VBS:Malware et cradle_of_filth [Résolu/Fermé]

Signaler
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011
-
 Utilisateur anonyme -
Salut tout le monde,

Voilà on m'a passé 2 clés USB.
Sur l'une d'entre-elle (E et F) ont été détecté VBS:Malware-gen et cradle_of_filth.vbe.
Sur l'autre rien de spécial, juste de la précaution...


En fouillant sur le forum j'ai suivi un post similaire demandant de passer un petit coup d'USBFix, donc voici le résultat :


############################## | UsbFix V6.099 | 

User : jp () # INFO1 
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8 
Start at: 16:15:44 | 18/03/2010 
Website : http://pagesperso-orange.fr/NosTools/index.html 
Contact : FindyKill.Contact@gmail.com 

              Intel(R) Pentium(R) 4 CPU 3.00GHz 
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3 
Internet Explorer 8.0.6001.18702 
Windows Firewall Status : Enabled 
AV : avast! antivirus 4.8.1368 [VPS 100318-0] 4.8.1368 [ Enabled | Updated ] 

C:\ -> Disque fixe local # 33,6 Go (6,69 Go free) [IBM_PRELOAD] # NTFS 
D:\ -> Disque CD-ROM 
E:\ -> Disque CD-ROM # 4,32 Mo (0 Mo free) [U3 System] # CDFS 
F:\ -> Disque amovible # 977,47 Mo (863,75 Mo free) [EMTEC] # FAT 
G:\ -> Disque amovible # 3,73 Go (3,54 Go free) [NITIPHON] # FAT32 

################## | Elements infectieux | 

E:\autorun.inf   
F:\SYSTEM   
F:\Music.lnk   
N:\putty.exe   

################## | Registre | 


################## | Mountpoints2 | 

HKCU\..\..\Explorer\MountPoints2\E 
Shell\AutoRun\command =E:\LaunchU3.exe -a 

HKCU\..\..\Explorer\MountPoints2\{94145cd0-702b-11dd-b3c6-000d60c3dc18} 
Shell\AutoRun\command =E:\nvda\nvda.exe  
Shell\NVDA\command =E:\nvda\nvda.exe  

HKCU\..\..\Explorer\MountPoints2\{9b3407d1-25de-11df-b53b-000d60c3dc18} 
Shell\AutoRun\command =E:\start.exe  
Shell\FramaKey\command =E:\start.exe  

HKCU\..\..\Explorer\MountPoints2\{eca14504-3299-11df-b545-000d60c3dc18} 
Shell\AutoRun\command =E:\LaunchU3.exe -a 

HKCU\..\..\Explorer\MountPoints2\{ed37d86c-c1ef-11dd-b415-000d60c3dc18} 
Shell\AutoRun\command =E:\wd_windows_tools\WDSetup.exe  

################## | Vaccin | 

# C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs).  

################## | ! Fin du rapport # UsbFix V6.099 ! |


Merci de votre bienveillance et de me guider dans la désinfection...

9 réponses


Coucou,

Relance USBFix puis choisis l'option 2 stp.
Poste alors son rapport ;-)

Puis,
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau.
- Double clique sur RSIT.exe
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi mais dans un second message.


A+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Re-

Merci de l'intérêt...

Bon la suite demain matin, vu que je dois y aller et que je n'ai pas "at home" de PC sous Windows, je ne pourrai faire les manips que demain matin...

Merci encore et @+.

Pas de souci, à demain ;-)

Juste une chose : utilises-tu un tunnel SSH ? (notamment le logiciel PuTTy ?)
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Bon pour expliquer un peu la situation...

Je bosse dans une assos qui s'occupe de personnes handicapées, entre autre pour leur insertion professionnelle et actuellement il y a un groupe qui doit suivre une formation.
Donc ces personnes ont accès à une salle informatique. C'est en connectant leur clé sur un des PC qu'Avast a fait des siennes ;-(

Il se trouve que je bosse sur un de ces PC et que j'ai toute une batterie de programmes installés, dont putty qui me permet de gérer les serveurs (sous GNU/Linux).

Hier dans l'urgence j'ai du analyser la clé sur ma session (en réseau, d'où le nombre de lecteur analysés, oui je sais c'est pas bien, mais je n'ai pas pu faire autrement ;-( ).

