Sujet Précédent Sujet Suivant

Win32.FloodFix.7 (Dr Web) / Win32:Pioneer-C (Avast)

Résolu/Fermé
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 - 30 avril 2019 à 08:26
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 - 6 mai 2019 à 09:52
Bonjour à tous,

Mon serveur (Windows Serveur 2008 - utilisation Gestion Commerciale simple - ni web ni mail) est infecté et je voudrais bien avoir votre aide pour le supprimer car je ne veux pas faire une réinstallation autant que possible.

J'ai déjà utilisé l'outil CureIt de Dr Web mais sans aucun résultat - celui-ci trouve uniquement que les inféctions (win32.FloodFix.7) sont éliminées mais le virus est toujours là.

De plus, lorsque je fais une copie de fichier sur le réseau (LAN) à partir de ce serveur, Avast (du PC cible) indique que certains fichiers sont infectés par Win32:Pioneer-C

L'origine de l'infection était une clé USB. Et voilà quelques captures d'écran où
1 - Le message affiché lors de l'ouverture du navigateur
2 - Le message affiché lors du lancement de la plupart des applications
3 - Le message affiché lorsqu'on ferme le message en 2



Merci à l'avance pour votre aide

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
30 avril 2019 à 09:21
Bonjour/Bonsoir,

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).


1
Réponse 2 / 6
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
30 avril 2019 à 10:31
Merci pour ton retour. J'ai réussi à avoir seulement 2 rapports (le schortcut.txt n'est pas généré même case shortcut cochée - dans 2 tentatives)

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20190430_w7r14h7h9n14

Addition
https://pjjoint.malekal.com/files.php?id=20190430_v15b6s14b12k13

Il y a eu tout à l'heure une fenêtre d'avertissement (???? C++ ) mais je n'ai pas réussi à faire une capture écran car elle n'est plus revenue dans ma 2nde tentative. Peut être que c'est la raison pour laquelle le 3èm rapport n'est pas sorti.
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
30 avril 2019 à 11:59
Pas l'air infecté

C'est ClamAV qui détecte ?
car il est pas super fiable.
Quels sont les fichiers détectés ?

C'est un produit métier ça ?
2019-04-23 13:37 - 2012-08-06 10:31 - 000000000 ____D C:\Program Files\GecoMaes
2019-04-23 13:37 - 2012-08-06 10:29 - 000000000 ____D C:\Program Files\Maestria
0
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
30 avril 2019 à 16:10
C'est Cureit (une désinfection à la demande) du DrWeb qui détecte. (voir capture)
- je viens de télécharger la dernière version, mais l'infection est toujours là et reste incurable.

GecoMaes est un logiciel de gestion commerciale et Maestria la compta qui va avec.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019
30 avril 2019 à 17:07
ok je ne pense pas qu'il y ait de malwares actifs.
Après ça aurait été bien d'avoir le rapport complet à l'issu du scan.
0
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
2 mai 2019 à 09:07
Bonjour,

Je viens de prendre la version à jour de CureIt et voilà le log de l'analyse d'avant hier et celui d'aujourd'hui (avant neutralisation des menaces).

https://pjjoint.malekal.com/files.php?id=20190502_i9m12p1013e7
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
2 mai 2019 à 11:22
ok je mets ça là :

