Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection tidserv [résolu]

jul&kn

Par jul&kn
dans Analyses et éradication malwares

 Partager

Messages recommandés

jul&kn Member

jul&kn

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour lance_yien,

 

Désolée de ne pas avoir fait cette manip plus rapidement, je n'étais pas connectée sur le forum.

 

Je viens d'essayer de soumettre le fichier en question sur l'un et l'autre des site, mais Jotti me dit que le fihcier fait 0 octet et VirusTotal le 'charge' puis revient sur le page d'accueil (même problème). J'ai regarder la taille du fichier en passant par C: et il n'est pas vide (97 Ko).

 

J'ai essayé en faisant un Zip prealable du fichier (mais je ne suis pas certaine que ça marche, car il semble être en cours d'ulisation) et voilà l'adresse permanante du lien

 

SafeBoot.zip - Le scanner antivirus de Jotti

 

et le même dossier en analyse sur virus total

 

Antivirus Version Last Update Result

AhnLab-V3 2011.04.28.00 2011.04.27 -

AntiVir 7.11.7.7 2011.04.25 -

Antiy-AVL 2.0.3.7 2011.04.27 -

Avast 4.8.1351.0 2011.04.27 -

Avast5 5.0.677.0 2011.04.27 -

AVG 10.0.0.1190 2011.04.27 -

BitDefender 7.2 2011.04.27 -

CAT-QuickHeal 11.00 2011.04.27 -

ClamAV 0.97.0.0 2011.04.27 -

Commtouch 5.3.2.6 2011.04.27 -

Comodo 8498 2011.04.27 -

DrWeb 5.0.2.03300 2011.04.27 -

Emsisoft 5.1.0.5 2011.04.27 -

eSafe 7.0.17.0 2011.04.26 -

eTrust-Vet 36.1.8294 2011.04.27 -

F-Prot 4.6.2.117 2011.04.27 -

F-Secure 9.0.16440.0 2011.04.27 -

Fortinet 4.2.257.0 2011.04.27 -

GData 22 2011.04.27 -

Ikarus T3.1.1.103.0 2011.04.27 -

Jiangmin 13.0.900 2011.04.27 -

K7AntiVirus 9.98.4497 2011.04.27 -

Kaspersky 9.0.0.837 2011.04.27 -

McAfee 5.400.0.1158 2011.04.27 -

McAfee-GW-Edition 2010.1D 2011.04.27 -

Microsoft 1.6802 2011.04.27 -

NOD32 6076 2011.04.27 -

Norman 6.07.07 2011.04.27 -

Panda 10.0.3.5 2011.04.27 -

PCTools 7.0.3.5 2011.04.27 -

Prevx 3.0 2011.04.27 -

Rising 23.55.02.06 2011.04.27 -

Sophos 4.64.0 2011.04.27 -

SUPERAntiSpyware 4.40.0.1006 2011.04.27 -

Symantec 20101.3.2.89 2011.04.27 -

TheHacker 6.7.0.1.184 2011.04.27 -

TrendMicro 9.200.0.1012 2011.04.27 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.27 -

VBA32 3.12.16.0 2011.04.27 -

VIPRE 9137 2011.04.27 -

ViRobot 2011.4.27.4433 2011.04.27 -

VirusBuster 13.6.324.0 2011.04.27 -

Modifié par jul&kn

jul&kn Member

jul&kn

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

Symantec se décide à donner des alertes... Il a détecter un Trojan Gen.2 dans le fichier Physical0MBR.bin dont on sait qu'il est infectée (celui remplacé pdepuis par MBRfix mais que j'ai toujours sur C:\).

Modifié par jul&kn
lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

Bonjour jul&kn et merci pour le complément d'info.

 

Je t'ai fait analyser ce fichier parce que TDSSKiller l'a détecté comme suspect, donc juste une histoire d'être sûr.

 

- Concernant C:\Physical0MBR.bin (et s'il est toujours là), tu peux cliquer-droit dessus => "Supprimer" (

 

- Pour ceci: "La machine a toujours tendance à ramer. J'ai regardé dans le gestionnaire de tâche pour voir quelles appli pompaient la mémoire et suivant le moment, c'est un programme dans Symmantec (RtvScan.exe), soit un plugin de Firefox (plugin-containec.exe), soit AAWTray.exe.",

Le fichier AAWTray.exe appartient à "Lavasoft Ad-Aware" que tu peux désinstaller (depuis Ajout/ suppression de programmes) sans aucun risque parce que la majorité des antivirus, pour ne pas dire tous, protègent contre les spyware. Tu gagneras en ressource et en espace sur ton DD.

 

Bonne soirée!

MoJac Mega Power Member

MoJac

Posté(e)
Posté(e)

Bonjour jul&kn,

 

- Très bien, merci à lance_yien pour son intervention qui a permis une ultime vérification (rien n'échappe à l'oeil d'Horus !) :super:

 

- De ce dernier épisode, dans l'état actuel des choses, je pense que c'est Norton qui fait des vérifications de routine et qui a débusqué des éléments anciens.

 

- Je suis un peu surpris par contre qu'il n'est pas réussi à les éliminer ... je ne connais pas la philosophie de décontamination de cet antivirus lorsqu'il trouve un présumé problème via son moteur heuristique. Peut être est ce normal.

 

- Au moment de la découverte j'ai essayé de savoir si la date de création de ces fichiers existait toujours pour confirmer l'hypothèse précédente et par mesure conservatoire j'avais proposé un script ComboFix ... Tu as réussi par un moyen plus simple, c'est parfait.

 

- Je te propose donc de terminer l'intervention:

 

1) - Désinstallation des outils utilisés (deuxième phase):

 

  • Fais Démarrer/Exécuter copie-colle la commande suivante puis OK (espace entre "ComboFix" et "/Uninstall"):
     
    ComboFix /Uninstall
     
    Ca désinstallera ComboFix et remettra les options de sécurité de Windows par défaut.
    Supprime aussi le dossier C:/Qoobox (quarantaine de ComboFix) puis vide ta corbeille.
     
  • Lance OTL et clique sur Purge outils. OTL va se désintaller lui-même et fera redémarrer le PC.

 

2) - Optimisation de la liste de démarrage:

 

- Nous avions déja évoqué la désinstallation de Lavasoft Ad-Aware qui a tété confirmé par lance_yien.

 

Il existe un logiciel permettant de mettre en évidence et éventuellement d'empêcher le démarrage de certains programmes:

 

  • Télécharge, sur le Bureau, MBAM' StartUpLite.
  • Ferme toutes les applications en cours, clique-droit sur StartUpLite.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.
  • Les entrées de démarrage superflues seront visibles et les actions a entreprendre (Disable = Désactiver) seront cochées par defaut.
  • Sélectionne toutes les entrées affichées et clique sur Continue.
     
    NB:Si aucun démarrage superflu n'est détecté, l'outil affichera "No unnecessary startups found!" (Pas d'entrées de démarrage inutiles trouvées).

 

3) - Conseils généraux relatifs à la sécurité:

 

  • Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF)
    Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi.
     
  • Les risques liés au P2P:Idées reçues

 

Sauf si tu as des questions ou encore des pb, je te propose d'en rester là.

 

- Merci d'éditer ton 1er post pour ajouter [Résolu] au début du titre après avoir cliqué sur le bouton "Modifier".

 

 

- Toute l'équipe sécurité de Zebulon te souhaite bon surf en toute sécurité

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...