Là, j'attends que les stagiaires m'amène leur clé pour poursuivre (en local cette fois) les investigations et suivre la procédure.

Merci encore et bon début de matinée à toi et aux autres...
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Bon j'ai un soucis, j'ai lancé USBFix (choix 2 = suppression) et au reboot, impossible de démarrer avec la clé pluguée ;-((

Normal la séquence de boot était sur USB first ;-\

Donc j'ai remis le HD en 1er et avec la clé pluguée idem j'ai donc sortie la clé et là le démarrage d'XP a commencé et puis plus rien. Obligé de redémarrer (sans clé).
Du coup la procédure avec USBFix a suivi son cours, mais je suppose que ça ne sert à rien (enfin si ça m'a analysé le disque C) ?

Le rapport est créé mais uniquement avec le disque C.

Je relance USBFIX avec la clé ?

Merci.
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Bon j'ai relancé USBFix, le rapport dans quelques minutes...

Entre temps j'ai installé "Panda USB and AutoRun Vaccine", c'est une bonne chose pour se prémunir de ce genre de situation ? (salle publique)
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Voilà le rapport d'USBFix :

############################## | UsbFix V6.099 |

User : admin (Administrateurs) # INFO1
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:17:01 | 19/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100318-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 33,6 Go (6,65 Go free) [IBM_PRELOAD] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 4,32 Mo (0 Mo free) [U3 System] # CDFS
F:\ -> Disque amovible # 977,47 Mo (863,73 Mo free) [EMTEC] # FAT

