[Résolu] Infection sécurity tool

[mulette]

Je vais faire une dépression... Il trouve encore des fichiers infectés!!!

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Tuesday, November 17, 2009

Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Tuesday, November 17, 2009 13:03:19

Records in database: 3228964

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

 

Scan statistics:

Objects scanned: 64207

Threats found: 8

Infected objects found: 25

Suspicious objects found: 0

Scan duration: 01:02:30

 

 

File name / Threat / Threats count

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan.Win32.Regrun.bpz 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan.Win32.Regrun.buu 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan.Win32.Regrun.crk 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan.Win32.Regrun.dgg 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan-Downloader.Win32.Agent.ckkd 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan.Win32.Buzus.clfy 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Inbox Infected: Trojan.Win32.VB.yfw 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Junk Infected: Trojan.Win32.Regrun.buu 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Junk Infected: Trojan.Win32.Regrun.dgg 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Trash Infected: Trojan.Win32.Buzus.clfy 1

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Trash Infected: Trojan.Win32.VB.yfw 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS10.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS2.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS2C.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS4.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS4E.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS5A.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS6.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS7.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zS8.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zSA5.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zSB3.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zSB9.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Documents and Settings\DC\Local Settings\Temp\7zSC7.tmp\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

C:\Program Files\OLBSOS\OLBSOS.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 1

 

Selected area has been scanned.

[Apollo]

Rebonjour,

 

Il n'y a pas de quoi s'affoler; compacte les dossiers dans Thunderbird après avoir vidé la boîte de réception: http://www.geckozone.org/articles/2006/07/...rd-et-seamonkey

 

On dirait qu'ATF Cleaner n'a pas nettoyé tous les temporaires; on va le faire avec OTM:

 

OTM

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA: clic droit: exécuter en temps qu'administrateur.
   
  Vérifie que la case Unregister Dll's and OCX's.exe soit bien cochée!
   
  
• Copie l'entièreté du code ci-dessous (depuis :Processes)
  

  :Processes
  
  explorer.exe
  
  :Commands
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

-------------------------

On fera alors un scan qui va nettoyer, celui de Kasper en ligne ne le faisant pas...

 

@++

[mulette]

après avoir vidé la boîte de réception???

c'est à dire?

Modifié le 17 novembre 2009 par mulette

[Apollo]

A moins d'avoir des emails très importants dans la boîte de réception de Thunderbird, vider la boîte veut dire supprimer ces emails, tout simplement.

 

Puis après, vide la corbeille de Thunderbird >

 

Ensuite effectuer le compactage des dossiers comme expliqué plus haut.

[mulette]

Bon ben ce ne sera pas pour tout de suite, j'ai une 100aine de mails à classer...

Non je ne peux pas les effacer, ce sont tous des mails importants (gestion d'associations à grosses responsabilités, d'étudiants, et mon boulot..)

J'essaye de faire ça le plus vite.

NB j'archive les mails dans des sous dossiers de ma boite de réception... Ça ira? Parce que là j'en ai des centaines et des centaines...

Merci Apollo

Modifié le 17 novembre 2009 par mulette

[Apollo]

Ok, on peut quand-même faire l'autre analyse avec Eset Nod32 cette fois.

 

Il faut choisir l'option "Remove found threats" et cocher la case "Scan archives".

 

Le scan doit être fait avec Explorer uniquement car il y a un active X à installer.

Il faut également désactiver le "guard" d'Antivir pendant la durée de l'analyse > clic droit sur l'icône de barre des tâches d'Antivir et suspendre la protection du bouclier "guard". ( à réactiver après le scan).

 

A la fin un rapport est disponible, le poster dans ta réponse stp.

 

http://www.eset.com/onlinescan/

 

 

@++

[mulette]

Si je me lance dans le nettoyage thunderbird... ça change quelque chose?

[Apollo]

Re,

 

De toutes façons il vaut mieux compacter les dossiers, (ce qui supprime définitivement les emails déjà supprimés de la boite) ceci afin de récupérer de l'espace disque. Il faut le faire avec tous les dossiers de Thunderbird.

 

Compacter ne veut pas dire compresser dans Thunderbird, mais supprimer définitivement.

 

As-tu déjà procédé avec OTM, pour nettoyer les Temp?

 

Le scan en ligne est nécessaire également. Si un ou plusieurs emails sont infectés, ils devraient être supprimés.

 

Il existe des antivirus non-résidents qui sont très efficaces mais leurs analyses sont très longues vu qu'il vont fouiller dans tous les recoins du pc.

 

A toi de décider, il y a AVP Tool de Kaspersky ou DrWeb Cureit.

Si AVP Tool devait être utilisé, il vaut mieux le lancer pendant la nuit; il travaillera tout seul en mode sans échec.

 

Mais c'est vraiment la grosse artillerie; peut-être qu'Eset en ligne pourra faire l'affaire. Je suis quand-même étonné qu'Antivir ne détecte pas ce qu Kaspersky a vu.

 

@++

Modifié le 17 novembre 2009 par Apollo

[mulette]

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Junk multiple threats contained infected files

C:\Documents and Settings\DC\Application Data\Thunderbird\Profiles\ted8i6u1.default\Mail\pop.yahoo.fr\Trash multiple threats contained infected files

 

Je suis entrain de faire le tri dans mes messages pour te permettre de faire l'étape précédente.

 

Bonne soirée...

[mulette]

Pardon, j m'étais mal exprimée: je te demandais si je devais prendre le temps de vider la les boites de réception de mes boites mail pour utiliser OTM.

Ce que je viens de faire finalement.

Je n'ai plus qu'à créer des dossiers hors boîte de réception pour archiver mes mails.

Et puis j'attaque OTM.