Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu grâce à vous tous] Worms : Malwarebytes' les a détectés et

nanotek

Par nanotek
dans Sécurisation, prévention

 Partager

Messages recommandés

nanotek Mega Power Member

nanotek

Posté(e)
Posté(e) (modifié)

Bonjour,

J'ai reçu en cadeau les petites bêtes ci-dessous, repérées par MBAM, mises en 40-Taine et supprimées.

Pourquoi Kaspersky n' a t-il rien vu ?

Peut-être l'un d'entre vous aurait une explication ?

Elle serait la bienvenue

 

Liste des petites bêtes qui ont trouvé un nid en 27 endroits :

PASSE 1 - Malwarebytes' Anti-Malware 1.40

Fichier(s) infecté(s): 14

C:\Documents and Settings\pc\Application Data\MSNInstaller\msnauins.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\ServicePackFiles\i386\digcore.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\ServicePackFiles\i386\msncli.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\ServicePackFiles\i386\msnsusii.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\ServicePackFiles\i386\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\ServicePackFiles\i386\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\SoftwareDistribution\Download\513d22035389d6ef1cfe7e977f591f5380a0930d (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dllcache\netsetup.exe (Worm.Autorun) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dllcache\wextract.exe (Worm.Autorun) -> Quarantined and deleted successfully.

E:\CD WINDOWS XP SP2 Home\VX2HOEM_FR (D)\I386\NETSETUP.EXE (Worm.Autorun) -> Quarantined and deleted successfully.

E:\CD WINDOWS XP SP2 Home\VX2HOEM_FR (D)\SUPPORT\TOOLS\FASTWIZ.EXE (Worm.Autorun) -> Quarantined and deleted successfully.

E:\CD WINDOWS XP SP2 Home\VX2HOEM_FR (D)\SUPPORT\TOOLS\MSRDPCLI.EXE (Worm.Autorun) -> Quarantined and deleted successfully.

-------------------------------------------------------------------------------------------------------------

PASSE 2 Malwarebytes' Anti-Malware 1.40

Fichier(s) infecté(s): 13

C:\System Volume information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135688.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135689.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135690.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135691.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135692.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135693.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135694.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135695.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135696.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135697.exe

(Worm.Autorun) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135698.EXE

(Worm.Autorun) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135699.EXE

(Worm.Autorun) -> Quarantined and deleted successfully.

E:\System Volume Information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135700.EXE

(Worm.Autorun) -> Quarantined and deleted successfully.

 

FIN de la liste

Modifié par nanotek

Tibonhomme Full Patch Member

Tibonhomme

Posté(e)
Posté(e)

Bonsoir nanotek,

 

Pour ce qui se trouve maintenant dans :

C:\System Volume information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\

Il s'agit des fichiers de restauration.

Pour recréer un point de restauration propre :

Clic droit sur le Poste de travail / Propriétés / onglet Restauration du système.

Coche la case Désactiver la restauration du système sur tous les lecteurs puis clique sur Appliquer puis OK.

Retourne dans la même fenêtre, décoche la case Désactiver la restauration du système sur tous les lecteurs puis Appliquer (en face de chaque partition doit être indiqué Surveillance) puis OK.

 

Pour ce qui est en quarantaine de MBAM, pas de souci, ces fichiers sont maintenant inoffensifs.

 

Ma question porterait plutôt sur ceci :

E:\CD WINDOWS XP SP2 Home\VX2HOEM_FR (D)\I386\NETSETUP.EXE (Worm.Autorun) -> Quarantined and deleted successfully.

E:\CD WINDOWS XP SP2 Home\VX2HOEM_FR (D)\SUPPORT\TOOLS\FASTWIZ.EXE (Worm.Autorun) -> Quarantined and deleted successfully.

E:\CD WINDOWS XP SP2 Home\VX2HOEM_FR (D)\SUPPORT\TOOLS\MSRDPCLI.EXE (Worm.Autorun) -> Quarantined and deleted successfully

Qu'est-ce que ce CD XP HOME SP2, d'où sort-il? Comment a-t-il été créé?

 

Cordialement

:P

nanotek Mega Power Member

nanotek

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Thorgal,

Thorgal, tu es sioux, tu a vu tout de suite. Et puis Kaspersky, c'est des copains, je leur demande ce que je veux...

 

bonjour Tibonhomme,

1 - Le CD XP est une copie de mon CD d'install (sorti boutique). J'en ai fait une copie sur mon DD au cas où le CD physique s'abîmerait.

2 - Je ne comprends pas très bien la manip, (je coche une case, puis je la décoche) mais elle doit avoir une utilité ?

Tu m'expliques ?

Modifié par nanotek
thorgal Devil Member !

thorgal

Posté(e)
Posté(e)

Salut !

 

L'histoire de la case à cocher est pour supprimer toutes tes restaurations qui ont l'air d'être infectées. Puis tu la décoches pour recréer une autre restauration. C'est tout simple.

 

Bonne journée...

Tibonhomme Full Patch Member

Tibonhomme

Posté(e)
Posté(e)

Bonjour nanotek, thorgal,

 

Comme vient de l'expliquer thorgal, cocher la case supprime tous les points de restauration existants. Il vaut mieux, car ils sont infectés.

Décocher permet de recréer un nouveau point de restauration propre (à compter qu'il n'y ait plus d'infection).

 

La copie de ton cd XP SP2 que tu as créée est infectée. Supprime-la.

Et puis Kaspersky, c'est des copains, je leur demande ce que je veux...

Lorsque Kaspersky t'indique la présence d'une infection potentielle, il est préférable de suivre les recommandations plutôt que de décider de passer outre. Sinon, à quoi sert de posséder une suite de sécurité...? :P

 

Cordialement

:P

nanotek Mega Power Member

nanotek

Posté(e)
  • Auteur
Posté(e)

Bonjour à tous les deux

C'est fait, grand merci.

Mais la copie de mon CD XP (que j'ai virée) était encore infectée ? La mise en quarantaine et la suppression par MBAM, à quoi est-ce utile ?

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Pour information, j'ai aussi ces fichiers dans C:\WINDOWS\ServicePackFiles\i386\ et dans C:\WINDOWS\system32\ Ils sont sains.

 

nanotek, tu es sûr qu'il ne s'agit pas de faux positifs?

 

Voir ceci par exemple pour wextract.exe: http://www.malwarebytes.org/forums/index.p...c=22115&hl=

 

Avec cette (mauvaise) habitude de mettre les fichiers en quarantaine ou pire les supprimer à ma moindre découverte, vous finirez par avoir de gros problèmes.

 

Salut.

Modifié par Sacles
Tibonhomme Full Patch Member

Tibonhomme

Posté(e)
Posté(e)
La mise en quarantaine et la suppression par MBAM, à quoi est-ce utile ?

A pouvoir restaurer, le cas échéant, les fichiers si ceux-ci s'avèrent être des faux-positifs (cf message de Sacles).

 

Ne jamais vider la quarantaine avant de s'être assuré de la réalité de l'infection et de la bonne marche de l'ordinateur.

 

:P

Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

Re,

 

Quant aux points de restauration prétendument infectés, pourquoi vouloir aussi les supprimer à la moindre découverte? Ce sont des fichiers cryptés source de faux positifs.

 

Temporisons, temporisons. Pas d'affolement inutile, pas de passivité non plus. Un conseil: se renseigner.

 

Supprimer, mettre en quarantaine plus vite que son ombre sont, de mon point de vue, de mauvaises habitudes.

 

Salut.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...