Virus : AV Security Suite
kaak
-
NicoVA Messages postés 1058 Date d'inscription Statut Contributeur sécurité Dernière intervention -
NicoVA Messages postés 1058 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Hier sont apparus sur mon pc des messages d'alertes du logiciel AV Security Suite (que je n'ai jms installé...) me disant bloquer des attaques virales...
J'ai lancé un scan d'avast puis de malwarebytes, tenté de supprimer les éléments infectés détectés mais le problème persistait au redémarrage de mon ordinateur...
Ci dessous les rapports.
Merci d'avance à ceux qui pourront m'aider! :)
Hier sont apparus sur mon pc des messages d'alertes du logiciel AV Security Suite (que je n'ai jms installé...) me disant bloquer des attaques virales...
J'ai lancé un scan d'avast puis de malwarebytes, tenté de supprimer les éléments infectés détectés mais le problème persistait au redémarrage de mon ordinateur...
Ci dessous les rapports.
Merci d'avance à ceux qui pourront m'aider! :)
A voir également:
- Virus : AV Security Suite
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
38 réponses
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
11/06/2010 20:46:57
mbam-log-2010-06-11 (20-46-57).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 352151
Temps écoulé: 1 hour(s), 39 minute(s), 25 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Version de la base de données: 3831
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
11/06/2010 20:46:57
mbam-log-2010-06-11 (20-46-57).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 352151
Temps écoulé: 1 hour(s), 39 minute(s), 25 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
2ème analyse que j'ai faite ensuite :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
11/06/2010 21:48:27
mbam-log-2010-06-11 (21-48-27).txt
Type de recherche: Examen rapide
Eléments examinés: 197637
Temps écoulé: 21 minute(s), 12 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
11/06/2010 21:48:27
mbam-log-2010-06-11 (21-48-27).txt
Type de recherche: Examen rapide
Eléments examinés: 197637
Temps écoulé: 21 minute(s), 12 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
Oups, j'avais pas vu. Dsl.
On va faire un diagnostique de ton pc pour voir si il y a des restes d'infections :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++
On va faire un diagnostique de ton pc pour voir si il y a des restes d'infections :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ouahh! Il y a du monde la dedans !
* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
? Clique sur Démarrer puis sur panneau de configuration
? Double Clique sur l'icône "Comptes d'utilisateurs"
? Clique ensuite sur désactiver et valide.
? Redémarre le PC
? Télécharge Combofix de sUBs
? et enregistre le sur le Bureau.
? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
? Installe la console de réparation !!
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
ensuite envois le rapport stp
++
* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
? Clique sur Démarrer puis sur panneau de configuration
? Double Clique sur l'icône "Comptes d'utilisateurs"
? Clique ensuite sur désactiver et valide.
? Redémarre le PC
? Télécharge Combofix de sUBs
? et enregistre le sur le Bureau.
? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
? Installe la console de réparation !!
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
ensuite envois le rapport stp
++
Impossible de télécharger combofix... :(
Je tombe sur ce message d'erreur quand je clique sur le lien : http://www.cijoint.fr/cjlink.php?file=cj201006/cij9agqB2V.docx
J'arrive à ouvrir la page du tuto, j'ai même essayé l'autre lien proposé pour combofix, rien à faire...
Je tombe sur ce message d'erreur quand je clique sur le lien : http://www.cijoint.fr/cjlink.php?file=cj201006/cij9agqB2V.docx
J'arrive à ouvrir la page du tuto, j'ai même essayé l'autre lien proposé pour combofix, rien à faire...
Salut
On va essayer deux choses :
1/
? Télécharge Rkill de Grinler
? Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps !
Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.
--> Enchaine avec la procédure de ComboFix
/!\ Si tu a encore le message d'erreur malgrès ceci alors :
Redémarre en mode sans échec avec prise en charge réseau ( ne surtout pas utiliser la méthode avec msconfig !! )
--> Fait la procédure avec ComboFix
Tiens moi au jus !
A+
On va essayer deux choses :
1/
? Télécharge Rkill de Grinler
? Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps !
Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.
--> Enchaine avec la procédure de ComboFix
/!\ Si tu a encore le message d'erreur malgrès ceci alors :
Redémarre en mode sans échec avec prise en charge réseau ( ne surtout pas utiliser la méthode avec msconfig !! )
--> Fait la procédure avec ComboFix
Tiens moi au jus !
A+
Ça y est! J'ai réussi à télécharger combofix après rkill.
Voici donc le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201006/cij63VWGHx.txt
Thx !
Voici donc le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201006/cij63VWGHx.txt
Thx !
Salut
Y'a encore du taf !
