[OK] Cheval de Troie via clef usb

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Cheval de Troie via clef usb

Messagede lady d'arbanville » 13 Oct 2007, 17:53

Bonjour,

j'ai chopé autorun.inf fichier véreux via une clef usb propre (la mienne) placée dans un pc infecté (pas le mien...) et mtt mon ordinateur est contaminé. Symptômes? La date, reculée de 2 ans, je suis obligée de la remettre manuellement à 2007. J'ai utilisé le mode sans échec mais hélas, rien à faire, quand mcafee trouve le virus il dit le supprimer mais en fait il passe en quarantaine et revient même si je désactive la restauration du système.

Comment rétablir les clefs de registre de façon à ce que ma date soit de nouveau ok? Il y a avait un autre symptôme, les 2 cases décochées dans "visualiser dossier cachés" mais apparemment j'ai réussi à éradiquer ce problème (pour l'instant)...

Svp aidez-moi...
Dernière édition par lady d'arbanville le 14 Oct 2007, 23:38, édité 2 fois.
Maria
lady d'arbanville
 
Messages: 28
Inscription: 13 Oct 2007, 17:48

Messagede Vazkor » 13 Oct 2007, 18:02

Bonsoir,
quand mcafee trouve le virus il dit le supprimer mais en fait il passe en quarantaine et revient même si je désactive la restauration du système.


Il serait utile que tu nous donnes le nom de ce "virus" et le nom du fichier mis en quarantaine, si tu veux que l'on puisse t'aider.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede lady d'arbanville » 13 Oct 2007, 18:07

Le fichier qui a infecté mon pc avait pour nom autorun.inf. C'est un cheval de troie apparemment il se duplique dans ma mémoire C dans le fichier quarantaine ce sont des fichiers .bup aux noms bizarroïdes 7d1124a6d24...

Si ça peut être utile je peux mettre un rapport hijack (mais je ne les comprends pas)
Maria
lady d'arbanville
 
Messages: 28
Inscription: 13 Oct 2007, 17:48

Messagede nickW » 13 Oct 2007, 18:07

Bonsoir,

Peux-tu essayer cet outil:

Je te conseille d'imprimer la procédure, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet pendant son exécution).
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.




Flash_Disinfector (de sUBs)
Télécharger l'outil depuis:
http://www.techsupportforum.com/sectool ... fector.exe
Clic droit sur le lien ci-dessus, puis enregistrer le fichier sur le Bureau.

Fermer absolument toutes les applications, ainsi que les navigateurs (ne pas oublier d'enregistrer tous les documents en cours de modification).

Faire un double clic sur Flash_Disinfector.exe pour lancer l'exécution de l'outil.

L'écran intitulé "Start - Flash_Disinfector" te demande de brancher ta(tes) clé(s) USB si tu en as: il faut que tu le fasses. Ensuite, cliquer sur OK.

Lorsque le travail de l'outil est terminé, sur l'écran affichant "Done!", cliquer sur OK.

Note:
S'il y a de nombreuses clés USB à désinfecter, il faut renouveler l'opération en branchant les clés non traitées une à une.


Ensuite, il faudra envoyer un log HijackThis:
HijackThis (de TrendMicro)
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Cliquer sur le bouton "Do a system scan and save a logfile"
Attendre qu'une fenêtre du Bloc-notes s'ouvre.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom HJT1.txt.
Copier en réponse la totalité de ce fichier.
Fermer le Bloc-notes. Fermer HijackThis.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede lady d'arbanville » 14 Oct 2007, 13:07

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:51, on 14/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = S-MARIMBA:6560
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: HLIeBar - {0A120D41-244B-11D5-8122-005004F6D77D} - C:\Program Files\HumanLinks2\bin\HLIeBar.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Gestion du client de Pare-feu Microsoft.lnk = C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de-pedagogie.local
O17 - HKLM\Software\..\Telephony: DomainName = de-pedagogie.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de-pedagogie.local
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FAF751B4 - Unknown owner - C:\WINDOWS\system32\2BFCE9E2.EXE (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NAI ePO Agent Install (NAIMServInst) - McAfee, Inc. - C:\DOCUME~1\MD2E0~1.TAF\LOCALS~1\Temp\unz1.tmp\FramePkg.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 12102 bytes


