Win32.FloodFix.7 (Dr Web) / Win32:Pioneer-C (Avast)

Résolu
Zosoi Messages postés 154 Statut Membre -  
Zosoi Messages postés 154 Statut Membre -
Bonjour à tous,

Mon serveur (Windows Serveur 2008 - utilisation Gestion Commerciale simple - ni web ni mail) est infecté et je voudrais bien avoir votre aide pour le supprimer car je ne veux pas faire une réinstallation autant que possible.

J'ai déjà utilisé l'outil CureIt de Dr Web mais sans aucun résultat - celui-ci trouve uniquement que les inféctions (win32.FloodFix.7) sont éliminées mais le virus est toujours là.

De plus, lorsque je fais une copie de fichier sur le réseau (LAN) à partir de ce serveur, Avast (du PC cible) indique que certains fichiers sont infectés par Win32:Pioneer-C

L'origine de l'infection était une clé USB. Et voilà quelques captures d'écran où
1 - Le message affiché lors de l'ouverture du navigateur
2 - Le message affiché lors du lancement de la plupart des applications
3 - Le message affiché lorsqu'on ferme le message en 2



Merci à l'avance pour votre aide

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bonjour/Bonsoir,

    Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

    Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    (Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

    1
  2. Zosoi Messages postés 154 Statut Membre 11
     
    Merci pour ton retour. J'ai réussi à avoir seulement 2 rapports (le schortcut.txt n'est pas généré même case shortcut cochée - dans 2 tentatives)

    FRST
    https://pjjoint.malekal.com/files.php?id=FRST_20190430_w7r14h7h9n14

    Addition
    https://pjjoint.malekal.com/files.php?id=20190430_v15b6s14b12k13

    Il y a eu tout à l'heure une fenêtre d'avertissement (???? C++ ) mais je n'ai pas réussi à faire une capture écran car elle n'est plus revenue dans ma 2nde tentative. Peut être que c'est la raison pour laquelle le 3èm rapport n'est pas sorti.
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas l'air infecté

    C'est ClamAV qui détecte ?
    car il est pas super fiable.
    Quels sont les fichiers détectés ?

    C'est un produit métier ça ?
    2019-04-23 13:37 - 2012-08-06 10:31 - 000000000 ____D C:\Program Files\GecoMaes
    2019-04-23 13:37 - 2012-08-06 10:29 - 000000000 ____D C:\Program Files\Maestria

    0
    1. Zosoi Messages postés 154 Statut Membre 11
       
      C'est Cureit (une désinfection à la demande) du DrWeb qui détecte. (voir capture)
      - je viens de télécharger la dernière version, mais l'infection est toujours là et reste incurable.

      GecoMaes est un logiciel de gestion commerciale et Maestria la compta qui va avec.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Zosoi Messages postés 154 Statut Membre
         
        ok je ne pense pas qu'il y ait de malwares actifs.
        Après ça aurait été bien d'avoir le rapport complet à l'issu du scan.
        0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok je mets ça là :

