Infecté par une clef USB d'un élève Résolu

Question

Bonjour à tous,

Je suis administrateur dans un centre de formation.
Vendredi dernier, j'ai un élève qui m'a demandé d'imprimer un document depuis sa clé USB.
Dès que j'ai branché celle ci, Antivir a détecté une menace (un troyen dans mes souvenirs).
Je lui signale que sa clef est infectée, et pris dans l'élan j'ai mis ignorer pour la menace (quel âne je suis !). Bref installation de la bébête ... et affolement de l'antivirus avec sa protection résidente ...

Dans le gestionnaire des taches:
- nouveau processus sc.exe (sc: mon nom de user)
- lyyuiz.exe

A la racine de mon profile (en fichier système cachés):
- autorun.inf
- lyyuiz.exe
- lyyuiz.scr
- nouveau exécutable xxxxxx.exe (xxxxxx : 6 lettres aleatoires)
- sc.exe

Bref ayant une petite expérience dans l'éradication des virus (msconfig + mode sans echec + Registre + désactiver des services + afficher/supprimer des fichiers systèmes cachés)
j'ai réussi à me débarrasser de la bestiole, du moins je le croyais...

Quelques temps après Antivir me signale et met en quarantaine un cheval de troie TR/Dropper.Gen, dans %WINDIR%	emp\xxxx.tmp\svchost.exe (où xxxx sont 4 lettres aléatoires).

Et toutes les 5 minutes rebelotte, nouveau troyen dans svchost.exe également placé en 40aine...

J'ai continué mes investigations surtout par le MSConfig et les services.

Au jour d'aujourd'hui, il n'y a plus de trojan, mais seulement un dossier vide créé toutes les 5 minutes. Je ne sais pas si la menace est supprimée pour autant... En tout cas il y a toujours le code pour recréer xxxx.tmp mais plus de svchost.exe (ai je supprimé le code malveillant ?). J'opterais pour un malware planqué dans un élément du noyau Windows.

Je précise que en désactivant les éléments de démarrage dans MSCONFIG, le problème est toujours là, et que en désactivant tous les services il n'y a plus de problèmes... (ce qui doit être logique en soi!)

Depuis les logs d'Antivir j'ai récupéré plusieurs noms de menaces suivantes:
TR/Dropper.Gen, TR/Dldr.FakeAV.T, TR/Crypt.CFI.Gen, TR/Hijacker.Gen, TR/Crypt.ZPACK.Gen

Et en quarantaine j'ai:
WORM/VBNA.isu, HTML/Rce.Gen, WORM/VB.EV.6


Pourriez vous m'aider à résoudre ce problème ? J'ai de la choucroute dans la tête moi...
J'ai pas très envie de réinstaller mon PC pour cette m..de !!!

PS: ça faisait longtemps qu'une bébête ne m'avait pas embêté comme ça ...

cordialement
lenainjaune

Configuration: Windows XP Pro

anthony5151 · Accepted Answer

Bonjour,


Les infections qui se transmettent par disque amovible sont monnaie courante : avant d'ouvrir une clé USB (ou tout autre disque amovible), il faut absolument la vacciner. Ici l'infection de disque amovible en a téléchargé une autre beaucoup plus coriace que tu ne pourras pas éliminer à la main (ni avec ton antivirus, quel qu'il soit) : il s'agit d'un rootkit, ce qui explique que tu vois un dossier vide (en fait il ne l'est pas, mais son contenu est "caché")


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum



Et pour éviter tout nouveau problème avec tes disques amovibles :

* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Double clique sur le programme USBFix sur ton Bureau.
* Au menu principal, choisis l'option 2 (Suppression)
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp

Aide en images : Nettoyage

adrien382 · Answer

Mon ami, il s'agit d'une vilaine bebete que tu as attrapé là ! un worm plus precisement, le remede ? arrete tous les processus qui sont sous ton nom que tu ne connais pas (ne touche pas aux processus systeme) et lance un scan systeme avec ton antivirus et c'est dans la poche !
(en tant que worm, il se reproduit donc il ne suffit pas de faire juste le scan)

lenainjaune · Answer

Bonjour,

Aucun processus que je ne connais pas ... il est bien là le problème ... tout semble en règle !

Ah! j'ai oublié de préciser:
- j'ai fait un scan en ligne BitDefender
- j'en ai fait un autre avec NOD32 aussi en ligne
- enfin un avec Trend Micro en ligne aussi

... mais rien de rien

lenainjaune · Answer

Bonjour,

Tout d'abord merci pour votre aide !

Au redémarrage du PC Antivir détecte TR/PCK.Katusha.J.2155 dans C:\WINDOWS\SYSTEM32\Reader_s.exe puis ensuite dans C:\Documents and Settings\NetworkService\Reader_s.exe

Lancement des outils ...

rapport ZHPDiag.txt:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijG3IEtO0.txt

rapport USBFix:

############################## | UsbFix V6.109 |

User : root () # SATI-MASTER
Update on 26/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:46:07 | 28/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 49,81 Go (40,02 Go free) [SYSTEM] # NTFS
D:\ -> Disque fixe local # 152,66 Go (104,82 Go free) [DATA] # NTFS
E:\ -> Disque fixe local # 102,86 Go (91,44 Go free) [BACKUP] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 3,73 Go (2,13 Go free) [KINGSTON] # NTFS
J:\ -> Disque amovible # 1,89 Go (1,2 Go free) [STEF] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1229272821-329068152-839522115-1004 
Supprimé ! C:\Recycler\S-1-5-21-4091908734-1606915865-888727181-1229 
Supprimé ! C:\Recycler\S-1-5-21-4091908734-1606915865-888727181-1237 
Supprimé ! C:\Recycler\S-1-5-21-4091908734-1606915865-888727181-1242 
Supprimé ! C:\Recycler\S-1-5-21-4091908734-1606915865-888727181-2160 
Supprimé ! C:\Recycler\S-1-5-21-4091908734-1606915865-888727181-2163 
Supprimé ! D:\Recycler\S-1-5-21-1229272821-329068152-839522115-1004 
Supprimé ! D:\Recycler\S-1-5-21-4091908734-1606915865-888727181-2160 
Supprimé ! E:\Recycler\S-1-5-21-1229272821-329068152-839522115-1004 
Supprimé ! E:\Recycler\S-1-5-21-1343024091-1708537768-725345543-1008 
Supprimé ! E:\Recycler\S-1-5-21-1404714654-3318386989-1024866295-1307 
Supprimé ! E:\Recycler\S-1-5-21-3357346022-690801614-280053453-1111 
Supprimé ! E:\Recycler\S-1-5-21-4091908734-1606915865-888727181-1106 
Supprimé ! E:\Recycler\S-1-5-21-4091908734-1606915865-888727181-2160 

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"  

