Virus : AV Security Suite

kaak -  
NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Hier sont apparus sur mon pc des messages d'alertes du logiciel AV Security Suite (que je n'ai jms installé...) me disant bloquer des attaques virales...

J'ai lancé un scan d'avast puis de malwarebytes, tenté de supprimer les éléments infectés détectés mais le problème persistait au redémarrage de mon ordinateur...

Ci dessous les rapports.

Merci d'avance à ceux qui pourront m'aider! :)

38 réponses

  • 1
  • 2
Résumé de la discussion

Des alertes du logiciel AV Security Suite apparaissent sur un PC équipé de Windows XP et Firefox 3.6.3, signalant des attaques virales et incitant à lancer des scans pour neutraliser les menaces.
Plusieurs réponses préconisent d’identifier et d’éliminer les traces de l’infection avec Avast et Malwarebytes, puis d’employer des outils avancés comme Combofix et CFScript malgré les risques.
Des instructions détaillent la désactivation temporaire des protections, la création de scripts KillAll, puis le glissement d’un CFScript sur ComboFix et la surveillance du rapport généré après le scan.
D’autres échanges évoquent des solutions complémentaires (ZHPDiag, vérification des paramètres proxy et MBR), et soulignent qu’un rootkit actif peut nécessiter plusieurs passes et des mesures de sécurité renforcées sans garantie immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kaak
     
    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3831
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    11/06/2010 20:46:57
    mbam-log-2010-06-11 (20-46-57).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 352151
    Temps écoulé: 1 hour(s), 39 minute(s), 25 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 7
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
    0
  2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Bonjour,

    Pourrais tu poster les rapports ??

    ++
    0
    1. kaak
       
      ils sont en commentaire de mon 1er post. Merci!
      0
  3. kaak
     
    2ème analyse que j'ai faite ensuite :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3831
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    11/06/2010 21:48:27
    mbam-log-2010-06-11 (21-48-27).txt

    Type de recherche: Examen rapide
    Eléments examinés: 197637
    Temps écoulé: 21 minute(s), 12 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\winxp.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
    0
  4. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Oups, j'avais pas vu. Dsl.

    On va faire un diagnostique de ton pc pour voir si il y a des restes d'infections :

    ▶ Télécharge ZHPDiag

    ▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    ▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    ▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    ++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kaak
     
    Voici le lien du rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201006/cij5QQO3qR.txt

    merci !
    0
  7. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Ouahh! Il y a du monde la dedans !

    * Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    ? Clique sur Démarrer puis sur panneau de configuration
    ? Double Clique sur l'icône "Comptes d'utilisateurs"
    ? Clique ensuite sur désactiver et valide.
    ? Redémarre le PC

    ? Télécharge Combofix de sUBs

    ? et enregistre le sur le Bureau.

    ? désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

    ? Installe la console de réparation !!

    Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    ensuite envois le rapport stp

    ++
    0
    1. suedoiz
       
      Bonjour, j'ai exactement le mm problème sauf que je suis sous XP, je peux faire quoi moi ?
      merci
      0
    2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Suedoiz ouvre un nouveau sujet, un Helper viendra t'aider très rapidement ;)

      ++
      0
  8. kaak
     
    Impossible de télécharger combofix... :(
    Je tombe sur ce message d'erreur quand je clique sur le lien : http://www.cijoint.fr/cjlink.php?file=cj201006/cij9agqB2V.docx

    J'arrive à ouvrir la page du tuto, j'ai même essayé l'autre lien proposé pour combofix, rien à faire...
    0
  9. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    On va essayer deux choses :

    1/


    ? Télécharge Rkill de Grinler

    ? Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps !

    Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

    --> Enchaine avec la procédure de ComboFix

    /!\ Si tu a encore le message d'erreur malgrès ceci alors :

    Redémarre en mode sans échec avec prise en charge réseau ( ne surtout pas utiliser la méthode avec msconfig !! )

    --> Fait la procédure avec ComboFix

    Tiens moi au jus !

    A+
    0
  10. kaak
     
    Ça y est! J'ai réussi à télécharger combofix après rkill.

    Voici donc le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201006/cij63VWGHx.txt

    Thx !
    0
  11. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Y'a encore du taf !

    Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications

    -> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::

    Folder::
    d:\documents and settings\kaki\Local Settings\Application Data\jfkkipwmt
    d:\documents and settings\kaki\Local Settings\Application Data\nlypdewnn
    d:\documents and settings\kaki\Local Settings\Application Data\fgostpvkt
    d:\documents and settings\kaki\Local Settings\Application Data\aeprql
    d:\documents and settings\kaki\Local Settings\Application Data\geitylqlx
    d:\documents and settings\wissam\Local Settings\Application Data\hxjsqbjuj
    d:\documents and settings\kaki\Local Settings\Application Data\vfgotwa
    d:\documents and settings\kaki\Local Settings\Application Data\yhlajckt
    d:\documents and settings\uham\Local Settings\Application Data\lljfcyhft

    File::
    c:\windows\system32\Smab0.dll

    Driver::
    gAGP440p

    Mbr::


    -> Enregistre ce fichier sous le nom CFScript

    -> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    -> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

    * Ne touche à rien tant que le scan n'est pas terminé.

    -> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    -> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt

    ===================================

    AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

    => La règle : 1 seul antivirus donc désinstalle Norton.

    A++
    0
  12. kaak
     
    Slt!

