Virus sur réseau
usemines
Messages postés
112
Date d'inscription
Statut
Membre
Dernière intervention
-
usemines Messages postés 112 Date d'inscription Statut Membre Dernière intervention -
usemines Messages postés 112 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je m'occupe d'un petit réseau d'ordinateurs (8) pour une école. On m'a signalé qu'il y avait un virus sur les PC car certains enseignants perdaient les données de leur clé USB...
J'ai fait une analyse malwerbyte dont voici le résultat
Pouvez-vous me dire ce que je dois faire?
D'avance merci,
Je m'occupe d'un petit réseau d'ordinateurs (8) pour une école. On m'a signalé qu'il y avait un virus sur les PC car certains enseignants perdaient les données de leur clé USB...
J'ai fait une analyse malwerbyte dont voici le résultat
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.02.14.04
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16518
isuroot :: PROFSEC7 [administrateur]
Protection: Activé
14/02/2014 11:10:12
mbam-log-2014-02-14 (11-10-12).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 265370
Temps écoulé: 15 minute(s), 38 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Tok-Cirrhatus (Worm.Brontok) -> Données: -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 12
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-14 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-15 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-16 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-17 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-18 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-19 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-20 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Local\Bron.tok-17-25 (Worm.Brontok) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 6
C:\Users\SteUrsule\AppData\Local\Temp\update72821.exe (PUP.Optional.GoForFiles.A) -> Aucune action effectuée.
C:\Users\SteUrsule\AppData\Local\Temp\2dsve2wefd.exe (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\SteUrsule\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Mis en quarantaine et supprimé avec succès.
(fin)
Pouvez-vous me dire ce que je dois faire?
D'avance merci,
A voir également:
- Virus sur réseau
- Reseau orange non détecté ✓ - Forum Livebox
- Virus mcafee - Accueil - Piratage
- Cable reseau player freebox - Forum Freebox
- Entrer les informations d'identification reseau - Guide
- Un robot est sur le même réseau que vous - Forum Windows 10
15 réponses
Salut,
Ca revient quand tu refais un scan ?
Brontok y a des chances que ça aille par clef USB.
Pas bon ça :
C:\Users\SteUrsule\AppData\Local\Temp\2dsve2wefd.exe (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
Quel antivirus est installé sur le PC ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ca revient quand tu refais un scan ?
Brontok y a des chances que ça aille par clef USB.
Pas bon ça :
C:\Users\SteUrsule\AppData\Local\Temp\2dsve2wefd.exe (Exploit.Drop.GS) -> Mis en quarantaine et supprimé avec succès.
Quel antivirus est installé sur le PC ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
ok,
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Bonjour,
Voici les rapports...
https://pjjoint.malekal.com/files.php?id=20140214_h9g12n12e12q11
https://pjjoint.malekal.com/files.php?id=20140214_d14b11n8l5z6
Merci pour votre aide
Voici les rapports...
https://pjjoint.malekal.com/files.php?id=20140214_h9g12n12e12q11
https://pjjoint.malekal.com/files.php?id=20140214_d14b11n8l5z6
Merci pour votre aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
plus l'air infecté.
T'as surtout des infections par clef USB.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 <b>[Pays NL - 195.78.120.88]</b>
IE - HKU\S-1-5-21-1304731885-2231908011-2498195604-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://search.babylon.com/?q={searchTerms}&affID=111020&tt=071012_ikanctrl_4112_7&babsrc=SP_ss&mntrId=fe162f3a00000000000090e6ba2ebf74 <b>[Pays US - 198.20.96.164]</b>
IE - HKU\S-1-5-21-1304731885-2231908011-2498195604-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 <b>[Pays NL - 195.78.120.88]</b>
O4:[b]64bit:[/b] - HKLM..\Run: [iTunesHelper] wscript.exe //B C:\Users\STEURS~1\AppData\Local\Temp\iTunesHelper.vbe File not found
* poste le rapport ici
T'as surtout des infections par clef USB.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 <b>[Pays NL - 195.78.120.88]</b>
IE - HKU\S-1-5-21-1304731885-2231908011-2498195604-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://search.babylon.com/?q={searchTerms}&affID=111020&tt=071012_ikanctrl_4112_7&babsrc=SP_ss&mntrId=fe162f3a00000000000090e6ba2ebf74 <b>[Pays US - 198.20.96.164]</b>
IE - HKU\S-1-5-21-1304731885-2231908011-2498195604-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 <b>[Pays NL - 195.78.120.88]</b>
O4:[b]64bit:[/b] - HKLM..\Run: [iTunesHelper] wscript.exe //B C:\Users\STEURS~1\AppData\Local\Temp\iTunesHelper.vbe File not found
* poste le rapport ici
Bonjour,
Je ne suis malheureusement plus à l'école aujourd'hui. Je ferai cela ce lundi et vous tiendrai au courant... merci pour votre aide.
Kevin
Je ne suis malheureusement plus à l'école aujourd'hui. Je ferai cela ce lundi et vous tiendrai au courant... merci pour votre aide.
Kevin
Bonjour,
Voici le rapport..
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_USERS\S-1-5-21-1304731885-2231908011-2498195604-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_USERS\S-1-5-21-1304731885-2231908011-2498195604-1001\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
OTL by OldTimer - Version 3.2.69.0 log created on 02172014_090952
Merci
Voici le rapport..
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_USERS\S-1-5-21-1304731885-2231908011-2498195604-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_USERS\S-1-5-21-1304731885-2231908011-2498195604-1001\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
OTL by OldTimer - Version 3.2.69.0 log created on 02172014_090952
Merci
ok ça doit être bon, par contre, suffit qu'un élève mette une clef USB pourrie pour que ça repart.
Ils ne sont pas administrateur des postes ?
Ils ne sont pas administrateur des postes ?
Bonjour,
Non ils ne sont pas administrateurs... dois-je prendre d'autres précautions pour éviter que cela se reproduise?
Dois-je faire la même chose sur chaque machine ou sur une seule suffit?
Merci
Non ils ne sont pas administrateurs... dois-je prendre d'autres précautions pour éviter que cela se reproduise?
Dois-je faire la même chose sur chaque machine ou sur une seule suffit?
Merci
Ben les autres postes peuvent avoir été infectés aussi, donc un nettoyage USBFix est conseillé.
O4:[b]64bit:/b - HKLM..\Run: [iTunesHelper] wscript.exe //B C:\Users\STEURS~1\AppData\Local\Temp\iTunesHelper.vbe File not foun
C'est une clef HKEY_LOCAL_MACHINE, donc global qui a été ajouté.
Donc le PC a été infecté par un administrateur du poste.
O4:[b]64bit:/b - HKLM..\Run: [iTunesHelper] wscript.exe //B C:\Users\STEURS~1\AppData\Local\Temp\iTunesHelper.vbe File not foun
C'est une clef HKEY_LOCAL_MACHINE, donc global qui a été ajouté.
Donc le PC a été infecté par un administrateur du poste.
Bonjour,
Donc si je comprends biens, je dois, sur chaque machine, lancer otl avec ceci dans configuration:
Puis lorsque cela est fait, relancez OTL avec ceci:
C'est bien cela? Ou dois-je ne faire que la première partie, poster le rapport pour chaque ordi et attendre vos réponses?
Encore un tout grand merci pour votre aide...
Donc si je comprends biens, je dois, sur chaque machine, lancer otl avec ceci dans configuration:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Puis lorsque cela est fait, relancez OTL avec ceci:
:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 <b>[Pays NL - 195.78.120.88]</b>
IE - HKU\S-1-5-21-1304731885-2231908011-2498195604-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://search.babylon.com/?q={searchTerms}&affID=111020&tt=071012_ikanctrl_4112_7&babsrc=SP_ss&mntrId=fe162f3a00000000000090e6ba2ebf74 <b>[Pays US - 198.20.96.164]</b>
IE - HKU\S-1-5-21-1304731885-2231908011-2498195604-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392 <b>[Pays NL - 195.78.120.88]</b>
O4:[b]64bit:/b - HKLM..\Run: [iTunesHelper] wscript.exe //B C:\Users\STEURS~1\AppData\Local\Temp\iTunesHelper.vbe File not found
C'est bien cela? Ou dois-je ne faire que la première partie, poster le rapport pour chaque ordi et attendre vos réponses?
Encore un tout grand merci pour votre aide...
Encore merci pour votre aide toujours très précieuse... Dois-je prendre d'autres précautions concernant les clefs USB? Puis-je installer un programme qui bloquerai les clefs USB infectées?
Merci
Merci