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[21/09/2009 14:34|--a------|0] C:\AUTOEXEC.BAT 
[26/04/2010 17:38|---hs----|212] C:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin 
[21/09/2009 14:34|--a------|0] C:\CONFIG.SYS 
[22/03/2010 14:39|--a------|1855] C:\config_ip 
[27/04/2010 16:56|--a------|26] C:\dir_sh.bat 
[21/09/2009 14:34|-rahs----|0] C:\IO.SYS 
[20/07/2008 15:32|--a------|62] C:\IPBackup.bat 
[20/07/2008 17:50|--a------|192] C:\IPRestore.bat 
[17/02/2007 17:16|--a------|175104] C:\msconfig.exe 
[21/09/2009 14:34|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM 
[23/10/2009 12:49|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[26/04/2010 17:42|--a------|419] C:\Raccourci vers msconfig.exe.lnk 
[28/04/2010 08:18|--a------|1777578] C:\UsbFix.exe 
[28/04/2010 15:54|--a------|3009] C:\UsbFix.txt 
[28/04/2010 08:16|--a------|1578003] C:\ZHPDiag 1.25.14.exe 
[19/04/2010 21:27|--a------|3679430] D:\data-lifeguard-tools-11-2.zip 
[06/04/2010 19:04|--a------|8159232] D:\mr.iso 
[02/04/2010 08:26|--a------|76711] D:\oversecurity.rar 
[25/03/2010 22:31|--a------|171016192] D:\pebuilder_partitionsaving380.iso 
[02/03/2010 09:32|--a------|124934310] I:\2009_02_27.mp3 
[22/11/2009 15:33|--a------|77121604] I:\2009_11_22_new deal.mp3 
[13/03/2010 21:10|--a------|35409270] I:\2010_02_27_blix_demo_lq.mp3 
[24/04/2010 22:06|--a------|110887140] I:\2010_04_24_virus mix.mp3 
[02/03/2010 11:02|--a------|52] I:\contact.txt 
[09/02/2010 16:34|--a------|4933174] I:\CPUStressMT_1.0.4.exe 
[14/04/2010 02:53|--a------|7088248] I:\driverfetch_setup.exe 
[16/04/2010 18:40|--a------|215162] I:\Sans titre.png 
[16/04/2010 16:01|--a------|39594] I:\uninstall.reg 
[28/04/2010 08:18|--a------|1777578] I:\UsbFix.exe 
[28/04/2010 08:16|--a------|1578003] I:\ZHPDiag 1.25.14.exe 
[24/04/2009 15:37|--a------|19968] J:\les re-debuts.doc 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_SATI-MASTER.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.109 ! |


*******************************
*******************************

Après l'utilisation des 2 outils, j'ai toujours ce dossier vide qui se créée toutes les 5 min:
%WINDIR%	emp\xxxx.tmp

Donc le problème doit toujours être là, mais peut être n'ai je plus la charge active, mais seulement le superviseur, ce qui expliquerait pourquoi les dossiers sont vides...

Question: c'est quoi ce dossier caché autorun.inf créé par USBFix à la racine de tous mes supports ?
 
cordialement

anthony5151 · Answer

Le dossier caché autorun.inf est un vaccin, il empêche les infections de disques amovibles de se propager ;)



On va maintenant faire une recherche avec Gmer pour voir s'il détecte le rootkit dont je t'ai parlé :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau au format .txt
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

lenainjaune · Answer

Scan en cours...

Le dossier caché autorun.inf est un vaccin, il empêche les infections de disques amovibles de se propager ;) 
Et les éditeurs de malwares ne vérifient pas que ce dossier autorun.inf c'est un leurre ? 
Ça me parait léger comme protection ...

anthony5151 · Answer

Le dossier contient un fichier créé via l'emploi des noms réservés Windows : essaye de le supprimer manuellement, tu verras si c'est léger comme protection :)

lenainjaune · Answer

Bonjour, 

Suite de mes aventures... 
Au premier lancement Gmer a planté. (pourquoi ???) 
J'ai essayé une 2eme fois...  
Là apparemment ça a fonctionné (c'est à ce moment que j'ai posté hier soir) mais il était tard et j'ai quitté mon boulot en laissant tourner Gmer. 
En arrivant en début d'après midi, on m'annonce qu'il vient d'y avoir une coupure dans l'établissement... (la poisse) 
Je redémarre mon PC, et je n'ai pas trouvé de trace du log de Gmer (peut être dans un dossier temporaire !). 
Bref dès le démarrage je lance un scan de Gmer... il replante (comme hier au soir) 
Je relance et là ça marche... 
C'est bizarre il plante à chaque 1er scan ! 

Voici le rapport Gmer d'aujourd'hui: 
http://www.cijoint.fr/cjlink.php?file=cj201004/cij71jtxNC.txt 

Par contre la bebete est toujours là ... la création des dossiers vides suit son cours... 

PS : Effectivement manuellement je n'arrive pas à supprimer le fichier: 
lpt3.This folder was created by UsbFix 
En revanche on peut aisément renommer autorun.inf, donc partant de là on peut aussi recréer un fichier autorun.inf ... non ? 

