Trojan Win32.OnlineGames-EBY
Toto
-
Toto -
Toto -
Bonjour,
J'ai une carte flash infectée par Win32.OnlineGames-EBY [Trj] (trouvé par Avast): et je n'arrive pas à supprimer définitivement ce trojan.
Je m'explique : cette carte sert à l'enregistrement de données dans un enregistreur. Pour utiliser cette carte dans notre enregistreur, il faut la formater une fois avec l'explorateur et ensuite avec un utilitaire spécial. En effet les données sont écrites en brute sur la carte et sous l'explorateur de windows on ne peut pas voir ce qu'il y a écrit dessus.
Je lance un enregistrement et ensuite, j'utilise un logiciel qui permet d'extraire les données de la carte pour en creer un fichier .DAT lisible sous windows. Et c'est à ce moment là que le Trojan est détecté par Avast. Pour le supprimer, il suffit de supprimer le fichier .DAT. Par contre si je scanne la carte elle même, elle n'est jamais détectée comme infectée (ce qui dans le fond n'est pas étonnant car sous l'explorateur on ne voit aucun fichier dessus donc l'antivirus doit croire qu'il n'y a rien à analyser). Seul le fichier .DAT créé après coup est vérolé.
J'ai essayé de faire la même chose avec une carte flash toute neuve et là tout se passe bien. J'en déduit donc que ca viens de ma carte flash qui est vérolée. J'ai bien sûr essayé de la formater plusieurs fois (avec l'explorateur windows) puis avec l'utilitaire spécial mais le virus réapparait toujours quand je créé mon fichier .DAT. J'ai voulu tenter de formater la MBR (je sais pas si y en a sur les cartes flash...) mais j'ai pas réussi (vive XP, sous DOS ca aurait été plus simple!).
Les scannes sont fait avec Avast. J'ai essayé avec AVG mais lui il ne détecte jamais le trojan (qui d'ailleurs n'a pas l'air de faire partie de sa liste de définition de virus). J'ai aussi fait des tentatives avec Adware, Spybot et Malwarebytes' Anti-Malware qui ne détectent rien sur la carte flash. Hijackthis ne signale rien de particulier et de toutes facons ne travaille pas sur la carte flash.
Etant à court d'idée, toute aide serait la bienvenue!
J'ai une carte flash infectée par Win32.OnlineGames-EBY [Trj] (trouvé par Avast): et je n'arrive pas à supprimer définitivement ce trojan.
Je m'explique : cette carte sert à l'enregistrement de données dans un enregistreur. Pour utiliser cette carte dans notre enregistreur, il faut la formater une fois avec l'explorateur et ensuite avec un utilitaire spécial. En effet les données sont écrites en brute sur la carte et sous l'explorateur de windows on ne peut pas voir ce qu'il y a écrit dessus.
Je lance un enregistrement et ensuite, j'utilise un logiciel qui permet d'extraire les données de la carte pour en creer un fichier .DAT lisible sous windows. Et c'est à ce moment là que le Trojan est détecté par Avast. Pour le supprimer, il suffit de supprimer le fichier .DAT. Par contre si je scanne la carte elle même, elle n'est jamais détectée comme infectée (ce qui dans le fond n'est pas étonnant car sous l'explorateur on ne voit aucun fichier dessus donc l'antivirus doit croire qu'il n'y a rien à analyser). Seul le fichier .DAT créé après coup est vérolé.
J'ai essayé de faire la même chose avec une carte flash toute neuve et là tout se passe bien. J'en déduit donc que ca viens de ma carte flash qui est vérolée. J'ai bien sûr essayé de la formater plusieurs fois (avec l'explorateur windows) puis avec l'utilitaire spécial mais le virus réapparait toujours quand je créé mon fichier .DAT. J'ai voulu tenter de formater la MBR (je sais pas si y en a sur les cartes flash...) mais j'ai pas réussi (vive XP, sous DOS ca aurait été plus simple!).