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Folder::
d:\documents and settings\kaki\Local Settings\Application Data\jfkkipwmt
d:\documents and settings\kaki\Local Settings\Application Data\nlypdewnn
d:\documents and settings\kaki\Local Settings\Application Data\fgostpvkt
d:\documents and settings\kaki\Local Settings\Application Data\aeprql
d:\documents and settings\kaki\Local Settings\Application Data\geitylqlx
d:\documents and settings\wissam\Local Settings\Application Data\hxjsqbjuj
d:\documents and settings\kaki\Local Settings\Application Data\vfgotwa
d:\documents and settings\kaki\Local Settings\Application Data\yhlajckt
d:\documents and settings\uham\Local Settings\Application Data\lljfcyhft
File::
c:\windows\system32\Smab0.dll
Driver::
gAGP440p
Mbr::
-> Enregistre ce fichier sous le nom CFScript
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
===================================
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
=> La règle : 1 seul antivirus donc désinstalle Norton.
A++
Y'a encore du taf !
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Folder::
d:\documents and settings\kaki\Local Settings\Application Data\jfkkipwmt
d:\documents and settings\kaki\Local Settings\Application Data\nlypdewnn
d:\documents and settings\kaki\Local Settings\Application Data\fgostpvkt
d:\documents and settings\kaki\Local Settings\Application Data\aeprql
d:\documents and settings\kaki\Local Settings\Application Data\geitylqlx
d:\documents and settings\wissam\Local Settings\Application Data\hxjsqbjuj
d:\documents and settings\kaki\Local Settings\Application Data\vfgotwa
d:\documents and settings\kaki\Local Settings\Application Data\yhlajckt
d:\documents and settings\uham\Local Settings\Application Data\lljfcyhft
File::
c:\windows\system32\Smab0.dll
Driver::
gAGP440p
Mbr::
-> Enregistre ce fichier sous le nom CFScript
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
===================================
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
=> La règle : 1 seul antivirus donc désinstalle Norton.
A++
Slt!
J'ai suivi tes instructions, voici le nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/cijbrWktYo.txt
Deux ptites choses :
- il y a eu une mise à jour de combofix au tout début, le logiciel a redémarré donc j'espère que ça n'a pas "zappé" le script que j'avais glissé/déposé...
- pour norton, je n'ai trouvé que des raccourcis sur mon ordi, dans ajout/suppression de programmes aucune trace de norton, donc je n'arrive pas à le désinstaller, pourtant combofix m'a remis le même message que lors du 1er scan ( me demandant de désactiver norton)...
Merci !
J'ai suivi tes instructions, voici le nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/cijbrWktYo.txt
Deux ptites choses :
- il y a eu une mise à jour de combofix au tout début, le logiciel a redémarré donc j'espère que ça n'a pas "zappé" le script que j'avais glissé/déposé...
- pour norton, je n'ai trouvé que des raccourcis sur mon ordi, dans ajout/suppression de programmes aucune trace de norton, donc je n'arrive pas à le désinstaller, pourtant combofix m'a remis le même message que lors du 1er scan ( me demandant de désactiver norton)...
Merci !
Salut
Ok, c'est déjà mieux.
1/
Utilise ceci pour enlever toutes les traces de norton
2/
Relance un scan complet avec MBAM en n'oubliant pas de faire la mise à jour !
++
Ok, c'est déjà mieux.
1/
Utilise ceci pour enlever toutes les traces de norton
2/
Relance un scan complet avec MBAM en n'oubliant pas de faire la mise à jour !
++
Ci-dessous le rapport mbam, aucun nuisible détecté! Donc plus de virus?
Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?
Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?
Merci++ pour ton aide en tout cas! :)
------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4194
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13/06/2010 20:15:46
mbam-log-2010-06-13 (20-15-46).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 318119
Temps écoulé: 1 heure(s), 9 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?
Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?
Merci++ pour ton aide en tout cas! :)
------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4194
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13/06/2010 20:15:46
mbam-log-2010-06-13 (20-15-46).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 318119
Temps écoulé: 1 heure(s), 9 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Salut !
Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?
--> Si tu le souhaite on peux les vacciner.
Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?
--> Généralement il est très déconseillé de garder des documents confidentiels sur un ordinateur.
Tu peux changer tes MDP si tu le souhaite, mais je ne pense pas que cela ait été pris par l'infection ;)
++
Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?
--> Si tu le souhaite on peux les vacciner.
Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?
--> Généralement il est très déconseillé de garder des documents confidentiels sur un ordinateur.
Tu peux changer tes MDP si tu le souhaite, mais je ne pense pas que cela ait été pris par l'infection ;)
++
Je prends note de tes conseils... :)
Pour la vaccination, jveux bien que tu m'indiques quel logiciel utiliser!
Et concernant la protection de mon pc, je ne suis pas sure d'avoir un anti spyware en fait... j'ai juste avast je crois, je devrais installer quoi en plus?
Pour la vaccination, jveux bien que tu m'indiques quel logiciel utiliser!
Et concernant la protection de mon pc, je ne suis pas sure d'avoir un anti spyware en fait... j'ai juste avast je crois, je devrais installer quoi en plus?
Salut !
1/
Option 1 - Recherche :
▶ Télécharge UsbFix et enregistre-le sur ton bureau
▶ tutoriel recherche
▶ Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement
▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
▶ Choisi l'option 1 (recherche)
▶ Laisse travailler l'outil
▶ Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
2/
--> Désinstalle Avast! via ajout/suppression. Si cela ne marche pas essaye avec ceci
--> Installe Antivir d'AVIRA ( tuto+installation )
--> Tu peux garder MBAM et faire un scan régulier si tu le souhaite ;)
++
1/
Option 1 - Recherche :
▶ Télécharge UsbFix et enregistre-le sur ton bureau
▶ tutoriel recherche
▶ Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement
▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
▶ Choisi l'option 1 (recherche)
▶ Laisse travailler l'outil
▶ Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
2/
--> Désinstalle Avast! via ajout/suppression. Si cela ne marche pas essaye avec ceci
--> Installe Antivir d'AVIRA ( tuto+installation )
--> Tu peux garder MBAM et faire un scan régulier si tu le souhaite ;)
++
Salut!
Je sais pas si tu reviendras lire ce sujet, mais je tente quand même : avast détecte toujours des fichiers suspects, et là il vient de bloquer un droper :
- infection Win32:crypt-GQN [DRP]
- processus : C:\WINDOWS\system32\wscript.exe
Dans la zone de quarantaine d'avast, il y a aussi plusieurs autres fichiers...
Ça veut dire qu'il reste des virus sur mon ordi?
Qu'est-ce que je peucx faire?
J'ai pas du tout eu le temps de vacciner mes périph ni de changer avast pour antivir...
Merci encore si tu peux m'aider!
Je sais pas si tu reviendras lire ce sujet, mais je tente quand même : avast détecte toujours des fichiers suspects, et là il vient de bloquer un droper :
- infection Win32:crypt-GQN [DRP]
- processus : C:\WINDOWS\system32\wscript.exe
Dans la zone de quarantaine d'avast, il y a aussi plusieurs autres fichiers...
Ça veut dire qu'il reste des virus sur mon ordi?
Qu'est-ce que je peucx faire?
J'ai pas du tout eu le temps de vacciner mes périph ni de changer avast pour antivir...
Merci encore si tu peux m'aider!
Salut
Bien sur que je reviens lire le sujet je te laisserais pas tomber comme une chaussette ^^
EDIT : Fais le scan UsbFix, C:\WINDOWS\system32\wscript.exe provient d'une infection par disques amovibles.
++
Bien sur que je reviens lire le sujet je te laisserais pas tomber comme une chaussette ^^
EDIT : Fais le scan UsbFix, C:\WINDOWS\system32\wscript.exe provient d'une infection par disques amovibles.
++
Tu me sauves la vie! ;)
J'enregistre usbfix, mais quand je veux l'ouvrir avast le bloque en disant détecter un cheval de troie (WIN:VB-JI [Trj])...
J'enregistre usbfix, mais quand je veux l'ouvrir avast le bloque en disant détecter un cheval de troie (WIN:VB-JI [Trj])...
Salut!
Mon ordi a replanté comme au départ, avec av security suite toussa...
J'ai donc suivi la même procédure que la 1ère fois, j'ai exécuté combofix (après rkill pare que j'arrivais pas à le lancer directement!).
J'ai ensuite lancé usb fix (suppression puis vaccination).
Je poste les rapports, peux-tu me dire s'il reste des traces d'infections??
Merci (again!) :)
Combofix :http://www.cijoint.fr/cjlink.php?file=cj201006/cijYLcAQd2.txt
Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201006/cijLmdyPjf.txt
Mon ordi a replanté comme au départ, avec av security suite toussa...
J'ai donc suivi la même procédure que la 1ère fois, j'ai exécuté combofix (après rkill pare que j'arrivais pas à le lancer directement!).
J'ai ensuite lancé usb fix (suppression puis vaccination).
Je poste les rapports, peux-tu me dire s'il reste des traces d'infections??
Merci (again!) :)
Combofix :http://www.cijoint.fr/cjlink.php?file=cj201006/cijYLcAQd2.txt
Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201006/cijLmdyPjf.txt
+ rapport mbam :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4194
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
20/06/2010 19:42:07
mbam-log-2010-06-20 (19-42-07).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 335330
Temps écoulé: 2 heure(s), 5 minute(s), 55 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Documents and Settings\HelpAssistant\Local Settings\Temp\10.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\2V3Z1V89\ggbrzx[1].htm (Rootkit.Agent) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4194
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
20/06/2010 19:42:07
mbam-log-2010-06-20 (19-42-07).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 335330
Temps écoulé: 2 heure(s), 5 minute(s), 55 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Documents and Settings\HelpAssistant\Local Settings\Temp\10.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\2V3Z1V89\ggbrzx[1].htm (Rootkit.Agent) -> Quarantined and deleted successfully.
