[Résolu] Infection WORM/RJUMP.D --> Clé usb plus accéssible

[skelton]

Re je me permet de revenir vers vous, après tout les tests précédemment fais, j'ai constaté un soucis. En effet je n'arrivais plus à ouvrir certaines page web sous différents explorateurs (chrome et firefox entre autre). Je n'avais plus de connexion pour ce qui est des widget de la barre vista (fil infos notamment)....Bref j'ai redémarré tout es rentré dans l'ordre..ouf une sacré frayeur!

 

Que pensez-vous des derniers rapports?

[Gof]

Bien.

 

Encore un reste. Télécharge le fichier del.reg sur ton Bureau.

• Le fichier doit avoir cette icône :
  
• Double-clique pour l'exécuter, accepte la fusion.
  
• Supprime ensuite le fichier.
  

 

Antivir avait bien visiblement traité le fichier, il ne s'agissait que d'un reste ennuyeux. C'est à dire qu'il restait le fichier autorun.inf d'exécution automatique, qui indiquait un fichier qui n'existait plus (supprimé par Anvitir). Le souci, c'est qu'avec ta configuration Windows, ton système cherchait à exécuter ce fichier, et ne le trouvant pas, indiquait un message d'erreur. En l'état, il s'agissait d'une vieille infection se propageant par support Amovibles : Adober.exe. Rien de très alarmant, c'est juste un peu collant ; il y a des infections bien plus graves se propageant de cette manière là.

 

Outre le désagrément occasionné, et si tu as lu le sujet que je te suggérais, cette exécution automatique pourrait introduire de graves infections sur ton PC au cas où Antivir laisserait passer une infection. A ce titre, je te suggère d'appliquer les recommandations du sujet que je t'ai posté, de sorte de désactiver l'exécution automatique sur tous les supports.

Dans le cas de clés que tu es susceptible de prêter, là aussi je te recommande de les vacciner : c'est aussi expliqué dans le sujet que je t'ai donné à lire.

 

En effet je n'arrivais plus à ouvrir certaines page web sous différents explorateurs (chrome et firefox entre autre). Je n'avais plus de connexion pour ce qui est des widget de la barre vista (fil infos notamment)....Bref j'ai redémarré tout es rentré dans l'ordre..ouf une sacré frayeur!

Curieux, mais non lié aux restes que nous traitons, ni aux outils utilisés.

 

Si tout roule, je te fais désinstaller les outils que l'on a utilisés, et que tu as utilisé tout seul.

[skelton]

Bon j'ai exécuté del.reg. La clé s'ouvre toujours. A priori cela à l'air de fonctionner. Je vous remercie énormément pour votre aide. Je vais me pencher de façon plus approfondi sur le sujet que vous m'avez indiqué.

 

Dois-je supprimer tous les utilitaires que vous m'avez demander d'installer, ou je peux les laisser sur ma machine?

 

Merci encore.

[Gof]

Nous allons les désinstaller.

 

Relance USBFIX, et sélectionne l'option 4 pour le désinstaller.

 

Rends toi dans ton Menu Démarrer > Exécuter et copie-colle : combofix /u

 

Puis supprime les éléments suivants si présents :

• c:\rsit
  c:\qoobox
  C:\UsbFix
  C:\ComboFix
  

Pense à supprimer les éventuels fichiers téléchargés subsistant sur ton Bureau. Vide ta corbeille.

 

Désinstalle via ton Panneau Ajout/Suppression de programmes :

• Java™ 6 Update 3
  Java™ 6 Update 7
  

Je t'ai fait télécharger MBAM, je te suggère de le conserver. Dans sa version gratuite, il n'y a pas de modules résidents te protégeant, mais tu peux toujours le mettre à jour et effectuer des analyses ponctuellement de contrôle. Sinon, il te suffira de le désinstaller.

 

Reviens m'indiquer que tout s'est bien passé.

[skelton]

Alors j'ai désinstallé Usbfix par le choix 4, aucun pb.

 

Par contre j'ai vista du coup j'ai copié collé combofix /u dans la zone "rechercher" (Démarrer-> rechercher), mais j'ai pas trop bien compris à quoi ça sert....j'ai supprimé les raccourcis, puis j'ai supprimé le dossier C:\ComboFix.

