Infecté par EXP/MS04-028.JPEG.A' [exploit] [Résolu/Fermé]

Signaler
-
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
-
Bonjour,
Je suis infecté par plusieurs virus (une trentaine) EXP/MS04-028.JPEG.A' [exploit] et PPL/NirCmd.2' [program] détecté par Avira.
ceci depuis que j'ai importé des photos de mon téléphone portable.
Merci d'avance.

7 réponses

Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
467
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Messages postés
5
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
2 janvier 2012

Bonjour,
Et merci pour ton aide.
Voici le rapport ZHPDiag
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111230_k13z15o125c13
Messages postés
5
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
2 janvier 2012

Pour info mon téléphone est un HTC. Lors de l'importation des photos je n'ai pas utilisé HTC sync.Je viens de faire une nouvelle tentative sur mon autre PC avec HTC sync et là rien!!!!
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
467
Quels sont exactement les messages d'alertes émis par Avira ?
Peux-tu me fournir un rapport d'Avira ?
Messages postés
5
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
2 janvier 2012

Bonjour,
Je n'ai plus de rapport d'avira depuis que j'ai installé la version 2012.
A chaque photo transférées de mon téléphone.
un virus ou un programme indésirable 'EXP/MS04-028.JPEG.A' [exploit] a été détecté.
'C:\Users\ludo\AppData\Local\Temp\.................
Action exécutée : Autoriser l'accès
Je ne suis pas sure que mon PC soit vraiment infectés.
Peut être mon téléphone?
Est un faux positif?
Merci ton aide
Je te souhaite une très bonne année
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
467
Bonjour et bonne année à toi aussi ;)

Quelques questions :
1) As-tu autorisé ces deux "proxy" dans tes options internet :
-Xerox.com et E-LINE.COM ?
2) Utilises-tu ces programmes :
- PokerStars et Partner

***************
Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse

*Relance ZHPDiag, clique sur la flèche verte pour faire la mise à jour.
Ensuite refais une analyse pour contrôle et poste le rapport sur pjjoint, stp.



Messages postés
5
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
2 janvier 2012

Bonsoir,
En ce qui concerne les proxy non je n'ai jamais rien autorisé.
Je ne sais pas d'où ça vient.
Partner non j'utilise pas,pokerstars oui.
Voici le rapport
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120102_m10w9o12r11v5
Messages postés
5
Date d'inscription
vendredi 30 décembre 2011
Statut
Membre
Dernière intervention
2 janvier 2012

Le rapport ZHPfix

Rapport de ZHPFix 1.12.3377 par Nicolas Coolman, Update du 26/12/2011
Fichier d'export Registre :
Run by Ludo at 02/01/2012 21:17:02
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key**: StartupReg: ISUSPM

========== Valeur(s) du Registre ==========
ABSENT RunValue: ISUSPM
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{03DF9547-8A3F-4DC3-A129-892C5013CD71}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{07C86FF2-E6BE-49BD-BE56-1F3B4A2055CD}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{087B464F-C0A2-4AFE-91E7-5717FFB8C1DA}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{0F6AA60F-62EC-4B23-9665-9C7B54D2886D}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{1218D7A2-C692-422C-8669-0ACAC9E45FB8}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{179FB9E6-A406-4E75-A133-3DA1F1A971D7}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{1EC863D2-DE9C-4CA1-A497-4312AFB291BD}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{222CF449-57DF-4CCC-B9BF-DD08ACC955CB}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{2567B964-6FA3-4B1D-83ED-B76CC5ED5E42}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{2AB3C0C0-7E67-483A-8604-A43C0C360FF0}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{2E96A1AA-9EDE-49C5-8182-14864FB7ADDD}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{39B144EF-E4DA-4EAF-9B0A-620AF2FA94B3}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{39D8574D-6054-4AE1-B6AB-8AD3F5EFBD27}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{39F28A4F-626A-43A3-9457-3315C4A8B6DC}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{3C1BAFC6-E746-42FD-A084-A8595DD5BAAF}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{41FE4631-E931-42CD-9BF7-C3EF7D3F0E45}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{4934C6C4-3864-405E-81AF-037872B0BE4B}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{4F99BBAF-1F29-4A1F-8A17-537F158448BA}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{5DCA5325-6A87-436B-BB2B-81DF472D6015}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{60F2B2B7-189B-4FBC-80B2-0C7D02B552BF}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{61E30AF0-DA21-4242-8B69-0F2FC27D0BDE}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{62406BF5-AC14-467C-A307-3A5371781EBF}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{66143AE9-9630-4633-8DC2-9F036EA99F0F}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{68FE1264-35B4-43D3-ACF0-16C1A09DAD29}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{6A980CB7-E93A-4C8D-8A1B-C86C79ABD38E}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{6C4FCE6F-A5BC-4C2C-853A-033B4603A692}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{6DC13EDD-A54B-4E00-BBFA-B1380F1E383C}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{6F4E5E2C-67CC-441C-94C7-5B09A75D65FA}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{6FD446EA-5FDD-4113-A676-61E04C1061A5}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{70A50B21-AD6F-45AC-AF91-C68185B585B0}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{73E6797D-2EB6-434A-B4AB-DBF9B58F9B27}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{76C17DFF-E6C9-440B-B0C5-A187A7343BD0}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{77219685-CC74-415D-96FB-A208834C6B2A}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{7745EAD5-3D59-4E83-B59D-7594432B14A9}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{79E70433-C3A6-4FA6-99CA-1E2071011B64}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{81005170-F7FC-473E-86C8-7023080E6C73}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{81A4DCD1-260E-4156-BCF8-ED546FF451AB}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{82A95743-E69A-4DEC-91CB-A15B5ABE80F7}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{896A7C5D-5C74-4209-8291-C5737EC5A686}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{8D5F932C-DC84-4108-AA69-006D1F6B3637}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{8DB255E1-A378-4E81-A987-AC5D12E817A9}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{9AB31977-C2E9-4F27-BCE6-03388DBB39BB}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{A0C5686A-E44E-4AEB-AA96-7D2738E7AEAF}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{A1C73733-ACC4-4730-B70B-80336B10E48E}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{A252621C-1D9D-42FD-A36D-4C529467C281}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{A38FC0A2-43D7-4CEC-846E-B9F3D0C46D28}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{AACF81A5-A04B-45D3-BD01-4A2C954FAE86}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{AC3C6A41-7953-445E-BE3C-188527727DF4}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{AFFE208B-C206-4972-B3C3-05188D4DB364}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{B359D58C-184F-4AC4-9B9B-07648A4A361A}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{B4041AC2-D17D-4205-A210-1AF31D7AD81D}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{B8256957-E1B3-4838-AFA9-5AEB0DA459CA}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{BB2145D9-574B-42F4-A52A-A8CAAEA79D8E}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{BCE3AD00-832A-4EA3-ACEC-BB0DCFFC7B96}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{BE86DC83-B3E7-4068-8333-A1095FD34A55}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{C2A432D6-8263-48B2-AADA-B31B990D02DC}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{C888FD5E-FC24-4068-A5B2-AB84448E8777}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{D0D0BDCD-1C26-40C8-A1CF-9D09D43DE437}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{D26C4F12-C12A-4693-B8D8-8D5C13A7615B}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{D346AC61-C4AD-4746-9D0A-309693AC8230}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{D9791A8C-1EC1-458E-A72B-E66DD354F277}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{DE2731F0-74C9-4F23-AE55-387A8BCC714D}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{EA86CC6F-CC5F-4032-99F8-C8EE4552554F}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{EBEF2A6E-1A94-48CF-BAED-B1060D873746}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{F189407D-C864-4E0F-A4D9-970D03C513B2}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{F1FFC8E5-00D3-4FA4-8D2F-CD75479EF751}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{F2F87F42-CD0F-4C1A-A70B-B9958D3F2AA9}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{F317FD33-CC0F-4502-A369-CA69A8C1AC87}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{F494807B-8312-4159-A31F-6CC21E4D11D4}
SUPPRIME Folder: C:\Users\Ludo\AppData\Local\{F647EFCB-D8B8-4894-8F62-CDD2AF4D4BFD}
SUPPRIME Flash Cookies: 21
SUPPRIME Temporaires Windows: : 72

========== Fichier(s) ==========
SUPPRIME Flash Cookies: 5
SUPPRIME Temporaires Windows: : 5


========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
72 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/01/2012 21:17:02 [6876]
Messages postés
3182
Date d'inscription
mardi 14 juin 2011
Statut
Contributeur sécurité
Dernière intervention
14 avril 2019
467
Bonjour

Pas d'infection visible via les rapports Diag, pour finaliser l'optimisation fais ce qui suit :

Ce script va cibler certains éléments à supprimer :

O17 - HKLM\System\CCS\Services\Tcpip\..\{374C1E9E-EC77-42C8-89E1-C53E58A6018D}: DhcpNameServer = 13.6.0.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{374C1E9E-EC77-42C8-89E1-C53E58A6018D}: DhcpDomain = E-LINE.COM
O43 - CFD: 17/10/2011 - 19:28:20 - [0,001] ----D- C:\ProgramData\Partner
O53 - SMSR:HKLM\...\startupreg\Setwallpaper [Key] . (...) -- c:\programdata\SetWallpaper.cmd (.not file.)
OPT:O4 - HKUS\S-1-5-21-3870361305-507352999-1404826107-1001-3870361305-507352999-1404826107-1000\..\Run: [ISUSPM] . (.Acresso Corporation - Acresso Software Manager.) -- C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe


* Sélectionne le script (lignes en gras) en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse

*******************

1)Tu peux désinstaller ZHPDiag via programmes et fonctionnalités.

2)Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration éventuellement infectés). Pour ça, suis ce tutoriel.

3)Lance Ccleaner (présent sur le PC). Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

4)Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".

5)Prévention :
Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet

6) Précautions :
Fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.

Bonne lecture et bon courage, n'hésite pas à poser des questions en cas de besoin ;)