C:\Users\spamh\AppData\Local\Temp\20190502_i9m12p1013e7_cureit-1.log (87 hits)
Line 438: D:\ThunderbirdPortable\App\thunderbird\mozglue.dll - infected with Win32.FloodFix.7
Line 439: D:\ThunderbirdPortable\App\thunderbird\mozglue.dll - infected
Line 900: C:\Users\Administrateur.CTA1\Desktop\FRST.exe - infected with Win32.FloodFix.7
Line 901: C:\Users\Administrateur.CTA1\Desktop\FRST.exe - infected
Line 907: C:\Users\Administrateur.CTA1\Desktop\Acces Remote PC\rpcsetup.exe - infected with Trojan.Click3.13239
Line 908: C:\Users\Administrateur.CTA1\Desktop\Acces Remote PC\rpcsetup.exe - infected
Line 921: C:\Program Files\VIA\VIAudioi\VDeck\QsApoApi.dll - infected with Win32.FloodFix.7
Line 922: C:\Program Files\VIA\VIAudioi\VDeck\QsApoApi.dll - infected
Line 930: C:\Program Files\PROLiNK\Common\raregistry.exe - infected with Win32.FloodFix.7
Line 931: C:\Program Files\PROLiNK\Common\raregistry.exe - infected
Line 968: C:\Program Files\Maestria\maestria.exe - infected with Win32.FloodFix.7
Line 970: C:\Program Files\Maestria\maestria.exe - infected
Line 975: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected with Win32.FloodFix.7
Line 977: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected
Line 978: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected with Win32.FloodFix.7
Line 979: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected
Line 981: C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe - infected with Win32.FloodFix.7
Line 982: C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\ACE.dll - infected with Win32.FloodFix.7
Line 983: C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\ACE.dll - infected
Line 986: C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe - infected
Line 989: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected with Win32.FloodFix.7
Line 990: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected
Line 991: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected with Win32.FloodFix.7
Line 992: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected
Line 994: C:\Program Files\Common Files\System\symsrv.dll - infected with Win32.FloodFix
Line 995: C:\Program Files\Common Files\System\symsrv.dll - infected
Line 998: C:\Program Files\Foxit Software\Foxit Reader\plugins\ServicePlugin\ConnectPDFService.dll - infected with Win32.FloodFix.7
Line 999: C:\Program Files\Foxit Software\Foxit Reader\plugins\ServicePlugin\ConnectPDFService.dll - infected
Line 1002: C:\Program Files\AChat\achat.exe - infected with Win32.FloodFix.7
Line 1003: C:\Program Files\AChat\achat.exe - infected
Line 1004: C:\Program Files\7-Zip\7-zip.dll - infected with Win32.FloodFix.7
Line 1005: C:\Program Files\7-Zip\7-zip.dll - infected
Line 1010: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected with Win32.FloodFix.7
Line 1011: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected
Line 1012: C:\Program Files\Microsoft Office\Office12\oart.dll - infected with Win32.FloodFix.7
Line 1013: C:\Program Files\Microsoft Office\Office12\oart.dll - infected
Line 1014: C:\Program Files\GecoMaes\GecoMaes.exe - infected with Win32.FloodFix.7
Line 1016: C:\Program Files\GecoMaes\GecoMaes.exe - infected
Line 1032: C:\Program Files\Common Files\microsoft shared\OFFICE12\mso.dll - infected with Win32.FloodFix.7
Line 1033: C:\Program Files\Common Files\microsoft shared\OFFICE12\mso.dll - infected
Line 1303: C:\programdata\pdfforge\pdf architect 5 manager\pdf architect 5\architect manager.exe - infected with Win32.FloodFix.7
Line 1304: C:\programdata\pdfforge\pdf architect 5 manager\pdf architect 5\architect manager.exe - infected
Line 1308: C:\program files\google\update\googleupdate.exe - infected with Win32.FloodFix.7
Line 1309: C:\program files\google\update\googleupdate.exe - infected
Line 1336: C:\windows\temp\dndam.sys - infected with Win32.FloodFix
Line 1337: C:\windows\temp\dndam.sys - infected
Line 2605: C:\Windows\system32\dlcoer.dll - infected with Win32.FloodFix
Line 2608: C:\Windows\system32\dlcoer.dll - infected
Line 36133: C:\Windows\TEMP\dndam.sys - infected with Win32.FloodFix
Line 41432: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsg98DC.tmp\registry.dll - infected with Win32.FloodFix.7
Line 41434: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsg98DC.tmp\registry.dll - infected
Line 42637: Total 25 files (26 objects) are infected
Line 42673: Total 25 files (26 objects) are infected
Line 43554: C:\ProgramData\pdfforge\PDF Architect 5 Manager\PDF Architect 5\architect manager.exe - infected with Win32.FloodFix.7
Line 43555: C:\ProgramData\pdfforge\PDF Architect 5 Manager\PDF Architect 5\architect manager.exe - infected
Line 43564: C:\Program Files\PROLiNK\Common\raregistry.exe - infected with Win32.FloodFix.7
Line 43565: C:\Program Files\PROLiNK\Common\raregistry.exe - infected
Line 43569: C:\Program Files\Microsoft Office\Office12\oart.dll - infected with Win32.FloodFix.7
Line 43570: C:\Program Files\Microsoft Office\Office12\oart.dll - infected
Line 43572: C:\Program Files\Maestria\maestria.exe - infected with Win32.FloodFix.7
Line 43573: C:\Program Files\Maestria\maestria.exe - infected
Line 43582: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected with Win32.FloodFix.7
Line 43583: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected
Line 43586: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected with Win32.FloodFix.7
Line 43587: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected
Line 43590: C:\Program Files\Google\Chrome\Application\49.0.2623.112\chrome_elf.dll - infected with Win32.FloodFix.7
Line 43591: C:\Program Files\Google\Chrome\Application\49.0.2623.112\chrome_elf.dll - infected
Line 43599: C:\Program Files\GecoMaes\GecoMaes.exe - infected with Win32.FloodFix.7
Line 43600: C:\Program Files\GecoMaes\GecoMaes.exe - infected
Line 43603: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected with Win32.FloodFix.7
Line 43604: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected
Line 43606: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected with Win32.FloodFix.7
Line 43607: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected
Line 43609: C:\Program Files\Common Files\System\symsrv.dll - infected with Win32.FloodFix
Line 43610: C:\Program Files\Common Files\System\symsrv.dll - infected
Line 43617: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected with Win32.FloodFix.7
Line 43618: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected
Line 43621: C:\Program Files\AChat\achat.exe - infected with Win32.FloodFix.7
Line 43622: C:\Program Files\AChat\achat.exe - infected
Line 43629: C:\Windows\TEMP\fliwz.sys - infected with Win32.FloodFix
Line 43630: C:\Windows\TEMP\fliwz.sys - infected
Line 78857: C:\Windows\TEMP\fliwz.sys - infected with Win32.FloodFix
Line 80565: C:\Users\Administrateur.CTA1\AppData\Local\Temp\conres.dll - infected with Win32.FloodFix
Line 80570: C:\Users\Administrateur.CTA1\AppData\Local\Temp\conres.dll - infected
Line 84523: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsv9F1F.tmp\registry.dll - infected with Win32.FloodFix.7
Line 84524: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsv9F1F.tmp\registry.dll - infected