    J'ai suivi tes instructions, voici le nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/cijbrWktYo.txt

    Deux ptites choses :
    - il y a eu une mise à jour de combofix au tout début, le logiciel a redémarré donc j'espère que ça n'a pas "zappé" le script que j'avais glissé/déposé...
    - pour norton, je n'ai trouvé que des raccourcis sur mon ordi, dans ajout/suppression de programmes aucune trace de norton, donc je n'arrive pas à le désinstaller, pourtant combofix m'a remis le même message que lors du 1er scan ( me demandant de désactiver norton)...

    Merci !
    0
  13. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Ok, c'est déjà mieux.

    1/

    Utilise ceci pour enlever toutes les traces de norton

    2/

    Relance un scan complet avec MBAM en n'oubliant pas de faire la mise à jour !

    ++
    0
  14. kaak
     
    Ci-dessous le rapport mbam, aucun nuisible détecté! Donc plus de virus?
    Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?

    Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?

    Merci++ pour ton aide en tout cas! :)

    ------------------------------------------------------
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4194

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    13/06/2010 20:15:46
    mbam-log-2010-06-13 (20-15-46).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 318119
    Temps écoulé: 1 heure(s), 9 minute(s), 11 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  15. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut !

    Concernant les périphériques (dde, clés usb) je dois vérifier qch en particulier?

    --> Si tu le souhaite on peux les vacciner.

    Je sais pas du tout comment agit un rootkit, mais est-ce que je dois par exemple changer mes mots de passe(boite mail...)? Des docs confidentiels sont présents sur mon rdi (genre relevés de banque...), il y a un risque que des donnés aient été volées?

    --> Généralement il est très déconseillé de garder des documents confidentiels sur un ordinateur.
    Tu peux changer tes MDP si tu le souhaite, mais je ne pense pas que cela ait été pris par l'infection ;)

    ++
    0
  16. kaak
     
    Je prends note de tes conseils... :)

    Pour la vaccination, jveux bien que tu m'indiques quel logiciel utiliser!

    Et concernant la protection de mon pc, je ne suis pas sure d'avoir un anti spyware en fait... j'ai juste avast je crois, je devrais installer quoi en plus?
    0
  17. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut !

    1/


    Option 1 - Recherche :

    ▶ Télécharge UsbFix et enregistre-le sur ton bureau

    ▶ tutoriel recherche

    ▶ Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    ▶ Choisi l'option 1 (recherche)

    ▶ Laisse travailler l'outil

    ▶ Ensuite post le rapport UsbFix.txt qui apparaîtra

    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

    2/

    --> Désinstalle Avast! via ajout/suppression. Si cela ne marche pas essaye avec ceci

    --> Installe Antivir d'AVIRA ( tuto+installation )

    --> Tu peux garder MBAM et faire un scan régulier si tu le souhaite ;)

    ++
    0
  18. kaak
     
    Salut!

    Je sais pas si tu reviendras lire ce sujet, mais je tente quand même : avast détecte toujours des fichiers suspects, et là il vient de bloquer un droper :
    - infection Win32:crypt-GQN [DRP]
    - processus : C:\WINDOWS\system32\wscript.exe
    Dans la zone de quarantaine d'avast, il y a aussi plusieurs autres fichiers...

    Ça veut dire qu'il reste des virus sur mon ordi?
    Qu'est-ce que je peucx faire?

    J'ai pas du tout eu le temps de vacciner mes périph ni de changer avast pour antivir...

    Merci encore si tu peux m'aider!
    0
  19. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
     
    Salut

    Bien sur que je reviens lire le sujet je te laisserais pas tomber comme une chaussette ^^

    EDIT : Fais le scan UsbFix, C:\WINDOWS\system32\wscript.exe provient d'une infection par disques amovibles.

    ++
    0
  20. kaak
     
    Tu me sauves la vie! ;)

    J'enregistre usbfix, mais quand je veux l'ouvrir avast le bloque en disant détecter un cheval de troie (WIN:VB-JI [Trj])...
    0
    1. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Coupe ta connexion internet et désactive avast! le temps du scan.

      ++
      0
  21. kaak
     
    Salut!

    Mon ordi a replanté comme au départ, avec av security suite toussa...
    J'ai donc suivi la même procédure que la 1ère fois, j'ai exécuté combofix (après rkill pare que j'arrivais pas à le lancer directement!).

    J'ai ensuite lancé usb fix (suppression puis vaccination).

    Je poste les rapports, peux-tu me dire s'il reste des traces d'infections??

    Merci (again!) :)

    Combofix :http://www.cijoint.fr/cjlink.php?file=cj201006/cijYLcAQd2.txt

    Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201006/cijLmdyPjf.txt
    0
    1. kaak
       
      + rapport mbam :

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4194

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      20/06/2010 19:42:07
      mbam-log-2010-06-20 (19-42-07).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 335330
      Temps écoulé: 2 heure(s), 5 minute(s), 55 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      D:\Documents and Settings\HelpAssistant\Local Settings\Temp\10.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
      D:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\2V3Z1V89\ggbrzx[1].htm (Rootkit.Agent) -> Quarantined and deleted successfully.
      0
    2. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Salut
      J'essaye de regarder sa ce soir et te donne la réponse

      ++
      0
    3. kaak
       
      d'ac c'est sympa!
      pour info, mon ordi rame à mort et bug à la mise en veille, et avast est désactivé à chaque fois que jle rallume, donc jpense qu'il est loin d'être clean!
      0
    4. NicoVA Messages postés 817 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
       
      Je ne t'oublie pas ^^ Je demande juste confirmation car il y a qql chose de louche dans le rapport ComboFix.

      ++
      0
    5. kaak
       
      ok merci :)
      0
  • 1
  • 2