Virus Clé Usb (bewm2wmr.vbs)

Bonjour,


Je rencontre un soucis avec le virus "bewm2wmr.vbs" qui affecte les clés usb (transforme tous les fichiers de la clé en raccourcis qui pointent sur le VBS).


Bitdefender Total Security 2011 ou 2012 ne le trouve pas même avec un scan complet.


La seule solution que j'ai pu trouvé c'est USBFix (http://www.usbfix.net/)


_______________________________________________________________________________


Supprimé! C:\DOCUME~1\nec\LOCALS~1\Temp\bEWm2wMR.vbs


Supprimé! C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\bEWm2wMR.vbs


(!) Fichiers temporaires supprimés.


################## | Registre |


Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR


Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR


________________________________________________________________________________


Mais apparament le virus revient.


Merci de votre aide


Fabrice (Iténéo)

Réponses

  • fedor
    fedor Defender of the month mod
    Bonjour,


    Je rencontre un soucis avec le virus "bewm2wmr.vbs" qui affecte les clés usb (transforme tous les fichiers de la clé en raccourcis qui pointent sur le VBS).


    Bitdefender Total Security 2011 ou 2012 ne le trouve pas même avec un scan complet.


    La seule solution que j'ai pu trouvé c'est USBFix (http://www.usbfix.net/)


    _______________________________________________________________________________


    Supprimé! C:\DOCUME~1\nec\LOCALS~1\Temp\bEWm2wMR.vbs


    Supprimé! C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\bEWm2wMR.vbs


    (!) Fichiers temporaires supprimés.


    ################## | Registre |


    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR


    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|bEWm2wMR


    ________________________________________________________________________________


    Mais apparament le virus revient.


    Merci de votre aide


    Fabrice (Iténéo)

    bonjour iteneo,essaye le mode secour!!!!


    bonne aprem.

  • Bonjour iteneo,


    Faites moi parvenir svp les fichiers demandés ci-dessous afin que nous analysons votre système :


    D'abord faites moi parvenir si possible une copie des fichiers signalés par Usbfix en utilisant le système d'hébergement de fichier gratuit d'OVH, http://demo.ovh.eu/fr/ (ou tout autre service d'hébergement de fichiers comme dl.free.fr fileserve.com rapidshare.com ou up.sur-la-toile.com). Une fois que les fichiers sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.


    1/ Rapport bdsyslog :


    - Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :


    http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe


    - Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées


    - Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.


    Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.


    Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.


    2/ Faites nous parvenir le rapport Gmer comme indiqué ci-dessous :


    - Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :


    http://www.gmer.net/gmer.zip


    - Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque


    - Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:


    - Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite.


    - Une analyse va démarrer, attendez qu'elle se termine.


    - A la fin de l'analyse, cliquez sur le bouton "Save..." et enregistrez le rapport sur votre bureau, nommez le gmer.log


    (Si jamais le bouton "Save..." n'apparait pas, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau)).


    - Faites nous parvenir le fichier gmer.log


    3/ Rapport Autoruns


    - Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :


    http://download.sysinternals.com/files/Autoruns.zip


    - Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.


    - Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.


    - Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.


    - Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

  • Bonjour iteneo,


    Nous allons analyser les fichiers, merci.

  • Bonjour iteneo,


    Merci de nous faire parvenir les fichiers suivants :


    C:\Users\Copie###press\Desktop\SosVirus Forum.lnk


    C:\Users\Copie###press\Desktop\SosVirus On Facebook.lnk


    Et si possible également les fichiers vers lesquels pointent ces raccourcis (click droit sur le raccourci pour trouver le nom et le chemin des fichiers).


    Egalement, si le ver ajoute des raccourcis, merci de nous envoyer quelques uns d'entre eux.

  • Bonjour Yann,


    Le lien pour les fichiers suivants :


    C:\Users\Copie###press\Desktop\SosVirus Forum.lnk


    C:\Users\Copie###press\Desktop\SosVirus On Facebook.lnk


    -> ces liens sont créés par USBFix, ils pointent vers "C:\Program Files\Internet Explorer\iexplore.exe" http://www.sosvirus.net/ et


    "C:\Program Files\Internet Explorer\iexplore.exe" https://www.facebook.com/SosVirus


    -> https://dl.dropboxusercontent.com/u/512927/...SosVirusLnk.zip


    Un exemple des raccourcis créés sur les clés USB.


    -> https://dl.dropboxusercontent.com/u/512927/...sb/bEWm2wMR.zip


    NB : Actuellement nous devons passer toutes les clés USB au scan USBFix sur un PC en Mode Sans Échec non connecté au réseau avant de les brancher sur les autres PCs en réseau.


