Sujet Précédent Sujet Suivant

Virus : AV Security Suite

kaak -  
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Hier sont apparus sur mon pc des messages d'alertes du logiciel AV Security Suite (que je n'ai jms installé...) me disant bloquer des attaques virales...

J'ai lancé un scan d'avast puis de malwarebytes, tenté de supprimer les éléments infectés détectés mais le problème persistait au redémarrage de mon ordinateur...

Ci dessous les rapports.

Merci d'avance à ceux qui pourront m'aider! :)

A voir également:

38 réponses

  • 1
  • 2
Résumé de la discussion

Des alertes du logiciel AV Security Suite apparaissent sur un PC équipé de Windows XP et Firefox 3.6.3, signalant des attaques virales et incitant à lancer des scans pour neutraliser les menaces.
Plusieurs réponses préconisent d’identifier et d’éliminer les traces de l’infection avec Avast et Malwarebytes, puis d’employer des outils avancés comme Combofix et CFScript malgré les risques.
Des instructions détaillent la désactivation temporaire des protections, la création de scripts KillAll, puis le glissement d’un CFScript sur ComboFix et la surveillance du rapport généré après le scan.
D’autres échanges évoquent des solutions complémentaires (ZHPDiag, vérification des paramètres proxy et MBR), et soulignent qu’un rootkit actif peut nécessiter plusieurs passes et des mesures de sécurité renforcées sans garantie immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 1 / 38
kaak
 
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/06/2010 20:46:57
mbam-log-2010-06-11 (20-46-57).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 352151
Temps écoulé: 1 hour(s), 39 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
0
Réponse 2 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Bonjour,

Pourrais tu poster les rapports ??

++
0
kaak
 
ils sont en commentaire de mon 1er post. Merci!
0
Réponse 3 / 38
kaak
 
2ème analyse que j'ai faite ensuite :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3831
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/06/2010 21:48:27
mbam-log-2010-06-11 (21-48-27).txt

Type de recherche: Examen rapide
Eléments examinés: 197637
Temps écoulé: 21 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
0
Réponse 4 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Oups, j'avais pas vu. Dsl.

On va faire un diagnostique de ton pc pour voir si il y a des restes d'infections :

▶ Télécharge ZHPDiag

▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

++
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
kaak
 
Voici le lien du rapport :
http://www.cijoint.fr/cjlink.php?file=cj201006/cij5QQO3qR.txt

merci !
0
Réponse 6 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Ouahh! Il y a du monde la dedans !

* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

? Clique sur Démarrer puis sur panneau de configuration
? Double Clique sur l'icône "Comptes d'utilisateurs"
? Clique ensuite sur désactiver et valide.
? Redémarre le PC

? Télécharge Combofix de sUBs

? et enregistre le sur le Bureau.

? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

? Installe la console de réparation !!

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ensuite envois le rapport stp

++
0
suedoiz
 
Bonjour, j'ai exactement le mm problème sauf que je suis sous XP, je peux faire quoi moi ?
merci
0
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Suedoiz ouvre un nouveau sujet, un Helper viendra t'aider très rapidement ;)

++
0
Réponse 7 / 38
kaak
 
Impossible de télécharger combofix... :(
Je tombe sur ce message d'erreur quand je clique sur le lien : http://www.cijoint.fr/cjlink.php?file=cj201006/cij9agqB2V.docx

J'arrive à ouvrir la page du tuto, j'ai même essayé l'autre lien proposé pour combofix, rien à faire...
0
Réponse 8 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

On va essayer deux choses :

1/

? Télécharge Rkill de Grinler

? Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps !

Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

--> Enchaine avec la procédure de ComboFix

/!\ Si tu a encore le message d'erreur malgrès ceci alors :

Redémarre en mode sans échec avec prise en charge réseau ( ne surtout pas utiliser la méthode avec msconfig !! )

--> Fait la procédure avec ComboFix

Tiens moi au jus !

A+
0
Réponse 9 / 38
kaak
 
Ça y est! J'ai réussi à télécharger combofix après rkill.

Voici donc le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201006/cij63VWGHx.txt

Thx !
0
Réponse 10 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

Y'a encore du taf !

Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications

-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

Folder::
d:\documents and settings\kaki\Local Settings\Application Data\jfkkipwmt
d:\documents and settings\kaki\Local Settings\Application Data\nlypdewnn
d:\documents and settings\kaki\Local Settings\Application Data\fgostpvkt
d:\documents and settings\kaki\Local Settings\Application Data\aeprql
d:\documents and settings\kaki\Local Settings\Application Data\geitylqlx
d:\documents and settings\wissam\Local Settings\Application Data\hxjsqbjuj
d:\documents and settings\kaki\Local Settings\Application Data\vfgotwa
d:\documents and settings\kaki\Local Settings\Application Data\yhlajckt
d:\documents and settings\uham\Local Settings\Application Data\lljfcyhft

File::
c:\windows\system32\Smab0.dll

Driver::
gAGP440p

Mbr::


-> Enregistre ce fichier sous le nom CFScript

-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

* Ne touche à rien tant que le scan n'est pas terminé.

-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt

===================================

AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

=> La règle : 1 seul antivirus donc désinstalle Norton.

A++
0
Réponse 11 / 38
kaak
 
Slt!