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-3955201065-1227131305-1547677180-1005 
(!) Non supprimé ! E:\autorun.inf 
(!) Non supprimé ! F:\autorun.inf 
Supprimé ! F:\SYSTEM 
Supprimé ! F:\Music.lnk 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[30/10/2006 11:23|--ah-----|0] C:\AUTOEXEC.BAT 
[30/10/2006 11:22|-rahs----|194] C:\BOOT.INI 
[28/08/2001 16:00|-rahs----|4952] C:\Bootfont.bin 
[30/10/2006 11:05|--ah-----|0] C:\BOOTLOG.PRV 
[30/10/2006 11:15|--ah-----|0] C:\BOOTLOG.TXT 
[25/02/2003 17:01|--ahs----|512] C:\BOOTSECT.DOS 
[30/10/2006 11:13|--a------|355] C:\ccrrec.ver 
[30/10/2006 11:23|--ah-----|0] C:\CONFIG.SYS 
[04/12/2008 15:18|--a------|172] C:\curr_ver.tmp 
[26/05/2009 11:36|--a------|73] C:\err.log 
[?|?|?] C:\hiberfil.sys 
[30/10/2006 11:23|--ah-----|0] C:\IO.SYS 
[18/07/2004 07:54|--a------|37874] C:\lisezmoi.htm 
[30/10/2006 11:01|--a------|164] C:\LOGFILE.txt 
[28/09/2009 14:56|--a------|3283] C:\lvcoinst.log 
[30/10/2006 11:36|-rahs----|0] C:\MSDOS.SYS 
[30/10/2006 10:47|-rahs----|47564] C:\NTDETECT.COM 
[18/09/2008 11:25|-rahs----|252240] C:\ntldr 
[?|?|?] C:\pagefile.sys 
[19/03/2009 10:23|--a------|13030] C:\PDOXUSRS.NET 
[30/10/2006 10:59|--a------|32] C:\setup.log 
[30/10/2006 10:57|--a------|799] C:\SYSLEVEL.IBM 
[02/10/2008 11:41|--a------|2545] C:\TB.txt 
[30/10/2006 19:42|--a------|44] C:\TCPACHIP.LOG 
[23/06/2008 10:30|--a------|45] C:\tvt.txt 
[31/08/2009 09:38|--a------|922] C:\updatedatfix.log 
[19/03/2010 09:20|--a------|2378] C:\UsbFix.txt 
[19/03/2010 08:46|--a------|1518] C:\UsbFix_Upload_Me_INFO1.zip 
[16/11/2006 10:51|-r-------|159] E:\autorun.inf 
[16/11/2006 12:26|-r-------|1095224] E:\LaunchU3.exe 
[02/02/2007 12:06|-r-------|3375339] E:\LaunchPad.zip 
[16/11/2006 12:26|-ra------|1095224] F:\LaunchU3.exe 
[18/02/2009 08:16|---hs----|53] F:\desktop.ini 
[14/11/2007 14:03|--a------|125440] F:\macro.xls 
[13/03/2008 09:36|--a------|129536] F:\Entretien VMC 'tude.xls 
[31/10/2008 17:21|--a------|35840] F:\Projet de rapport sp'cial orientations et nouvelles interventions 2009.doc 
[04/11/2008 20:17|--a------|68096] F:\cours 4 eme.doc 
[27/11/2008 16:39|--a------|32256] F:\CR Commission du 21 11 08.doc 
[27/11/2008 16:07|--a------|27648] F:\CR r'union d''quipe du 24 11 08.doc 
[30/11/2008 11:33|--a------|21504] F:\Foix.doc 
[01/12/2008 08:17|--a------|26112] F:\CR rencontre avec le CROM.doc 
[05/12/2008 17:34|--a------|229296] F:\Rencontre du 10 d'cembre.eml 
[29/12/2008 08:14|--a------|26112] F:\R'union occitan 23 12 08.doc 
[06/01/2009 08:47|--a------|21504] F:\Entretien du 06 01 09 avec loe DGS et le directeur.doc 
[05/12/2008 17:40|--a------|20992] F:\NOTE  MM LES MEMBRES DE LA CP SUR L'IEO.doc 
[05/12/2008 17:43|--a------|27136] F:\Relev' de conclusions de la rencontre occitan du 01 10 08.doc 
[08/12/2008 12:24|--a------|25600] F:\PROJET D'objectifs des 'quipes de restauration.doc 
[11/12/2008 17:06|--a------|19456] F:\L au DGS en r'ponse au courrier de JLA du 09 12 08.doc 
[11/12/2008 17:06|--a------|26112] F:\R'ponse ... la lettre du 9 12 09 de JLA.doc 
[?|?|?] F:\AUTORUN.INF 
[24/04/2009 16:19|--a------|17544] F:\s'q 7 le travail.wpd 
[18/02/2009 08:18|---h-----|49664] F:\~WRL0002.tmp 
[15/03/2009 08:43|---h-----|49664] F:\~WRL1417.tmp 
[15/03/2009 08:44|---h-----|49664] F:\~WRL0743.tmp 
[15/03/2009 08:45|---h-----|49664] F:\~WRL4097.tmp 
[15/03/2009 08:45|---h-----|49664] F:\~WRL0944.tmp 
[15/03/2009 08:46|---h-----|49664] F:\~WRL2898.tmp 
[24/04/2009 16:51|--a------|24576] F:\BIBLIOGRAPHIE.doc 
[01/05/2009 10:18|--a------|46670] F:\Le tabac 3Sme.wpd 
[14/04/2009 15:52|--a------|10240] F:\elisa cv.wps 
[01/05/2009 13:51|--a------|11061] F:\Le tabac 3Sme.rar 
[10/03/2010 11:58|--a------|12345] F:\GIRPEH 2.wpd 
[17/03/2010 07:04|--a------|12345] F:\girpeh 3.wpd 
[16/05/2008 13:58|--a------|32768] F:\INTERROGATIONS SUR LE POSTE De l'observatoire d'partement(al de protection de l'enfance.doc 
[20/06/2008 10:20|--a------|1612] F:\BOOTEX.LOG 
[02/07/2008 11:49|--a------|20992] F:\PHARMACIE GRETOUCE THOMAS.doc 
[01/08/2008 18:05|--a------|19968] F:\R'union d''quipe du 07 08 08 matin.doc 
[01/08/2008 18:07|--a------|19968] F:\R'union du 27 07 08.doc 
[01/08/2008 18:07|--a------|22016] F:\R'ponse au courrier du 31 07 08 de JL Attan'.doc 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs). 
# F:\autorun.inf ->  Panda USB Vaccine

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_INFO1.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.099 ! |



Merci.
Coucou girpeh,

Ok, merci pour ces explications. Je comprends mieux le problème.

