[Résolu] Infection RKIT/Agent.3488 et TR/PSW.Magania.aven

[Gof]

Bien. Voici ce que je te recommande pour te prémunir de ce type d'infections :

 

- désactiver l'autorun (la fonction, et la fonctionnalité)

- vacciner tes supports.

 

Cela aura pour désavantage de ne plus ouvrir automatiquement tes supports quand tu les inséreras, tu seras obligé d'aller les chercher dans le Poste de travail. Mais c'est un moindre mal pour une plus grande sécurité. En faisant comme je te le recommande, tu ne pourras plus être infecté à ton insu avec ce type d'infections.

 

Télécharge autorun_off.reg et inifilemapping-autorun-protection-activee.reg sur ton Bureau.

Les deux fichiers doivent avoir cette icône :

 

Double-clique sur chacun des fichiers, accepte la fusion à chaque fois, ce sera très rapide.

 

Ensuite, télécharge VaccinUSB.exe sur ton Bureau. Insère tes supports amovibles, et double-clique sur l'outil.

Une fenêtre noire s'ouvrira, et travaillera très vite. Ignore les informations qui y seront écrites.

Un rapport est généré à titre indicatif, mais nous n'en aurons pas besoin. Ferme le sans y prêter attention.

 

Tous les supports branchés au moment de l'exécution du vaccin seront vaccinés : c'est à dire que les supports pourront être toujours contaminés par certaines variantes, mais que le mécanisme de propagation sera neutralisé, les supports ne pourront infecter d'autres machines. Concrêtement, il s'agira de répertoires-vaccins crées à la racine de tes partitions et supports. Ils contiendront tous un fichier nommé Répertoire vaccin.

 

La manipulation que je viens de te suggérer dans ce post sera à faire sur les systèmes de tes collègues à qui tu as prêté ton HD externe. Cela les mettra à l'abri également. Pour eux, il faudra rajouter une analyse MBAM derrière pour corriger le reste de l'infection.

 

As-tu des questions ? Si tu n'en as pas, nous arrivons au bout là.

[avilug]

j'ai bien lu ce que tu as marqué. C'est (toujours) clair. bon, on verra comment j'annoncerai ça aux amis...

 

En tout cas, merci bcp pour ton aide !

 

bonne nuit et bonne continuation !!!

[Gof]

Merci, à toi aussi. Dernière petite chose, un service à te demander :

 

Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints.

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://malwarecomplaints.info/phpBB3/viewt...p?f=10&t=50

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://malwarecomplaints.info/phpBB3/viewf...d=d&start=0

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

Tu étais pour ta part infecté par une infection se propageant par supports amovibles notamment.

 

 

Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".

 

Bon surf !

[avilug]

re-slt Gof

 

heu, si , en fait j'ai encore une question :

 

si je veux SUPPRIMER les répertoires créés par vaccinUSB (pour diverses raisons), comment je mis prends ? (évidemment, avant de poser la question , j'ai essayé plusieurs techniques : suppression en mode sans échec, changement des autorisations, changement des attributs, suppression depuis le live cd kaella, suppression via killbox :: rien n'a marché ... seul le déplacement du rep marche)

[Gof]

Je suis surpris que le déplacement de répertoire fonctionne, cela ne devrait pas être possible La difficulté de les supprimer permet ainsi qu'ils soient verrouillés et non supprimables ou écrasables par les infections.

 

Si tu as besoin de les supprimer, tu peux le faire avec Unlocker par exemple. Il y a des méthodes sans outils, mais c'est un peu plus compliqué.

 

Le fait de les supprimer, surtout le répertoire autorun.inf rend à nouveau le support sur lequel ils ont été supprimés vulnérable à ce type d'infections.

[avilug]

Je suis surpris que le déplacement de répertoire fonctionne, cela ne devrait pas être possible La difficulté de les supprimer permet ainsi qu'ils soient verrouillés et non supprimables ou écrasables par les infections.

