Virus BV:AutoRun-G[Wrm] [Résolu/Fermé]

Signaler
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010
-
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010
-
Bonjour,
J'avais prété mon numérique et quand je l'ai récupéré j'ai voulu le brancher sur mon PC et Avast a détecté ce logiciel malveillant que je n'ai ni réussi à supprimer ni à mettre en quarantaine !
J'ai fait une restauration puis un scan avec Avast mais rien ...
Depuis je trouve malgré tout une certaine lenteur ...
J'ai passé un coup de Spybot puis téléchargé USBFIX dont voici le rapport :


############################## | UsbFix V6.059 |

User : phil (Administrateurs) # PHILIPPE-A6I8QQ
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:52:07 | 05/06/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100605-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 74,52 Go (24,22 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 612
C:\WINDOWS\system32\csrss.exe 660
C:\WINDOWS\system32\winlogon.exe 684
C:\WINDOWS\system32\services.exe 728
C:\WINDOWS\system32\lsass.exe 740
C:\WINDOWS\system32\svchost.exe 920
C:\WINDOWS\system32\svchost.exe 992
C:\WINDOWS\System32\svchost.exe 1088
C:\WINDOWS\system32\svchost.exe 1128
C:\WINDOWS\System32\svchost.exe 1172
C:\WINDOWS\System32\svchost.exe 1252
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1360
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1408
C:\WINDOWS\system32\spoolsv.exe 1776
C:\WINDOWS\Explorer.EXE 212
C:\WINDOWS\System32\igfxtray.exe 108
C:\WINDOWS\System32\igfxpers.exe 632
C:\WINDOWS\RTHDCPL.EXE 664
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 892
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe 936
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe 944
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe 1032
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe 1040
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe 1208
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 1244
C:\WINDOWS\system32\ctfmon.exe 1340
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe 1460
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe 1556
C:\WINDOWS\System32\svchost.exe 1856
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe 1912
C:\Program Files\Fichiers communs\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe 248
C:\Program Files\Fichiers communs\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe 124
C:\Program Files\Java\jre6\bin\jqs.exe 424
C:\Program Files\CDBurnerXP\NMSAccessU.exe 456
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe 1300
C:\WINDOWS\System32\svchost.exe 1984
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2480
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2504
C:\WINDOWS\System32\alg.exe 3148
C:\WINDOWS\system32\rundll32.exe 2084
C:\WINDOWS\system32\wbem\wmiprvse.exe 144

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\phil\LOCALS~1\Temp\azemp-win32_1.9.11.zip
C:\DOCUME~1\phil\LOCALS~1\Temp\azupnpav_0.1.7.zip
C:\DOCUME~1\phil\LOCALS~1\Temp\swt-3430-win32-win32-x86.zip
C:\DOCUME~1\phil\LOCALS~1\Temp\swt-3448-win32-win32-x86.zip
C:\DOCUME~1\phil\LOCALS~1\Temp\un.bat


################## | Spyware.OnlineGames |

C:\System Volume Information\_restore{F8374A73-CB52-4429-8587-D05D54EC1747}\RP638\A0104866.dll

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.059 ! |







Puis je supprimer ces dossiers infectieux sans risque pour mon système ( XP Familial ) ???

Merci de m'apporter une aide pour résoudre ce problème.

ps: Vais je devoir supprimer toutes les photos qui sont sur la carte du numérique ?


6 réponses

Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
178
Bonjour,

OUi, tu peux supprimer sans problème ces fichiers.
Ils sont localisés dans des dossiers temporaires et également dans le restauration système ( un peu plus embettant car il faudra supprimer les points existants ).

En aucun cas, tes photos n'ont été touchées.

Tu passes USBFix option nettoyage.

-------------------------------------------------------------------------------------------------

Il serait bon de vérifier si le PC n'a pas été par ailleurs infecté.

Pour cela, utilise le logiciel de diagnostic suivant et poste les deux rapports.

Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

Bon voici les 2 liens d'analyse OTL

http://www.cijoint.fr/cjlink.php?file=cj201006/cijygyONDA.txt

http://www.cijoint.fr/cjlink.php?file=cj201006/cijx7MNDg6.txt

Et maintenant ?
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

Ah oui juste avant j'ai supprimé les fichiers infectés avec USBFIX ...
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
178
je regarde les rapports.

A+
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

ok merci !
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
178
Re,

pas de trace d'infections dans les rapports.
Je vois que les logiciels ( java, adobe , navigateurs ) sont à jour.
C'est important car beaucoup d'infections actuelles exploitent des failles de sécurité avec ces logiciels.

par contre, il y a une nouvelle version d'avast qui est sortie et qui protège efficacement le PC ( nouveau module web ).

Il te faudra désinstaller la version 4.8 et installer la version 5.
Arrête les services d'avast et désinstalle l'antivirus puis installe la nouvelle version :
https://www.avast.com/fr-fr/free-antivirus-download

--------------------------------------------------------------------------------------

Pour finir la vérification du PC, tu vas faire deux analyses.

1/ Tu vas utiliser un antimalware, malwarebytes.
C'est un excellent outil pour vérifier si le PC n'est pas infecté et un bon complément aux protections actuelles.

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

2/ Fais un scan en ligne :
tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm

Poste les rapports si tu trouves quelque chose.

A+
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

Je te remercie beaucoup !! sympa !!
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

Rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/06/2010 17:37:45
mbam-log-2010-06-05 (17-37-45).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 313397
Temps écoulé: 1 heure(s), 13 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\UpMedia (Adware.SmartShopper) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\F\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\usb.exe.UsbFix (Trojan.Buzus) -> Quarantined and deleted successfully.

Encore merci de ton aide !!!
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

Si tu vois quelque chose d'anormal ...
Si ok je mettrai "résolu"
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
178
Re,

Malwarebytes n'a trouvé qu'un fichier dans la quarantaine d'USBFix.
Le PC doit être propre.

------------------------------------------------------------------

Vu que la restauration système a été touchée, elle est inutilisable et il faut supprimer tous les points existants.


Les points de restauration :


- Panneau de configuration --> Système --> Restauration du système

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

---------------------------------------------------------------------

Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

---------------------------------------------------------------------

Bonne continuation.

@+
Messages postés
8
Date d'inscription
samedi 5 juin 2010
Statut
Membre
Dernière intervention
5 juin 2010

Meeeerrciiii !!!