 

J'ai également supprimer les dossiers :

 

c:\rsit

c:\qoobox

C:\UsbFix

 

Par contre pour ce qui est de :

 

Java™ 6 Update 3

Java™ 6 Update 7

 

Cela ne risque t-il pas de causer un soucis aux éventuels programme ayant besoin de Java?

Pour le moment j'attends votre réponse pour faire.

 

 

Pour MBAM, je le conserve.

 

Merci du coup de main.

[skelton]

Alors j'ai suivi le sujet sur l'infection des support USB (http://forum.zebulon.fr/infections-par-supports-amovibles-t131959.html) . J'ai procédé à la désactivation de l'autorun, puis j'ai vacciné toutes mes clés usb. Je les ai toutes branchées sur mon pc (4 au total) puis j'ai copié collé le fichier "VaccinUSB.exe" à la racine de mon lecteur C et je l'ai exécuté.

 

Une fenêtre Dos c'est ouverte me listant la liste de mes support USB ainsi que de mes partitions de disque durs. Il s'est inscrit à un moment donné aussi, comme quoi le support n'était pas prêt....Je ne sais pas si cela est normal....?

 

Un rapport à été généré. Le voici :

 

18/04/2009 - 15:48:47,40 - Vaccin USB - Gof

 

Lecteur détectés :

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 04A5-198D

Le volume dans le lecteur D s'appelle Divx Seagate

Le numéro de série du volume est 9045-4989

Le volume dans le lecteur E s'appelle Music Seagate

Le numéro de série du volume est C4C7-3A9D

Le volume dans le lecteur F s'appelle Compil Western Digital

Le numéro de série du volume est 22C9-D5A0

Le volume dans le lecteur G s'appelle Torrent Western Digital

Le numéro de série du volume est E454-8A13

Le volume dans le lecteur H s'appelle Logiciels - Jeux Samsung

Le numéro de série du volume est 581E-A900

Le volume dans le lecteur L s'appelle U3 System

Le numéro de série du volume est 977A-2C8C

Le volume dans le lecteur M s'appelle JAY USB

Le numéro de série du volume est 8658-0F2A

Le volume dans le lecteur N s'appelle JAY USB

Le numéro de série du volume est 0080-686F

Le volume dans le lecteur O s'appelle EM-DESKFF

Le numéro de série du volume est C4B4-0679

Le volume dans le lecteur P s'appelle USBDISK JU

Le numéro de série du volume est 60F6-F57A

 

Répertoires et fichiers vaccins :

 

c:\autorun.inf Present

c:\autorun.inf - Vaccin Ok

c:\adober.exe - Vaccin Ok

c:\copy.exe - Vaccin Ok

c:\comment.htt - Vaccin Ok

c:\host.exe - Vaccin Ok

c:\info.exe - Vaccin Ok

c:\msvcr71.dll - Vaccin Ok

c:\ravmon.exe - Vaccin Ok

c:\ravmon.log - Vaccin Ok

c:\sqlserv.exe - Vaccin Ok

c:\start.exe - Vaccin Ok

c:\temp.exe - Vaccin Ok

c:\temp1.exe - Vaccin Ok

c:\temp2.exe - Vaccin Ok

c:\winfile.exe - Vaccin Ok

c:\ntdelect.com - Vaccin Ok

d:\autorun.inf Present

d:\autorun.inf - Vaccin Ok

d:\adober.exe - Vaccin Ok

d:\copy.exe - Vaccin Ok

d:\comment.htt - Vaccin Ok

d:\host.exe - Vaccin Ok

d:\info.exe - Vaccin Ok

d:\msvcr71.dll - Vaccin Ok

d:\ravmon.exe - Vaccin Ok

d:\ravmon.log - Vaccin Ok

d:\sqlserv.exe - Vaccin Ok

d:\start.exe - Vaccin Ok

d:\temp.exe - Vaccin Ok

d:\temp1.exe - Vaccin Ok

d:\temp2.exe - Vaccin Ok

d:\winfile.exe - Vaccin Ok

d:\ntdelect.com - Vaccin Ok

e:\autorun.inf Present

e:\autorun.inf - Vaccin Ok

e:\adober.exe - Vaccin Ok

e:\copy.exe - Vaccin Ok

e:\comment.htt - Vaccin Ok

e:\host.exe - Vaccin Ok

e:\info.exe - Vaccin Ok

e:\msvcr71.dll - Vaccin Ok

e:\ravmon.exe - Vaccin Ok

e:\ravmon.log - Vaccin Ok

e:\sqlserv.exe - Vaccin Ok

e:\start.exe - Vaccin Ok

e:\temp.exe - Vaccin Ok

e:\temp1.exe - Vaccin Ok

e:\temp2.exe - Vaccin Ok

e:\winfile.exe - Vaccin Ok

e:\ntdelect.com - Vaccin Ok

f:\autorun.inf Present

f:\autorun.inf - Vaccin Ok

f:\adober.exe - Vaccin Ok

f:\copy.exe - Vaccin Ok

f:\comment.htt - Vaccin Ok

f:\host.exe - Vaccin Ok

f:\info.exe - Vaccin Ok

f:\msvcr71.dll - Vaccin Ok

f:\ravmon.exe - Vaccin Ok

f:\ravmon.log - Vaccin Ok

f:\sqlserv.exe - Vaccin Ok

f:\start.exe - Vaccin Ok

f:\temp.exe - Vaccin Ok

f:\temp1.exe - Vaccin Ok

f:\temp2.exe - Vaccin Ok

f:\winfile.exe - Vaccin Ok

f:\ntdelect.com - Vaccin Ok

g:\autorun.inf Present

g:\autorun.inf - Vaccin Ok

g:\adober.exe - Vaccin Ok

g:\copy.exe - Vaccin Ok

g:\comment.htt - Vaccin Ok

g:\host.exe - Vaccin Ok

g:\info.exe - Vaccin Ok

g:\msvcr71.dll - Vaccin Ok

g:\ravmon.exe - Vaccin Ok

g:\ravmon.log - Vaccin Ok

g:\sqlserv.exe - Vaccin Ok

g:\start.exe - Vaccin Ok

g:\temp.exe - Vaccin Ok

g:\temp1.exe - Vaccin Ok

g:\temp2.exe - Vaccin Ok

g:\winfile.exe - Vaccin Ok

g:\ntdelect.com - Vaccin Ok

h:\autorun.inf Present

h:\autorun.inf - Vaccin Ok

h:\adober.exe - Vaccin Ok

h:\copy.exe - Vaccin Ok

h:\comment.htt - Vaccin Ok

h:\host.exe - Vaccin Ok

h:\info.exe - Vaccin Ok

h:\msvcr71.dll - Vaccin Ok

h:\ravmon.exe - Vaccin Ok

h:\ravmon.log - Vaccin Ok

h:\sqlserv.exe - Vaccin Ok

h:\start.exe - Vaccin Ok

h:\temp.exe - Vaccin Ok

h:\temp1.exe - Vaccin Ok

h:\temp2.exe - Vaccin Ok

h:\winfile.exe - Vaccin Ok

h:\ntdelect.com - Vaccin Ok

l:\autorun.inf Present

m:\autorun.inf Present

m:\autorun.inf - Vaccin Ok

m:\adober.exe - Vaccin Ok

m:\copy.exe - Vaccin Ok

m:\comment.htt - Vaccin Ok

m:\host.exe - Vaccin Ok

m:\info.exe - Vaccin Ok

m:\msvcr71.dll Present

m:\msvcr71.dll - Vaccin Ok

m:\ravmon.exe - Vaccin Ok

m:\ravmon.log - Vaccin Ok

m:\sqlserv.exe - Vaccin Ok

m:\start.exe - Vaccin Ok

m:\temp.exe - Vaccin Ok

m:\temp1.exe - Vaccin Ok

m:\temp2.exe - Vaccin Ok

m:\winfile.exe - Vaccin Ok

m:\ntdelect.com - Vaccin Ok

n:\autorun.inf - Vaccin Ok

n:\adober.exe - Vaccin Ok

n:\copy.exe - Vaccin Ok

n:\comment.htt - Vaccin Ok

n:\host.exe - Vaccin Ok

n:\info.exe - Vaccin Ok

n:\msvcr71.dll - Vaccin Ok

n:\ravmon.exe - Vaccin Ok

n:\ravmon.log - Vaccin Ok

n:\sqlserv.exe - Vaccin Ok

n:\start.exe - Vaccin Ok

n:\temp.exe - Vaccin Ok

n:\temp1.exe - Vaccin Ok

n:\temp2.exe - Vaccin Ok

n:\winfile.exe - Vaccin Ok

n:\ntdelect.com - Vaccin Ok

o:\autorun.inf Present

o:\autorun.inf - Vaccin Ok

o:\adober.exe - Vaccin Ok

o:\copy.exe - Vaccin Ok

o:\comment.htt - Vaccin Ok

o:\host.exe - Vaccin Ok

o:\info.exe - Vaccin Ok

o:\msvcr71.dll - Vaccin Ok

o:\ravmon.exe - Vaccin Ok

o:\ravmon.log - Vaccin Ok

o:\sqlserv.exe - Vaccin Ok

o:\start.exe - Vaccin Ok

o:\temp.exe - Vaccin Ok

o:\temp1.exe - Vaccin Ok

o:\temp2.exe - Vaccin Ok

o:\winfile.exe - Vaccin Ok

o:\ntdelect.com - Vaccin Ok

p:\autorun.inf - Vaccin Ok

p:\adober.exe - Vaccin Ok

p:\copy.exe - Vaccin Ok

p:\comment.htt - Vaccin Ok

p:\host.exe - Vaccin Ok

p:\info.exe - Vaccin Ok

p:\msvcr71.dll - Vaccin Ok

p:\ravmon.exe - Vaccin Ok

p:\ravmon.log - Vaccin Ok

p:\sqlserv.exe - Vaccin Ok

p:\start.exe - Vaccin Ok

p:\temp.exe - Vaccin Ok

p:\temp1.exe - Vaccin Ok

p:\temp2.exe - Vaccin Ok

p:\winfile.exe - Vaccin Ok

p:\ntdelect.com - Vaccin Ok

 

Examen fonctions Autorun BDR :

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun REG_DWORD 0xff

 

 

18/04/2009 - 15:49:43,09 : Fin.

 

 

A priori tout semble indiqué que la vaccination à fonctionné. Cependant, j'ai activé la visibilité des fichiers cachés dans vista, et je n'aperçois pas sur mes supports et disques durs, les dossiers crées, est ce normal?

[Gof]

Re

 

Cela ne risque t-il pas de causer un soucis aux éventuels programme ayant besoin de Java?

Non, car il s'agit de versions anciennes, toujours présentes, malgré la présence de la version à jour : Java™ 6 Update 13

Les conserver introduit des vulnérabilités sur le système.

 

J'ai procédé à la désactivation de l'autorun

Très bien

Comme indiqué dans le sujet, en plus de la désactivation via le fichier REG, il faut doubler le coup, sous Vista, en désactivant si ce n'est pas le cas l'exécution automatique via le Panneau de configuration > Exécution automatique.

 

Une fenêtre Dos c'est ouverte me listant la liste de mes support USB ainsi que de mes partitions de disque durs. Il s'est inscrit à un moment donné aussi, comme quoi le support n'était pas prêt....Je ne sais pas si cela est normal....?

Oui, pas de soucis. Il ne faut pas tenir compte de ce qui s'inscrit dans la fenêtre noire de l'invite de commandes, uniquement tenir compte du fichier texte généré.

 

Cependant, j'ai activé la visibilité des fichiers cachés dans vista, et je n'aperçois pas sur mes supports et disques durs, les dossiers crées, est ce normal?

Je pense que tu as omis de décocher les options Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation en plus de l'affichage des fichiers et dossiers cachés.

[skelton]

Merci Gof Tu avais raison, je n'avais pas fais afficher les fichiers système, mais juste les cachés.

Du coup j'ai bien les dossiers en questions qui ont été copié par le vaccin. Ils sont dans mes 4 clés usb, et mes 6 partitions de disques dur. J'ai fait de même sur l'ordi de ma femme. Tout est nikel!

