Virus heuristique détecté par Norton : risque élevé

[sharleen*]

Bonjour.

 

A nouveau un problème.

Précédente infection "Gumblar Request" suivi par Pear, qui ne sera pas de retour avant mardi ou mercredi, j'ai besoin d'aide.

 

J'étais hier fin d'après-midi sur un site médical sûr/certifié sûr par Norton, j'ai voulu vérifier qq chose sur un lien indiqué ("sites amis"), et en arrivant sur la page d'accueil de ce site, un avertissement de Norton s'est affiché, j'ai donc quitté, fermé Mozilla, nettoyé avec Ccleaner, ATF.

Le résumé de Norton affichait 5 emplacements du site où des menaces avait été relevées, donc 2 avec Trojan ! ça ne semblait pas être sur la page d'accueil.. (naïve, je suis !)

 

Je n'ai pu lancer d'analyse avant ce matin. L'analyse MBAM n'a rien relevé, mais Norton fonctionnant en parallèle a relevé à 2 reprises ce qui suit :

 

1/ à 11:38

Suspicious AD détecté par Auto-Protect

Virus heuristique basé sur fichier

1 cache navigateur

C:\documents and settings\all users\documents\norton\{nis_production_94_17.1.0.19_nuc}\nisdownloader.exe

 

 

2/ à 11:29

Suspicious AD détecté par Auto-Protect

Virus heuristique basé sur fichier

1 cache navigateur

C:\system volume infomation\_restore{614057f3-1587-43a2-8a41-f103e654f9ee}rp22\a0118673.exe

 

Dans les 2 cas, cela a été mis en quarantaine et l'état du risque est signalé comme totalement supprimé. Mais dans les détails de l'élément infectieux, Norton affiche que le risque peut être difficile ou impossible à enlever et q'une assistance est nécessaire pour l'éliminer.

Donc dans le doute, je demande de l'aide pour savoir ce qu'il en est et ce qu'il faut éventuellement faire en plus.

 

Ai-je pu propager hier l'infestation ?

= après avoir nettoyé, j'ai envoyé un e-mail au propriétaire du 1er site médical pour qu'il prévienne l'autre site médical infesté.

 

Merci d'avance.

Modifié le 21 mars 2010 par sharleen*

[sharleen*]

Bonjour.

 

Un petit "Up", SVP.

Si quelqu'un veut bien jeter un coup d'oeil de me dire si l'on peut utiliser le pc sans problème (compte bancaire, etc).

 

Merci.

[sharleen*]

"Up",

je pense qu'on a pas vu le sujet, merci.

[sharleen*]

"Up" à l'intention de Pear .

 

Bonjour Pear, j'ai vu que vous étiez de retour.

Pourriez-vous regarder ce sujet, s'il vous plaît, et me dire si la mise en quarantaine de Norton est suffisante, et qu'il n'y a donc pas de problème ?

 

= Comme dans les détails des 2 suspicous A.D., Norton indique qu'il serait difficile ou impossible d'éliminer ces virus heuristiques, j'y perds un peu mon latin.

 

J'ai relancé une analyse MBAM, avec Norton qui se lance donc en parallèle, et pas d'élément infecté ou suspect au résultat.

 

Merci.

[pear]

Bonjour,

Il semble que la mise en quarantaine ait été efficace.

Pour confirmation:

 

Télécharger l' Edition en Français d' Avira AntiVir

 

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

....AntiVir ne laisse pas entrer Bagle, sauf si l'utilisateur lui force la main pour récupérer un crack

 

Paramètres conseillés

Clic droit sur le parapluie--------------------->Configurer Antivir

Cliquer Expert mode--------------------------->Recherche:

Cocher: ------------->Selection intelligente des fichiers

Ce réglage est activé par défaut et recommandé.