    Fabrice (iténéo)

  • Bonjour iteneo,


    Vous devriez également trouver dans C:\Windows\System32 des fichiers .vbs.


    Faites moi parvenir ces fichiers svp (vous devriez avoir au moins ceux-là N7PfFfdC.vbs et bEWm2wMR.vbs).


    Merci.

  • Bonjour iteneo,


    Plus globalement faites une recherche de .vbs sur votre disque notamment dans les dossiers suivants :


    C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\


    C:\DOCUME~1\nec\LOCALS~1\Temp\


    D:\


    F:\


    Et faites moi parvenir svp les échantillons trouvés.

  • A noter, que ces fichiers peuvent être cachés, il faut donc activer l'option 'afficher les fichiers et dossier cachés' dans les options de l'exporateur.

  • Bonjour,


    Je n'ai pas de trouvé de fichiers vbs dans C:\Windows\System32 autre que des vbs microsoft (cf. image jointe) et rien dans C:\Documents and Settings\nec\Menu Démarrer\Programmes\Démarrage\ ou C:\DOCUME~1\nec\LOCALS~1\Temp\.


    Je pense que le virus a bien été supprimé avec USBFix.


    Nous scannons systématiquement toutes les clés USB avec USBFix installé sur chaque PC et pour l'instant il ne se propage plus.


    Pouvez-vous me dire si il y a patch/correctif Bitdefender pour bloquer ce virus "bewm2wmr.vbs" ?


    Cordialement.


    Fabrice (iténéo)

    post-151557-1381309999_thumb.jpg

  • Bonjour iteneo,


    Pour que nous puissions mettre à jour les signatures ou comprendre pourquoi ces vbs n'ont pas été détectés, il nous faut impérativement les échantillons. Etes-vous sur d'avoir activé l'option qui permet d'afficher les fichiers cachés ? Si c'est le cas, cela veut dire que ces fichiers .vbs ne sont plus présents sur votre système.

  • iteneo
    Modifié (décembre 2019)


    Bonjour,


    Voici les fichiers vbs ci-joint (VirusCleUsb.rar.txt) : fichier rar.


    Cordialement.


    Fabrice (iténéo)


     


    /applications/core/interface/file/attachment.php?id=19821" data-fileExt='zip' data-fileid='19821'>VirusCleUsb.rar.txt.zip

  • Bonjour iteneo,


    Merci, je transmets les fichiers au labo.

  • Bonjour,


    Des nouvelles du labo ?


    Cordialement.


    Fabrice (iténéo)

  • Bonjour iteneo,


    Les fichiers ont été signés et sont désormais détectés par Bitdefender, merci.

  • Bonjour Yann,


    Effectivement les fichiers sont désormais bloqués (quarantaine) par Bitdefender si on execute un fichier infecté mais si je fais un scan de la clé USB avec Bitdefender Total Security 2011 (à jour) il ne détecte aucun virus ?


    J'ai donc l'impression que Bitdefender ne nettoye pas ce virus mais le bloque uniquement.


    Cordialement.


    Fabrice (iténéo)

  • Bonjour iteneo,


    Votre clé est infectée ?


    Attention, mettre en quarantaine un fichier en le déplaçant, cela revient à le supprimer, donc on ne peut pas dire qu'il ne nettoie pas.

  • Bonjour Yann,


    Votre clé est infectée ? OUI


    Si je fais un clic droit sur la clé usb puis Analyser avec Bitdefender il ne trouve aucun virus.


    Il le met en quarantaine uniquement si je clique sur le fichier nommé bewm2wmr.vbs mais pas avec les autres fichiers de la clé.


    Le virus n'est donc pas correctement détecté par Bitdefender.


    Cordialement.

  • Bonjour iteneo,


    Je pense qu'il est détecté, mais l'analyse contextuelle ne doit pas faire l'analyse de votre clé correctement.


    Les autres vbs, faites les moi parvenir svp par demo.ovh.net que je vérifie s'ils sont bien détectés.

  • Bonjour Yann,


    Meilleurs voeux pour 2014.


    Sinon toujours le même problème du virus qui n'est pas nettoyé par Bitdefender en scannant la clé usb.


    Et apparament une autre variante du virus clé USB (raccourcis) "iTunesHelper.vbe" n'est pas non plus nettoyé.


    Je vous l'ai envoyé via la quarantaine et le lien ci-dessous :


    https://www.dropbox.com/s/oqtnopysnif8bqq/i...sHelper.vbe.zip


    Cordialement.


    Fabrice (iténéo)

  • Bonjour iteneo,


    Bonne année à vous également.


    Je fais le nécessaire, je remonte le fichier au labo, merci.