 

J'ai installé également le .reg qui empêche un virus de réactiver la fonction autorun.

 

Concernant les updates de Java (3 et 7) tout est supprimé sans soucis.

 

Pour le moment je pense que tout marche correctement, à part un processus hôte qui se stoppe au démarrage du pc puis le aero qui se stoppe et se réactive aussi au démarrage.

 

Merci encore pour ton aide, hier soir après les crash des programmes, j'ai bien cru devoir passé au formatage!

 

Dernière chose, par curiosité personnelle, tu es visiblement très bon dans la sécurité, tu es développeur, ingénieur? Perso je suis jeune diplômé ingénieur multimédia à la recherche d'un job (merci la crise).

 

Bref en tout cas belle maitrise.

[Gof]

J'ai installé également le .reg qui empêche un virus de réactiver la fonction autorun.

Pas tout à fait. En fait, le fichier REG désactive la fonction, mais n'empêche pas une éventuelle infection de l'activer. Pour aller plus loin, il est possible d'inhiber totalement la fonction autorun. C'est à dire que, même si une infection réactive la fonction, elle est malgré tout détournée par tes soins et ne pourra être exploitée. Ce post synthétique du sujet que je t'avais précédemment suggéré de le lire y fait mention.

 

C'est l'ensemble des mesures qui est efficace

 

Antivir (ou un autre antivirus) doit réagir à la présence d'un fichier infectieux sur un support. Le fait que l'autorun soit désactivé empêchera son exécution, ce qui laissera le temps à l'antivirus de traiter l'infection sans risquer de s'infecter auparavant. Les "vaccins" permettront simplement de court-circuiter le mécanisme de propagation de l'infection si jamais tu prêtes une clé et qu'elle revient infectée, mais ils n'empêcheront pas la clé de s'infecter par certaines variantes. Là aussi le rôle d'Antivir est important, car il faudra qu'il réagisse si la clé est infectée.

 

Content que tout aille pour le mieux ; les infections se propageant par supports amovibles peuvent être de toute nature, leur seul point commun est ce vecteur de propagation, mais certaines sont très très délicates à traiter. Il vaut mieux s'en prémunir en amont, plutôt que de lutter une fois le mal fait.

 

Pour le moment je pense que tout marche correctement, à part un processus hôte qui se stoppe au démarrage du pc puis le aero qui se stoppe et se réactive aussi au démarrage. Merci encore pour ton aide, hier soir après les crash des programmes, j'ai bien cru devoir passé au formatage!

Il est rare qu'il soit nécessaire de formater suite à une infection. Lorsque cela est nécessaire, on le dit sans fioritures, comme par exemple dans le cas d'infections de type Virut (se propageant aussi incidemment par supports amovibles).

 

Dernière chose, par curiosité personnelle, tu es visiblement très bon dans la sécurité, tu es développeur, ingénieur? Perso je suis jeune diplômé ingénieur multimédia à la recherche d'un job (merci la crise).

Je suis un bénévole passionné, mais mon métier n'a rien à voir avec l'informatique. As-tu vu qu'il y avait des sous-forums Emploi sur Zebulon ? => Emplois Informatique. En tout cas bonne chance dans ta recherche d'emplois.

 

A mon tour de te demander un service. Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints.

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://malwarecomplaints.info/phpBB3/viewt...p?f=10&t=50

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://malwarecomplaints.info/phpBB3/viewf...d=d&start=0

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

Tu étais pour ta part infecté par une infection se propageant par supports amovibles que Antivir a traité immédiatement. Nous n'avons fait que nettoyer un "reste", et sécuriser un peu plus le système face à ce type de menaces

 

Si tu n'as pas de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".

 

Je suis abonné à ce sujet, et serais averti de tous types de réponses dans celui-ci. En cas de soucis, tu peux revenir poster ici.

 

Bon surf !

[skelton]

Vola je me suis inscrit sur Malware Complaints et j'ai laissé mon témoignage.

 

Merci pour tout Gof

 

Je marque le sujet comme Résolu.

 

Bonne soirée.