J'ai suivi tes instructions, voici le nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/cijbrWktYo.txt

Deux ptites choses :
- il y a eu une mise à jour de combofix au tout début, le logiciel a redémarré donc j'espère que ça n'a pas "zappé" le script que j'avais glissé/déposé...
- pour norton, je n'ai trouvé que des raccourcis sur mon ordi, dans ajout/suppression de programmes aucune trace de norton, donc je n'arrive pas à le désinstaller, pourtant combofix m'a remis le même message que lors du 1er scan ( me demandant de désactiver norton)...

Merci !
0
Réponse 12 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

Ok, c'est déjà mieux.

1/

Utilise ceci pour enlever toutes les traces de norton

2/

Relance un scan complet avec MBAM en n'oubliant pas de faire la mise à jour !

++
0
Réponse 13 / 38
kaak
 
Ci-dessous le rapport mbam, aucun nuisible détecté! Donc plus de virus?
Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?

Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?

Merci++ pour ton aide en tout cas! :)

------------------------------------------------------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4194

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/06/2010 20:15:46
mbam-log-2010-06-13 (20-15-46).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 318119
Temps écoulé: 1 heure(s), 9 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 14 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut !

Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?

--> Si tu le souhaite on peux les vacciner.

Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?

--> Généralement il est très déconseillé de garder des documents confidentiels sur un ordinateur.
Tu peux changer tes MDP si tu le souhaite, mais je ne pense pas que cela ait été pris par l'infection ;)

++
0
Réponse 15 / 38
kaak
 
Je prends note de tes conseils... :)

Pour la vaccination, jveux bien que tu m'indiques quel logiciel utiliser!

Et concernant la protection de mon pc, je ne suis pas sure d'avoir un anti spyware en fait... j'ai juste avast je crois, je devrais installer quoi en plus?
0
Réponse 16 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut !

1/

Option 1 - Recherche :

▶ Télécharge UsbFix et enregistre-le sur ton bureau

▶ tutoriel recherche

▶ Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

▶ Choisi l'option 1 (recherche)

▶ Laisse travailler l'outil

▶ Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

2/

--> Désinstalle Avast! via ajout/suppression. Si cela ne marche pas essaye avec ceci

--> Installe Antivir d'AVIRA ( tuto+installation )

--> Tu peux garder MBAM et faire un scan régulier si tu le souhaite ;)

++
0
Réponse 17 / 38
kaak
 
Salut!

Je sais pas si tu reviendras lire ce sujet, mais je tente quand même : avast détecte toujours des fichiers suspects, et là il vient de bloquer un droper :
- infection Win32:crypt-GQN [DRP]
- processus : C:\WINDOWS\system32\wscript.exe
Dans la zone de quarantaine d'avast, il y a aussi plusieurs autres fichiers...

Ça veut dire qu'il reste des virus sur mon ordi?
Qu'est-ce que je peucx faire?

J'ai pas du tout eu le temps de vacciner mes périph ni de changer avast pour antivir...

Merci encore si tu peux m'aider!
0
Réponse 18 / 38
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

Bien sur que je reviens lire le sujet je te laisserais pas tomber comme une chaussette ^^

EDIT : Fais le scan UsbFix, C:\WINDOWS\system32\wscript.exe provient d'une infection par disques amovibles.

++
0
Réponse 19 / 38
kaak
 
Tu me sauves la vie! ;)

J'enregistre usbfix, mais quand je veux l'ouvrir avast le bloque en disant détecter un cheval de troie (WIN:VB-JI [Trj])...
0
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Coupe ta connexion internet et désactive avast! le temps du scan.

++
0
Réponse 20 / 38
kaak
 
Salut!

Mon ordi a replanté comme au départ, avec av security suite toussa...
J'ai donc suivi la même procédure que la 1ère fois, j'ai exécuté combofix (après rkill pare que j'arrivais pas à le lancer directement!).

J'ai ensuite lancé usb fix (suppression puis vaccination).

Je poste les rapports, peux-tu me dire s'il reste des traces d'infections??

Merci (again!) :)

Combofix :http://www.cijoint.fr/cjlink.php?file=cj201006/cijYLcAQd2.txt

Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201006/cijLmdyPjf.txt
0
kaak
 
+ rapport mbam :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4194

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/06/2010 19:42:07
mbam-log-2010-06-20 (19-42-07).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 335330
Temps écoulé: 2 heure(s), 5 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Documents and Settings\HelpAssistant\Local Settings\Temp\10.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\2V3Z1V89\ggbrzx[1].htm (Rootkit.Agent) -> Quarantined and deleted successfully.
0
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut
J'essaye de regarder sa ce soir et te donne la réponse

++
0
kaak
 
d'ac c'est sympa!
pour info, mon ordi rame à mort et bug à la mise en veille, et avast est désactivé à chaque fois que jle rallume, donc jpense qu'il est loin d'être clean!
0
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Je ne t'oublie pas ^^ Je demande juste confirmation car il y a qql chose de louche dans le rapport ComboFix.

++
0
kaak
 
ok merci :)
0
  • 1
  • 2

Discussions similaires

Chrome://newtab
Nova -
snoopy35_ -

14 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Erreur 0x800700E1
Didiervd -
Viktimz -

11 réponses
Virus dans filezilla
balnelius10 -
fabul -

9 réponses