    C:\Users\spamh\AppData\Local\Temp\20190502_i9m12p1013e7_cureit-1.log (87 hits)
    Line 438: D:\ThunderbirdPortable\App\thunderbird\mozglue.dll - infected with Win32.FloodFix.7
    Line 439: D:\ThunderbirdPortable\App\thunderbird\mozglue.dll - infected
    Line 900: C:\Users\Administrateur.CTA1\Desktop\FRST.exe - infected with Win32.FloodFix.7
    Line 901: C:\Users\Administrateur.CTA1\Desktop\FRST.exe - infected
    Line 907: C:\Users\Administrateur.CTA1\Desktop\Acces Remote PC\rpcsetup.exe - infected with Trojan.Click3.13239
    Line 908: C:\Users\Administrateur.CTA1\Desktop\Acces Remote PC\rpcsetup.exe - infected
    Line 921: C:\Program Files\VIA\VIAudioi\VDeck\QsApoApi.dll - infected with Win32.FloodFix.7
    Line 922: C:\Program Files\VIA\VIAudioi\VDeck\QsApoApi.dll - infected
    Line 930: C:\Program Files\PROLiNK\Common\raregistry.exe - infected with Win32.FloodFix.7
    Line 931: C:\Program Files\PROLiNK\Common\raregistry.exe - infected
    Line 968: C:\Program Files\Maestria\maestria.exe - infected with Win32.FloodFix.7
    Line 970: C:\Program Files\Maestria\maestria.exe - infected
    Line 975: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected with Win32.FloodFix.7
    Line 977: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected
    Line 978: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected with Win32.FloodFix.7
    Line 979: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected
    Line 981: C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe - infected with Win32.FloodFix.7
    Line 982: C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\ACE.dll - infected with Win32.FloodFix.7
    Line 983: C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\ACE.dll - infected
    Line 986: C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe - infected
    Line 989: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected with Win32.FloodFix.7
    Line 990: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected
    Line 991: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected with Win32.FloodFix.7
    Line 992: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected
    Line 994: C:\Program Files\Common Files\System\symsrv.dll - infected with Win32.FloodFix
    Line 995: C:\Program Files\Common Files\System\symsrv.dll - infected
    Line 998: C:\Program Files\Foxit Software\Foxit Reader\plugins\ServicePlugin\ConnectPDFService.dll - infected with Win32.FloodFix.7
    Line 999: C:\Program Files\Foxit Software\Foxit Reader\plugins\ServicePlugin\ConnectPDFService.dll - infected
    Line 1002: C:\Program Files\AChat\achat.exe - infected with Win32.FloodFix.7
    Line 1003: C:\Program Files\AChat\achat.exe - infected
    Line 1004: C:\Program Files\7-Zip\7-zip.dll - infected with Win32.FloodFix.7
    Line 1005: C:\Program Files\7-Zip\7-zip.dll - infected
    Line 1010: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected with Win32.FloodFix.7
    Line 1011: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected
    Line 1012: C:\Program Files\Microsoft Office\Office12\oart.dll - infected with Win32.FloodFix.7
    Line 1013: C:\Program Files\Microsoft Office\Office12\oart.dll - infected
    Line 1014: C:\Program Files\GecoMaes\GecoMaes.exe - infected with Win32.FloodFix.7
    Line 1016: C:\Program Files\GecoMaes\GecoMaes.exe - infected
    Line 1032: C:\Program Files\Common Files\microsoft shared\OFFICE12\mso.dll - infected with Win32.FloodFix.7
    Line 1033: C:\Program Files\Common Files\microsoft shared\OFFICE12\mso.dll - infected
    Line 1303: C:\programdata\pdfforge\pdf architect 5 manager\pdf architect 5\architect manager.exe - infected with Win32.FloodFix.7
    Line 1304: C:\programdata\pdfforge\pdf architect 5 manager\pdf architect 5\architect manager.exe - infected
    Line 1308: C:\program files\google\update\googleupdate.exe - infected with Win32.FloodFix.7
    Line 1309: C:\program files\google\update\googleupdate.exe - infected
    Line 1336: C:\windows\temp\dndam.sys - infected with Win32.FloodFix
    Line 1337: C:\windows\temp\dndam.sys - infected
    Line 2605: C:\Windows\system32\dlcoer.dll - infected with Win32.FloodFix
    Line 2608: C:\Windows\system32\dlcoer.dll - infected
    Line 36133: C:\Windows\TEMP\dndam.sys - infected with Win32.FloodFix
    Line 41432: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsg98DC.tmp\registry.dll - infected with Win32.FloodFix.7
    Line 41434: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsg98DC.tmp\registry.dll - infected
    Line 42637: Total 25 files (26 objects) are infected
    Line 42673: Total 25 files (26 objects) are infected
    Line 43554: C:\ProgramData\pdfforge\PDF Architect 5 Manager\PDF Architect 5\architect manager.exe - infected with Win32.FloodFix.7
    Line 43555: C:\ProgramData\pdfforge\PDF Architect 5 Manager\PDF Architect 5\architect manager.exe - infected
    Line 43564: C:\Program Files\PROLiNK\Common\raregistry.exe - infected with Win32.FloodFix.7
    Line 43565: C:\Program Files\PROLiNK\Common\raregistry.exe - infected
    Line 43569: C:\Program Files\Microsoft Office\Office12\oart.dll - infected with Win32.FloodFix.7
    Line 43570: C:\Program Files\Microsoft Office\Office12\oart.dll - infected
    Line 43572: C:\Program Files\Maestria\maestria.exe - infected with Win32.FloodFix.7
    Line 43573: C:\Program Files\Maestria\maestria.exe - infected
    Line 43582: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected with Win32.FloodFix.7
    Line 43583: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected
    Line 43586: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected with Win32.FloodFix.7
    Line 43587: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected
    Line 43590: C:\Program Files\Google\Chrome\Application\49.0.2623.112\chrome_elf.dll - infected with Win32.FloodFix.7
    Line 43591: C:\Program Files\Google\Chrome\Application\49.0.2623.112\chrome_elf.dll - infected
    Line 43599: C:\Program Files\GecoMaes\GecoMaes.exe - infected with Win32.FloodFix.7
    Line 43600: C:\Program Files\GecoMaes\GecoMaes.exe - infected
    Line 43603: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected with Win32.FloodFix.7
    Line 43604: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected
    Line 43606: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected with Win32.FloodFix.7
    Line 43607: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected
    Line 43609: C:\Program Files\Common Files\System\symsrv.dll - infected with Win32.FloodFix
    Line 43610: C:\Program Files\Common Files\System\symsrv.dll - infected
    Line 43617: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected with Win32.FloodFix.7
    Line 43618: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected
    Line 43621: C:\Program Files\AChat\achat.exe - infected with Win32.FloodFix.7
    Line 43622: C:\Program Files\AChat\achat.exe - infected
    Line 43629: C:\Windows\TEMP\fliwz.sys - infected with Win32.FloodFix
    Line 43630: C:\Windows\TEMP\fliwz.sys - infected
    Line 78857: C:\Windows\TEMP\fliwz.sys - infected with Win32.FloodFix
    Line 80565: C:\Users\Administrateur.CTA1\AppData\Local\Temp\conres.dll - infected with Win32.FloodFix
    Line 80570: C:\Users\Administrateur.CTA1\AppData\Local\Temp\conres.dll - infected
    Line 84523: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsv9F1F.tmp\registry.dll - infected with Win32.FloodFix.7
    Line 84524: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsv9F1F.tmp\registry.dll - infected