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié le 2 mai 2019 à 11:24
Il y a des chances que ce soit un virus qui infecte les exécutables.

Peux-tu vérifier les exécutables infectés ?
Par exemple envoie C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe sur https://upload.malekal.com et vois s'il y a des détections.

S'il y a des détections alors c'est bien une infection.
Le mieux est d'utiliser les outils Kaspersky : https://www.malekal.com/supprimer-virus-kaspersky/
Faudra voir si Kaspersky Virus Removal peut le supprimer complètement.
Si ce n'est pas le cas, il faudra utiliser le Live CD Kaspersky.

0
Aranud87 Messages postés 18031 Date d'inscription dimanche 29 octobre 2006 Statut Contributeur Dernière intervention 7 juin 2020 3 293
2 mai 2019 à 13:30
Salut,

https://upload.malekal.com/ ne fonctionne pas


Au pire upload le là : https://www.virustotal.com/gui/#/home/upload
et donne le lien
0
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
Modifié le 2 mai 2019 à 14:22
Le lien upload.malekal me donne un message d'erreur 404 - As-tu d'autre option ?

En attendant, j'ai fais analyser le fichier par Avast Home (sur un autre PC) et aucune infection signalée.

Traitement par Kaspersky Virus Removal Tool en cours
0
Aranud87 Messages postés 18031 Date d'inscription dimanche 29 octobre 2006 Statut Contributeur Dernière intervention 7 juin 2020 3 293 > Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019
2 mai 2019 à 13:47
envoie là et donne le lien généré : https://www.virustotal.com/gui/#/home/upload
0
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
2 mai 2019 à 16:51
voilà le lien :
https://www.virustotal.com/gui/#/file/8c87c56396c4922c225f9b7f92888434da9c6cc467fa643107ce11f8d51a329b/detection

On dirait que l'infection est partie - mais certaines applications semblent avoir de problème pour démarrer. Il faut peut être les ré-installer.

Je te tiendrai au courant demain
0
bazfile Messages postés 53671 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 23 avril 2024 18 469
2 mai 2019 à 16:56
Ce n'est pas bon c'est une ancienne analyse de mars 2018 quand tu upload ton fichier sur Virus Total tu cliques sur les trois points verticaux en haut à droite puis sur réanalyser pour que ce soit le résultat de ton fichier et pas celui d'un fichier analysé auparavant, voir ci-dessous:
0
Réponse 6 / 6
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
Modifié le 6 mai 2019 à 09:01
Bonjour à tous !

Je crois que la désinfection est réussie avec KVRT en mode sans échec.



Encore un grand MERCI à tous et je vous souhaite une bonne semaine.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
6 mai 2019 à 09:26
ok vois si ça revient :)
Installe un antivirus résident qui protège le serveur, car là il n'y a rien.
Clamwin est inefficace.

Je mets en résolu.
0
Zosoi Messages postés 144 Date d'inscription samedi 16 septembre 2006 Statut Membre Dernière intervention 9 octobre 2019 11
6 mai 2019 à 09:52
Oui - je suis déjà en train de voir.
0

Discussions similaires

Autoradio Pioneer Mosfet 50wx4 notice en fcs?
deby7799 -
letotof -

8 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
problème avec autoradio SPH-DA160DAB
funragon -
billi -

6 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses