Virus Clé Usb (bewm2wmr.vbs)
Bonjour,
Je rencontre un soucis avec le virus "bewm2wmr.vbs" qui affecte les clés usb (transforme tous les fichiers de la clé en raccourcis qui pointent sur le VBS).
Bitdefender Total Security 2011 ou 2012 ne le trouve pas même avec un scan complet.
La seule solution que j'ai pu trouvé c'est USBFix (http://www.usbfix.net/)
_______________________________________________________________________________
Supprimé! C:\DOCUME~1\nec\LOCALS~1\Temp\bEWm2wMR.vbs
Supprimé! C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\bEWm2wMR.vbs
(!) Fichiers temporaires supprimés.
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR
________________________________________________________________________________
Mais apparament le virus revient.
Merci de votre aide
Fabrice (Iténéo)
Réponses
-
bonjour iteneo,essaye le mode secour!!!!Bonjour,
Je rencontre un soucis avec le virus "bewm2wmr.vbs" qui affecte les clés usb (transforme tous les fichiers de la clé en raccourcis qui pointent sur le VBS).
Bitdefender Total Security 2011 ou 2012 ne le trouve pas même avec un scan complet.
La seule solution que j'ai pu trouvé c'est USBFix (http://www.usbfix.net/)
_______________________________________________________________________________
Supprimé! C:\DOCUME~1\nec\LOCALS~1\Temp\bEWm2wMR.vbs
Supprimé! C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\bEWm2wMR.vbs
(!) Fichiers temporaires supprimés.
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR
________________________________________________________________________________
Mais apparament le virus revient.
Merci de votre aide
Fabrice (Iténéo)
bonne aprem.0 -
Bonjour iteneo,
Faites moi parvenir svp les fichiers demandés ci-dessous afin que nous analysons votre système :
D'abord faites moi parvenir si possible une copie des fichiers signalés par Usbfix en utilisant le système d'hébergement de fichier gratuit d'OVH, http://demo.ovh.eu/fr/ (ou tout autre service d'hébergement de fichiers comme dl.free.fr fileserve.com rapidshare.com ou up.sur-la-toile.com). Une fois que les fichiers sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.
1/ Rapport bdsyslog :
- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :
http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe
- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées
- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.
Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.
Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.
2/ Faites nous parvenir le rapport Gmer comme indiqué ci-dessous :
- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :
- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque
- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:
- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite.
- Une analyse va démarrer, attendez qu'elle se termine.
- A la fin de l'analyse, cliquez sur le bouton "Save..." et enregistrez le rapport sur votre bureau, nommez le gmer.log
(Si jamais le bouton "Save..." n'apparait pas, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau)).
- Faites nous parvenir le fichier gmer.log
3/ Rapport Autoruns
- Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :
http://download.sysinternals.com/files/Autoruns.zip
- Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.
- Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.
- Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.
- Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.0 -
Bonsoir Yann,
Voici les liens pour les fichiers de log :
1. Rapport USBFix
https://dl.dropboxusercontent.com/u/512927/...%5D%20DKT03.txt
https://dl.dropboxusercontent.com/u/512927/...%5D%20DKT03.txt
https://dl.dropboxusercontent.com/u/512927/...%5D%20DKT03.txt
2. Rapport bdsyslog
https://dl.dropboxusercontent.com/u/512927/...sb/bdsyslog.zip
3. Rapport Gmer
https://dl.dropboxusercontent.com/u/512927/...CleUsb/gmer.log
4. Rapport Autoruns
https://dl.dropboxusercontent.com/u/512927/...oRuns_DKT03.arn
Fabrice (Iténéo)
Merci0 -
Bonjour iteneo,
Nous allons analyser les fichiers, merci.0 -
Bonjour iteneo,
Merci de nous faire parvenir les fichiers suivants :
C:\Users\Copie###press\Desktop\SosVirus Forum.lnk
C:\Users\Copie###press\Desktop\SosVirus On Facebook.lnk
Et si possible également les fichiers vers lesquels pointent ces raccourcis (click droit sur le raccourci pour trouver le nom et le chemin des fichiers).
Egalement, si le ver ajoute des raccourcis, merci de nous envoyer quelques uns d'entre eux.0 -
Bonjour Yann,
Le lien pour les fichiers suivants :
C:\Users\Copie###press\Desktop\SosVirus Forum.lnk
C:\Users\Copie###press\Desktop\SosVirus On Facebook.lnk
-> ces liens sont créés par USBFix, ils pointent vers "C:\Program Files\Internet Explorer\iexplore.exe" http://www.sosvirus.net/ et
"C:\Program Files\Internet Explorer\iexplore.exe" https://www.facebook.com/SosVirus
-> https://dl.dropboxusercontent.com/u/512927/...SosVirusLnk.zip
Un exemple des raccourcis créés sur les clés USB.
