[ok] pc contaminé

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 16 Juin 2008, 23:00

Bonsoir,

Apparemment l'outil de Kaspersky n'a pas nettoyé le disque F! :evil:


Peux-tu effectuer un autre nettoyage en ligne: BitDefender Online Scanner (exclusivement avec Internet Explorer, et en acceptant l'installation des contrôles ActiveX)

http://www.bitdefender.fr/scan_fr/scan8/ie.html


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 16 Juin 2008, 23:05

Re-

Les fichiers infectés se trouvent:
*- dans les quarantaines des outils de désinfection (ils sont inactifs)
*- dans le dossier de la Restauration système (ils sont sans danger tant que tu n'utilises pas cette Restauration système, et il sera possible de les purger lorsque le PC sera "propre")
*- sur le disque F

Question: que contient ce disque F (mis à part Dreamwaver)?

Re-
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ginie2449 » 18 Juin 2008, 21:56

Bonsoir,

le disque F fait 214 Go, 58 sont utilisés pour stocker :
des photos (12.4Go),
logiciels de jeux des enfants (8Go),
logiciels divers (417Mo) dont Dreamweaver, Grabit, Ccleaner, Regcleaner, easyrecovery, ... une quarantaine en tout,
un ghost très ancien (4Go)
des dossiers divers (34Go) : word, des images, quelques musiques, des dossiers professionnels (dont des .htm)

j'ai fait le nettoyage avec Bitdefender. Je ne sais pas si le disque F est passé au scan... :?: parce que je l'ai laissé faire cette nuit. Est-ce que tu veux le rapport ?
que puis-je faire d'autre ?

Virginie
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede nickW » 18 Juin 2008, 22:40

Bonsoir,

Je pense que ce log peut être long!

Peux-tu le déposer sur un serveur externe pour que je puisse le récupérer?

Méthode:
1/ Mettre ce rapport dans une archive ZIP.
2/ Aller avec le navigateur sur: http://www.yousendit.com/
(Javascript doit être activé)
*- Dans les zones To et From, saisir n'importe quoi avec un @ dedans (Exemples: abc@def.com et abcdef@def.com) et décocher la case située devant "Remember my email"
*- Sous Select a file, cliquer sur le bouton "Parcourir...", aller jusqu'à l'archive que tu as créée puis faire un double clic dessus pour la sélectionner
*- Cliquer sur le bouton vert "Send It"
*- Il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "Here is the link for the file you uploaded:")
Envoyer ce lien en réponse sur le forum.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ginie2449 » 19 Juin 2008, 18:17

bonjour NickW,

j'ai supprimé quelques dossiers dans F pour alléger un peu le scan.
j'ai refait un scan avec kapersky hier soir, voici le rapport :

http://download.yousendit.com/7FE703D3590FB0CA

une fois de plus, merci de ton aide...
Virginie
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede nickW » 19 Juin 2008, 21:12

Bonsoir,

Les outils utilisés n'ont pas nettoyé les fichiers HTM/HTML infectés. :twisted:

Ces fichiers se trouvent dans les dossiers:

En vert: c'est sans danger
En bleu: actions que tu peux effectuer dès maintenant


C:\Documents and Settings\user\DoctorWeb\Quarantine---->il faudra vider la quarantaine de DoctorWeb
C:\SDFix\backups_old1---->sauvegarde de SDFix qu'il faudra purger
C:\System Volume Information---->Dossier de la Restauration système que nous viderons ultérieurement
C:\WINDOWS\system32\o---->Dossier à supprimer

F:\logiciels\architecte 3D\Programme\
F:\logiciels\Flash 5\Aide\ActionScriptDictionary
F:\logiciels\Flash 5\Aide\ActionScriptDictionary\html
F:\logiciels\Flash 5\Aide\ActionScriptReference
F:\logiciels\Flash 5\Aide\ActionScriptReference\html
F:\logiciels\Flash 5\Aide\UsingFlash
F:\logiciels\Flash 5\Aide\UsingFlash\html
F:\logiciels\Flash 5\Lecteurs
F:\logiciels\Flash 5
F:\logiciels\Flash 8\fr\First Run\HelpPanel\_sharedassets
F:\logiciels\Flash 8\fr\First Run\HTML\Learning Extensions Srvr Files
F:\logiciels\Office\1036
F:\logiciels\Settings\MovieManager\Templates
F:\logiciels\Settings\virtualdubmod\Source\VirtualDub\docs
F:\logiciels de jeux\Chicken Invaders
F:\logiciels de jeux\data
F:\logiciels de jeux\rock manager
F:\logiciels de jeux\rock manager\Helpfiles
F:\logiciels de jeux\support\EA Help
F:\RECYCLER\S-1-5-21-1482476501-682003330-725345543-1003---->Corbeille qu'il faut vider
F:\System Volume Information---->Dossier de la Restauration système que nous viderons ultérieurement


Je pense qu'il faudrait réutiliser Dr.Web CureIt comme ceci:

Étape 1: Désactivation des programmes de sécurité résidents
Désactiver les programmes de protection résidents (Surveillance en temps réel de l'Antivirus , de l'Anti-Spyware, Surveillance du Registre ... ).