Ceci dit je ne connaissais pas cette astuce de nom ... je plancherai plus tard sur la question... 


La transe c'est l'immensité de l'intime...

anthony5151 · Answer

Les plantages de Gmer peuvent venir des logiciels de protection s'ils ne sont pas désactivés, mais aussi des logiciels comme Daemon Tools. La prochaine fois qu'on l'utilisera, on fera autrement pour éviter les plantages ;)   

En tout cas, l'infection est visible, c'est bien celle que je suspectais :   

.rsrc     C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys                                                                              entry point in ".rsrc" section [0xF3F0C514]  

File      C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys                                                                              suspicious modification   
File      C:\WINDOWS\system32\drivers\atapi.sys                                                                                suspicious modification   

==> Le fichier VBoxDrv.sys a été infecté (mais comme c'est un rootkit, l'antivirus ne s'en aperçoit pas) et c'est lui qui recrée sans arrêt le dossier qu'AntiVir détecte.    


On va chercher une copie saine de ce fichier sur ton ordinateur :   

* Télécharge SEAF (de C_XX) et lance le. 
* Dans les options, règle "Calculer le checksum" sur "MD5", puis coche "Informations supplémentaires".   
* Tape VBoxDrv.sys,atapi.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.   
* A la fin, poste le rapport dans ta prochaine réponse   


L'habit ne fait pas le moine.   
Le savoir n'est utile que s'il est transmis

lenainjaune · Answer

Rapport de VBoxDrv.sys et atapi.sys: 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijAamK4c3.txt 

La transe c'est l'immensité de l'intime...

anthony5151 · Answer

/!\ ATTENTION /!\ 
Le script proposé ici a été écrit spécialement pour lenainjaune, il n'est pas transposable sur un autre ordinateur !  


* Télécharge ce dossier. 
* Clique sur le fichier Script_batch. Il va placer une copie saine des deux fichiers infectés à la racine de ton disque dur. 
* Ensuite, on va utiliser The Avenger pour supprimer le fichier infecté et placer la copie à la place : 


/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\ 

* Télécharge The Avenger (de Swandog46) sur le Bureau --> Lance le --> Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil --> lis le et clique sur OK. 
* Ouvre le fichier Script_TheAvenger --> Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger. 
* Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille ! 
* A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal. 
* Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) --> Copie/colle ce rapport dans ta prochaine réponse stp. 


L'habit ne fait pas le moine. 
Le savoir n'est utile que s'il est transmis

lenainjaune · Answer

Bonjour,

Voici le rapport avenger:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijtJQjzmS.txt

3 choses:
- le script Script_batch.bat n'a pas pu copier VBoxDrv.sys => erreur
- donc Avenger n'a pas pu réparer le fichier VBoxDrv.sys
- je suis obligé de réactiver ma version de Windows au redémarrage... peut être est ce normal ...

Ce matin j'ai regardé si la source de la copie VBoxDrv.sys existait toujours. Effectivement elle existe bien ... donc j'ai regardé de plus près le script
et j'ai remarqué une erreur
copy c:\Program Files\Sun\VirtualBox\drivers\vboxdrv\VBoxDrv.sys c:\VBoxDrv.sys
il y a un espace entre Program et Files  donc j'ai modifié en ajoutant les guillemets, ce qui donne:
copy "c:\Program Files\Sun\VirtualBox\drivers\vboxdrv\VBoxDrv.sys" c:\VBoxDrv.sys
et là ça a marché !

Donc j'ai relancé Avenger et je posterai le nouveau log plus tard...

anthony5151 · Answer

Bien vu :)

lenainjaune · Answer

Bon alors ...

Au redémarrage étant en mode normal, Antivir détecte un virus:
30/04/2010,08:49:52 [AVERTISSEMENT] Contient le cheval de Troie TR/Patched.Gen!
  C:\Avenger\VBoxDrv.sys
      [USER] SATI-MASTER\ROOT
      [INFO]  Le fichier va être supprimé !
Je le supprime (je prend pas de risque)...

