Gumblar Request : tentative d'intrusion bloquée mais anomalies

[sharleen*]

Bonsoir Pear.

 

Je lis vos indications de ce soir mais ne pourrai les faire que demain, ou après-demain.

 

Merci pour votre suivi.

Modifié le 15 mars 2010 par sharleen*

[sharleen*]

Bonjour Pear.

 

Excusez-moi, mais je ne suis pas certaine de comprendre :

 

sans ligne blanche au début.mais une à la fin

 

= je fais un copier/coller de ce qui est écrit en vert, et le colle dans le bloc notes tel quel = il n'y aura pas de ligne blanche avant, mais bien tout le reste du bloc note en blanc/vide après le bloc de texte.

 

Dites-moi si je me trompe ou pas, merci.

[pear]

Oui, vous avez bien compris.

[sharleen*]

Pear, voici le rapport UsbFix option 2

 

Mais j'ai fait "très fort" (... !!) : j'avais copié le rapport option 1... et suis passée directement à l'option 2, donc plus de rapport de Recherche disponible. J'ai pu lire qu'il y avait une infection au niveau du lecteur de CD ROM, mais c'est tout puisque j'étais partie pour le coller..

 

 

 

############################## | UsbFix V6.099 |

 

User : YORK (Administrateurs) # YORKMOBILE

Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 16:07:26 | 16/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Pentium® M processor 1.86GHz

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : Norton Internet Security 16.5.0.134 [ Enabled | Updated ]

FW : CA Personal Firewall 9.1.0.26[ (!) Disabled ]9.1.0.26

FW : Norton Internet Security[ (!) Disabled ]16.5.0.134

 

C:\ -> Disque fixe local # 93,11 Go (75,29 Go free) # NTFS

D:\ -> Disque CD-ROM

 

################## | Elements infectieux |

 

Supprimé ! C:\Recycler\S-1-5-21-544044165-1649040337-268803306-1006

 

################## | Registre |

 

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

 

################## | Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\{5a242586-e5a6-11de-84f7-000e7ba4b098}\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[23/07/2009 11:59|--a------|32028] C:\aaw7boot.log

[29/08/2005 10:50|--a------|0] C:\AUTOEXEC.BAT

[19/10/2006 20:05|-rahs----|227] C:\boot.ini

[05/08/2004 11:00|-rahs----|4952] C:\Bootfont.bin

[29/08/2005 10:50|--a------|0] C:\CONFIG.SYS

[18/02/2010 22:09|--a------|184] C:\drwtsn32.log

[?|?|?] C:\hiberfil.sys

[30/05/2008 19:17|--a------|880] C:\INSTALL.LOG

[29/08/2005 10:50|-rahs----|0] C:\IO.SYS

[05/08/2009 19:22|--a------|7498] C:\JavaRa log 5.8.09.txt

[05/08/2009 19:23|--a------|7727] C:\JavaRa log bis.txt

[05/08/2009 21:12|--a------|8185] C:\JavaRa.log

[29/08/2005 10:50|-rahs----|0] C:\MSDOS.SYS

[05/08/2004 11:00|-rahs----|47564] C:\NTDETECT.COM

[27/03/2009 18:02|-rahs----|252240] C:\ntldr

[?|?|?] C:\pagefile.sys

[08/05/2006 11:52|--ah-----|510] C:\SWSTAMP.TXT

[04/08/2009 11:45|--a------|148] C:\TCleaner.txt

[16/03/2010 16:13|--a------|2140] C:\UsbFix.txt

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_YORKMOBILE.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.099 ! |

 

 

Fichier zip envoyé à chiquitine.changelog.fr

Vaccination faite.

 

A plus tard.

Et merci !

Modifié le 16 mars 2010 par sharleen*

[pear]

Sécurisation de Windows contre les infections par support amovibles

 

Cet outil va aider les utilisateurs à configurer Windows pour désactiver les fonctions Autorun ou Autoplay ,

 

Il suffit de cliquer sur les boutons radio et d'enregistrer les modifications pour que celles concernant l'utilisateur courant soient actives (pour les autres, le redémarrage est nécessaire)

Dans l'onglet Configuration Autorun, il est maintenant possible de paramétrer précisément les valeur de NoDriveTypeAutorun et de NoDriveAutorun.

Par exemple, vous pouvez autoriser la fonction Autorun sur les lecteurs CD/DVD (NoDriveTypeAutorun) et choisir lequel sera autorisé (NoDriveAutorun).

Dans HonorAutoRunSetting sélectionner la case Activé

Si c'est indiqué Non configuré et qu'aucune mise à jour n'apparaît dans la fenêtre blanche à droite deHonorAutoRunSetting ,

Sous Xp

Télécharger KB967715

Sous Visat

Exécuter en tant qu'Administrateur

Télécharger KB950582

Relancez Usb-Set

Nettoyage des anciens supports non connectés et de la désactivation de la reconnaissance des nouveaux périphériques de stockage USB

Cette fonction est particulièrement utile sur les sites où il y a un important va et vien de clés Usb mais n'est pas nécessaire dans le cadre d'une utilisation personnelle.

L'installation de la vaccination automatique et la bonne configuration des fonctions Autorun suffisent pour assurer une protection efficace.

Les périphériques nettoyés seront bien réinstallés si la reconnaissance de ceux-ci n'a pas été désactivée .

Avant de désactiver la reconnaissance des nouveaux périphériques, il faut nettoyer la base de registre de tous ceux qui ont été inscrit précédemment.

L'idéal est de nettoyer tous les supports, puis de reconnecter ceux que l'on désir conserver actif et pour finir désactiver la fonction de reconnaissance.

On peut sans problème supprimer tous les périphériques détectés, ils seront réinstallés sans aucune difficulté.

Pour un nettoyage complet, cocher les quatre cases correspondant chacune à élément ajouté pour chaque périphérique installé :

Pour chaque support installé, on trouve :

une ligne périphérique

une ligne disque

Une ou plusieurs ligne Volume (cela dépend du nombre de partitions sur le support)

Une ou plusieurs clé de registre correspondants aux volumes monté et aux points de montage.

 

Pour ce qui est des MountPoints2, il est possible que certains ne soient pas désinstallés par la fonction de nettoyage, c'est pour ça que cette section est toujours présente.

 

Vacciner tous les lecteurs présents ou installer la vaccination automatique de tous les support insérés sur le PC

Dans cette section, vous avez la possibilité de vacciner tous les lecteurs présents (fixes ou amovibles) , de lancer/arrêter/installer la vaccination automatique.

exclure 'un(des) lecteur(s) spécifique(s) de la vaccination automatique.

Note:( Panda Vaccine n'est pas pris en charge)

 

L'Installation du résident va permettre de lancer la vaccination automatique à chaque démarrage de Windows, tout nouveau support inséré sera détecté et la vaccination sera proposée.

Pour l'instant la vaccination sera toujours proposée, même si le lecteur est déjà vacciné, mais la détection des vaccins est prévue pour éviter ce désagrément.

A chaque vaccination d'un lecteur, des informations seront enregistrées dans le fichier vaccin et dans un fichier local, permettant une traçabilité de la vaccination.

 

 

 

 

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

 

 

 

PS: je serai absent une semaine et ne pourrai donc suivre.

Mais normalement, la machine devrait être propre après Mbam.

S'il y avait Urgence , contactez Falkra par MP.

Modifié le 16 mars 2010 par pear

[sharleen*]

Un grand merci Pear pour tout ce travail.

 

J'espère que je m'en sortirai demain...

 

Si vous êtes encore là dans la soirée et que vous venez sur le forum, pouvez-vous me dire si vous savez, ou pas, à quand remonte l'infection ?

= je n'utilise pas de périphériques autres que imprimante-souris.

- Je ne lis pas de CD ROM ou DVD sur l'ordi. Sauf une fois il y a plus d'un an, pour vérifier la lisibilité d'un DVD qui m'avait été en fait vendu piraté.

- Par contre il est arrivé qu'un parent regarde des DVD et peut-être utilise une clé USB (et il est probable que ça se reproduise. Mais il y aura vaccination)

- Une autre personne a utilisé l'ordinateur avec peut-être un CD ROM.

 

Connaître la période de l'infection permettrait de déterminer si cela vient de moi ou alors d'avertir les 2 autres personnes pour leur matériel.

 

Merci beaucoup de m'avertir de votre absence et de m'indiquer qui contacter

[sharleen*]

Bonsoir Pear.

Au cas où vous repasseriez sur le forum :

 

j'ai effectué les manipulations indiquées, ai lancé une analyse MBAM : RAS.

 

Néanmoins, pour Usb-set : dans "état général", les 2 lignes de NoDriveTypeAutorun demeurent en "sécurité insuffisante" et je ne comprends pas ce que je n'ai pas bien fait pour que les 4 lignes soient en vert.

 

Par ailleurs, pour le panneau du FAI, la taille de la police demeure énorme.

Et demeure aussi le pb de Secure Login qui doit être "mis à jour" à chaque démarrage du pc.

Pouvez-vous m'aider sur ces 2 points ou faudra-t-il passer sur le forum "Optimisation" ?

 

Merci.

[sharleen*]

"Up" à l'intention de Pear.

 

Merci.

[pear]

Bonjour,

 

Usb-set:

Vous avez probablement choisi de permettre un démarrage automatique des cdRom(par exemple)

 

Secure login:

Le désactiver dans msconfig

 

Démarrer->Exécuter->Msconfig->Démarrage

 

Je ne connais pas de moyen de connaitre la date d'une infection, sauf si le fichier infecteur est présent et l'affiche.

Modifié le 24 mars 2010 par pear

[sharleen*]

Merci bien, je verrai cela demain.

 

Un grand merci pour votre suivi