Les scannes sont fait avec Avast. J'ai essayé avec AVG mais lui il ne détecte jamais le trojan (qui d'ailleurs n'a pas l'air de faire partie de sa liste de définition de virus). J'ai aussi fait des tentatives avec Adware, Spybot et Malwarebytes' Anti-Malware qui ne détectent rien sur la carte flash. Hijackthis ne signale rien de particulier et de toutes facons ne travaille pas sur la carte flash.
Etant à court d'idée, toute aide serait la bienvenue!
A voir également:
- Trojan Win32.OnlineGames-EBY
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Win32:malware-gen ✓ - Forum Virus
- Puabundler win32 candyopen - Forum Virus
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
10 réponses
Bonjour,
Essaye ces deux programmes pour scanner tes supports amovibles :
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
2) Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes... susceptibles d'avoir été infectés.
Puis clic sur Ok
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.
Essaye ces deux programmes pour scanner tes supports amovibles :
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
2) Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes... susceptibles d'avoir été infectés.
Puis clic sur Ok
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.
1/ Rav.exe me dit que le PC est sain
2/ Flash_disinfector a été lancé et il m'a bien créer le autorun
Le virus est tjs là :-(
2/ Flash_disinfector a été lancé et il m'a bien créer le autorun
Le virus est tjs là :-(
Ok, on va essayer autrement ;)
Télécharge hijackthis sur ton bureau :
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Installe le, puis fais ceci avant de le lancer :
Va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe
Ensuite lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum
Télécharge hijackthis sur ton bureau :
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
Installe le, puis fais ceci avant de le lancer :
Va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe
Ensuite lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum
Salut,
Voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:08, on 06/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\fpapli.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\Tprbtn.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Panasonic\WRITING\Writing.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/search?form=MO0035&q=open+ppt+file
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=15.0.5.9:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.0.0.100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\system32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRunOnce] C:\util\prunonce\PRunOnce.exe
O4 - HKLM\..\Run: [PCinfo] C:\Program Files\Panasonic\PCINFO\SetDiag.exe /FirstLogin
O4 - HKLM\..\Run: [Panasonic HotKey Manager] "C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [scroller] fpapli.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Panasonic Hand Writing.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
Voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:08, on 06/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\fpapli.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\Tprbtn.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Panasonic\WRITING\Writing.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\Jack.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/search?form=MO0035&q=open+ppt+file
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=15.0.5.9:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.0.0.100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\system32\hkeyman.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRunOnce] C:\util\prunonce\PRunOnce.exe
O4 - HKLM\..\Run: [PCinfo] C:\Program Files\Panasonic\PCINFO\SetDiag.exe /FirstLogin
O4 - HKLM\..\Run: [Panasonic HotKey Manager] "C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [gemstrmw] C:\WINDOWS\system32\gemstrmw.exe /r
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [scroller] fpapli.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Panasonic Hand Writing.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Désolé pour le délai de réponse...
Télécharge et installe Malwarebyte's Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance Malwarebyte's Anti-Malware, laisse les Mises à jour se télécharger et referme le programme
Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec".
Choisis ta session habituelle
Lance Malwarebyte's Anti-Malware
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection
- S'il t'es demandé de redémarrer, clique sur Yes
Poste le rapport de scan après la suppression ici
Télécharge et installe Malwarebyte's Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance Malwarebyte's Anti-Malware, laisse les Mises à jour se télécharger et referme le programme
Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec".
Choisis ta session habituelle
Lance Malwarebyte's Anti-Malware
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection
- S'il t'es demandé de redémarrer, clique sur Yes
Poste le rapport de scan après la suppression ici
Salut,
J'avais déjà essayé et je l'avais lancé en mode sans echec. Il avait trouvé des choses et avait tout supprimé (je l'avais relancé ensuite par précaution). Par contre, il n'avait trouvé des choses que sur le disque dur. Aucun outil n'a été capable de trouver quelque chose sur la carte Flash... et ca se comprend car sous l'explorateur on ne voit aucun fichiers (même cachés ou fichiers systèmes) et donc à mon avis les outils n'ont pas grand chose à chercher!
Même après un formatage complet, le trojan reste là... Je ne vois pas où il peut se cacher (apparemment il n'y a pas de MBR sur les cartes flash).
Si tu veux, je peux relancer MBAM mais pas aujourd'hui car le PC sur lequel je peux installer MBAM n'a pas de connexion internet, il faut que je récupère les mise à jour à la main.
A+
PS: je ne pourrai pas consulter le forum samedi et dimanche
J'avais déjà essayé et je l'avais lancé en mode sans echec. Il avait trouvé des choses et avait tout supprimé (je l'avais relancé ensuite par précaution). Par contre, il n'avait trouvé des choses que sur le disque dur. Aucun outil n'a été capable de trouver quelque chose sur la carte Flash... et ca se comprend car sous l'explorateur on ne voit aucun fichiers (même cachés ou fichiers systèmes) et donc à mon avis les outils n'ont pas grand chose à chercher!
Même après un formatage complet, le trojan reste là... Je ne vois pas où il peut se cacher (apparemment il n'y a pas de MBR sur les cartes flash).
Si tu veux, je peux relancer MBAM mais pas aujourd'hui car le PC sur lequel je peux installer MBAM n'a pas de connexion internet, il faut que je récupère les mise à jour à la main.
A+
PS: je ne pourrai pas consulter le forum samedi et dimanche
Il y a deux possibilités :
- Soit l'alerte d'Avast est un faux-positif, et il n'y a aucune infection
- Soit le trojan essaye d'infecter la carte flash ==> dans ce cas, ton ordinateur est bien infecté (d'où l'utilité de Malwarebyte's)
- Soit l'alerte d'Avast est un faux-positif, et il n'y a aucune infection
- Soit le trojan essaye d'infecter la carte flash ==> dans ce cas, ton ordinateur est bien infecté (d'où l'utilité de Malwarebyte's)
Salut,
Je pense avoir compris quel est le problème :
La carte Flash était infectée et le code du virus était donc inscrit dessus. Comme l'outil d'extraction de données que j'utilise lit les données bloc par bloc sans se soucier de système de fichier, il récupère à chaque fois les blocs avec la signature du virus. C'est pourquoi je ne trouve le virus qu'après extraction des données.
Le formatage même complet de la flash ne doit pas réécrire des 0x00 ou des 0xFF dans tous les blocs donc il ne supprime pas le virus. Les antivirus ne détectent rien car ils scannent les fichiers et pas les blocs un par un.
J'ai donc copié des données bidons sur ma carte flash, ce qui a eu pour effet d'écraser les blocs qui contenaient la signature du virus et du coup maintenant je n'ai plus de problème.
Ca te semble valable comme hypothèse? J'attends ta réponse avant de mettre ce post en résolu. En attendant je passe Flash_disinfector sur mes autres cartes flash pour qu'il me crée le autorun.inf.
PS: J'ai repassé MBAM sur le PC : y a rien (ce qui est logique puisque la dernière fois il avait supprimé ce qu'il y avait à supprimer)
Je pense avoir compris quel est le problème :
La carte Flash était infectée et le code du virus était donc inscrit dessus. Comme l'outil d'extraction de données que j'utilise lit les données bloc par bloc sans se soucier de système de fichier, il récupère à chaque fois les blocs avec la signature du virus. C'est pourquoi je ne trouve le virus qu'après extraction des données.
Le formatage même complet de la flash ne doit pas réécrire des 0x00 ou des 0xFF dans tous les blocs donc il ne supprime pas le virus. Les antivirus ne détectent rien car ils scannent les fichiers et pas les blocs un par un.
J'ai donc copié des données bidons sur ma carte flash, ce qui a eu pour effet d'écraser les blocs qui contenaient la signature du virus et du coup maintenant je n'ai plus de problème.
Ca te semble valable comme hypothèse? J'attends ta réponse avant de mettre ce post en résolu. En attendant je passe Flash_disinfector sur mes autres cartes flash pour qu'il me crée le autorun.inf.
PS: J'ai repassé MBAM sur le PC : y a rien (ce qui est logique puisque la dernière fois il avait supprimé ce qu'il y avait à supprimer)