Ensuite:
http://www.cijoint.fr ne me prend plus mes PJ (erreur: Vous n'avez pas choisi de fichier !) ; peut être ai je atteins un quota !

donc je met le log ci-dessous:


#########################

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" completed successfully.
File move operation "c:\VBoxDrv.sys|C:\Windows\System32\drivers\VBoxDrv.sys" completed successfully.

Completed script processing.

*******************

Finished!  Terminate.


#########################

Enfin:
Ça a l'air d'avoir marché ...
En tout cas depuis la dernière action je n'ai plus de dossier vide dans:
%WINDIR%	emp\

MAIS:
- plus de connexion réseau ethernet locale dans mes connexions réseau
- obligation de réactiver ma version de Windows

Que puis je faire pour vérifier que toute menace est évitée sur mon poste ?

anthony5151 · Answer

Fais redémarrer ton ordinateur. Ensuite, poste un nouveau rapportZHPDiag


Puis il va falloir faire une nouvelle analyse avec Gmer :

* Télécharge Defogger et lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
* Désactive tes logiciels de protection et lance une nouvelle analyse avec gmer stp

lenainjaune · Answer

Bonjour,

Donc rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijlsG6T8L.txt

Rapport gmer:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijZWPznFt.txt

Petite précision: 
à la fin du scan gmer, le PC rame bien comme il faut ...
Après analyse je découvre lsass.exe qui occupe 70% du CPU ...

C'est normal ça ?

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté :) 

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (5). 



1) Sécurise ton ordinateur  

* Logiciels de protection :  
* Antivir est un excellent choix, garde le. Juste un petit réglage à faire : Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche » 
* En complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser la dernière version du navigateur Firefox (ta version est ancienne. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes : 
AdBlockPlus pour bloquer les publicités ; 
WOT, pour t'avertir des sites web dangereux. 

* Java n'est pas à jour, c'est une faille de sécurité. 
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes (J2SE Runtime Environment 5.0 / Java 6 Update 7) et désinstalle les. 
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation) 

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe) puis clique sur « Aide » --> « Rechercher les mises à jour ». 
Ensuite, pour limiter les vulnérabilités de ce programme, désactive la prise en charge Javascript d'Adobe Reader : clique sur Edition --> Préférences --> JavaScript --> décoche "Activer Acrobat JavaScript" et valide.  

* Pour les mêmes raisons, mets à jour Flash Player si ce n'est pas déjà le cas : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin. 

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement) 



2) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aider 



3) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le. 
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. 
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs. 

(Tu peux garder ce logiciel et l'utiliser régulièrement). 



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp. 



5) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet 



6) Je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.  



7) Ton ordinateur a été sérieusement compromis. Par précaution, je te suggère de changer tes mots de passe importants (accès à ta banque en ligne, ebay, paypal... etc), pour éviter qu'ils ne soient utilisés par d'autres si l'infection les a récupérés 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;) 


L'habit ne fait pas le moine. 
Le savoir n'est utile que s'il est transmis

lenainjaune · Answer

Bonjour anthony5151, 

Non je n'oublie pas de te remercier ... 

Mais pour le moment je suis attelé à la lecture de tous les liens que tu m'as indiqué. J'en profite pour compléter mes connaissances (assez maigres) sur la sécurité ... Un lien en emmène des autres ... qui en emmène des autres ... 
Bref ! que du bonheur ! 

De plus une fois toutes les connaissances mises bout à bout, je devrais me lancer dans la fastidieuse tâche de scanner tout mon parc informatique. 

Je ne veux pas qu'une bébête se niche quelque part sournoisement ... 

J'en profite pour dire que le site 
http://www.malekal.com/index.php 
est vraiment une mine d'or en informations sur la sécurité (entre autres) ... 

En tout cas: 
Tu es presque parvenu à me décider d'opter pour les mises à jour systématiques contre les failles de sécurité... et même de Windows (ouahou ... il y a du progrès !) 