UsbFix vaccine aussi les clés USB. Le truc c'est que le vaccin doit être effectué avant utilisation de la clé (c'est d'ailleurs sa définition ;-) )
Je m'explique : les personnes qui vont débarquer avec leurs propres clés seront potentiellement infectées et sans doute non-vaccinées.

Le seul moyen de se prémunir de leurs éventuelles cochonneries est :
- d'avoir une bonne protection antivirale,
- si possible de vacciner leur clé après s'être assurer qu'elles soient exempts de virus.
- désactiver l'exécution automatique de Windows.

Certaines sociétés refusent les clés USB à cause de cela. Exemple un magasin qui fait des tirages photos ; ils n'acceptent que des CD/DVD qui eux ne sont pas vecteurs de cochonneries car inscriptibles uniquement depuis un programme de gravure.

Ok, alors :

Pour désactiver l'exécution automatique de Windows :
https://www.commentcamarche.net/faq/2448-windows-execution-automatique-a-l-insertion-d-un-cd-cle-usb
ou
https://www.avanquest.com/France/microapp/

Il faut le faire pour chacun des lecteurs USB, sur chaque PC Windows.


D'ailleurs combien y-a-t-il de PC Windows ? Un seul ?

Ok, peux-tu faire un RSIT du PC infecté et poster son rapport ?
Si il y a d'autres machines Win on les traitera après (dis moi combien il y en a).

Pour le RSIT voir ici :: https://forums.commentcamarche.net/forum/affich-17055005-vbs-malware-et-cradle-of-filth#1



A plus.

Hack quoi bon
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Merci pour les infos.

D'ailleurs combien y-a-t-il de PC Windows ? Un seul ?
Dans la salle info il y en a 12.

Ok, peux-tu faire un RSIT du PC infecté et poster son rapport ?
Je ne pense pas avoir de PC infecté(s).
Ce matin j'ai repassé les clé à l'antivirus et que nenni.

Par contre je bosse à mi-temps et donc là je suis en week-end, donc pour la suite on verra lundi, et encore ce n'est pas sûr dans la mesure où la formation commence lundi matin, la salle sera donc occupée et je n'aurai pas accès aux PC ;-((


Si il y a d'autres machines Win on les traitera après (dis moi combien il y en a).
12 dans la salle info, 6 autres dans les bureaux adjacents, plus 6 portables et 1 où 2 PC que je dois oublier ;-\

Ce qui m'importe le plus c'est de trouver le meilleur moyen (simple et efficace) de contrôler l'insertion des clés... j'ai d'ailleurs posté un message à ce sujet.

Merci encore pour tout et bon week-end au cas ou on ne se croiserait plus avant lundi...
Salut girpeh :-)

J'espère que tout baigne pour toi.

Alors,
Ok, peux-tu faire un RSIT du PC infecté et poster son rapport ?
Je ne pense pas avoir de PC infecté(s).


Je n'en suis pas si sûr. En fait des clés MountPoints2 sont créées sur le PC lors de leur montage. Un exemple : http://www.infos-du-net.com/forum/279340-11-registre-mountpoints2

Il faut supprimer ce qu'il y a sur les clés et ce qu'il y a sur les PC (clés et fichiers).

Pour faire cela je te propose ceci :
1°/ copier le programme RSIT sur une clé USB (Saine de préférence :þ )
2°/ l'exécuter sur chacune des machines ( 1 min. de scan en moyenne).
3°/ enregistrer chacun des rapports sur la clé (environ 25 rapports puisque qu'environ 25 bécanes Win)
4°/ me faire parvenir les rapports dans une archive via ci-joint.fr
NB : note de préférence le nom du rapport en fonction du PC :: ex : log1.txt pour la machine INFO1

De mon coté je vais créer un script commun à toutes les machines qu'il faudra exécuter sur celle qui sont infectées (1 min. aussi en moyenne par PC).


En conclusion il serait bien de voir ce que chacun des PC vaut sur tous les plans (pas qu'au niveau des infections USB).


~~~~~~~~~~

Pour ce qui est de la vaccination des supports USB :

En fait pour vous prémunir de toutes ces vermines (parce que ceux sont essentiellement des vers donc des nuisibles qui cherchent avant tout à se dupliquer, se répandre d'une machine à l'autre via les supports USB mais aussi via le réseau local ou internet), il faut avant tout avoir des systèmes à jour (OS, applications et bien sûr antivirus).

A mon sens c'est la meilleure des mesures préventives à avoir avec la vaccination des supports USB.

Un antivirus est est une protection en amont, comme un bouclier, une fois franchi (= une fois que l'infection s'est installée, donc lorsqu'elle n'a pas été détecté à temps) ses capacités à l'éradiquer sont moindres et parfois superficielles (incomplètes).

Pour ce qui est de la vaccination des supports (ton autre topique à ce sujet) et le logiciel préférable à utiliser, je ne saurai te dire.
Le problème c'est que là aussi il s'agit d'une méthode préventive. Comment la contrôler dans un tel milieu public ? Forcer les gens à vacciner leur clé après avoir vérifier qu'elle n'est pas infectée puis les autoriser à les utiliser sur le parc informatique ? C'est jouable mais compliqué.

L'outil de Gof semble avoir très bonne réputation : vaccinUSB :: http://perso.orange.fr/-Gof/DL/VaccinUSB.exe

Honnêtement je ne sais pas quel est le meilleur soft. Ceci étant je pense que la prévention via un système à jour est la meilleure des solution.


:-)

NB : la vaccination ne concerne pas que les supports amovibles mais tous les supports (C:\ inclu).
RSIT permet de révéler les points de montage (mountpoint2)


Je repasse lundi soir ou mardi.
En attendant porte toi bien :-)
Hack quoi bon
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Salut DIID,

Bon ça n'a pas été facile de récupérer les logs, vu que les machines sont occupées depuis ce matin et ce jusqu'à ce soir, heureusement qu'entre 12h30 et 13h30 ces gens mangent ;-))

Alors tu trouveras dans cette archive, 17 rapports (en fait 34 log + info).

Donc, ce n'est pas que je sois pressé mais, étant donné que la formation a débuté ce matin, les moments où les PC seront accessibles vont être restreints ;-((
Demain matin par exemple la salle est libre ;-))

Merci encore pour tout, et @+...che.

Girpeh.

Coucou girpeh,

Je n'ai pas eu le temps de te répondre avant. J'ai regardé une partie des rapports mais pas tous. Enfin je regarde ce soir et te réponds ensuite.

Désolé pour ce contre temps mais 17 logs... Arf :-)

A+
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Pas de soucis.

Par contre j'ai du faire dans l'urgence vu que les stagiaires devaient utiliser les PC ce matin et y fourguer leur clé dessus ;-((

J'ai installé USB-Set sur les postes.


Merci encore et bonne soirée ;-))

Salut girpeh,
cette nuit j'arrivais pas à me connecté. Bizarre...

Bon, je suis agréablement surpris car l'ensemble des PC est relativement propre. C'est assez rare pour des machines mises en partage et pas forcément bien suivies d'un point de vue sécurité.

Au niveau USB un seul PC est infecté : celui de Hélène :: 3 infections USB. Alors même punition :

> Télécharge UsbFix (de Chiquitine29) sur ton Bureau : http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
- Lance l'installation avec les paramètres par défaut.
NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur"
- Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
- Double-clique sur le raccourci UsbFix sur ton Bureau puis choisis l'option 1 ( Recherche ).
- Laisse l'outil travailler.
- Poste le rapport UsbFix.txt qui va apparaître.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque ( C:\UsbFix.txt ).
Note 2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus. Dans ce cas désactive ton Antivirus le temps du scan.

HumMm. Le PC de Lucie est peut être aussi infecté : le processus est variable et donc je ne peux savoir. Tu veux bien lui faire subir le même châtiment...

###

Sinon, les 3/4 des PC ont une infection Searchsettings (voir : https://www.commentcamarche.net/faq/26329-desinstaller-search-settings )
C'est pas bien méchant comme toolbar mais cela reste nuisible. 2 ou 3 PC ont aussi une infection Eorezo : un adware, lui non plus pas bien vilain, mais néfaste aussi.
Certains de ces PC ont Spybot d'installé. Il faut le désactiver avant d'envoyer Toolbar SD de la manière suivante :
Il faut arrêter le tea timer de spybot.