    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Il y a des chances que ce soit un virus qui infecte les exécutables.

    Peux-tu vérifier les exécutables infectés ?
    Par exemple envoie C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe sur https://upload.malekal.com et vois s'il y a des détections.

    S'il y a des détections alors c'est bien une infection.
    Le mieux est d'utiliser les outils Kaspersky : https://www.malekal.com/supprimer-virus-kaspersky/
    Faudra voir si Kaspersky Virus Removal peut le supprimer complètement.
    Si ce n'est pas le cas, il faudra utiliser le Live CD Kaspersky.

    0
    1. Aranud87 Messages postés 277 Date d'inscription   Statut Contributeur Dernière intervention   3 299
       
      Salut,

      https://upload.malekal.com/ ne fonctionne pas


      Au pire upload le là : https://www.virustotal.com/gui/#/home/upload
      et donne le lien
      0
    2. Zosoi Messages postés 154 Statut Membre 11
       
      Le lien upload.malekal me donne un message d'erreur 404 - As-tu d'autre option ?

      En attendant, j'ai fais analyser le fichier par Avast Home (sur un autre PC) et aucune infection signalée.

      Traitement par Kaspersky Virus Removal Tool en cours
      0
    3. Aranud87 Messages postés 277 Date d'inscription   Statut Contributeur Dernière intervention   3 299 > Zosoi Messages postés 154 Statut Membre
       
      envoie là et donne le lien généré : https://www.virustotal.com/gui/#/home/upload
      0
    4. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
       
      Ce n'est pas bon c'est une ancienne analyse de mars 2018 quand tu upload ton fichier sur Virus Total tu cliques sur les trois points verticaux en haut à droite puis sur réanalyser pour que ce soit le résultat de ton fichier et pas celui d'un fichier analysé auparavant, voir ci-dessous:
      0
  7. Zosoi Messages postés 154 Statut Membre 11
     
    Bonjour à tous !

    Je crois que la désinfection est réussie avec KVRT en mode sans échec.



    Encore un grand MERCI à tous et je vous souhaite une bonne semaine.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok vois si ça revient :)
      Installe un antivirus résident qui protège le serveur, car là il n'y a rien.
      Clamwin est inefficace.

      Je mets en résolu.
      0
    2. Zosoi Messages postés 154 Statut Membre 11
       
      Oui - je suis déjà en train de voir.
      0