-> https://dl.dropboxusercontent.com/u/512927/...sb/bEWm2wMR.zip
NB : Actuellement nous devons passer toutes les clés USB au scan USBFix sur un PC en Mode Sans Échec non connecté au réseau avant de les brancher sur les autres PCs en réseau.
Fabrice (iténéo)0 -
Bonjour iteneo,
Vous devriez également trouver dans C:\Windows\System32 des fichiers .vbs.
Faites moi parvenir ces fichiers svp (vous devriez avoir au moins ceux-là N7PfFfdC.vbs et bEWm2wMR.vbs).
Merci.0 -
Bonjour iteneo,
Plus globalement faites une recherche de .vbs sur votre disque notamment dans les dossiers suivants :
C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\
C:\DOCUME~1\nec\LOCALS~1\Temp\
\
F:\
Et faites moi parvenir svp les échantillons trouvés.0 -
A noter, que ces fichiers peuvent être cachés, il faut donc activer l'option 'afficher les fichiers et dossier cachés' dans les options de l'exporateur.
0 -
Bonjour,
Je n'ai pas de trouvé de fichiers vbs dans C:\Windows\System32 autre que des vbs microsoft (cf. image jointe) et rien dans C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\ ou C:\DOCUME~1\nec\LOCALS~1\Temp\.
Je pense que le virus a bien été supprimé avec USBFix.
Nous scannons systématiquement toutes les clés USB avec USBFix installé sur chaque PC et pour l'instant il ne se propage plus.
Pouvez-vous me dire si il y a patch/correctif Bitdefender pour bloquer ce virus "bewm2wmr.vbs" ?
Cordialement.
Fabrice (iténéo)0 -
Bonjour iteneo,
Pour que nous puissions mettre à jour les signatures ou comprendre pourquoi ces vbs n'ont pas été détectés, il nous faut impérativement les échantillons. Etes-vous sur d'avoir activé l'option qui permet d'afficher les fichiers cachés ? Si c'est le cas, cela veut dire que ces fichiers .vbs ne sont plus présents sur votre système.0 -
Bonjour,
Voici les fichiers vbs ci-joint (VirusCleUsb.rar.txt) : fichier rar.
Cordialement.
Fabrice (iténéo)
0 -
Bonjour iteneo,
Merci, je transmets les fichiers au labo.0 -
Bonjour,
Des nouvelles du labo ?
Cordialement.
Fabrice (iténéo)0 -
Bonjour iteneo,
Les fichiers ont été signés et sont désormais détectés par Bitdefender, merci.0 -
Bonjour Yann,
Effectivement les fichiers sont désormais bloqués (quarantaine) par Bitdefender si on execute un fichier infecté mais si je fais un scan de la clé USB avec Bitdefender Total Security 2011 (à jour) il ne détecte aucun virus ?
J'ai donc l'impression que Bitdefender ne nettoye pas ce virus mais le bloque uniquement.
Cordialement.
Fabrice (iténéo)0 -
Bonjour iteneo,
Votre clé est infectée ?
Attention, mettre en quarantaine un fichier en le déplaçant, cela revient à le supprimer, donc on ne peut pas dire qu'il ne nettoie pas.0 -
Bonjour Yann,
Votre clé est infectée ? OUI
Si je fais un clic droit sur la clé usb puis Analyser avec Bitdefender il ne trouve aucun virus.
Il le met en quarantaine uniquement si je clique sur le fichier nommé bewm2wmr.vbs mais pas avec les autres fichiers de la clé.
Le virus n'est donc pas correctement détecté par Bitdefender.
Cordialement.0 -
Bonjour iteneo,
Je pense qu'il est détecté, mais l'analyse contextuelle ne doit pas faire l'analyse de votre clé correctement.
Les autres vbs, faites les moi parvenir svp par demo.ovh.net que je vérifie s'ils sont bien détectés.0 -
Bonjour Yann,
Meilleurs voeux pour 2014.
Sinon toujours le même problème du virus qui n'est pas nettoyé par Bitdefender en scannant la clé usb.
Et apparament une autre variante du virus clé USB (raccourcis) "iTunesHelper.vbe" n'est pas non plus nettoyé.
Je vous l'ai envoyé via la quarantaine et le lien ci-dessous :
https://www.dropbox.com/s/oqtnopysnif8bqq/i...sHelper.vbe.zip
Cordialement.
Fabrice (iténéo)0 -
Bonjour iteneo,
Bonne année à vous également.
Je fais le nécessaire, je remonte le fichier au labo, merci.0
Leaders
Catégories
- Toutes les catégories
- 633 Windows
- 33 Mac
- 99 Mobile Security
- 241 VPN
- 247 Central et abonnements
- 141 Autres produits et services
- 79 Équipe de recherche sur la sécurité
- 30 Fonctionnalités du produit et idéation
- 88 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 575 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver