malware détecté par avast mais pas par mbam

Question

Bonjour, 

Je vous explique mon problème.

Juste après avoir navigué sur le web, mon ami a vu apparaître une fenêtre d'alerte d'Avast lui annonçant qu'un cheval de troie tentait de s'installer. Il a lancé un scan avec Avast, qui lui a effectivement trouvé quelque chose. Mais, quand je suis allée sur le rapport pour supprimer ou envoyer en quarantaine, des messages d'erreur sont apparus dans la colonne "résultat".
J'ai alors tenté de faire un scan minutieux avec MalwareBytes'Anti-Malware. Mais celui-ci n'a trouvé aucun élément nuisible.

Pourriez-vous m'indiquer ce que je dois faire SVP ?

Merci d'avance et je m'excuse pour les questions stupides que je poserai probablement.


Configuration: Windows Vista / Internet Explorer 7.0

archet9 · Answer

Bonjour,

Montre tout demême ton rapport MBAM stp!

Ensuite:

fais ceci pour un diagnostic complet du PC : 

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint :? http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

Audrey86 · Answer

D'accord.

Voici d'abord le rapport mbam :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4676

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

27/09/2010 18:48:07
mbam-log-2010-09-27 (18-48-07).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 322988
Temps écoulé: 1 heure(s), 16 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'utilise ZHPDiag tout de suite.

Audrey86 · Answer

Voici le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijteQqCeJ.txt

archet9 · Answer

Ok rien de méchant...

==> Fais ceci et on en aura terminé !

*   Télécharge  AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: 

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\ 

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
 
- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

Audrey86 · Answer

OK, voici le rapport obtenu après nettoyage :

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:37:55 le 27/09/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Audrey@PC-DE-AUDREY (Packard Bell BV EasyNote_RS66-CU-260FR) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\8w1gzhc3.default\searchplugins\conduit.xml
0,Dossier supprimé: C:\Users\Audrey\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\8w1gzhc3.default\Prefs.js --
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250... 
Ligne supprimée: user_pref("CT2504091.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E... 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&Sea... 
Ligne supprimée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q="); 
-- Fichier Fermé --
 

0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.6 (fr)] **

-- C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\8w1gzhc3.default\Prefs.js --
browser.download.dir, C:\Users\Audrey\Downloads
browser.download.lastDir, C:\Users\Audrey\Documents\Films, séries, jeux\Jeux de rôle\Pen of Chaos\Donjon de Naheu...
browser.search.selectedEngine, Google Powered Search
browser.startup.homepage_override.mstone, rv:1.9.2.6

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/09/2010 (3435 Octet(s)) 

Fin à: 20:40:34, 27/09/2010 
 
============== E.O.F ==============

archet9 · Answer

Ok parfait...

Souhaites-tu une analyse plus approfondie ou pas ?

Audrey86 · Answer

Si tu penses que ça peut être utile...

archet9 · Answer

Franchement non ...tes deniers rapports montrent un pc saint....!!!!


a+

Audrey86 · Answer

Génial !

Je te remercie sincèrement pour ton aide.

J'avais déjà demandé de l'aide sur ce forum et je peux dire qu'on a été super avec moi à chaque fois ! Merci encore !

Audrey86 · Answer

Je viens de re-faire un scan Avast pour être sûre. Il s'avère que le problème est toujours là.
Il me détecte un fichier appelé :
\?\Volume{e8b6b112-7763-11de-b718-806e6f6e6963}\fun.xls.exe

Quand je tente de le supprimer, Avast m'annonce "Erreur : Syntaxe du nom de fichier, de répertoire ou de volume incorrecte (123)".
Et quand je tente de le mettre en quarantaine, Avast répond "Erreur : Accès refusé (5).

archet9 · Answer

* Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX) 

https://www.ionos.fr/?affiliate_id=77097 

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton : 

 
suppression 


/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir 

- puis clique sur OK 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt

Audrey86 · Answer

Bonjour,

Voici le rapport usbfix :

############################## | UsbFix 7.027 | [Suppression]

Utilisateur: Audrey (Administrateur) # PC-DE-AUDREY [Packard Bell BV EasyNote_RS66-CU-260FR]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 18:19:11 | 28/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
CPU 2: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Désactivé /!\
RAM -> 3036 Mo 
C:\ (%systemdrive%) -> Disque fixe # 285 Go (60 Go libre(s) - 21%) [OS] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{16b7f01f-9810-11df-b60c-00248c93ba7c}

################## | Listing |

[07/05/2010 - 23:04:24 | SHD ] 	C:\$Recycle.Bin
[23/07/2009 - 13:57:34 | HD ] 	C:\ACER
[27/09/2010 - 20:40:35 | A | 3565] 	C:\Ad-Report-CLEAN[1].txt
[18/09/2006 - 23:43:36 | A | 24] 	C:\autoexec.bat
[30/04/2010 - 09:24:07 | RASHD ] 	C:\autorun.inf
[28/09/2009 - 21:09:58 | SHD ] 	C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[11/01/2009 - 04:00:28 | RAS | 8192] 	C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[25/06/2010 - 23:24:36 | D ] 	C:\d415f45a67da12fe94b6f52db6
[02/11/2006 - 15:02:03 | SHD ] 	C:\Documents and Settings
[28/09/2010 - 18:09:59 | ASH | 3184709632] 	C:\hiberfil.sys
[10/01/2009 - 20:22:19 | D ] 	C:\Intel
[17/02/2010 - 20:58:04 | RASH | 0] 	C:\IO.SYS
[17/02/2010 - 20:58:04 | RASH | 0] 	C:\MSDOS.SYS
[29/04/2010 - 22:13:15 | D ] 	C:\MSNCleaner
[10/01/2009 - 20:28:22 | RHD ] 	C:\MSOCache
[28/09/2010 - 18:09:58 | ASH | 3498287104] 	C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] 	C:\PerfLogs
[27/09/2010 - 20:40:23 | RD ] 	C:\Program Files
[23/07/2010 - 11:12:14 | HD ] 	C:\ProgramData
[10/01/2009 - 20:27:16 | A | 2672] 	C:\RHDSetup.log
[23/07/2009 - 12:08:08 | A | 32] 	C:\SETUP.LOG
[17/02/2010 - 20:58:53 | D ] 	C:\Sierra
[28/09/2010 - 18:15:42 | SHD ] 	C:\System Volume Information
[11/05/2010 - 15:03:08 | A | 0] 	C:\TCleaner.txt
[28/09/2010 - 18:21:37 | D ] 	C:\UsbFix
[28/09/2010 - 18:19:17 | A | 2288] 	C:\UsbFix.txt
[23/07/2009 - 11:56:36 | RD ] 	C:\Users
[08/09/2010 - 17:56:55 | D ] 	C:\Windows
[01/05/2010 - 14:18:39 | A | 7464] 	C:\ZHPExportRegistry-01-05-2010-14-18-39.txt

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

archet9 · Answer

Fais ceci :
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista 

Puis relance AVAST pour voir ce qu'il dit.....

Audrey86 · Answer

OK,
Je viens de désactiver/réactiver la restauration système.

Je fais le scan Avast et je te tiens au courant du résultat.

Audrey86 · Answer

Avast me trouve toujours le même fichier infecté et il n'arrive toujours pas à le supprimer ou à le mettre en quarantaine :((

Crois-tu que je devrais plutôt effectuer un scan au démarrage ? Apparemment, ça s'effectue avant que Windows se charge et ce serait donc plus efficace.

Audrey86 · Answer

Je remonte mon sujet.

archet9 · Answer

"Il me détecte un fichier appelé : 
\?\Volume{e8b6b112-7763-11de-b718-806e6f6e6963}\fun.xls.exe "

Une astuce ici:

http://www.fasterpccleanclean.com/fr/enlever-fun-xls#how-to-remove

Audrey86 · Answer

Bonjour,

Je suis sur un autre ordi que le mien et l'antivirus, Kaspersky, me détecte ton lien comme un site d'hameçonnage.

archet9 · Answer

Oui ,n'installe pas spyware doctor....

Utilise la méthode manuelle !!!

Audrey86 · Answer

La méthode manuelle ?

Tu peux me la décrire STP ?

archet9 · Answer

On va faire autrement !!!!   

Télécharge [ http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe seaf.exe de C__XX ]    




*Double clique sur SEAF.exe.    

*Coche "Chercher également dans le registre".    
                                  
 *************
*Tape ou copie/ colle :    fun.xls.exe     dans la fenêtre.    
                                   
************

*Clique sur Lancer la recherche.    

*Patiente quelques minutes(tu peux suivre l'avancement du scan).    

*Une fenêtre avec un SEAFlog.txt va s'afficher.    

*Copie/colle ce rapport dans ta prochaine réponse.

Audrey86 · Answer

Voici le rapport de SEAF :

1. ========================= SEAF 1.0.0.8 - C_XX
2. 
3. Commencé à: 20:37:26 le 30/09/2010
4. 
5. Valeur(s) recherchée(s):
6. fun.xls.exe
7. 
8. (!) --- Recherche registre
9. 
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11. 
12. Aucun fichier trouvé
13. 
14. 
15. ====== Entrée(s) du registre ======
16. 
17. Aucun élément dans le registre trouvé
18. 
19. =========================
20. 
21. Fin à: 20:40:40 le 30/09/2010 ( E.O.F )
22. 
23. =========================

Audrey86 · Answer

Je ne serai pas chez moi ce week-end. Si ça te va, on continue lundi soi.

Audrey86 · Answer

* soir

archet9 · Answer

Pas de prob pour lundi soir...

Par contre ta détection de avast,semble être un faux positif...!!!

On va vérifier par un un scan en ligne.

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

Copie/colle le rapport généré stp...

Audrey86 · Answer

Je viens de faire le scan en ligne Kaspersky.

Il n'a trouvé aucun malware (ni "infected", ni "suspicious object").

Il ne m'a pas généré de rapport à proprement-parler. Il affiche juste une page listant les menaces trouvées (page qui, dans mon cas, est vide).

J'imagine que cela accrédite la théorie du faux positif d'Avast... 
Pourtant, d'après ce que j'ai pu voir sur google, fun.xls.exe est bien un malware existant. Etrange non ?

archet9 · Answer

? Télécharge Dr Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ? Clique sur Parcourir et cherche le fichier ci-dessus. ? Clique sur Ouvrir. ? Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ? Copie ce lien dans ta réponse. ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Audrey86 · Answer

J'ai un problème pour accéder au mode sans échec : 
quand je redémarre le PC et que l'écran où il est marqué en bas "press F2 to [je ne sais plus quoi] Press F8 to select boot device" apparaît, je presse F8. Mais ensuite, il apparaît un écran noir avec des écritures et sans que je fasse quoi que ce soit, il apparaît tout de suite après un écran avec noté "Please select boot device" et 2 possibilités : soit "HDD:PO-WDC WD3200BEVT-22ZCTO", soit "CD/DVD:P1-MATSHITADVD-RAM UJ875AS".
J'ai essayé la 1ère possibilité (je ne voyais pas trop ce que CD/DVD pouvait avoir à faire avec le mode sans échec). Mais apparemment, rien n'a changé par rapport à un démarrage normal.

archet9 · Answer

Démarrer en mode sans échec avec Windows XP et Vista

N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows XP ou Vista) installé sur votre ordinateur. 
1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation. 
2/ À la fin du chargement du BIOS, commencez à tapoter (une à deux fois par seconde)la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau. 
3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.

Audrey86 · Answer

C'est ce que je fais, mais cela ne fonctionne pas.

archet9 · Answer

Lance le scan en normal alors...

Audrey86 · Answer

Gros problème à nouveau.

L'analyse rapide s'est effectuée sans rien trouver. J'ai lancé l'analyse complète suivant tes instructions. Elle a duré toute la nuit mais elle m'a trouvé un truc. L'outil m'a proposé de désinfecter, j'ai cliqué sur "oui pour tout". Mais une fenêtre s'est affichée en me disant qu'il ne pouvait pas être désinfecté. Il m'a alors proposé de le mettre en quarantaine. J'ai cliqué sur "oui". Apparemment, il a bien été mis en quarantaine puisque sur l'écran principal de l'outil, le malware était ensuite affiché avec comme statut "Irreparable - Quarantine".

Bref, j'en arrive au problème : en me levant, j'ai vu que le scan était achevé. J'ai été dans "fichier" pour enregistrer le rapport. Mais, dès que j'ai cliqué pour ça, le PC a en quelque sorte bugué : il a affiché un écran d'erreur, puis m'a proposé de redémarrer en mode normal ou sans échec. Quand je suis revenue sur mon bureau, il n'y avait évidemment pas de rapport affiché. Donc, je n'ai pas de rapport.

Heureusement, j'avais noté quel malware avait été trouvé : c'était "Trojan.Kill.proc.1981" qui infectait le fichier "C:\Program Files\Ad-Remover\Backup\AD-R.exe

Penses-tu qu'il est toujours en quarantaine malgré l'arrêt intempestif de l'outil ? Si oui, comment m'en débarrasser pour de bon ? Quand je retourne sur l'outil, il me propose juste de mettre à jour et de lancer un nouveau scan.

archet9 · Answer

Pour "c'était "Trojan.Kill.proc.1981" qui infectait le fichier "C:\Program Files\Ad-Remover\Backup\AD-R.exe "     

==> Pas de soucis....c'est une détection liée à un outil "AD-R" que nous avons utilisé plus haut,considérée à tort comme une infection !     

Bon nombre d' outils que nous utilisons ici ou ailleurs sont considérés comme     
infectieux  par les "AV" d'ou cette recomendation:     

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\      

Dans ton cas:     

--> D'après mes recherches (comme les tiennes sur Google) soit " fun.xls.exe " est lié à "ViruT" et dans ce cas c'est pas bon du tout du tout du tout !!!     
soit c'est un "Faux Positif"détecté par avast...     


==> Je vais me renseigner auprès du spécialiste de cette infection     
et te tiens au courrant...

Audrey86 · Answer

"Trojan.KillProc.1981" est un trojan, mais pas une infection ? Bon ben c'est une bonne nouvelle.

Pour ViruT, je me suis renseignée via google et je ne suis pas loin de me balancer par la fenêtre là ! Apparemment cette infection est gravissime et très compliquée à enlever. Surtout avec mon impossibilité d'accéder au mode sans échec (d'ailleurs ça c'est vraiment bizarre ; il y a quelques mois, j'avais eu une autre infection et, pour la désinfection, j'avais dû utiliser le mode sans échec, ce que j'avais fait sans problème...).
En plus, quand j'ai acheté le PC, j'ai fait les DVD de "sauvegarde" comme on me l'avait conseillé. Mais vu que je m'y connais en informatique autant qu'en vie sexuelle des mouches, je ne suis même pas sûre de les avoir fait correctement. 
Ce qui est étrange c'est que je ne pratique jamais le P2P. J'ai juste des vidéos qu'une copine m'a passé. Je croyais que les vidéos n'étant pas des fichiers exe ne pouvaient pas transporter de malwares, que c'était le fait de les télécharger qui était dangereux, mais pas les vidéos en elles-même. Je me suis trompée ? En même temps, pour les récuperrer, je me suis branchée à son disque dur externe, ce qui pourrait expliquer la contamination. Mais tout ça date de plusieurs mois.

Bref, désolée pour le message à rallonge...

archet9 · Answer

"Pour ViruT, je me suis renseignée via google et je ne suis pas loin de me balancer par la fenêtre là !" 

==> Attends un peu quand même....surtout si tu es au rez-de-chaussée Lol...!!! 

J'ai envoyé un MP à Jalobservateur, mais il réside ds "la belle province" et de par ce fait est en décallage horaire avec nous....De plus il n'est pas non plus  
24/24h devant son pc.... 

So ,Wait & see...

jalobservateur · Answer

Salut v2 ^^  
De plus il n'est pas non plus   
24/24h devant son pc....  pas certain... :) Mais là c'est pour une toute autre cause + enrichissante: https://forums.commentcamarche.net/forum/affich-19340212-linux-dual-boot-sauvegarde-du-mbr#p19403718  
Bref MP archet9 :)  
PS: Mon vieux post sur mon vieux blog a de la grosse mousse sous le lit, alors ne pas en tenir compte, car elles ont évolué ces infections et les outils aussi et de loin même depuis 3 ans. 

***Membre Contributeur Sécurité***  
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'  
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...  
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^

Audrey86 · Answer

Bonjour jalobservateur,

J'espère que tu vas pouvoir m'annoncer que mon pauvre petit PC ne souffre pas de cet abominable ViruT (musique effrayante en arrière-fond) et qu'il est même en parfaite santé ! J'ai l'impression que je rêve un peu mais bon...

jalobservateur · Answer

Salut Audrey :) 
C'est de mauvaise augure là disons, mais si les techniques de détections et de désinfections sont bien appliquées, je ne me stresserais pas du tout de ton cas... 
Mais évidemment il est important dans des cas similaires de sauver les docs importants. 
Puis même si Windows plante de la mort OSEF:  https://www.commentcamarche.net/faq/15947-sauver-vos-documents-d-un-windows-mort-avec-le-live-cd-linuxmint 
Et c'est qu'un début, alors pas de quoi devenir chauve ^^. 
archet9 est un type efficace et consciencieux, alors il va bien te guider :) 
PS: Ce qui augure bien par contre c'est que la machine semble pas trop comateuse ,malgré tout ce temps, alors on respire :)
***Membre Contributeur Sécurité*** 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^

Audrey86 · Answer

OK, je respire et je remets à plus tard mon projet de me pendre avec le cordon d'alimentation de Al (oui, j'ai donné un p'tit nom à mon PC, j'ai honte mais je n'ai pas pu m'en empêcher).