- Lance Spybot => Mode avancé => Outils => Résident : Décoche la case résident "tea timer" puis referme Spybot. Il faudra les réactiver après nettoyage.

Donc pour les PC log_amandine, log_info2, log_info3, log_info4, log_info5, log_info7, log_info10, log_PCformateur4, log_PCformateur5 :

> Lance Toolbar-S&D.
- Tape sur "2" puis valide en appuyant sur <Entrée>.
Ne ferme pas la fenêtre lors de la suppression !
- Un rapport sera généré, poste son contenu sur le forum.

###

Le PC admin_info présente aussi des restes d'infection Bagle (des clés).
Donc :
> Telecharge FindyKill (de Chiquitine29) sur ton bureau: http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
- Installe le programme. A la fin de l'installation quitte le.
- Un raccourci "FindyKill" a été créé sur ton bureau. Double clique dessus. (Sinon vas dans <Menu Démarrer>).
- Choisis l'option 1 <Recherche de fichiers infectieux> puis valide par <Entrée>.
- Le scanne se lance.... Patiente....
- Poste ensuite le rapport FindyKill.txt généré en fin de scan sur le forum.
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\ généralement).

###

Pour finir certains PC peuvent être optimisés pour gagner un peu plus de vitesse (suppression de processus inutiles lancés au démarrage, défragmentation) alors que d'autres nécessitent un peu plus d'espace libre sur C: afin de ne pas trop ramer (4 ou 5 PC).
Pour cela on en reparlera après. Notamment si tu es motivé pour le faire ;-)

Certains PC ne sont pas non plus à jour... Et ça c'est pas bien.

Bon courage :-)
Messages postés
82
Date d'inscription
lundi 6 octobre 2008
Statut
Membre
Dernière intervention
24 octobre 2011

Et bien merci déjà pour cette analyse complète.

Donc on va procéder étape par étape n fonction des PC de libres et vacants ;-\

Ce matin Hélène n'était pas là et j'aurai pu occuper son poste sans problème. Bon elle n'est pas encore arrivée, donc j'ai quand même eu le temps de lancer USBFix sur son PC et en voilà le rapport :

RAPPORT HELENE

############################## | UsbFix V6.100 |    

User : helene () # FOND    
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8    
Start at: 13:24:45 | 25/03/2010    
Website : http://pagesperso-orange.fr/NosTools/index.html    
Contact : FindyKill.Contact@gmail.com    

AMD Sempron(tm) Processor LE-1100    
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3    
Internet Explorer 8.0.6001.18702    
Windows Firewall Status : Enabled    
AV : avast! antivirus 4.8.1351 [VPS 100325-0] 4.8.1351 [ Enabled | Updated ]    

A:\ -> Lecteur de disquettes 3 ½ pouces    
C:\ -> Disque fixe local # 74,52 Go (48,63 Go free) # NTFS    
D:\ -> Disque CD-ROM    

################## | Elements infectieux |    


################## | Registre |    


################## | Mountpoints2 |    

HKCU\..\..\Explorer\MountPoints2\{3190f940-0990-11de-b283-001d60b11306}    
Shell\Auto\Command =winglogon.exe     
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL winglogon.exe    

################## | Vaccin |    

# C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs).     
# H:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     
# I:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     
# J:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     
# K:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     
# L:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     
# N:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     
# O:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).     

################## | ! Fin du rapport # UsbFix V6.100 ! |    



La suite plus tard (Lucie est là en permanence et ça ne va pas être facile de la déloger ;-(( )
Les postes de la salle info sont libres pour l'instant, donc je vais aller voir ceux-là dans l'immédiat.

Merci encore.

Edit : J'ai pu déloger Lucie ;-))


RAPPORT USBFIX LUCIE

############################## | UsbFix V6.100 |  

User : lucie () # BUREAUFOND  
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8  
Start at: 14:36:08 | 25/03/2010  
Website : http://pagesperso-orange.fr/NosTools/index.html  
Contact : FindyKill.Contact@gmail.com  

AMD Sempron(tm) Processor LE-1100  
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3  
Internet Explorer 8.0.6001.18702  
Windows Firewall Status : Enabled  
AV : avast! antivirus 4.8.1351 [VPS 100325-0] 4.8.1351 [ Enabled | Updated ]  

A:\ -> Lecteur de disquettes 3 ½ pouces  
C:\ -> Disque fixe local # 39,06 Go (20,97 Go free) # NTFS  
D:\ -> Disque CD-ROM  