 

Autres réglages:--->tout cocher

-Recherche+

Action en cas de résultat positif:

Cocher--------------->:Copier le fichier dans la quarantaine avant l'action:

Action principale....>: Réparer ( au cas ou ce serait un fichier système corrompu)

Action secondaire..>: Supprimer ( s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine)

Désactivez votre antivirus actuel

Redémarrez en mode sans échec.

Lancez le scan

Postez le rapport

 

Antivir Mises à jour Manuelles:

 

Tutoriel:

 

Désinstaller Antivir

[sharleen*]

Merci beaucoup !

Je tâche de m'en occuper ce soir.

[sharleen*]

Rapport :

 

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 24 mars 2010 19:32

 

La recherche porte sur 1900330 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Mode sans échec

Identifiant : YORK

Nom de l'ordinateur : YORKMOBILE

 

Informations de version :

BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:22:40

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 18:22:54

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:22:58

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 18:23:05

VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 18:23:05

VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 18:23:05

VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 18:23:05

VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 18:23:05

VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 18:23:06

VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 18:23:06

VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 18:23:06

VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 18:23:06

VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 18:23:07

VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 18:23:07

VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 18:23:08

VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 18:23:08

VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 18:23:09

VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 18:23:10

VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 18:23:11

VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 18:23:11

VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 18:23:12

VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 18:23:12

VBASE023.VDF : 7.10.5.200 2048 Bytes 24/03/2010 18:23:13

VBASE024.VDF : 7.10.5.201 2048 Bytes 24/03/2010 18:23:13

VBASE025.VDF : 7.10.5.202 2048 Bytes 24/03/2010 18:23:13

VBASE026.VDF : 7.10.5.203 2048 Bytes 24/03/2010 18:23:13

VBASE027.VDF : 7.10.5.204 2048 Bytes 24/03/2010 18:23:13

VBASE028.VDF : 7.10.5.205 2048 Bytes 24/03/2010 18:23:13

VBASE029.VDF : 7.10.5.206 2048 Bytes 24/03/2010 18:23:13

VBASE030.VDF : 7.10.5.207 2048 Bytes 24/03/2010 18:23:13

VBASE031.VDF : 7.10.5.208 26112 Bytes 24/03/2010 18:23:14

Version du moteur : 8.2.1.196

AEVDF.DLL : 8.1.1.3 106868 Bytes 24/03/2010 18:23:25

AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 24/03/2010 18:23:25

AESCN.DLL : 8.1.5.0 127347 Bytes 24/03/2010 18:23:23

AESBX.DLL : 8.1.2.1 254323 Bytes 24/03/2010 18:23:25

AERDL.DLL : 8.1.4.3 541043 Bytes 24/03/2010 18:23:23

AEPACK.DLL : 8.2.1.1 426358 Bytes 24/03/2010 18:23:22

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 24/03/2010 18:23:21

AEHEUR.DLL : 8.1.1.13 2470262 Bytes 24/03/2010 18:23:20

AEHELP.DLL : 8.1.10.2 237941 Bytes 24/03/2010 18:23:16

AEGEN.DLL : 8.1.3.2 373108 Bytes 24/03/2010 18:23:15

AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26

AECORE.DLL : 8.1.12.3 188789 Bytes 24/03/2010 18:23:14

AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31

AVREP.DLL : 8.0.0.7 159784 Bytes 24/03/2010 18:23:26

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Début de la recherche : mercredi 24 mars 2010 19:32

 

La recherche d'objets cachés commence.

Impossible d'initialiser le pilote.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'13' processus ont été contrôlés avec '13' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '60' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

 

 

Fin de la recherche : mercredi 24 mars 2010 20:02

Temps nécessaire: 30:30 Minute(s)

 

La recherche a été effectuée intégralement

 

6159 Les répertoires ont été contrôlés

202916 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

202915 Fichiers non infectés

7175 Les archives ont été contrôlées

1 Avertissements

1 Consignes

[pear]

Bonjour,

Voila qui vous rassure.

[sharleen*]

Oui, absolument

 

Merci encore !

Pour l'autre sujet, je ne pourrai m'en occuper que demain.