Help: problème malware ou virus: setstretch

Hello !
voilà ce qui m’arrive : j’ai un malware ou un virus je ne sais pas, qui est caché sur mon pc dans ProgramData
son nom c’est Setstretch et il existe sous les extensions .exe .vbs et .cmd
Les autres symptomes sont : l’apparation de tout un tas de fichiers desktop.ini un peu partout…
et le bloc notes qui s’ouvre au démarrage de windows avec ceci : [.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%system32shell32.dll,-21787
et internet plus lent.

L’origine de tout ça, c’est que la sale bete s’est choppé sur ma clé USB que j’utilise aussi à l’école… En fait, à la base, une fois chez moi sur mon pc j’ai été effrayé par la disparition de mes fichiers - clé usb vide - alors que l’espace de stockage n’était pas vide. Après avoi réussi à retrouver mes fichiers, il semble que ce virus sur la clé usb est passé sur mon pc :heink: la loose totale je sais
Mais il faut croire qu’il est indetectable ce truc car j’ai scanné ma clé et le pc ensuite avec NOD32 et MalwaresBytes, résultat nada ! :heink:

Du coup, j’aimerais savoir quoi faire pour me déparasser de ce truc et des symptomes apparus avec
car j’ai beau cherché sur le net, je ne sais pas trop quelle procédure suivre et par où commencer…
j’ai lu un coup qu’il fallait utiliser et ceci et cela… ZHP diag, Rogue Killer, usbfix, FRST…

Perso, comme je savais où il était caché je pensais le virer dans la Corbeille ou le détruire avec Axcrypt mais je sais pas si mon pc sera vraiment clean et si tous les fichiers desktop.ini disparaitront.

Voilà, si une âme charitable saurait ce que dois je faire, ce serait bien cool :icon_biggrin:
merciiii

N’utilises surtout pas cette saleté,je suis presque certain que ses auteurs sont à l’origine d’un malware et que « usbfix » n’est qu’un moyen de propager l’infection :riva:

Peut-être que ceux qui le conseillent sur divers forums sont de bonne foi,mais pour l’avoir essayé il n’a fait que beaucoup empirer les choses chez moi

J’explique : il y a quelques mois,je n’arrivais plus à lire une certaine clé usb sur mon pc,les fichiers étaient bien visibles sur le support mais il était impossible de les ouvrir/copier/déplacer (message « le fichier n’existe pas »)

En cherchant je suis tombé sur cet « usbfix » et j’ai eu le tort d’essayer,il m’a demandé de connecter tous mes périphériques usb…c’est après que je me suis aperçu que tous les périphériques que j’avais connectés avaient à présent tous le même problème,même l’apn de ma femme (je n’avais pas encore de lecteur de cartes SD et je branchais l’apn directement sur un port usb) : plus moyen de visualiser/copier/déplacer/effacer une photo :@

J’ai fini par m’en débarrasser en formatant toutes les clés usb et la carte SD de l’apn,heureusement il n’y avait pas grand-chose dessus :neutre:

Pour ton problème,j’ai eu un jour un malware du même genre qui avait aussi une extension .vbs,après recherches j’ai trouvé que ce genre de processus pouvait utiliser pour se camoufler le processus « wscript.exe » (qui est un processus normal de Windows),ce qui m’a mis la puce à l’oreille est que a) je n’avais habituellement pas de processus wscript.exe lancé et b) ce processus bouffait 600 Mo de ram ^^

Malwarebytes,Windows Defender et autres ne le détectaient pas…étrangement (puisqu’il n’est pas fait pout traquer les malwares),c’est Ccleaner qui me l’a montré : un « berzerk.vbs » figurait dans l’onglet Windows du menu démarrage,alors que je ne le voyais nulle part ailleurs…je ne dis pas que ça marchera pour toi,mais vérifies quand même dans « outils → démarrage → vérifies tous les onglets » de Ccleaner si un processus ne te semble pas louche,le genre qui n’a rien à faire là (bon,ça sous-entend que tu saches quels processus sont normaux ou pas sur ton système,sinon tu peux peut-être faire une capture d’écran et la poster ici :neutre: )
Edité le 21/07/2014 à 17:11

Bonjour,

Hum…

Je suis dubitatif. usbfix est développé par El Desaparecido de la team SosVirus sur sosvirus.net et usbfix.net.