Ceci dit: je ne veux pas que ces mises à jour soient une source d'embêtement... Tels que jusched.exe pour mettre à jour Java qui tourne dès le démarrage du PC et reste en cours pendant toute la session. Des mises à jour Java, il n'y en quand même pas tous les jours que je sache ... 
Donc pour moi ce processus jusched est une pollution. De même que celui d'Acrobat Reader, etc. Ce qui explique d'ailleurs pourquoi ils ne sont pas à jour. 

Donc à suivre très bientôt ... 

cordialement 
lenainjaune 

La transe c'est l'immensité de l'intime...

anthony5151 · Answer

"J'en profite pour compléter mes connaissances (assez maigres) sur la sécurité"  

Tant mieux :)  
Même si c'est malheureux d'attendre de subir une infection pour se préoccuper d'approfondir ses connaissances en sécurité informatique. Je ne te blâme pas pour ça, d'ailleurs je serais mal placé pour le faire, j'ai commencé à m'y intéresser suite à une infection aussi ^^  La "faute" est partagée : les médias généralistes traitent très peu de sécurité informatique, les magazines et sites d'informatiques destinés au grand public sont également très mauvais (la question posée est presque toujours la mauvaise : quel est le meilleur antivirus), l'éducation nationale met des ordinateurs entre les mains des professeurs et des élèves sans les former un minimum à la sécurité etc...   

D'ailleurs il n'y a pas que les méthodes pour se protéger qui sont mal connues : les risques sont également très peu connus, tout comme les motivations de ceux qui diffusent ces infections --> l'argent (voir notamment cet article de Malekal).  

Heureusement que quelques sites proposent une information de qualité sur ce sujet, comme celui de Malekal effectivement :)  


Pour les mises à jour automatiques de Java, je te comprends : SI tu gères correctement les mises à jour de façon manuelle, tu peux désactiver ce processus qui devient inutile. Mais ça nécessite de se tenir au courant de la découverte de failles de sécurité et de leur correction (en suivant régulièrement des sites comme celui-ci ou celui-ci) ou en utilisant très souvent des programmes comme Update Checker.  
Le problème, c'est que presque personne ne le fait... Et même quand la recherche automatique de mises à jour est activée, tout le monde n'applique pas les correctifs ! Ce qui pose de gros problèmes et explique pourquoi beaucoup d'infections actuelles se propagent en utilisant les failles de sécurité de programmes comme Adobe Reader  


L'habit ne fait pas le moine.  
Le savoir n'est utile que s'il est transmis

lenainjaune · Answer

Salut !

Juste pendant que j'y pense ...

anthony5151 à dit le 28 avr 2010 à 21:40
Le dossier contient un fichier créé via l'emploi des noms réservés Windows : essaye de le supprimer manuellement, tu verras si c'est léger comme protection :) 

Oui, mais si tu tapes en ligne de commande un bête:
del autorun.inf
cela suffit pour détruire le vaccin ...

C'est ce que je voulais dire quand je disais que je trouvais ça léger comme protection...

cordialement
lnj

anthony5151 · Answer

Bonjour ;)

Oui ça détruit le fichier résistant, mais le dossier autorun.inf reste. Pour le moment, je n'ai pas vu d'infection qui supprime ce vaccin (mais ça pourrait arriver, tu as raison). En tout cas, ce vaccin est toujours mieux que rien. Tu peux l'utiliser de façon préventive à chaque fois que tu branches une clé USB qui ne t'appartient pas, avant de l'ouvrir.

Ensuite si tu veux aller plus loin pour te prémunir contre ce type d'infection, tu peux utiliser USB Set : https://forum.zebulon.fr/topic/173063-usb-set-version-151/

lenainjaune · Answer

Ça à l'air bien pratique USB-set, surtout qu'on peut vacciner sélectivement les supports... (ce que UsbFix ne fait pas)

Je vais y jeter un oeil

Infecté par une clef USB d'un élève

22 réponses

Votre réponse

Discussions similaires

Newsletters