 

et pourtant, ils sont bien déplaçables juste par glissement vers un autre repertoire !!!

 

Si tu as besoin de les supprimer, tu peux le faire avec Unlocker par exemple. Il y a des méthodes sans outils, mais c'est un peu plus compliqué.

unlocker a bien marché. Pour info personnelle, j'aimerai bien connaître cette méthode manuelle. En fait, le fonctionnement même d'un Unlocker est très interessant.

 

Le fait de les supprimer, surtout le répertoire autorun.inf rend à nouveau le support sur lequel ils ont été supprimés vulnérable à ce type d'infections.

oui, j'en suis conscient ... mais je déteste qu'il y ait pleins de répertoires à la racine de mes disk. c'est idiot. mais je suis un peu maniaque, question rangement des fichiers.

 

allez, là, je vais vraiment dormir ! bonne nuit, gof.

[Gof]

bonjour

 

et pourtant, ils sont bien déplaçables juste par glissement vers un autre repertoire !!!

En effet, bien vu Je n'y avais pas prêté attention. Ce n'est pas en soi un souci par rapport à la finalité de ces répertoires.

 

Pour info personnelle, j'aimerai bien connaître cette méthode manuelle. En fait, le fonctionnement même d'un Unlocker est très interessant.

Ce qui rend la suppression de ces répertoires moins aisé est le fichier qu'ils contiennent, ceux-ci étant créés via l'emploi des noms réservés Windows. Cette page du support Windows t'en dira d'avantage.

 

mais je déteste qu'il y ait pleins de répertoires à la racine de mes disk. c'est idiot. mais je suis un peu maniaque, question rangement des fichiers.

Oui, je peux le concevoir, mais c'est je crois un moindre mal. L'attribut "caché" et "système" permet de ne pas les voir s'afficher sur la plupart des systèmes des internautes (les options d'affichage n'étant pas activées par défaut). Le plus important étant le répertoire autorun.inf, tu devrais au moins conserver celui-ci sur chacune de tes partitions et lecteurs.

[avilug]

bonjour Gof,

 

j'ai un problème assez sérieux : depuis la manip de vaccination, j'ai de temps à autre un plantage dans les circonstances suivantes : j'ouvre le poste de travail, je vais sur un des lecteurs (pas que C:) , je fais un click droit et ... sablier indéfini !!! ensuite : pas d'activité de hd (juste qq secondes et arrêt de la diode), gestionnaire de tâche lançable (ctr-alt-sup) mais l'utilisation de l'UC est à 0-2%, je ne peux plus cliquer sur rien. Je peux juste terminer le processus EXPLORER.EXE et le relancer, et je retrouve un pc ok, et si je recommence cliqk droit sur etc... paf ça plante. (j'ai reussi à reproduire le bug plusieurs fois de suite : démarrage xp, je vais dans E, clik droit sur le rep adobe.exe et plantage).

 

Des fois, ça marche normalement, et impossible de refaire le plantage. bref pas clair.

 

Comme j'ai un ghost du 15 mars, c'est pas grave si faut reinstaller (juste les mises à jour à refaire ... et l'installation d'un scanner)

 

qu'en penses-tu ?

Modifié le 1 avril 2009 par avilug

[Gof]

Bonjour

 

Il n'y a pas de raisons que les répertoires vaccins créent ce genre de disfonctionnements. Quelques questions :

• Les répertoires vaccins sont présents sur les lecteurs sur lesquels le souci se présente ?
  
• As-tu depuis la vaccination inséré des lecteurs ou supports qui n'ont pas été vaccinés eux ?
  
• Avais-tu fusionné les deux fichiers REG comme je te l'avais suggéré ?
  

[avilug]

1) sur le h:, il y a TOUS les repertoires de vaccination

2) AUCUN clés/hd insérés depuis (autres que ceux désinfectés)

3) les fichiers reg ont tous 2 été appliqués

 

quand j'ai essayé de changer les autorisations, ça peux avoir eu un effet ? (je pose la question sans y croire en fait)