[Résolu] Infection via clé USB

[rosie]

Les problèmes ne sont apparemment pas finis !!!

 

Dans la matinée, Antivir - maintenant mis à jour - détecte ceci :

Virus or unwanted program 'APPL/NirCmd.2 [program]'

detected in file 'C:\Documents and Settings\ity\Local Settings\Temp\nircmd.exe.

Action performed: Deny access

 

Comme indiqué, j'interdis l'acces, puis je supprime manuellement le programme incriminé.

 

Suite à cela, je fais un grand nettoyage en mode sans échec en virant tous les cookies, fichiers temporaires..., puis Ccleaner,

puis scan complet antivir : ok

puis scan complet Malwarebytes' Anti-Malware : 2 malwares trouvés. Log ci-dessous :

 

--------------

Malwarebytes' Anti-Malware 1.11

Version de la base de données: 663

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 110133

Temps écoulé: 46 minute(s), 34 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{3c78b8e2-6c4d-11d1-ade2-0000f8754b99} (Adware.Casino) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\WAVDEST.AX (Adware.Casino) -> Quarantined and deleted successfully.

-------------------

 

Les malwares supprimés, scan SpyBot : ok

 

Je redémarre mode normal et le résident de spybot me demande une modification que - grosse bétasse certainement - j'accepte. La voici ci-dessous :

21/04/2008 14:57:54 Autorisé(e) (based on user decision) value "" (new data: ""%1" %*") modifié(e) in SCR Extension handler!

 

Aussitôt, une autre fenetre de spybot :

Catégorie : REG extension handler

Ancienne valeur : regedit.exe "%1"

Nouvelle valeur : regedit.exe "%1" %x

 

Cette fois-ci, je laisse en plan et attends votre aide !!!

[rosie]

Les problèmes ne sont apparemment pas finis !!!

 

Dans la matinée, Antivir - maintenant mis à jour - détecte ceci :

Virus or unwanted program 'APPL/NirCmd.2 [program]'

detected in file 'C:\Documents and Settings\ity\Local Settings\Temp\nircmd.exe.

Action performed: Deny access

 

Comme indiqué, j'interdis l'acces, puis je supprime manuellement le programme incriminé.

 

Suite à cela, je fais un grand nettoyage en mode sans échec en virant tous les cookies, fichiers temporaires..., puis Ccleaner,

puis scan complet antivir : ok

puis scan complet Malwarebytes' Anti-Malware : 2 malwares trouvés. Log ci-dessous :

 

--------------

Malwarebytes' Anti-Malware 1.11

Version de la base de données: 663

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 110133

Temps écoulé: 46 minute(s), 34 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{3c78b8e2-6c4d-11d1-ade2-0000f8754b99} (Adware.Casino) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\WAVDEST.AX (Adware.Casino) -> Quarantined and deleted successfully.

-------------------

 

Les malwares supprimés, scan SpyBot : ok

 

Je redémarre mode normal et le résident de spybot me demande une modification que - grosse bétasse certainement - j'accepte. La voici ci-dessous :

21/04/2008 14:57:54 Autorisé(e) (based on user decision) value "" (new data: ""%1" %*") modifié(e) in SCR Extension handler!

 

Aussitôt, une autre fenetre de spybot :

Catégorie : REG extension handler

Ancienne valeur : regedit.exe "%1"

Nouvelle valeur : regedit.exe "%1" %x

 

Cette fois-ci, je laisse en plan et attends votre aide !!!

 

HELP ! Je suis toujours avec ma fenêtre de Spybot ouverte en ne sachant pas qu'en faire !!! Merci pour votre aide

[Apollo]

Bonsoir,

 

Tu as MalwareBytes, inutile de garder Spybot S&D; désinstalle-le.

 

Il y a sûrement des traces d'outils utilisés auparavant: on va vérifier et les désinstaller si besoin est. Hijackthis sera désinstallé mais ce n'est pas grave puisque tu sais où le trouver. ( http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe )

 

Mais avant fais ceci:

ToolsCleaner2 est téléchargeable à l'adresse suivante :

 

>>> http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

 

 

1°) Double cliquez dessus à l'endroit où vous l'avez téléchargé

 

2°) Une fois la fenêtre de l'application ouverte, cliquer sur " Recherche " soyez patient un moment le temps qu'il travaille...

 

3°) Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Options facultatives

 

 

 

A utiliser si vous le souhaitez :

 

Création d'un nouveau point de restauration

Vidage de la corbeille

Nettoyage de vos fichiers temporaires

@+

Modifié le 22 avril 2008 par Apollo.01

[rosie]

Bonsoir et merci pour votre réponse.

Je vais suivre ce que vous me dites, mais auparavant, je dois fermer cette fenêtre de spybot me demandant si j'accepte ou refuse cette modification de registre. Et je ne sais pas quoi répondre !

Merci de me guider !

[Apollo]

Refuse puis désinstalle-le

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!

Modifié le 22 avril 2008 par Apollo.01

[rosie]

ok, tout fait et voici le log ToolsCleaner2 :

 

-->- Recherche:

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !

C:\Documents and Settings\ity\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\ity\Bureau\Nettoyage PC\Divers\HijackThis.lnk: trouvé !

C:\Documents and Settings\ity\Bureau\Nettoyage PC\Divers\gmer\Gmer.exe: trouvé !

C:\Program Files\Trend Micro\HijackThis: trouvé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

C:\WINDOWS\Gmer.exe: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !

C:\Documents and Settings\ity\Bureau\HijackThis.exe: supprimé !

C:\Documents and Settings\ity\Bureau\Nettoyage PC\Divers\HijackThis.lnk: supprimé !

C:\Documents and Settings\ity\Bureau\Nettoyage PC\Divers\gmer\Gmer.exe: supprimé !

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !

C:\WINDOWS\Gmer.exe: ERREUR DE SUPPRESSION !!

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

C:\Program Files\Trend Micro\HijackThis: supprimé !

 

Point de restauration crée !

Corbeille vidée!

Fichiers temporaires nettoyés !

Sauvegarde du registre crée !

[Apollo]

C:\WINDOWS\Gmer.exe: ERREUR DE SUPPRESSION !!

: ERREUR DE SUPPRESSION !!

 

On va le virer de force puisqu'il résiste ce malin:

Cherche: C:\WINDOWS\Gmer.exe <-- élimine le fichier en gras.

 

S'il résiste encore, télécharge: http://telechargement.zebulon.fr/unlocker.html

 

Tu n'auras qu'à faire un clic droit sur le fichier et "débloquer"

 

exemple:

[rosie]

Gmer.exe est parti sans problème.

Que dois-je faire maintenant ?

[Apollo]

Quel problème te reste-t-il?

[rosie]

Bonjour Apollo.01,

 

Après une dizaine de jours d'utilisation normale du PC, tout semble fonctionner parfaitement.

Merci mille fois pour l'aide !

 

Rosie