Un fichier setup.exe infecté réapparaît sans cesse

[Valérie93]

Bonjour Charles et Liegeois,

 

J'ai effectué les instructions de Liegeois et à priori, le virus a bien été éliminé.

 

Voici le dernier rapport Kaspersky :

 

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\MSHist012006101520061016\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\Softwin\BitDefender9\asdict.dat L'objet est verrouillé ignoré

 

C:\Program Files\Softwin\BitDefender9\aspdict.dat L'objet est verrouillé ignoré

 

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

C:\System Volume Information\_restore{794F2AC3-5F02-455F-8945-E16E4D9A49DF}\RP1\change.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\drivers\dtscsi.sys L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\drivers\sptd3821.sys L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\tmp00002f7a\tmp00000000 L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

E:\System Volume Information\MountPointManagerRemoteDatabase

 

 

Par contre, le fichier setup.exe apparaît encore et toujours...

Chose amusante à son sujet, Bitdefender ne l'identifie pas toujours sous le même nom. Depuis que je l'ai identifié, ça fait trois virus différent (apparemment) qu'il détecte.

 

Concernant la manipulation du Firewall conseillée par Charles, je n'y arrive pas!!!

Je ne vois pas comment activer le mode furtif. J'utilise Bitdefender V10. Dans le menu "Parfeu', il y a 2 onglets "Etat" et "Filtrage".

Dans l'onglet Etat, il y a bien une partie "paramètres", mais qui offre comme choix "Demander", "Par liste blanche", "Tout autoriser", "Tout refuser".

 

J'ai choisi "Par liste blanche".

 

Bonne soirée,

Valérie.

[Thanos]

salut Valérie

 

En fait je me fiais au lien que l'ami liégeois à posté : ca concerne la version 10 de Bitdefender => https://www.mailsoft.fr/docs/editions-profi...security_10.pdf

c'est un document au format pdf avec des captures d'écran, je regardais dans le menu "Console de gestion" => "Module firewall" => "8.4 Paramètres avancés" , là on voit bien la case "mode furtif". Ceci dit il est possible que les versions soient différentes !

Comme je te disait, relance une analyse de tes ports avec le test de zeb et dis moi si les deux ports sont toujours ouverts. Le mode furtif permettrait de les rendre invisible depuis le réseau , ce qui serait le mieux ! sinon on peut fermer ces ports avec un petit logiciel : Zeb Protect , téléchargeable ici => http://telechargement.zebulon.fr/123-zeb-protect.html

son utilisation(très simple) ici => http://www.zebulon.fr/articles/zebprotect.php

ca, c'est au cas ou tu ne trouve pas le réglage adéquat sur ton parefeu

 

tant que tu ne trouve pas le moyen de filtrer ce port, le fichier réapparaitra!!

refais déjà le test et tiens nous au courant

Modifié le 17 octobre 2006 par charles ingals

[Valérie93]

Salut Charles,

 

Le fichier Setup.exe ne réapparaît plus!

 

Malgré ton lien, j'ai toujours un port qui ne se ferme pas. Par contre, en furetant, je me suis aperçue que le répertoire dans lequel le fichier réapparaissait sans cesse était pointé par un lien dans "Favori réseau" (dans le poste de travail), et ce lien était un sharedocs qui était partagé . J'ai donc supprimé le partage de ce répertoire et depuis, plus aucun souci .

 

Merci beaucoup pour le temps que vous avez passé à m'aider, et à bientôt...

Valérie

[Thanos]

Heyyy Valérie93 is back

 

Merci pour ton post Tu me dis qu'un port ne se ferme toujours pas?? C'est important qu'ils soient tous fermés ou mieux invisibles! Est ce que tu peux me dire de quel port il s'agit? (139, 445?)ou poster le résultat d'un scan de port fait ici ? => http://www.zebulon.fr/outils/scanports/test-securite.php

Ne laisse pas de côté ce problème, un port ouvert c'est un port de trop!!! Et c'est une porte ouverte à la réinfection du pc!

si tu repasses...

Modifié le 12 novembre 2006 par charles ingals