Et effectivement, le PC se porte plutôt à merveille. Pour l'instant en tout cas ... (retour de la musique qui fait peur).

jalobservateur · Answer

Oui surtout que Al a le cordon court, alors c'est pas une technique que je préconise pour le moment ^^
Certes, une avenue à explorer éventuellement si tu ne passes pas Linux, mais bon... :)

Audrey86 · Answer

Tu penses que je devrais prendre Linux ? Ce n'est pas un peu compliqué pour la pauvre débutante écervelée que je suis ? Et est-ce possible de changer de système d'exploitation sans changer de PC (je sais, je pose des questions bêtes à faire pleurer un chimpanzé) ?

jalobservateur · Answer

Rien n'est bête quand on questionne, le contraire l'est plutot ^^
Absolument et sans l'ombre d'une moindre trace de doute.
Surtout avec le tool qu'on viens de mettre au point, c'est le plaisir assuré:)

jalobservateur · Answer

Linux était compliqué en 1989 puis depuis et de jour en jour, même qu'il était plus compliqué il y a un mois que là , alors le compliqué avec Linux, c'est plus vrai, même que j'en ai la preuve tous les jours depuis 2 ans et je l'aurai encore cet après-midi car je le met à la demande d'une dame de 66 ans sur sa machine, car ce qu'elle a vu et testé chez sa fille l'a renversée donc elle veut changer et elle est même empressée, donc je m'absente sous peu :)   
En gros je ne fais plus que ça.   
Quand tu vois que même microB$oft migre sur Linux, ya de quoi questionner justement ^^ 
http://techrights.org/2010/09/27/windows-live-spaces-is-dead/ 

http://techrights.org/2010/03/10/howsoftwareisbuilt-runs-gnu-linux/
***Membre Contributeur Sécurité***   
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'   
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...   
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^

Audrey86 · Answer

Ah, intéressant, ça coûte combien environ (en dollars canadiens puisque tu ne connais peut-être pas le prix en euros) ?

Apparemment, il y aurait beaucoup moins de problèmes avec les malwares (à condition de rester attentif à ne pas faire n'importe quoi). Cela ne risque-t'il pas de changer au fur et à mesure que Linux prendra des parts de marché ? Les pirates risquent de s'y "intéresser", non ?

Sinon, pour en revenir à mon problème, tu as une idée de ce que je dois faire pour identifier (ViruT ou autre chose) et me débarrasser de mon infection ? 

Et, tant que j'y suis, tu ne saurais pas pourquoi je ne parviens pas à accéder au mode sans échec ?

jalobservateur · Answer

Je manque de temps Audrey, mais ton mode sans échec non accessible et un code malicieux qui l'a bouzillé, en s'octroyant 'tes' droits d'administration via une clef de registres corrompue.
C'est juste 'normal' c'est le but.
Linux pour ton autre question, est en plus gratuit et Libre, oui je sais ça semble absurde en comparaison et en fait ça l'est.
Incroyable même si on ne connais pas le logiciel Libre et l'histoire de l'open-source. En attendant le retour de archet9 tu peut faire de belles découvertes:)
https://www.youtube.com/watch?v=c2Hj6H_LHxk
1 de 5 très édifiant...
Pour infos malwares ou virus: http://cyber-nux.fr/tutoriels/122-anti-virus-pour-linux-mais-windows-en-fait
Et + http://cyber-nux.fr/tutoriels/116-quest-ce-quun-logiciel-libre
http://cyber-nux.fr/tutoriels/115-un-paquet-cest-quoi-sources-de-logiciels-linux-
http://cyber-nux.fr/tutoriels/112-linux-cest-vraiment-simple--pensez-seulement-logique
http://cyber-nux.fr/tutoriels/102-linux-pour-les-nouveaux-nouvelles
http://cyber-nux.fr/tutoriels/60-linux-et-de-simples-reponses
http://cyber-nux.fr/tutoriels/84-equivalence-de-logiciels-windows-pour-linux
Et j'en passe ^^
Bonne visualisation et lecture :)
 Je file, bonne soirée

Audrey86 · Answer

D'accord, merci beaucoup pour ton aide et bonne fin de journée.

archet9 · Answer

Salut Audrey, 

J'avais oublié de te dire que Jal, en plus d'être super sympa, et compétent est un furieux Linuxien....!!!! il a tres certainement raison,mais perso je n'ai pas encore osé !!!.... 