Merci pour l'aide... pour ce qui est du méchant, même si la date est redevenue normale, il est toujours là! J'ai effectué un scan en ligne via bitdefendor et voilà le résultat (les fichiers infectés slt):
BitDefender Online Scanner

Scan path: B:\;C:\;D:\;E:\;
Statistics

Time
01:00:08

Files
383441

Folders
5696

Boot Sectors
7

Archives
8901

Packed Files
14494




Results

Identified Viruses
3

Infected Files
4

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4




Engines Info

Virus Definitions
826589

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Documents and Settings\M.\Bureau\Flash_Disinfector.exe=>(RAR Sfx o)=>Flash_Disinfector.cmd
Infected with: Trojan.Batc.Flashdis.A

C:\Documents and Settings\M.\Bureau\Flash_Disinfector.exe=>(RAR Sfx o)=>Flash_Disinfector.cmd
Disinfection failed

C:\Documents and Settings\M.\Bureau\Flash_Disinfector.exe=>(RAR Sfx o)=>Flash_Disinfector.cmd
Deleted

C:\Documents and Settings\M.\Bureau\Flash_Disinfector.exe=>(RAR Sfx o)
Update failed



C:\WINDOWS\system32\2BFCE9E2.EXE
Infected with: GenPack:Trojan.Popwin.DO

C:\WINDOWS\system32\2BFCE9E2.EXE
Disinfection failed

C:\WINDOWS\system32\2BFCE9E2.EXE
Deleted

D:\do_work\igyxjlxn.exe
Infected with: Trojan.Winfixer.A

D:\do_work\igyxjlxn.exe
Disinfection failed

D:\do_work\igyxjlxn.exe
Deleted

D:\System Volume Information\_restore{C99FC601-9195-45D9-99B4-B165C7973F04}\RP1\A0000028.exe
Infected with: Trojan.Winfixer.A

D:\System Volume Information\_restore{C99FC601-9195-45D9-99B4-B165C7973F04}\RP1\A0000028.exe
Disinfection failed

D:\System Volume Information\_restore{C99FC601-9195-45D9-99B4-B165C7973F04}\RP1\A0000028.exe
Deleted

Je ne sais comment supprimer tous ces fichiers infectés...
Maria
lady d'arbanville
 
Messages: 28
Inscription: 13 Oct 2007, 17:48

Messagede nickW » 14 Oct 2007, 21:08

Bonsoir,

Ton PC ne semble plus infecté.

Fin du nettoyage:

Service
Arrêter puis désactiver un service:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à FAF751B4
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\system32\2BFCE9E2.EXE
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Supprimer ce service:
Démarrer---->Exécuter
taper exactement
sc¤delete¤FAF751B4
(le caractère ¤ représente un espace)
puis cliquer sur OK


Il ne faut pas tenir compte des fichiers détectés dans D:\System Volume Information, tu les supprimeras ultérieurement.


Ton PC présente-t-il encore des symptômes d'infection?


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede lady d'arbanville » 14 Oct 2007, 21:26

Tout d'abord, merci, un grand, grand merci.

Commande "arrêter puis désactiver service" effectuée (j'ai pas compris, mais j'ai fait).

Ok, je tiens pas compte de D:\System Volume Information, en revanche comme tu m'as dit "tu les supprimeras ultérieurement" je me suis dit pourquoi pas mtt? Et bing, accès refusé au dossier... est-ce normal?

Non, mon PC ne présente a priori pas de symptômes d'infection. (à part ptêt l'accès refusé? *timidement*)

Ok pour la suite, moi qui croyais avoir déjà enlevé des applications inutiles au démarrage... :roll:

Une tite toute dernière question (enfin, pour l'instant!): le statut n'était pas sur désactivé mais sur automatique. Pour être franche j'ai rien compris à cette étape de fin de nettoyage, est-ce que tu pourrais juste m'expliquer qu'est-ce que l'arrêt et la désactivation d'un service (et duquel?) et si je dois le remettre sur automatique ou le laisser sur désactivé? Merci d'avance...
Maria
lady d'arbanville
 
Messages: 28
Inscription: 13 Oct 2007, 17:48

Messagede nickW » 14 Oct 2007, 23:07

Bonsoir,

Réponse à ta question:

Le programme 2BFCE9E2.EXE a été supprimé par Bitdefender (car "Infected with: GenPack:Trojan.Popwin.DO").

