[resolu] Infection restorer64.exe & autres

[utena]

D'ailleurs, je me demandais si c'était également possible que mon site internet ait été infecté lui aussi ?

Il n'est plus dispo et j'ai remarqué qu'on avait ajouté des frames en fin de toutes les pages index.php et index.html...

 

Est-ce que restorer64_a.exe est du même acabit que reader_s.exe?

 

Je m'occupe de faire un scan avec Dr.Web CureIt maintenant, je reposterai le rapport dès que possible!

 

Merci beaucoup pour toute l'assistance ^^

 

 

EDIT :

 

J'en profite pour ajouter le rapport malwarebyte que je viens de faire en attendant une réponse plus tôt...

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 3005

Windows 5.1.2600 Service Pack 3

 

21/10/2009 18:51:23

mbam-log-2009-10-21 (18-51-18).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 211602

Temps écoulé: 1 hour(s), 15 minute(s), 15 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 7

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 9

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\91369937 (Trojan.FakeAlert.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\promoreg (Trojan.Dropper) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\restorer64_a (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\restorer64_a (Trojan.FakeAlert) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe cpcp.cpo bef0regiiav) Good: (Explorer.exe) -> No action taken.

 

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\Application Data\91369937 (Rogue.Multiple) -> No action taken.

 

Fichier(s) infecté(s):

C:\Documents and Settings\All Users\Application Data\91369937\91369937.exe (Trojan.FakeAlert.H) -> No action taken.

C:\WINDOWS\temp\wpv591255703227.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\moi meme\Application Data\wiaserva.log (Malware.Trace) -> No action taken.

C:\WINDOWS\temp\_ex-08.exe (Trojan.Dropper) -> No action taken.

C:\WINDOWS\temp\wpv751255137485.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\temp\wpv991255562528.exe (Trojan.Agent) -> No action taken.

C:\Documents and Settings\moi meme\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

C:\Documents and Settings\moi meme\restorer64_a.exe (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\system32\restorer64_a.exe (Trojan.FakeAlert) -> No action taken.

Modifié le 21 octobre 2009 par utena

[Apollo]

Est-ce que restorer64_a.exe est du même acabit que reader_s.exe?

 

Je ne pense pas et ne le souhaite vraiment pas!

Reader_s.exe est souvent le signe de Virut et il n'y a pas grand-chose à faire d'autre avec cette saleté que formater.

 

Tous les exécutables seraient infectés, ce qui ne semble pas être le cas ici.

 

On va voir ce que raconte DrWeb CureIt

 

Si je le fais renommer d'emblée, c'est pour ne pas installer/désinstaller/réinstaller certains outils, donc un gain de temps pour toi; moi j'ai tout le mien

 

Pour ton site, je ne peux pas te dire grand-chose car je n'y pige que dalle là-dedans; suis trop bêta pour créer un site

 

@++

[Apollo]

Bonjour,

 

Hier je n'avais pas vu ta dernière analyse MBAM, mais il est indiqué "No action taken" (Aucune action entreprise).

 

Il ne faut jamais oublier de "fixer" tout ce que MBAM détecte sinon il faut recommencer une analyse après avoir mis le logiciel à jour.

 

@+tard.

Bonne journée.

 

@++

Modifié le 22 octobre 2009 par Apollo

[Mark]

Bonjour à vous deux

 

Je voulais simplement clarifier quelques points soulevés lors de vos échanges :

 

- Reader_s.exe et restorer64_a.exe ne sont pas "liés".

 

- Reader_s.exe était lié à Virut en début d'année, mais plus maintenant. C'est à dire : Virut est souvent silencieux à présent : pas de signes dans les rapports d'outils courants. Reader_s.exe est une porte dérobée seulement (mais coriace).

 

- Virut vient rarement seul ; souvent avec une (des) porte(s) dérobée(s). On voit ces dernières mais pas Virut, avec les outils courants.

 

- Virut est connu de certains antivirus, mais pas de tous, selon la variante et la période.

 

- Virut infecte aussi les pages Web via des iFrames (fichiers .htm, .html et .php). Oh...

 

- Seul un antivirus capable peut (dans la période précise) détecter Virut.

 

- J'ai vu des infections avec restorer64_a.exe où Virut était également présent (mais ce n'est pas automatique).

 

- Virut ou pas Virut : ça dépend du crack/keygen/serial téléchargé (ou autre source) et également de l'activité de la porte dérobée, qui peut laisser entrer Virut à n'importe quel moment. Les vecteurs d'infections sont en mouvement constant.

 

==================================

 

D'après ce que je lis ici, l'hypothèse Virut n'est certainement pas exclue : réinfections, pages Web infectées via iFrames...

CureIt est généralement bon pour dépister les Viruts ; on verra. Mais il arrive qu'il ne les voit pas, selon la période et la variante. Meilleure façon de savoir donc : faire analyser quelques fichiers système sur un site spécialisé (Virus Total, VirScan, etc...). Et faire les sauvegardes (avec mises en garde pertinentes pour Virut).

 

Bonne continuation à vous deux

 

Mark

[utena]

Bonjour bonjour!

Bon hier suite à l'analyse MBAM, j'ai donc supprimé les fichiers et vidé la quarantaine après reboot, j'ai bien fait attention de tout vider avant de lancer internet et jusqu'à maintenant rien n'est réapparu...

 

Etant donné que c'est mon outil de travail (je bosse en freelance actuellement) je ne peux pas trop perdre de temps à chercher tous les virus à bord lol

J'ai voulu lancer Dr CureIt hier, mais l'analyse rapide n'étant tjs pas finie au bout d'une heure, il était tard et j'étais très fatiguée lol (mine de rien, ça fatigue de s'occuper de tout ça), donc j'ai coupé pour aller dans les bras de Morphée...

 

Donc, j'avais pensé formater aujourd'hui histoire d'eliminer l'hypothèse du virut dans la foulée lol

J'ai déjà eu Virut/ reader_s.exe le mois dernier, mais pareil j'avais formaté et tout allait bien. La chose étrange c'est que je n'ai rien téléchargé en p2p excepté un épisode d'une série chinoise que je suis toutes les semaines... Aucun crack rien (en général j'évite totalement étant donné que j'ai la plupart des originaux d'Adobe dont j'ai besoin)...

 

Comment puis-je savoir si je suis infectée par Virut? Vous avez parlé d'analyser certains fichiers système pour le savoir?

 

Merci d'avance ^_^

Modifié le 22 octobre 2009 par utena

[Apollo]

Bonjour,

 

En effet, tu peux faire analyser par une quarantaine d'antivirus l'un de ces fichiers, exemple: C:\WINDOWS\system32\svchost.exe

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\WINDOWS\system32\svchost.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

@++

[utena]

Merci pour la réponse très rapide!

 

Fichier svchost.exe reçu le 2009.10.22 10:16:54 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.10.22 -

AhnLab-V3 5.0.0.2 2009.10.22 -

AntiVir 7.9.1.42 2009.10.22 -

Antiy-AVL 2.0.3.7 2009.10.22 -

Authentium 5.1.2.4 2009.10.21 -

Avast 4.8.1351.0 2009.10.21 -

AVG 8.5.0.420 2009.10.21 -

BitDefender 7.2 2009.10.22 -

CAT-QuickHeal 10.00 2009.10.22 -

ClamAV 0.94.1 2009.10.22 -

Comodo 2689 2009.10.22 -

DrWeb 5.0.0.12182 2009.10.22 -

eSafe 7.0.17.0 2009.10.21 -

eTrust-Vet 35.1.7079 2009.10.22 -

F-Prot 4.5.1.85 2009.10.21 -

F-Secure 9.0.15300.0 2009.10.20 -

Fortinet 3.120.0.0 2009.10.22 -

GData 19 2009.10.22 -

Ikarus T3.1.1.72.0 2009.10.22 -

Jiangmin 11.0.800 2009.10.22 -

K7AntiVirus 7.10.876 2009.10.21 -

Kaspersky 7.0.0.125 2009.10.22 -

McAfee 5778 2009.10.21 -

McAfee+Artemis 5778 2009.10.21 -

McAfee-GW-Edition 6.8.5 2009.10.22 -

Microsoft 1.5202 2009.10.22 -

NOD32 4532 2009.10.22 -

Norman 6.03.02 2009.10.21 -

nProtect 2009.1.8.0 2009.10.22 -

Panda 10.0.2.2 2009.10.21 -

PCTools 4.4.2.0 2009.10.19 -

Prevx 3.0 2009.10.22 -

Rising 21.52.32.00 2009.10.22 -

Sophos 4.46.0 2009.10.22 -

Sunbelt 3.2.1858.2 2009.10.22 -

Symantec 1.4.4.12 2009.10.22 -

TheHacker 6.5.0.2.050 2009.10.22 -

TrendMicro 8.950.0.1094 2009.10.22 -

VBA32 3.12.10.11 2009.10.22 -

ViRobot 2009.10.22.2001 2009.10.22 -

VirusBuster 4.6.5.0 2009.10.21 -

Information additionnelle

File size: 14336 bytes

MD5...: e4bdf223cd75478bf44567b4d5c2634d

SHA1..: 3d70560753b0ab43252311fa85e12f36a51a5f55

SHA256: 6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a

ssdeep: 384:nrdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:jcG6xlCRaJKGOA7SH<br>J<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2509<br>timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653<br>.data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2<br>.rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882<br><br>( 4 imports ) <br>> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW<br>> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook<br>> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid<br>> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:<br>publisher....: Microsoft Corporation<br>copyright....: © Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Generic Host Process for Win32 Services<br>original name: svchost.exe<br>internal name: svchost.exe<br>file version.: 5.1.2600.5512 (xpsp.080413-2111)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.10.22 -

AhnLab-V3 5.0.0.2 2009.10.22 -

AntiVir 7.9.1.42 2009.10.22 -

Antiy-AVL 2.0.3.7 2009.10.22 -

Authentium 5.1.2.4 2009.10.21 -

Avast 4.8.1351.0 2009.10.21 -

AVG 8.5.0.420 2009.10.21 -

BitDefender 7.2 2009.10.22 -

CAT-QuickHeal 10.00 2009.10.22 -

ClamAV 0.94.1 2009.10.22 -

Comodo 2689 2009.10.22 -

DrWeb 5.0.0.12182 2009.10.22 -

eSafe 7.0.17.0 2009.10.21 -

eTrust-Vet 35.1.7079 2009.10.22 -

F-Prot 4.5.1.85 2009.10.21 -

F-Secure 9.0.15300.0 2009.10.20 -

Fortinet 3.120.0.0 2009.10.22 -

GData 19 2009.10.22 -

Ikarus T3.1.1.72.0 2009.10.22 -

Jiangmin 11.0.800 2009.10.22 -

K7AntiVirus 7.10.876 2009.10.21 -

Kaspersky 7.0.0.125 2009.10.22 -

McAfee 5778 2009.10.21 -

McAfee+Artemis 5778 2009.10.21 -

McAfee-GW-Edition 6.8.5 2009.10.22 -

Microsoft 1.5202 2009.10.22 -

NOD32 4532 2009.10.22 -

Norman 6.03.02 2009.10.21 -

nProtect 2009.1.8.0 2009.10.22 -

Panda 10.0.2.2 2009.10.21 -

PCTools 4.4.2.0 2009.10.19 -

Prevx 3.0 2009.10.22 -

Rising 21.52.32.00 2009.10.22 -

Sophos 4.46.0 2009.10.22 -

Sunbelt 3.2.1858.2 2009.10.22 -

Symantec 1.4.4.12 2009.10.22 -

TheHacker 6.5.0.2.050 2009.10.22 -

TrendMicro 8.950.0.1094 2009.10.22 -

VBA32 3.12.10.11 2009.10.22 -

ViRobot 2009.10.22.2001 2009.10.22 -

VirusBuster 4.6.5.0 2009.10.21 -

 

Information additionnelle

File size: 14336 bytes

MD5...: e4bdf223cd75478bf44567b4d5c2634d

SHA1..: 3d70560753b0ab43252311fa85e12f36a51a5f55

SHA256: 6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a

ssdeep: 384:nrdi+JmG6yqlCRaJt4RHS5LutGJae7g9VJnpWCNJbW:jcG6xlCRaJKGOA7SH<br>J<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2509<br>timedatestamp.....: 0x48025bc0 (Sun Apr 13 19:15:12 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2c00 0x2c00 6.29 48331595af9d9d52b478844a07357653<br>.data 0x4000 0x210 0x200 1.62 cbd504e46c836e09e8faabdcfbabaec2<br>.rsrc 0x5000 0x408 0x600 2.51 dcede0c303bbb48c6875eb64477e5882<br><br>( 4 imports ) <br>> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW<br>> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook<br>> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid<br>> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:<br>publisher....: Microsoft Corporation<br>copyright....: © Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Generic Host Process for Win32 Services<br>original name: svchost.exe<br>internal name: svchost.exe<br>file version.: 5.1.2600.5512 (xpsp.080413-2111)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

[utena]

J'ai fait aussi le test sur VirScan comme indiqué sur la page précédente par Mark

(que je trouve plus clair au passage)

 

VirSCAN.org Scanned Report :

Scanned time : 2009/10/22 12:32:00 (CEST)

Scanner results: tous les moteurs ont dit ne pas avoir trouvé de malware !

File Name : svchost.exe

File Size : 14336 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : e4bdf223cd75478bf44567b4d5c2634d

SHA1 : 3d70560753b0ab43252311fa85e12f36a51a5f55

Online report : http://virscan.org/report/48dad2450ba58366...074ae1326b.html

 

Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 4.5.0.8 20091022000136 2009-10-22 4.19 -

AhnLab V3 2009.10.22.01 2009.10.22 2009-10-22 1.11 -

AntiVir 8.2.1.42 7.1.6.136 2009-10-22 0.16 -

Antiy 2.0.18 20091022.3042678 2009-10-22 0.12 -

Arcavir 2009 200910201017 2009-10-20 0.03 -

Authentium 5.1.1 200910211735 2009-10-21 1.20 -

AVAST! 4.7.4 091021-0 2009-10-21 0.00 -

AVG 8.5.288 270.14.25/2450 2009-10-22 0.32 -

BitDefender 7.81008.4438653 7.28488 2009-10-22 3.84 -

CA (VET) 9.0.0.143 35.1.7078 2009-10-22 4.29 -

ClamAV 0.95.2 9920 2009-10-21 0.00 -

Comodo 3.12 2689 2009-10-22 1.32 -

CP Secure 1.3.0.5 2009.10.22 2009-10-22 0.04 -

Dr.Web 4.44.0.9170 2009.10.22 2009-10-22 5.92 -

F-Prot 4.4.4.56 20091021 2009-10-21 1.31 -

F-Secure 7.02.73807 2009.10.22.07 2009-10-22 0.04 -

Fortinet 2.81-3.120 10.973 2009-10-22 6.24 -

GData 19.8527/19.518 20091022 2009-10-22 6.31 -

ViRobot 20091021 2009.10.21 2009-10-21 0.72 -

Ikarus T3.1.01.72 2009.10.22.74226 2009-10-22 4.29 -

JiangMin 11.0.800 2009.10.22 2009-10-22 3.93 -

Kaspersky 5.5.10 2009.10.22 2009-10-22 0.07 -

KingSoft 2009.2.5.15 2009.10.22.18 2009-10-22 0.84 -

McAfee 5.3.00 5778 2009-10-21 3.36 -

Microsoft 1.5202 2009.10.22 2009-10-22 9.54 -

Norman 6.01.09 6.01.00 2009-10-21 4.01 -

Panda 9.05.01 2009.10.20 2009-10-20 1.72 -

Trend Micro 8.700-1004 6.570.01 2009-10-21 0.03 -

Quick Heal 10.00 2009.10.22 2009-10-22 1.36 -

Rising 20.0 21.52.33.00 2009-10-22 0.91 -

Sophos 3.00.1 4.46 2009-10-22 2.61 -

Sunbelt 5462 5462 2009-10-21 1.67 -

Symantec 1.3.0.24 20091021.002 2009-10-21 0.05 -

nProtect 20091022.02 5976548 2009-10-22 7.45 -

The Hacker 6.5.0.2 v00050 2009-10-21 0.76 -

VBA32 3.12.10.11 20091021.1834 2009-10-21 1.93 -

VirusBuster 4.5.11.10 10.112.75/2012369 2009-10-21 2.48 -

[Mark]

Bonjour à vous deux

 

utena : je vais te demander de faire analyser deux autres fichiers, juste pour confirmer que Virut n'est pas sur ta machine (Virus Total ou VirScan ; juste un car les deux font le même job )

 

C:\Windows\System32\userinit.exe

C:\Windows\Explorer.exe

 

Si les analyses reviennent avec zéro détections, pas nécessaire de coller les rapports ici et tu pourras respirer un peu mieux.

 

Les pages Web infectées : si c'est du iFrame Virut, ça permet la propagation de l'infection. Un collègue à nous a développé un outil pour désinfecter les fichiers .htm, .html et .php. On pourra regarder ça.

 

@+

[utena]

Bonjour bonsoir ^^

 

Voilà j'ai analysé les 2 fichiers et zéro infection!

La technicienne qui gère les serveurs va également désinfecter tous les fichiers qui sont sur mon ftp

 

J'ai refait un scan malwarebyte ainsi qu'un scan antivir et tout est nickel

Je vais tacher d'en faire un autre d'ici 2/3 jours histoire de voir.

Je vous tiendrai au courant ^^

 

 

Merci beaucoup à tous les deux en tout cas, pour votre patience et pour avoir mis vos compétences à ma disponibilité ^^

C'est vraiment très généreux d'aider des gens de façon bénévole, sur votre temps personnel ^^

 

Et j'ai oublier de commenter :

 

Pour ton site, je ne peux pas te dire grand-chose car je n'y pige que dalle là-dedans; suis trop bêta pour créer un site icon_lol.gif

Chacun son domaine et ses compétences j'imagine ^^

Je trouve que vos compétences et votre savoir sont bien plus impressionnants que de savoir concevoir un site web, personnellement..