Étape 2: Dr.Web CureIt
Lancer l'outil par un double clic sur cureit.exe

Cliquer sur Commencer le scan.
Sur l'invite "Voulez-vous exécuter une analyse rapide maintenant?" cliquer sur le bouton OK pour confirmer.
Si des fichiers infectés sont détectés, cliquer sur le bouton Oui pour tout.

Attendre que l'Analyse rapide soit terminée.
Si elle s'affiche, déplacer sans la fermer la petite fenêtre verte proposant d'acheter Dr.WEB (50% de réduction) de façon à voir la fenêtre intitulée "Dr.Web Scanner pour Windows..."
Dans la fenêtre intitulée "Dr.Web Scanner pour Windows...", dans le Menu Options (en haut) choisir Changer la configuration
Dans l'onglet Scanner décocher la case située devant Analyse heuristique, ensuite cliquer sur les boutons Appliquer puis OK.

De retour dans la fenêtre intitulée "Dr.Web Scanner pour Windows...", cliquer sur Analyse sélective, sélectionner le disque F puis cliquer sur la flèche verte (sur la droite) pour lancer le balayage.

Si un fichier infecté est détecté, sur l'invite "Désinfecter?", cliquer sur Oui pour tout puis sur Désinfecter.

Lorsque la recherche sera terminée, cliquer si cela est possible sur l'icône Image, puis sur le bouton Suivant et choisir Déplacer en quarantaine l'objet indésirable

Lorsque ceci sera effectué, cliquer (en haut) sur le Menu Fichier, puis choisir Enregistrer le rapport et enregistrer le fichier sur le Bureau.

Fermer Dr.Web CureIt.

Faire redémarrer le PC (ceci est très important, car certains fichiers seront réparés/déplacés lors de ce redémarrage).


Étape 3: Réactivation des programmes de sécurité résidents
Réactiver les programmes de protection résidents ( Antivirus , Anti-Spyware, Surveillance du Registre ... ).


Étape 4: Résultats
Envoyer en réponse:
*- le rapport de Dr.Web CureIt (contenu du fichier DrWeb.csv situé sur le Bureau). Note: ce fichier peut être ouvert dans le Bloc-notes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ginie2449 » 20 Juin 2008, 21:28

Bonsoir,

j'ai effectué les actions en bleu que tu m'as conseillées, et j'ai réutilisé Dr. Web Cureit.
je n'ai pas pu faire cette action :
"Lorsque la recherche sera terminée, cliquer si cela est possible sur l'icône , puis sur le bouton Suivant et choisir Déplacer en quarantaine l'objet indésirable "
car je n'ai pas l'icône à l'écran. mais j'ai tout sélectionné et mis en quarantaine, ce qui, je pense, revient au même...

Voici le rapport :

07505593.FIL C:\$VAULT$.AVG Trojan.Starman Irréparable.Quarantaine.
07505656.FIL C:\$VAULT$.AVG Trojan.Starman Irréparable.Quarantaine.
07505703.FIL C:\$VAULT$.AVG Win32.Virut.5 Irréparable.Quarantaine.
07505781.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07505859.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07505937.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07505984.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506062.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506109.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506171.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506218.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506265.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506328.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506453.FIL C:\$VAULT$.AVG Trojan.Virtumod.based.11 Irréparable.Quarantaine.
07506484.FIL C:\$VAULT$.AVG Win32.Virut.5 Irréparable.Quarantaine.
07506640.FIL C:\$VAULT$.AVG Win32.Virut.5 Irréparable.Quarantaine.
07986671.FIL C:\$VAULT$.AVG Win32.Virut.5 Désinfecté.
A0112850.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP60 Tool.Prockill
A0112851.INS C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP60 Program.mIRC.603
A0119907.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP64 Trojan.Starman Supprimé.
A0120904.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP64 Trojan.Starman Irréparable.Quarantaine.
A0124934.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP65 Win32.Virut.5 Désinfecté.
A0124934.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP65 Trojan.Starman Irréparable.Quarantaine.
A0125931.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP65 Trojan.Starman Supprimé.
A0131447.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP66 Win32.HLLW.Zurenie Supprimé.
A0131675.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP66 Win32.Virut.5 Désinfecté.
A0132450.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP66 Trojan.Starman Supprimé.
A0132455.exe C:\System Volume Information\_restore{C71C6BBD-9CC3-4C56-8A08-3BA6ED81F675}\RP66 Win32.HLLW.Zurenie Supprimé.
84785_redworld[1].exe C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8DIFKLIJ Win32.HLLW.Zurenie Supprimé.
84785_winhtb[1].exe C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KPIRSPUV Win32.Virut.5 Désinfecté.


j'ai l'impression qu'il y a moins de virus :)
qu'en penses-tu ?

Virginie
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede nickW » 21 Juin 2008, 00:17

Bonsoir,

Apparemment, le disque F n'est toujours pas nettoyé!

Peux-tu refaire une analyse en ligne via Kaspersky?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ginie2449 » 23 Juin 2008, 20:24

Bonsoir nickW,

Ca fait 2 fois que je fais le scan et 2 fois que l'ordinateur se plante quand je veux enregistrer le rapport !
je vais reessayer ce soir et je te tiens au courant...

Virginie
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede ginie2449 » 24 Juin 2008, 22:09

Bonsoir,

voici enfin le rapport de kaspersky !

http://download.yousendit.com/E02804C74F82FAC3

le disque F me semble toujours infecté...

Virginie
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités