Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Détection fichier infecté sous Trend micro office scan

Digger

Par Digger
dans Analyses et éradication malwares

 Partager

Messages recommandés

Digger Mega Power Member

Digger

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

ne me reste donc plus qu'à faire "sauter" le message sur l'icône de Trend micro quoi...

Une idée sur le sujet sur la marche à suivre?

 

D'autre part, ce message d'erreur renvoi-t-il à quelque chose de connu dans votre communauté de spécialiste? Son origine où l'endroit où il est fréquemment retrouvé (msn, ...)?

 

Merci et bon matin.

Modifié par Digger

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

D'autre part, ce message d'erreur renvoi-t-il à quelque chose de connu dans votre communauté de spécialiste? Son origine où l'endroit où il est fréquemment

 

Cela indique une possible infection du support.

Vérification faite, on n'a rien trouvé.

 

On va tirer une dernière cartouche:

 

Téléchargez Flashdisinfector de sUBs

 

Sauvegardez le sur le bureau.

Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prendre soin de ne pas laisser de documents (word, excel) ouverts .

Connecter tous les disques amovibles (disque dur externe, clé USB).

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

 

-Ouvrez le poste de travail

-Clic sur le menu outils en haut à droite puis options des dossiers

-Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-Cocher dans la liste "Afficher les fichiers cachés"

-Décocher "masquer les fichier protégés du système dexploitation (recommandée)"

-Un message dit que cela peut endommager le système, ne pas en tenir compte.

-Pour chaque disque dans le poste de travail :

Faire un clic droit sur le disque dur

surtout ne pas double-cliquer pas dessus!!!

-Choisir ouvrir dans le menu déroulant.

-Chercher un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs, MSDSOD.pif,resycled/boot.com

-Si présents, supprimez-les en faisant un clic droit puis supprimer.

- Répèter l'opération sur tous les disques se trouvant dans le poste de travail.

* Double-cliquez sur Flash_Disinfector.exe.

* Cela sera très rapide, un message informera de la fin du fix.

* S'il y a plusieurs supports fixes ou amovibles , renouveler l'opération en les branchant l'un après l'autre.

 

Digger Mega Power Member

Digger

Posté(e)
  • Auteur
Posté(e)

Bon voilà qui est fait...

Je n'ai rien trouvé dans les disques durs et j'ai cliqué sur Flash et il m'a répondu après avoir fait disparaitre le bureau "Done".

 

Résultat: le message d'alerte est toujours là bien qu'il semble qu'il n'y ait pas de soucis...

pear Devil Member !

pear

Posté(e)
Posté(e)

Dans un environnement de bureaux, l'usage de clés Usb et Disques amovibles ne va pas sans risques.

 

Je vous propose une procédure de prévention et une de vaccination.

Celle-ci installera sur vos supports un fichier Adobe-r, et un fichier Autorun.inf.

Ce sont les vaccins.

 

Vous avez déjà la procédure de désinfection.Gardez la au chaud.

 

Les fichiers autorun.inf sont infectés.

Cette infection peut avoir été introduite par le biais d'un support amovible tels que Clé USB, CD-R, CDRW, etc.

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

Des explications là:

http://forum.malekal.com/ftopic3350.php

http://forum.malekal.com/viewtopic.php?f=4...544&p=38463

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

Vaccination

Désactivez l'antivirus

Télécharge VaccinUSB de Gof

Enregistrez le surC:\

Double-cliquez

Faites la même opération sur les clés USB ,disque dur externe, et tous supports amovibles,en collant et exécutant. VaccinUSB sur chacun d'eux.

Digger Mega Power Member

Digger

Posté(e)
  • Auteur
Posté(e)

Voilà deux liens bigrement intéressants... et facile d'accès pour un boulet informatique comme moi.

Je m'occupe de C:\ dès maintenant et je procède aux vaccinations des HDD dès ce soir.

Merci

Digger Mega Power Member

Digger

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

après un ultime mise à jour de Malwarebytes et un scan, voici ce que dit le rapport...

 

Malwarebytes' Anti-Malware 1.34

Version de la base de données: 1752

Windows 5.1.2600 Service Pack 3

 

12/02/2009 08:44:58

mbam-log-2009-02-12 (08-44-58).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 176047

Temps écoulé: 59 minute(s), 43 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\zPharaoh.exe (Worm.Mabezat) -> Delete on reboot.

 

 

Un nouvel angle de réflexion?

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

C:\zPharaoh.exe (Worm.Mabezat) -> Delete on reboot.

 

Un nouvel angle de réflexion?

 

On en voit beaucoup ces derniers temps

 

Vous auriez pu aussi avoir:

 

C:\Users\tazebama.dll (Worm.Mabezat)

C:\Users\tazebama.dl_ (Worm.Mabezat)

C:\Users\hook.dl_ (Worm.Mabezat)

C:\zPharaoh.exe (Worm.Mabezat)

 

Je crois que l'Anglais ne vous fait pas problème:

des explications:

http://www.bitdefender.com/VIRUS-1000466-e....Mabezat.J.html

 

Par précaution, au cas où Mbam en aurait laissé:

 

SCANNER AVEC AntiVirus Power Tool

 

Télécharger Kasperky AVP Tool sur le Bureau

Désactivez provisoirement votre Antivirus actuel.

Connecter éventuellement les clés USB et disques externes.

Le scan va s'effectuer en Mode Sans Echec: Imprimez cette procédure auparavant.

Redémarrer en mode sans échec .

Double cliquer sur"setup_7.0xxxxx"

A la question "Do you want to continue installation?"

Répondre"Oui"

Cliquer sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur le Bureau dans un dossier "Kaspersky Lab Tool"

L'outil se lance tout seul:

Cocher toutes les cases dans l'onglet "Automatic Scan".

Cliquer ensuite sur "Security Level": une fenêtre de configuration s'ouvre:

paramètrer le scanner comme sur l'image:

img-145432rkivs.jpg

Valider par "Apply" puis "OK"

L'outil est maintenant configuré:

Dans la fenêtre principale, cliquer sur "Scan".

une fenêtre indiqye la progression du balayage en pourcentage.

A la fin du scan, AVP Tool signalera les objets infectés par l'intermédiaire d'une pop-up:

cocher alors "Apply to all" et cliquer sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:

kas2rd1.png

Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés:

ils apparaissent en rouge dans la liste:

cliquer alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepter en cliquant sur "OK"

[Dans l'onglet "Events" de la fenêtre de progression du scan, décocher "Show all events"

Cliquer ensuite sur "Reports" puis "Save to file" et enregistrer le rapport sur le Bureau sous le nom Rapport AVP TOOL

Fermer les fenêtres d'AVP Tool:

un message apparaît proposant de désinstaller le logiciel: accepter "YES"

img-143816dgnsq.jpg

Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:

img-144412fll49.jpg

A la question "Would you like to restart now", répondre"OUI" et redémarrer en Mode normal.

[*] Postez le contenu du rapport dans une prochaine réponse

 

Digger Mega Power Member

Digger

Posté(e)
  • Auteur
Posté(e)

Alors, je ne peux pas faire cela de suite...

Je suis sur le réseau bureau donc je ne peux pas débrayer l'antivirus...

Je regarde ce soir et on se tient au courant.

 

Mais question... avez vous une idée de l'origine de ce virus?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...