C’est plutôt un outil de confiance.

Peut-être un bug ou une contamination d’une autre nature à traiter avec un autre protocole.

Problème avec les cartes des APN déjà rencontré. Je ne sais pas s’il a été résolu. Voir avec l’auteur.

Cordialement

Je ne peux que juger d’après mon expérience :neutre:

Au départ le problème ne concernait qu’une simple clé usb,mais il s’est propagé à tous les périphériques que j’ai connecté suite aux instructions de usbfix (d’ailleurs,pourquoi cette demande de brancher tous les périphériques dont on dispose ?)

La coïncidence sur le problème avec l’apn (un Panasonic FS30 de 2011 qui a connu plusieurs cartes SD Kingston et SanDisk) est également étonnante,puisque ni avant ni après je n’ai rencontré le même souci…bref quand les choses dérapent et empirent à ce point avec une de ces applications censées régler les problèmes,je m’en débarrasse et je fais à ma manière ^^

:hello:

J’ai récupéré le fichier, NOD 32 ne bonche pas, mais Virustotal indique 7 positif sur les 53 moteurs qu’il utilise …

Après sans parler de virus ou truc de ce genre, je déconseille toujours ce genre de « fix » parce que mine de rien on ne sait jamais trop ce qu’ils modifient sur le système.

Pour revenir au cas dont je parlais plus haut,j’avais tout simplement éliminé ce « berzerk.vbs » en faisant une restauration système antérieure au problème de quelques jours…pas dit que ça fonctionne pour ce « setstretch.vbs/.exe/.cmd » mais c’est à essayer ^^

@ kayakoss : sais-tu où chercher dans la base de registre de Windows ? il est peut-être aussi possible de régler le problème en supprimant les clés puis les fichiers puisque tu sais où ils se trouvent (ne pas redémarrer le pc entre les deux actions)

Re,

Je n’ai jamais utilisé cet outil et je n’ai jamais réussi à le télécharger lorsque mon Kaspersky PURE est activé : il me bloque le téléchargement systématiquement.

D’autre part, le lien de téléchargement semble tortueux et je n’arrive pas à le faire analyser en ligne avec VTZilla.

Je dois, chaque fois, abaisser la garde et désactiver l’antivirus fichiers.

Je viens donc de refaire une 7 et non plus 7 comme c’était le cas à 17h42.

Commtouch W32/Trojan.RYSZ-5289 20140722
F-Prot W32/Trojan2.OFHS 20140722
Jiangmin TrojanDownloader.Genome.aikn 20140722
Kingsoft VIRUS_UNKNOWN 20140722
McAfee Artemis!624D616BAC4C 20140722
McAfee-GW-Edition Artemis!624D616BAC4C 20140721
NANO-Antivirus Trojan.Win32.Autoit.dbiolu 20140722
TrendMicro-HouseCall Suspicious_GEN.F47V0719 20140722
VIPRE Trojan.Win32.Generic!SB.0

Réanalyse (2014-07-22 22:16:47 UTC) (23.07.2014 à 00h16 heure de Paris). Ce sont 12 signalements et non plus 9 comme c’était le cas 5 heures plus tôt.

J’observe que McAfee le catalogue Artemis! (donc, il ne sait pas ce que c’est mais a un doute).

Pour les autres, ce n’est pas plus clair.

AVG Generic11_c.LEU 20140722
Avast Win32:Dropper-gen [Drp] 20140722
Commtouch W32/Trojan.RYSZ-5289 20140722
F-Prot W32/Trojan2.OFHS 20140722
Jiangmin TrojanDownloader.Genome.aikn 20140722
Kingsoft VIRUS_UNKNOWN 20140722
McAfee Artemis!624D616BAC4C 20140722
McAfee-GW-Edition Artemis!624D616BAC4C 20140722
NANO-Antivirus Trojan.Win32.Autoit.dbiolu 20140722
Symantec WS.Reputation.1 20140722
TrendMicro-HouseCall Suspicious_GEN.F47V0719 20140722
VIPRE Trojan.Win32.Generic!SB.0 20140722

L’analyse est là :
www.virustotal.com…

Il y a aussi la réputation du produit, par exemple avec Malekal qui a fait un bon papier sur ce produit.

Le seul truc qui m’interpelle est le signalement en tant que [b]Downloader (programmes téléchargeurs)[/b]. Un downloader se connecte et peut télécharger et installer n’importe quoi (qui sera intercepté par un bon antivirus local).

Il y a aussi un signalement en tant que [b]Dropper[/b] qui est embêtant. Un dropper est une variante du cheval de Troie.

L’autre signalement, celui de " trojan ", me fiche en boule. Le terme de " cheval de Troie " est employé à tords et à travers et ne veut rien dire ! Un cheval de Troie est exclusivement un véhicule, et jamais une malveillance. Il n’est pas l’attaque, il la précède et, lorsqu’il a lâché sa charge active, le véhicule n’est plus rien d’autre qu’une application comme une autre. Que voulez-vous que je pense de 5 signalements en " trojan " ? Que puis-je conclure de cette analyse ?

Là, je suis obligé de renvoyer ceux qui liront ce fil vers cette article qui crucifie l’usage déviant de ce terme : [b]Cheval de Troie[/b]

http://assiste.com/Assiste/media/images/Technique_du_cheval_de_Troie.png

Je vais porter ce fil à la connaissance d’El Desaparecido. Il corrigera le tir ou demandera aux éditeurs d’antivirus de corriger le tir.

Par la même occasion, on remarquera le fonctionnement du service VirusTotal, qui signale immédiatement, à tous les éditeurs présents dans sa liste et qui n’ont rien trouvé, une analyse où un confrère et néanmoins concurrent à trouvé quelque chose. On pourra en déduire la vitesse de réaction des éditeurs et, également, (pour les malveillances certaines - pas les faux positifs) le fait que certains éditeurs ne s?intéressent pas du tout à certaines classes de malveillances.

Édit : la désactivation des émoticons ne fonctionne pas !

Cordialement
Edité le 23/07/2014 à 01:09

Hello tout le monde
Merci Blackalf de t’être intéressé à mon sujet pour la 2nde fois (après m’avoir renseigné il y a qques mois sur le choix de barrettes de Ram :D)

Je ne saurais quoi penser de ce UsbFix… j’ai vu qu’il est beaucoup utilisé dans les forums et le fait d’avoir vu le tuto sur malekal (comme le dit Terdef) m’a aussi rassuré.

De toute façon, il est trop tard, j’ai fait appel à un helper sur un forum et j’ai utilisé FRST et UsbFix. FRST m’a bien éradiqué l’infection Setstretch.
Pour ma clé, UsbFix n’a pas trouvé d’élément infectieux dessus il semblerait (bizarre ou pas? - je ne sais pas si une infection sur clé qui passe sur un pc reste toujours sur la clé ou pas? - j’avoue c’est ma 1ère fois que j’ai ce genre de problème :whistle:)
PS: je peux vous transmettre ici les rapports, si l’un d’entre vous qui s’y connait veut y jeter un oeil :heink:

Pour les desktop.ini, j’ai compris que ce n’était pas « grave » en fouinant sur le web, et j’ai solutionné l’histoire du bloc-notes qui s’ouvre au démarrage.

Cependant, voici ce qui m’est arrivé de nouveau et d’inattendu :ouch: :
j’ai refait un scan UsbFix de ma clé pour me rassurer qu’il n’y avait rien dessus et comme tout était toujours :super: j’ai fait un formatage afin de la réutiliser.
J’ai même suivi l’article de malekal (maitriser ses médias amovibles) en prenant garde à ne pas activer le malware par le biais de l’execution automatique avec autorun.inf, mais il n’y avait aucun fichier autorun.inf sur la clé pour en vérifier le contenu… (je ne sais pas si c’est bien ou pas du coup :etonne2::etonne2: )

Et après c’est la cata…:etonne: :
1/ Plein de raccourcis de dossiers sont apparus et se sont nichés un peu partout, au niveau du poste de travail et dans programmes , utilisateurs… (ex de raccourcis: récent, sendto, voisinage réseau, fichiers communs,…). Je n’ai cliqué sur aucun de ces raccourcis pensant que c’était une infection qui attendait d’être lancée.
2/ En faisant une recherche sur C: plein de fichiers .vbs et de autorun.inf se trouvent dans le dossier C:WindowsWinSxS.

Question de n00b : est-ce que ces fichiers .vbs sont sains et ont-il lieu d’exister ? Idem pour les autorun.inf … je ne sais pas si ces fichiers sont normaux, s’ils doivent etre présents ou s’il sagit d’une infection … si quelqu’un peut comparer et voir si des fichiers comme ça sont présents dans son pc

Par ailleurs, le fait que Blackalf a dit : [quote=«  »]
« sais-tu où chercher dans la base de registre de Windows ? il est peut-être aussi possible de régler le problème en supprimant les clés puis les fichiers puisque tu sais où ils se trouvent (ne pas redémarrer le pc entre les deux actions) »
[/quote]
Cela veut-il dire que l’ infection SetStretch est peut-être encore là dans la BDR (même si FRST la supprimé) ?? Si oui, je la trouve à quel endroit dans la BDR ?

Autres questions de n00b :
@Blackalf : tu as dit que tu as [quote=«  »]
" éliminé ce « berzerk.vbs » en faisant une restauration système antérieure au problème de quelques jours "
[/quote]
donc est-ce que faire revenir à un point de restauration éradiquerait sur et certain tous mes problèmes? l’infection serait quand même présente mais en version « dormante » ?

En résumé, le plus simple ne serait-il pas de réexaminer tout le pc mais avec quel outil :):yeux2:

Ben voyons, on est des vilains méchants pas beaux ayant osé remettre en doute son soft … :paf:

Sur mon système j’ai une vingtaine de fichier .vbs dans le dossier WinSXS.

Par contre, aucun autorun.inf. :jap:

Bonjour

@Blackalf : je doute que ce soit Usbfix qui t’ai causé des ennuis.
et une restauration système ne désinfecte pas une infection usb totalement , je te conseille de changer tous tes mots de passe par sécurité avant qu’il ne soient utilisés à mauvais escient.

===

Les fichiers setStretch sont légitimes.

===

les fichiers .vbs dans le système sont légitimes.

===

@juju251

Ben voyons, on est des vilains méchants pas beaux ayant osé remettre en doute son soft

Si tu savais la continuelle guerre pour se maintenir hors détection FP des antivirus…
le réel problème c’est que les antivirus ne sont capables de détecter que les outils de désinfection et non les infections.
Personnellement je n’utilise pas d’antivirus , juste comodo en comportemental et MBAE.
je n’ai jamais eu de soucis d’infections.
quand on sait ce qu’on fait avec sa machine, on en a pas besoin.

===

quand on ne sait pas coder une ligne de code , on ne critique pas un outil et le travail qu’il y a derriere.
surtout quand il a été téléchargé environ 10 millions de fois depuis sa création

===

Par contre, aucun autorun.inf.

il te suffit d’installer une vieille imprimante HP et ca t’en créera un dans le système32

===

Sur mon système j’ai une vingtaine de fichier .vbs dans le dossier WinSXS.

oui et autant sinon plus dans le système32 si tu as du matériel en pagaille installé , sinon ceux -ci sont d’office sur un système neuf :

gatherNetworkInfo.vbs
slmgr.vbs
winrm.vbs

cordialement, g3n-h@ckm@n
SOSVirus Development Team
Edité le 23/07/2014 à 08:36

Bonjour Clubic,

La réponse à vos interrogations est ici : http://www.sosvirus.net/disfonctionnement-antivirus-signalant-usbfix-t92852.html

Vous en souhaitant bonne réception.

Cédric.

Merci de revenir au problème initial et gérer vos petits désaccords en MP pour ne pas encombrer inutilement le topic :jap:

Bonjour,

@Kahn-San
Nous sommes toujours dans le problème de kayakoss. Ce dernier dit avoir utilisé divers outils dont UsbFix. Blackalf lui répond que c’est probablement cet outil qui a fichu la pagaille. Donc, nous discutons d’UsbFix pour le mettre en cause ou hors de cause. L’administrateur d’UsbFix et l’un des membres de l’équipe de développement d’UsbFix nous font l’honneur de répondre personnellement et directement, ici, au problème d’UsbFix et au problème setStretch de kayakoss. Que demander de plus ?

@juju251
Nous ne sous sommes pas compris. Je signale à l’auteur d’UsbFix qu’il y a un souci avec son produit, pas un soucis avec Clubic, et qu’il vienne lire les explications détaillées de ce souci ici, afin de corriger le tir. Je ne suis pas du tout en train de dire : " Viens voir les vilains petits canards ". Vous vous doutez bien que je suis résolument dans la construction du Web et pas dans la délation et le dénigrement - j’ai vraiment autres choses à faire et je ne serais pas en train de contribuer sur Clubic si je n’aimais pas Clubic. Je suis navré de m’être mal exprimé, ou pas assez clairement, et que mon propos vous ait conduit à une réaction honorable de défense de Clubic.

Pour vous rendre compte de ton de mon propos, le fil de discussion sur SoSVirus, dans lequel je signale le problème à son auteur, est à http://www.sosvirus.net/disfonctionnement-antivirus-signalant-usbfix-t92852.html

Cordialement

bonjour !
wow j’ai créé de l’animation dis donc je ne sais pas si c’est à mon insu ou pas, auquel cas j’en suis navré
bref, zen les gars, diplomatiiie

revenons à nos moutons comme dirait lejeferson
1/ Une bonne nouvelle : les raccourcis ont disparus après redémarrage du pc, je ne sais par quel miracle…

2/ Merci à tous d’avoir pris part à ce sujet et merci à g3n-h@ckm@n et juju251 de m’avoir renseigné concernant les .vbs

Pour ce qui est d’autorun.inf, visiblement vous n’en avez pas, or moi si et ce pc portable est neuf et je n’ai pas encore installé tant de choses que ça ni de périphériques anciens (hormis une imprimante epson récente qui est en wifi)
donc que dois-je faire ? Me débarasser de ces autorun.inf ?
J’ai une solution à vous soumettre : Est-ce que les mettre en quarantaine plutôt que de les supprimer permettrait d’ annihiler le risque de voir une infection éventuelle se déclencher tout en évitant le risque de foutre la pagaille dans mon pc si je les avais supprimé (auquel cas je pourrai toujours les restaurer au cas où) ?

Au fait, Blackalf avait dit qu’on pouvait voir si les infections s’étaient nichées dans la BDR:
[quote=«  »]
sais-tu où chercher dans la base de registre de Windows ? il est peut-être aussi possible de régler le problème en supprimant les clés puis les fichiers puisque tu sais où ils se trouvent (ne pas redémarrer le pc entre les deux actions)
[/quote]
alors comment et à quel endroit ?

Cependant, je reste toujours inquiet d’une éventuelle infection car la 4ème diode signalant le trafic sur ma livebox clignote beaucoup trop à mon avis et pages web que j’ouvre au ralenti = PC zombie ? :etonne2: :ouch: :o(
PS: d’ailleurs, en regardant dans Paramètres avancés du Pare-Feu Windows, j’ai des autorisations accordées pour Checkpoint.VPN , F5 VPN et F5.vpn.client , JuniperNetworksJunosPulseVpn , c’es normal tout ça ou c’est des portes d’entrées dérobés d’un pirate ?

J’aimerais bien faire un scan, proposez moi un outil pour le faire si possible merci
(car nod32 et MBAM n’ont rien detecté, comme ce fut déjà le cas pour mon histoire de clé usb qui a fait disparaitre mes fichiers et les a modifiés en raccourcis - dailleurs en aparté, ça m’a refroidi et surpris de voir que finalement un antivirus et MBAM n’étaient pas l’arme absolu anti-virus et compagnie :-@: )

merci !
Edité le 23/07/2014 à 18:36

bonjour , les autorun.inf sont des vaccins posés par usbfix , si tu rentres dans le dossier ( caché ) de ce nom , logiquement tu vois un fichier Lpt1.UsbFix

pour ce qui est de l’arme absolue , en informatique , ca n’existe pas

et MBAM n’est pas la poudre magique à tout comme on pourait le croire bien que ce soit un logiciel bien plus efficace qu’un antivirus ( beaucoup moins de FP pour commencer ^^ )
Edité le 24/07/2014 à 11:45