Disque dur et clé USB infectés par WORM/RJump.D

[mateoteo]

ca y est le fichier est effacé!!!

dois je reconfigurer comme avant ( c'est a dire decocher les cases que je viens de cocher et inversement) ????

pour le scan avec panda je vais le faire des que possible (ce soir ou demain matin) car je dois malheureusemnt partir de chez moi....

merci pour ton aide si precieuse!!!!!!

je poste le resultat de panda des que je l'aurai fait!!!

[Thanos]

Re!

 

dois je reconfigurer comme avant ( c'est a dire decocher les cases que je viens de cocher et inversement) ????

Oui, c'est préférable surtout si tu n'est pas le seul à utiliser le pc : un fichier important pourrait être effacé!

 

En attente du rapport Panda

[mateoteo]

voici le rapport du scan effectué avec panda.... si quelqu'un peut m'aider a y voir plus clair et me dire quelles sont les demarches effectuées ce serait tres gentil!!!

 

Incident Status Location

 

Adware:adware/whenusearch Not disinfected C:\Documents and Settings\MATHIEU\Menu Démarrer\Programmes\WhenU

Adware:adware/savenow Not disinfected c:\program files\Save

Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Documents and Settings\MATHIEU\Bureau\ComboFix.exe[nircmd.exe]

Spyware:Cookie/Smartadserver Not disinfected C:\Documents and Settings\MATHIEU\Cookies\mathieu@smartadserver[2].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\MATHIEU\Cookies\mathieu@weborama[1].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\MATHIEU\Cookies\mathieu@xiti[1].txt

Adware:Adware/SaveNow Not disinfected C:\Program Files\Save\ACM.dll

Adware:Adware/SaveNow Not disinfected C:\Program Files\Save\ffext.mod

Adware:Adware/SaveNow Not disinfected C:\Program Files\Save\Save.exe

Adware:Adware/SaveNow Not disinfected C:\Program Files\Save\save.htm

Adware:Adware/SaveNow Not disinfected C:\Program Files\Save\SaveUninst.exe

Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\WINDOWS\nircmd.exe

Virus:Bck/Ravmon.B Disinfected H:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006530.exe

Virus:Bck/Ravmon.B Disinfected H:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006547.exe

Virus:Bck/Ravmon.B Disinfected H:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP66\A0012052.exe

Virus:Bck/Ravmon.B Disinfected H:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP67\A0013584.exe

Virus:Bck/Ravmon.B Disinfected I:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006533.exe

Virus:Bck/Ravmon.B Disinfected I:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006550.exe

Virus:Bck/Ravmon.B Disinfected I:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP66\A0012055.exe

Virus:Bck/Ravmon.B Disinfected I:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP67\A0013587.exe

Virus:Bck/Ravmon.B Disinfected J:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006536.exe

Virus:Bck/Ravmon.B Disinfected J:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006553.exe

Virus:Bck/Ravmon.B Disinfected J:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP66\A0012058.exe

Virus:Bck/Ravmon.B Disinfected J:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP67\A0013590.exe

Virus:Bck/Ravmon.B Disinfected K:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006539.exe

Virus:Bck/Ravmon.B Disinfected K:\System Volume Information\_restore{0CDEEC85-A989-4ADB-B59C-3A09C937C36A}\RP31\A0006556.exe

Virus:Bck/Ravmon.B Disinfected K:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP66\A0012061.exe

Virus:Bck/Ravmon.B Disinfected K:\System Volume Information\_restore{201630F6-901F-45C2-9F65-46A01D0087AA}\RP67\A0013593.exe

Virus:Bck/Ravmon.B Disinfected K:\System Volume Information\_restore{F2D15CAD-879E-44AA-AACE-2505A1E12FC2}\RP347\A0050002.exe

[Thanos]

salut

 

Rien de grave je te rassure! On va utiliser ce programme pour nettoyer >

• Télécharge BTFix de Bibi26.
  
• Dézippe l'archive sur ton Bureau.
  
• Ouvre le dossier BTFix.
  
• Double clique sur BTFix.exe.
  
• Clique sur Rechercher.
  
• Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.
  

[mateoteo]

voici le rapport de btfix :

BTFix 1.040 (par bibi26) - 09/09/2007 15:28:30 - Analyse

 

---> Fichiers/Dossiers trouvés

 

- C:\Program Files\Save

- C:\Documents and Settings\MATHIEU\Menu Démarrer\Programmes\WhenU

 

---> Analyse terminée

[Thanos]

la suite >

 

 

1)Lance BTFix.

• Clique sur Nettoyer.
  
• Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.
  

Une fois ceci fait,

 

2)Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Poste avec le rapport BTFix un nouveau rapport hijackthis .

Modifié le 9 septembre 2007 par charles ingals

[mateoteo]

ca y est! voici le rapport de btfix :

BTFix 1.040 (par bibi26) - 10/09/2007 11:48:44 - Nettoyage - Mode sans échec

 

---> Fichiers/dossiers supprimés

 

- Fichiers temporaires effacés

- C:\Program Files\Save

- C:\Documents and Settings\MATHIEU\Menu Démarrer\Programmes\WhenU

 

---> Nettoyage terminé

 

 

 

et celui de hijackthis :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 12:01:20, on 10/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\AvidSDMService.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HiJackThis_v2.exe

C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: (no name) - {53E0B6E8-A51D-448B-B692-40B67B285543} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Program Files\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe

O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 8190 bytes

 

 

 

 

et maintenant? que dois je faire? est ce que ce pc est en train de redevenir "pur" ??

suis je sur la bonne voie?

merci charles pour le temps consacré!!!!

j'attend de tes nouvelles!

[Thanos]

salut

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O3 - Toolbar: (no name) - {53E0B6E8-A51D-448B-B692-40B67B285543} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Le firewall intégré à Windows XP SP2 n'est pas du tout efficace! Je te conseille d'en installer un vrai >

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

Comment fonctionne ton pc à présent ?

 

@+