E:\ -> Disque fixe local # 35,46 Go (35,4 Go free) # NTFS  

################## | Elements infectieux |  


################## | Registre |  

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"    

################## | Mountpoints2 |  


################## | Vaccin |  

# C:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# E:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# H:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# I:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# J:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# K:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# L:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# N:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   
# O:\autorun.inf -> Dossier créé par USB-set (Loup Blanc).   

################## | ! Fin du rapport # UsbFix V6.100 ! |  




RAPPORT FindyKill ADMIN_INFO

############################## | FindyKill V5.038 |  

# User : admin (Utilisateurs) # FORMATEURINFO  
# Update on 15/03/2010 by El Desaparecido  
# Start at: 14:21:53 | 25/03/2010  
# Website : http://pagesperso-orange.fr/NosTools/index.html  
# Contact : FindyKill.Contact@gmail.com  

# Intel(R) Celeron(R) M CPU        420  @ 1.60GHz  
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3  
# Internet Explorer 8.0.6001.18702  
# Windows Firewall Status : Enabled  
# AV : avast! antivirus 4.8.1368 [VPS 100325-0] 4.8.1368 [ Enabled | Updated ]  

# C:\ # Disque fixe local # 50,92 Go (12,32 Go free) [IBM_PRELOAD] # NTFS  

################## | Eléments infectieux |  


################## | Registre |  

[HKLM\software\microsoft\shared tools\msconfig\startupreg\drvsyskit]    
[HKLM\software\microsoft\shared tools\msconfig\startupreg\german.exe]    
[HKLM\software\microsoft\shared tools\msconfig\startupreg\hldrrr]    

################## | Etat |  

# Affichage des fichiers cachés : OK  
   
# Mode sans echec : OK  

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )   
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )   
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )   
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )   
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )   
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )   

################## | ! Fin du rapport # FindyKill V5.038 ! |  



Pour les autres il m'en manque un à faire et dès que je l'ai, je te mets tout ça dans un zip et je te le fais passer via cijoint ;-)

Edit2 : Le zip du reste
Merci.
Hey girpeh !

Salut, j'attendais la suite dans un nouveau message et le fait que tu ais édité ton poste plusieurs heures après n'a pas fait remonter d'alerte dans 'mes interventions'.
J'aurais dû repasser voir avant :/

Bon, de toutes manières on a presque fini (il ne reste que des clés infectieuses ; pas de processus) :

1°/ Pour le PC de Lucie et celui d'Hélène :: Relance USBFix option 2 puis poste leur rapport stp.

2°/ Pour celui de ADMIN_INFO ::
> Réouvre FindyKill :
- Choisi cette fois ci l'option 2 (Suppression)
NB : il y aura peut être deux redémarrages. Laisse travailler l'outil jusqu'à l'apparition du message "nettoyage terminé".
- Ensuite poste le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

3°/ Pour tous les PC ayants subit le passage de fix (usbfix, toolbar sd, etc..) ::
> Télécharge ToolsCleaner : https://www.commentcamarche.net/download/telecharger-34055291-toolscleaner sur ton bureau pour supprimer les boîtes de Pandore.
- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives).
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)).
- Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation).

4°/ Je te conseille d'installer Avast5 après avoir désinstaller la précédente version puis, si le courage te vient, de lancer un scan complet sur chaque machine et de m'envoyer les rapports via un .zip.

5°/ Tu peux aussi libérer de l'espace disque sur C: si l'espace libre est inférieur à 20 ou 30%

6°/ Et sur chaque machine tu peux aussi t'assurer que les mises à jour sont faites comme ceci :
> Rends toi sur ce site avec Internet Explorer (pas avec un autre navigateur) : http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
- Effectue toutes les mises à jour proposées.
- relance ton PC.
- Effectue plusieurs fois la même opération (avec reboot du PC) jusqu'à ce que plus aucune mise à jour ne te soit proposée.
NB : Eventuellement MS Update peut te proposer des mises à jour facultatives. Je te conseille de les faire.



Voilà. Je mets en résolu à moins qu'un problème te taraude.

A+ :=)

Hack quoi bon