Bref, tu as du comprendre que ViruT est sur le coup !!!!! 

==> De deux choses l'une: (l'autre c'est le soleil dixit Prévert) 

-Ou on desinfecte avec un CD live,et il faudra dire adieu à certains fichiers présents sur ton pc sous peine de réinfection...
http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html 

-Ou alors si tu n'as rien d'important sur "AL",et on utilise la console de récupération de "Vista"et on remet "AL" à sa configuration usine,c'est à dire tout beau tout neuf.....

Audrey86 · Answer

Salut,

J'ai bien des choses importantes sur Al, mais la plupart sont gravées sur DVD. Tout perdre ne me ferait donc en fait pas perdre grand chose (ouah, ça c'est de la phrase !). 

Par conséquent, si c'est plus efficace pour se débarrasser de cette satanée bestiole (qui est assez resistante d'après ce que j'ai pu lire ici ou là), je crois que je préfèrerais autant revenir à la configuration d'usine (en espérant que j'ai fait les DVD de "sauvegarde" correctement après l'avoir acheté).

Attention, maintenant séance questions ! Accroche-toi !
Est-ce que je ne risque pas d'avoir contaminé des périphériques ? 
Depuis, qu'Avast m'a alerté il y a 10 jours, je n'ai rien branché au PC à part mon imprimante. Celle-ci peut-elle avoir été contaminée même si une imprimante n'est (à ma connaissance) pas un périphérique de stockage ? 
Même question pour ma livebox : peut-elle être contaminée ? 
Les autres périphériques (clés USB et carte d'appareil photo) peuvent-ils avoir été contaminés en admettant dans ce cas que ViruT serait là depuis plus longtemps que 10 jours (puisque je ne les ai pas branchés depuis) ? Dans ce cas, y a-t'il un moyen de les désinfecter ? 
Enfin, mes DVD de données peuvent-ils eux-aussi être contaminés ?

archet9 · Answer

Pour le moment,on s'occupe du pc...(ne te sers pas de tes clées pout le moment)
Vista était-il installé à l'achat du pc?
Quelle marque ton pc?

Audrey86 · Answer

OK, oui Vista était installé.
Mon PC est un Packard Bell.

archet9 · Answer

Pour réinstaller Windows et tous les logiciels pré-installés et les pilotes 

Cliquez sur Démarrer -> Tous les programmes -> Packard Bell
Puis cliquez sur : Packard Bell Recovery Management 

Recovery Management s'ouvre ... 
Cliquez sur l'onglet Restaurer, puis cliquez sur Restaurer le système d'usine par défaut
La boîte de dialogue " Confirmer la restauration " s'ouvre 
Cliquez sur Oui, puis cliquez sur Démarrer 
Une boîte de dialogue affiche des informations sur le disque dur
Attention ! : La poursuite du processus effacera tous les fichiers sur votre disque dur 
Cliquez sur OK

Le processus de récupération commence par le redémarrage de votre ordinateur, puis continue par la copie des fichiers sur votre disque dur 
Lorsque la récupération est terminée, une boîte de dialogue vous invite à redémarrer votre ordinateur 
Cliquez sur OK 
Votre ordinateur redémarre. 
Suivez les instructions à l'écran pour l'installation du système

Audrey86 · Answer

OK, je vais essayer ça ce soir ou demain.
Je n'ai pas besoin de mes disques de "restauration" alors ?


Le virus ne risque pas de bloquer le processus (comme il bloque le mode sans échec) ?

D'ailleurs, j'ai repéré un nouveau "symptome" de sa présence : l'arrêt du PC est beaucoup plus long qu'avant.

Audrey86 · Answer

Je n'ai pas encore essayé. J'ai été voir 2-3 trucs (du genre : https://www.commentcamarche.net/faq/1380-materiel-packard-bell-restauration-master et j'ai vraiment peur de me planter et que le PC soit foutu ensuite. Apparemment, il peut y avoir des problèmes de "tatouages" et autres... Et puis, avec ce satané virus qui me bloque le mode sans échec, j'ai peur qu'il me bloque au milieu de la restauration et que je sois dans la m...

Je psychote peut-être pour rien (c'est tout à fait mon genre) mais tu ne crois pas que je devrais faire faire la restauration par un professionnel ?

Malware détecté par avast mais pas par mbam

53 réponses

Votre réponse

Discussions similaires

Newsletters