[Résolu] Infections multiples

[Le sioux]

Hello PatOtj

 

Il y manque une clef USB, qui est restée au bureau et surlaquelle NOD32 a fortement réagit tout à l'heure : 3 virus dont le fameux autorun.inf

 

* Il faudra faire cette même manip avec UsbFix pour la clef oubliée au taff

 

* Peux tu faire comme demandé dans le rapport d'UsbFix ce qui suit :

 

Veuillez envoyer le fichier : C:\DOCUME~1\Babel\Bureau\UsbFix_Upload_Me_BABEL-452C2D6EF.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

Merci pour votre contribution .

 

* Peux tu vérifier si ce fichier est présent K:\SEVERINA//aleluja.exe car il est marqué comme Non supprimé ! par l'outil, on l'éliminera avec OTM sinon .

 

Sauf avis contraire de ta part d'ici là, je relancerais Kapersky cette nuit

* Supprime C:\_OTM ensuite, tu peux le faire c'est un peu du luxe, mais on sera fixé.

 

@ suivre.

[PatOtj]

Ok pour la clef du taf ce WE

 

J'avais déjà envoyé le rapport sur le forum en question aussi

 

Je ne vois pas K:\SEVERINA//aleluja.exe mais c'éatit un de ceux détecté aussi par NOD32 sur ma clef USB au boulot et il était aussi "invisible" donc il est possible qu'il soit "camouflé"

[Le sioux]

Re

 

Il est en effet possible que tu aies besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés".

Aide toi de B ) ici http://forum.pcastuces.com/sujet.asp?f=25&s=3902 .

Dis moi ce qu'il en est.

 

Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bêtises

 

@ suivre

Modifié le 24 septembre 2009 par Le sioux

[PatOtj]

j'avais déjà l'option "activer les fichiers caché"

 

J'ai repassé une couche de USBFix avec ma clef du taf connactée et il n'a plus rien trouvé

 

J'ai relancé Kapersky online et il n'a plus rien, trouvé non plus

 

voic son rapport :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Saturday, September 26, 2009

Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Friday, September 25, 2009 17:48:50

Records in database: 2919464

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

K:\

 

Scan statistics:

Objects scanned: 204078

Threats found: 0

Infected objects found: 0

Suspicious objects found: 0

Scan duration: 08:41:31

 

No threats found. Scanned area is clean.

 

Selected area has been scanned.

[Le sioux]

Salut PatOtj

 

-- Pour USBFix

 

Cet outil est mis à jours régulièrement, on va supprimer cette version, s'il s'avère que tu en ais besoin dans le futur, autant installer une version à jour :

• Double-clique sur le raccourci UsbFix présent sur ton bureau
  
• Au menu principal choisis l'option " F " pour français et tape sur [Entrée] .
  
• Au second menu Choisis l'option " 5 " ( Désinstaller ) et tape sur [Entrée]
  
• Fais redémarrer ton PC puis supprime le dossier en gras C:\UsbFix
  

De la doc à lire et à appliquer :Infection par supports amovibles (clefs usb, flash, DD externes ..)

http://forum.zebulon.fr/infections-par-sup...es-t131959.html

http://forum.malekal.com/viewtopic.php?f=45&t=5544

 

-- On va donc pouvoir conclure si tout es OK, est ce bien le cas ?

 

@ suivre car il reste des conseils de sécurité à appliquer.

[PatOtj]

OK pour la désinstallation de UsbFix

 

Pour le reste, je vois encore 2 "petits" soucis :

 

1. L'alerte sécurité Windows qyui m'indique qu'antivir ne se met pas à jour automatiquement ! En fait il est à jour suite à une demande de mise à jour "manuelle" de ma part mais je ne sais pas ce que ça va donner les prochains jours !?

 

2. la fermeture de Windows est tres tres longue et ce n'était pas le cas dans le courant de la semaine

 

Le mode sans échec refonctionne correctement

 

J'aimerais aussi savoir la suite à donner (si nécessaire) sur les autres machines de mon réseau où les scan antivirus et malwarebytes n'indiquent rien d'anormal sachant que mes clefs USB son passée d'une à l'autre dont certaines machines sous UBUNTU

[Le sioux]

Bonsoir PatOtj

 

OK pour la désinstallation d'UsbFix.

 

1. L'alerte sécurité Windows qyui m'indique qu'antivir ne se met pas à jour automatiquement ! En fait il est à jour suite à une demande de mise à jour "manuelle" de ma part mais je ne sais pas ce que ça va donner les prochains jours !?

Essaie cela :

Ouvre le Bloc-Notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Shell Folders]

"Common AppData"="C:\\ProgramData"

/!\ Important : Windows Registry Editor Version 5.00 doit être sur la toute 1ere ligne sinon le fix ne fonctionnera pas. /!\

 

Puis "Fichier"/"Enregistrer sous" :

dans : sur le Bureau

Nom du fichier : Update.reg

Type de fichier : "Tous les fichiers"

Clique sur "Enregistrer"

 

/!\ Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"./!\

• Clique droit sur le Update.reg sur ton Bureau et "Exécuter en tant qu'administrateur"
  
• Tu dois obligatoirement avoir un message "Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
  
• Si c'est bien le cas, clique sur "Oui"
  

Fais redémarrer ton PC et dis moi si Antivir veut bien se mettre à jour à présent.

 

2. la fermeture de Windows est tres tres longue et ce n'était pas le cas dans le courant de la semaine

Regarde ici à "Arrêt très lent du système"

 

Le mode sans échec refonctionne correctement

Une bonne chose de faite.

 

J'aimerais aussi savoir la suite à donner (si nécessaire) sur les autres machines de mon réseau où les scan antivirus et malwarebytes n'indiquent rien d'anormal sachant que mes clefs USB son passée d'une à l'autre dont certaines machines sous UBUNTU

Pour les PCs sous Ubuntu,pas de soucis, pour les autres, tu ^peux verifier avec UsbFix, option recherche et me transmettre les rapports, je te dirai si l'option 2 suppression est nécessaire.

 

@ suivre.

[PatOtj]

Pour le fix en .reg, il s'est bien incorporé au registre, mais riçen n'a changé au redémarrage

 

Pour les lenteurs à l'arrêt, ça ne le fait plus pour le moment mais j'irais vérifier plus tard les différentes pistes recommandées dans le lien que tu m'a transmis

 

Pour les autres PC sous UBUNTU, je savais que eux ne risquaient rien, mais j'avais un doute sur leur comportement en tant que "porteur sain" à savoir s'ils pouvaient juste propager le "virus" sans pour autant en "souffrir" eux-m^me !? (au m^me titre que certains humains peuvent être immunisé contre certaines maladies mais rester un vecteur de transmission à d'autres !)

 

Pour le dernier PC sous Windows XP, voici le log de USBFix :

 

 

############################## | UsbFix V6.036 |

 

User : Cecile (Administrateurs) # ZOE-2

Update on 21/09/2009 by Chiquitine29, C_XX & Chimay8

Start at: 10:56:35 | 27/09/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

AMD Athlon processor

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : avast! antivirus 4.8.1351 [VPS 090926-1] 4.8.1351 [ Enabled | Updated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 128 Go (111,33 Go free) # NTFS

D:\ -> Disque CD-ROM

E:\ -> Disque amovible # 1009,45 Mo (975,52 Mo free) [uSB EIFFAGE] # FAT

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

 

################## | Fichiers # Dossiers infectieux |

 

Supprimé ! E:\autorun.inf

 

################## | Registre # Clés Run infectieuses |

 

 

################## | Registre # Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\{17d77090-84e4-11de-8b17-000e2ea6ff6b}\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[14/03/2009 21:32|--a------|0] C:\AUTOEXEC.BAT

[14/03/2009 21:24|---hs----|212] C:\boot.ini

[28/09/2001 14:00|-rahs----|4952] C:\Bootfont.bin

[14/03/2009 21:32|--a------|0] C:\CONFIG.SYS

[?|?|?] C:\hiberfil.sys

[14/03/2009 21:32|-rahs----|0] C:\IO.SYS

[14/03/2009 21:32|-rahs----|0] C:\MSDOS.SYS

[03/08/2004 23:38|-rahs----|47564] C:\NTDETECT.COM

[14/03/2009 21:49|-rahs----|252240] C:\ntldr

[?|?|?] C:\pagefile.sys

[27/09/2009 10:59|--a------|2435] C:\UsbFix.txt

[28/08/2008 16:36|--a------|64] E:\valkirie-wpa.txt

[24/09/2009 18:04|--a------|1232175] E:\UsbFix.exe

[01/09/2009 16:12|--a------|19739] E:\AccessEnt6095.rtf

[06/09/2009 20:52|--a------|33961728] E:\avira_antivir_personal_en.exe

[20/09/2009 13:01|--a------|308160] E:\avast_home_setup.exe

 

################## | Vaccination |

 

# C:\autorun.inf -> Folder created by UsbFix.

# E:\autorun.inf -> Folder created by UsbFix.

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\DOCUME~1\Cecile\Bureau\UsbFix_Upload_Me_ZOE-2.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.036 ! |

 

Ce qui me semble étonnant à lire ce rapport, c'est que c'est de nouveau une de mes clefs précédement nettoyée par USBFix qui semble infectée !!!

 

Je n'ai pas su envoyé le rapport directement à l'adresse indiquée car la connection WiFi n'était pas opérationnelle suite au reboot via USBFix ! Dois-je l'envoyer d'ici ?

[Le sioux]

Bonsoir PatOtj

 

Ce qui me semble étonnant à lire ce rapport, c'est que c'est de nouveau une de mes clefs précédement nettoyée par USBFix qui semble infectée !!!

Tu parles de la clef USB E:

Supprimé ! E:\autorun.inf ?

 

Pour les PCs sous Ubuntu, no soucis à mon sens, pas de porteur sain .

 

Pour le fix en .reg, il s'est bien incorporé au registre, mais riçen n'a changé au redémarrage

Vérifie via menu Démarrer que le service Avira AntiVir Scheduler (AntiVirSchedulerService) soit bien Démarré et que dans Type de démarrage cela soit bien en "Automatique"

 

Pour

 

Je n'ai pas su envoyé le rapport directement à l'adresse indiquée car la connection WiFi n'était pas opérationnelle suite au reboot via USBFix ! Dois-je l'envoyer d'ici ?

Retente de nouveau de l'envoyer ici --> http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

C'est pour le créateur de l'outil UsbFix, cela aide à faire avancer les choses.

Merci.

 

@ suivre.

[PatOtj]

Vérifie via menu Démarrer que le service Avira AntiVir Scheduler (AntiVirSchedulerService) soit bien Démarré et que dans Type de démarrage cela soit bien en "Automatique"

 

Je ne trouve rien dans Démarrer/Tous les programmes/Démarrage ... la boite est vide