Bonjour, je suis stagiaire à l'afpa, nous sommes 14 dans la pièce avec donc 14 PC et des clefs qui passent d'un PC à l'autre tous les jours.les PC sont infestés de virus, trojan et autres saletés. depuis hier mon antivirus PC TOOLS me détacte un trojan nommé VBS SOLOW.j'ai été infectée par une clef USB. quand j'exécute un scan avec l'antivirus il me dit que le trojan a été supprimé, malwarebytes me dit la même chose . je sais que les scan ne sont pas suffisant pour éliminer un trojan et mon PC continue de planter : les programmes se bloquent, ils ne répondent plus. je ne peux pas les arréter par le gestionnaire des tâches et je ne peux même plus éteindre l'ordi. j'ai trouvé certaines manip sur le forum mais je ne suis pas assez calée pour me lancer seule et en plus en étant stagiaire à l'afpa mon champ d'action est limité. j'ai besoin de votre aide pour désinfecter. j'espère que quelqu'un pourra me répondre rapidement je suis en période d'exam et j'ai peur de planter en plein écrit!!! je vous poste un rapport d'analyse PC TOOLS et un rapport Malwarebytes. l'afpa ferme à midi le vendredi, je n'aurai plus accès au PC jusqu'à lundi matin, pas d'étonnement si je ne répond pas durant le W.E. merci d'avance à la personne qui voudra bien m'aider. A plus PC Tools AntiVirus Rapport d'activité Créé le : 27/08/2009 08:42:15 Informations sur le scan : Nom de l'objet Etat Action Infection Date et heure C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0089629.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:33:30 C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0089630.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:33:30 C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0091813.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:37:15 C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0091814.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:37:18 C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0092840.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:37:21 Malwarebytes' Anti-Malware 1.40 Version de la base de données: 2697 Windows 5.1.2600 Service Pack 3 27/08/2009 12:59:40 mbam-log-2009-08-27 (12-59-40).txt Type de recherche: Examen complet (A:\|C:\|D:\|F:\|) Eléments examinés: 217924 Temps écoulé: 3 hour(s), 52 minute(s), 45 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS32DLL (VBS.Godzilla) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title (Hijacked.WindowTitle) -> Bad: (Hacked by Godzilla) Good: (Internet Explorer) -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté)

Infection VBS.SOLOW

Réponse 21 / 27

verni29 Messages postés 6805 Statut Contributeur sécurité 180

OK,

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
# Double-clique sur OTMoveIt.exe pour le lancer.
# Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

:Files
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0XM3C5MB
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CDA7G5YZ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S16N4DA3
C:\Program Files\Common Files\Companion Wizard\compwiz.exe
C:\Program Files\Common Files\Companion Wizard\WapCHK.dll
C:\Program Files\Fichiers communs\penjrlja\nlpnlfal\hnbncfef.exe
C:\Program Files\Fichiers communs\penjrlja\ppcnnnncdt\phbpceljr.exe
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNowCrunch_InstallerInst.exe
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNow_InstallerInst.exe
C:\Program Files\themexp\Themexp.org File\NNWDAB638.EXE
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\system32\Magic Waterfall Screensaver.scr

:Commands
[emptytemp]
[Reboot]

# Clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre "Results".
# Le PC va redémarrer pour supprimer les fichiers.
# après le redémarrage, un rapport va s'ouvrir.
# Copie/Colle le contenu du rapport dans ton prochain message.

Note : Si tu ne trouves plus le rapport,c'est un fichier .log qui se trouve en C:\_OTMoveIt\MovedFiles.

2/ As-tu lancé un scan avec Malwarebytes pour vérifier que le PC est propre ?
( si tu peux le faire ).

A+

Réponse 22 / 27

afpa.sc Messages postés 18 Statut Membre

voici le rapport OTM :

All processes killed
========== FILES ==========
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0XM3C5MB moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CDA7G5YZ moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S16N4DA3 moved successfully.
C:\Program Files\Common Files\Companion Wizard\compwiz.exe moved successfully.
C:\Program Files\Common Files\Companion Wizard\WapCHK.dll unregistered successfully.
C:\Program Files\Common Files\Companion Wizard\WapCHK.dll moved successfully.
C:\Program Files\Fichiers communs\penjrlja\nlpnlfal\hnbncfef.exe moved successfully.
C:\Program Files\Fichiers communs\penjrlja\ppcnnnncdt\phbpceljr.exe moved successfully.
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNowCrunch_InstallerInst.exe moved successfully.
C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNow_InstallerInst.exe moved successfully.
C:\Program Files\themexp\Themexp.org File\NNWDAB638.EXE moved successfully.
C:\WINDOWS\NDNuninstall7_22.exe moved successfully.
C:\WINDOWS\NDNuninstall7_48.exe moved successfully.
C:\WINDOWS\system32\Magic Waterfall Screensaver.scr moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: aurore
->Temp folder emptied: 81137732 bytes
->Temporary Internet Files folder emptied: 31893129 bytes
->Java cache emptied: 13681436 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 297166 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Utilisateur

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 121,18 mb

OTM by OldTimer - Version 3.0.0.6 log created on 09022009_133314

Files moved on Reboot...

Registry entries deleted on Reboot...

je lance Malware et je te poste le rapport

merci et à plus

Réponse 23 / 27

afpa.sc Messages postés 18 Statut Membre

voici le dernier scan de malware bytes

alwarebytes' Anti-Malware 1.40
Version de la base de données: 2697
Windows 5.1.2600 Service Pack 3

03/09/2009 16:43:00
mbam-log-2009-09-03 (16-43-00).txt

Type de recherche: Examen complet (A:\|C:\|D:\|F:\|)
Eléments examinés: 218645
Temps écoulé: 4 hour(s), 14 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci et à plus

Réponse 24 / 27

verni29 Messages postés 6805 Statut Contributeur sécurité 180

Le PC doit être propre. il faudrait en faire autant pour les autres PC de la salle.

La restauration système a été infectée. Il faut la nettoyer et créer un point propre pour pouvoir être utiliser ensuite.

On termine .

1) On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2/ Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

utilise les fonctions nettoyeur et registre.

3) Il est préférable maintenant que ton PC est propre de nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.

Les points de restauration :

- Panneau de configuration --> Système --> Restauration du système

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

Si tu as des questions.

A+

Réponse 25 / 27

afpa.sc Messages postés 18 Statut Membre

voici le rapport ToolsCleaner:

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\cleannavi.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\aurore\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\aurore\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\aurore\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\aurore\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\aurore\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\aurore\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\aurore\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\aurore\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1\catchme.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\aurore\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\aurore\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Navilog1\catchme.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\cleannavi.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\aurore\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\aurore\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\aurore\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\aurore\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\aurore\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\aurore\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !

j'ai aussi passé CCleaner

et je m'occupe du point de restauration

merci encore et à plus

Réponse 26 / 27

verni29 Messages postés 6805 Statut Contributeur sécurité 180

OK,

Il reste maintenant à nettoyer les autres PC de la salle. ;-)
la multiplication de l'utilisation des clés USB entraine également une multiplication des risques d'infection.

Si tu as un PC à la maison, nettoie le avec USBFix.

Peux-tu mettre le sujet en résolu, stp ?

Merci.

Bonne continuité et bonne formation.

salut.

Réponse 27 / 27

afpa.sc Messages postés 18 Statut Membre

merci beaucoup pour ton aide

j'ai transmis l'info aux responsables dès que notre cession a terminé, c'est à dire le 18 sept, tous les ordis de la salle seront nettoyés

merci encore

a plus

Infection VBS.SOLOW - Page 2

Discussions similaires

Newsletters