Ce programme était lancé sous la forme d'un service en démarrage automatique, ce qui apparaît dans le log HijackThis:
O23 - Service: FAF751B4 - Unknown owner - C:\WINDOWS\system32\2BFCE9E2.EXE (file missing)

La suppression du programme a bien fonctionné puisqu'il est écrit: (file missing)

Mais le lancement du service (même s'il échoue car le fichier est manquant) n'a pas été supprimé.

La manip que je t'ai demandé de faire consistait à arrêter la demande de démarrage de ce service (démarrage "désactivé"), condition nécessaire pour pouvoir ensuite supprimer définitivement ce service ("sc delete ...").


La suite des opérations:
Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires à appliquer:

Un conseil important:
Il faut créer un nouveau point de restauration système.
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
http://assiste.com.free.fr/p/comment/co ... ation.html

Note explicative:
Cette manip va supprimer tous les points de restauration, et ceux-ci sont stockès dans les dossiers System Volume Information.
Donc voici l'instant fatidique (baptisé ci-dessus "ultérieurement" :wink:) où tu vas supprimer les fichiers infectés détectés par Bitdefender.
Quant à l'accès refusé, c'est parfaitement normal: seul Windows lui-même peut ouvrir ces dossiers.


Un conseil:
Supprimer la barre d'outils HumanLinks toolbar ... puisque cela n'existe plus.
http://www.social-computing.com/showitem.php?ID=199
Note: Je n'utilise pas cette barre d'outils, mais sa présence me semble inutile. Si tu l'utilises, tu peux la conserver.


Un conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


Un conseil:
Abandonner Internet Explorer + Outlook Express au profit de Firefox + Thunderbird


Un conseil:
Penser aux mises à jour.
Adobe Reader 8: http://www.adobe.com/fr/products/reader/
Note:
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php


Un conseil:
Supprimer la connexion Internet créée avec le kit Wanadoo, et la recréer manuellement.
En effet, les kits d'installation fournis par les FAIs installent des tas de "bidules" aux fonctions assez floues, et qui sont parfois considérés comme des "espions".
Une page d'explications: http://www.faqoe.com/index.php?bas=/connexionmanel.htm
Une autre page d'explications: http://www.porciello.com/adsl/
(Il faut avoir sous les yeux la lettre envoyée par le FAI contenant les codes d'accès)


Un conseil:
Il est possible de supprimer Flash_Disinfector (fichier téléchargé Flash_Disinfector.exe).


Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Note:
En ce moment, la version téléchargeable est la plus à jour.
Clic droit sur le lien:
http://assiste.com.free.fr/ftp/Startups-vf.chm
Enregistrer le fichier, puis double clic dessus pour l'ouvrir.
Sont dans ce cas:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"--->mise à jour automatique: mieux vaut la faire soi-même, à condition d'y penser
O4 - HKLM\..\Run: [UC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot--->lire attentivement la liste de Pacman
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe--->lire attentivement la liste de Pacman
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background--->lire attentivement la liste de Pacman
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe--->lui préférer Adobe Reader SpeedUp 1.36 ou tester Foxit Reader
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe--->mise à jour automatique: mieux vaut la faire soi-même

Il est possible d'utiliser Spybot-S&D (dans Outils---->Démarrage système) pour décocher les lignes correspondant aux programmes dont tu veux supprimer le lancement automatique à chaque démarrage du système.
Si tu as ensuite des regrets, il te suffira de recocher ces lignes.


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede lady d'arbanville » 14 Oct 2007, 23:27

C'est quasiment ok... pour la restauration du système j'ai désactivé/réactivé en revanche bien qu'étant sous XP Pro, je n'ai pas "performances" dans panneau de configuration, pourtant je sais que je peux accéder au calendrier des points de restau...

bref tout ça pour dire que je n'ose pas t'embêter plus avant et que je vais de ce pas mettre ok au 1er message. Bonne nuit!

Comment je supprime humanlinks toolbar au fait? Si slt je savais où c'était...
Maria
lady d'arbanville
 
Messages: 28
Inscription: 13 Oct 2007, 17:48


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités