IATIHJE.EXE (ID: 2748 |ParentID: 1876)
    C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (ID: 2760 |ParentID: 752)
    C:\Users\m0o\AppData\Roaming\Dropbox\bin\Dropbox.exe (ID: 2828 |ParentID: 1876)
    C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (ID: 2924 |ParentID: 752)
    C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (ID: 2664 |ParentID: 2760)
    C:\Windows\SysWOW64\rpcnet.exe (ID: 2896 |ParentID: 752)
    C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (ID: 3168 |ParentID: 2768)
    C:\Windows\system32\spool\DRIVERS\x64\3\CNAP2RPK.EXE (ID: 3220 |ParentID: 2604)
    C:\Windows\system32\spool\DRIVERS\x64\3\CNAB8SWK.EXE (ID: 3256 |ParentID: 2604)
    C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 3264 |ParentID: 2768)
    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 3320 |ParentID: 2768)
    C:\Windows\system32\svchost.exe (ID: 3516 |ParentID: 752)
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (ID: 3584 |ParentID: 752)
    C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe (ID: 3640 |ParentID: 752)
    C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe (ID: 3716 |ParentID: 752)
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (ID: 3744 |ParentID: 3584)
    C:\Windows\system32\SearchIndexer.exe (ID: 3936 |ParentID: 752)
    C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe (ID: 3976 |ParentID: 752)
    C:\Windows\system32\svchost.exe (ID: 1696 |ParentID: 752)
    C:\Windows\system32\SearchProtocolHost.exe (ID: 3140 |ParentID: 3936)
    C:\Windows\system32\wbem\unsecapp.exe (ID: 3708 |ParentID: 916)
    C:\Windows\system32\wbem\unsecapp.exe (ID: 2952 |ParentID: 916)
    C:\Windows\system32\wbem\wmiprvse.exe (ID: 3684 |ParentID: 916)
    C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (ID: 4168 |ParentID: 2784)
    C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 4428 |ParentID: 752)
    C:\Windows\system32\wbem\wmiprvse.exe (ID: 4248 |ParentID: 916)
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe (ID: 4780 |ParentID: 1876)
    C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe (ID: 4388 |ParentID: 752)
    C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe (ID: 1208 |ParentID: 752)
    C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (ID: 2548 |ParentID: 752)
    C:\Windows\system32\sppsvc.exe (ID: 1928 |ParentID: 752)
    C:\Windows\System32\svchost.exe (ID: 3196 |ParentID: 752)
    C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (ID: 4840 |ParentID: 752)
    C:\Windows\system32\SearchFilterHost.exe (ID: 3804 |ParentID: 3936)
    C:\Windows\system32\svchost.exe (ID: 3008 |ParentID: 752)
    C:\Windows\System32\WUDFHost.exe (ID: 1344 |ParentID: 708)
    \\?\C:\Windows\system32\wbem\WMIADAP.EXE (ID: 5268 |ParentID: 1048)
    C:\UsbFix\Go.exe (ID: 3596 |ParentID: 4344)


    Merci à vous.


    Score
    0
    Contenus similaires
    a c 1009 8 Sécurité
    27 Décembre 2013 08:52:11

    Bonjour,

    Pour plus de lisibilité du sujet, tous les rapports doivent être hébergés sur http://up.security-x.fr/

    J'ai besoin du rapport USBFix avec l'option Recherche.

    Redémarre en Mode sans échec et recommence la procédure indiquée avec USBFix

    @+
    Score
    0
    a c 1009 8 Sécurité
    27 Décembre 2013 11:34:58

    Re,

    Donc toujours en mode sans échec pour USBFix :

    ---------------------------------------------------------------------------------------------

    USBFix - Nettoyage :

    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Suppression et laisse l'outil travailler
    • Le rapport UsbFix.txt s'affiche. Poste lce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

      /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.


  • ---------------------------------------------------------------------------------------------

    Ensuite tu redémarres en mode normal, pour appliquer ce correctif avec FRST :

    --------------------------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      HKCU\...\Run: [iTunesHelper] - C:\Users\m0o\AppData\Local\Temp\iTunesHelper.vbe [69558261 2013-11-08] ()
      Startup: C:\Users\m0o\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
      SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=119776&tt=gc_&babsrc=SP_ss&mntrId=B29284A6C87C1754
      BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
      FF SearchPlugin: C:\Users\m0o\AppData\Roaming\Mozilla\Firefox\Profiles\an1fbf9v.default\searchplugins\delta.xml
      FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
      FF Extension: HDvid Codec - C:\Users\m0o\AppData\Roaming\Mozilla\Firefox\Profiles\an1fbf9v.default\Extensions\hdvc@hdvc.com.xpi
      CHR HKLM-x32\...\Chrome\Extension: [kpkbnefaikfaeadgidhpoanckoiaheli] - C:\Program Files (x86)\HDvidCodec.com\HDvidCodec10.crx
      2013-12-01 17:11 - 2013-12-01 17:11 - 00401792 _____ (Softonic ) C:\Users\m0o\Downloads\SoftonicDownloader_pour_trustport-usb-antivirus.exe
      2013-11-29 23:44 - 2013-11-29 23:44 - 00000000 ____D C:\Users\m0o\AppData\Roaming\SUPERAntiSpyware.com
      2013-11-29 23:35 - 2013-11-29 23:36 - 28732768 _____ (SUPERAntiSpyware) C:\Users\m0o\Downloads\SUPERAntiSpyware.exe
      C:\Users\m0o\AppData\Local\Temp\iTunesHelper.vbe
      C:\Users\m0o\AppData\Local\Temp\i4jdel0.exe
      C:\Users\m0o\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
      C:\Users\m0o\AppData\Local\Temp\SkypeSetup.exe
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST64.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • Note : Si l'outil t'indique qu'il faut télécharger une nouvelle version, tu valides par Oui et tu télécharges la dernière version proposée

    /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    USBfix-Suppression
    Fixlog


    Pour info, il ne reste plus que 10 GB sur ta partition C, c'est nettement insuffisant pour un bon fonctionnement de Windows 7.
    Il te faut libérer de l'espace en désinstallant les applications que tu n'utilises plus et en transférant des données personnelles sur un autre support.

    @+

    @+
    Score
    0
    a c 1009 8 Sécurité
    27 Décembre 2013 14:32:04

    Re,

    Les fichiers sur tes supports amovibles sont-ils maintenant accessibles et fonctionnels ?

    @+
    Score
    0
    27 Décembre 2013 14:55:24

    Re,

    Oui, les fichiers sont parfaitement accessibles et fonctionnels ! Merci.
    Par contre, que dois-je faire des fichiers ".tmp" apparus ?

    Merci à toi !
    Score
    0

    Meilleure solution

    a c 1009 8 Sécurité
    27 Décembre 2013 15:21:58

    Re,

    Citation :
    les fichiers sont parfaitement accessibles et fonctionnels

    OK, nous allons donc pouvoir finaliser.


    Citation :
    que dois-je faire des fichiers ".tmp" apparus ?

    Tu peux les supprimer.


    ---------------------------------------------------------------------------------------------

    DelFix :

    • Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
      Pourquoi et comment je me fais infecter ?

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
      Maintenir Java, Adobe Reader et le player Flash à jour
      Exploitation SWF/PDF et Java - système non à jour = danger


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    a c 1009 8 Sécurité
    28 Décembre 2013 18:31:44

    Bonjour,

    OK pour le rapport Delfix.

    Bonne continuation .... et passe de bonnes fêtes de fin d'année :) 
    Score
    0
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS