Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Bhiale
#20705
Bonjour,

Je m'occupe de l'informatique dans une association (donc pas les moyens d'investir dans la solution payante de BitDefender), et en l'espace d'une matinée, le virus Agent AXN (prenant la forme d"iTunesHelper.vbe) à  contaminé 5 postes et 4 clés USB, via les clés en question.

J'ai immédiatement débranché les PC infectés du réseau local, et pris les clés USB pour stopper la propagation.

Les PC, je peux les formater donc je pensais suivre votre procédure via 1 PC infecté, avec toutes les clés USB branchées dessus.

Sur les conseils d'un informaticien, j'ai installé "malewarebyte's anti malware", et "spybot" (en plus du Avast gratuit et à  jour), mais cela n'a rien changé.
En cherchant sur les forums, je vois que les logiciels "USBfix" et "ZHPdiag" sont très souvent utilisés, donc je vais les télécharger.

Et la question du siècle : L'agent AXN peut-il se propager via le réseau local, même si je n'échange/consulte pas de fichiers sur le réseau ?
Ce que je voudrais éviter : En connectant le PC infecté au réseau local, pour accéder à  Internet, de contaminer tous les postes qui sont sur ledit réseau local (8 postes sur le réseau, dont 3 sains/5 infectés).

Merci d'avance pour votre précieuse aide, j'aime beaucoup ce que vous faites :)

Edit: Ce message est envoyé d'un poste sain
Avatar du membre
par buckhulk
#20709
Bonjour Bhiale
:hello: :welcome:
Code : Tout sélectionner
J'ai immédiatement débranché les PC infectés du réseau local, et pris les clés USB pour stopper la propagation.
Bonne initiative !
Code : Tout sélectionner
(donc pas les moyens d'investir dans la solution payante de BitDefender)
cela n'aurait peut-être rien changé !!
Code : Tout sélectionner
Les PC, je peux les formater donc je pensais suivre votre procédure via 1 PC infecté, avec toutes les clés USB branchées dessus.
donc on n'en a qu'un à  désinfecter ? c'est bien ! :cool:
Code : Tout sélectionner
"spybot"
ça c'est pas terrible , moi je conseille plutôt de le désinstaller !
Code : Tout sélectionner
 les logiciels "USBfix" et "ZHPdiag" sont très souvent utilisés, donc je vais les télécharger.
Ce n'est pas la peine de les télécharger avant !
Code : Tout sélectionner
L'agent AXN peut-il se propager via le réseau local, même si je n'échange/consulte pas de fichiers sur le réseau
Oui c'est pour cela que l'on préconise de "séparer" les ordinateurs en réseau !
Code : Tout sélectionner
Edit: Ce message est envoyé d'un poste sain
cela aurait été plus simple de l'envoyer directement d'un poste infecté ! car là  il va falloir que tu fasses les "manoeuvre" avec deux PC !

bon on va commencer par passer USBFix :
  • Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
  • Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Branchez toutes vos sources de données externes à  votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Choisis l'option Suppression

    Note : Si UsbFix bloque à  14%, démarrer en mode sans échec. (Voir >> ICI <<)

    Image
  • Copie et Colle le contenu du rapport qui apparaît à  la fin du scan dans ta réponse
^^' branche bien les clés infectées ! :P:
Avatar du membre
par Bhiale
#20713
Re !

Merci d'avoir apporté confirmation, ça me servira à  montrer au patron que j'ai eu le bon reflexe, il me croit pas et m'en veut d'avoir paralysé l'antenne hier ^^

Du coup j'ai débranché tous les cà¢bles réseau, et j'écris du poste infecté, avec toutes les clés USB infectées dessus. Pas besoin de faire la manip sur plusieurs postes du coup.

J'ai installé et effectué la manipulation avec USBfix, voici le rapport:

############################## | UsbFix V 7.152 | [Suppression]

Utilisateur: Latitude (Administrateur) # LATITUDE-PC
Mis à  jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à  14:03:53 | 06/12/2013

Site Web : http://www.usbfix.net" onclick="window.open(this.href);return false;
Forum : http://www.sosvirus.net/" onclick="window.open(this.href);return false;
Upload Malware : http://www.sosvirus.net/upload_malware.php" onclick="window.open(this.href);return false;
Contact : http://www.usbfix.net/contact/" onclick="window.open(this.href);return false;

PC: Dell Inc. (0U695R)
CPU: Intel(R) Core(TM)2 Duo CPU P8700 @ 2.53GHz
RAM -> [Total : 3572 | Free : 1855]
Bios: Dell Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) Service Pack 1
WB: Windows Internet Explorer : 9.0.8112.16421
WB: Google Chrome : 31.0.1650.57

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: avast! Antivirus [(!) Disabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
AS: Malwarebytes' Anti-Malware : 1.75.0001
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 233 Go (208 Go libre(s) - 89%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 956 Mo (204 Mo libre(s) - 21%) [NOUVELLE] # FAT
F:\ -> Disque amovible # 58 Go (54 Go libre(s) - 94%) [BACKUP] # NTFS
G:\ -> Disque amovible # 15 Go (13 Go libre(s) - 86%) [NV] # FAT32

################## | Processus Stoppés |

Stoppé! C:\Windows\system32\nvvsvc.exe (ID: 808 |ParentID: 552)
Stoppé! C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (ID: 832 |ParentID: 552)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (ID: 1492 |ParentID: 552)
Stoppé! C:\Windows\Explorer.EXE (ID: 1584 |ParentID: 1560)
Stoppé! C:\Windows\system32\taskhost.exe (ID: 1744 |ParentID: 552)
Stoppé! C:\Windows\System32\spoolsv.exe (ID: 1788 |ParentID: 552)
Stoppé! C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe (ID: 1816 |ParentID: 552)
Stoppé! C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe (ID: 1836 |ParentID: 552)
Stoppé! C:\Program Files\ma-config.com\MaConfigAgent.exe (ID: 2012 |ParentID: 552)
Stoppé! C:\Program Files\Google\Update\1.3.21.165\GoogleCrashHandler.exe (ID: 1528 |ParentID: 500)
Stoppé! C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe (ID: 2208 |ParentID: 552)
Stoppé! C:\Windows\system32\rundll32.exe (ID: 2296 |ParentID: 2280)
Stoppé! C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe (ID: 2388 |ParentID: 552)
Stoppé! C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\NvTmru.exe (ID: 2792 |ParentID: 1584)
Stoppé! C:\Program Files\AVAST Software\Avast\AvastUI.exe (ID: 2960 |ParentID: 1584)
Stoppé! C:\Windows\System32\WUDFHost.exe (ID: 3224 |ParentID: 1016)
Stoppé! C:\Windows\system32\SearchIndexer.exe (ID: 3384 |ParentID: 552)
Stoppé! C:\Windows\System32\WUDFHost.exe (ID: 3576 |ParentID: 1016)
Stoppé! C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 3604 |ParentID: 1584)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 3728 |ParentID: 552)
Stoppé! C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 3916 |ParentID: 3604)
Stoppé! C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 2860 |ParentID: 3604)
Stoppé! C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (ID: 3860 |ParentID: 1584)
Stoppé! C:\Program Files\Google\Chrome\Application\chrome.exe (ID: 2420 |ParentID: 3604)
Stoppé! C:\Windows\servicing\TrustedInstaller.exe (ID: 3620 |ParentID: 552)
Stoppé! C:\Windows\system32\wuauclt.exe (ID: 2876 |ParentID: 1056)
Stoppé! C:\Windows\system32\taskhost.exe (ID: 3132 |ParentID: 552)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Nvtmru] - "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
04 - HKLM\SOFTWARE | Run : [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
04 - HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE | Run : [AvastUI.exe] - "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-18\SOFTWARE | RunOnce : [SPReview] - "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

################## | Recherche générique |

Supprimé! E:\Nouvelles Voies.lnk
Supprimé! E:\service civique.lnk
Supprimé! F:\sp52421.exe
Supprimé! G:\20131204131134715.lnk
Supprimé! G:\Nouvelles voies.lnk
Supprimé! E:\iTunesHelper.vbe
Supprimé! F:\iTunesHelper.vbe
Supprimé! G:\iTunesHelper.vbe

(!) Fichiers temporaires supprimés.

################## | Référence de comparaison MD5 |

Md5 : 209199C0E389517EE5033F5BF294AAAC -> E:\iTunesHelper.vbe
Md5 : 209199C0E389517EE5033F5BF294AAAC -> F:\iTunesHelper.vbe
Md5 : 209199C0E389517EE5033F5BF294AAAC -> G:\iTunesHelper.vbe

################## | Comparaison MD5 |


################## | Registre |

Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|EnableLUA -> 1
Réparé ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|ConsentPromptBehaviorAdmin -> 5
Réparé ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyGames -> 1

################## | Listing |

[18/11/2013 - 18:10:22 | SHD ] C:\$Recycle.Bin
[10/06/2009 - 22:42:20 | N | 24] C:\autoexec.bat
[10/06/2009 - 22:42:20 | N | 10] C:\config.sys
[14/07/2009 - 05:53:55 | SHD ] C:\Documents and Settings
[06/12/2013 - 13:55:53 | ASH | 2809057280] C:\hiberfil.sys
[04/12/2013 - 11:20:48 | RHD ] C:\MSOCache
[20/11/2013 - 16:06:47 | D ] C:\NVIDIA
[06/12/2013 - 13:55:53 | ASH | 3745411072] C:\pagefile.sys
[14/07/2009 - 03:37:05 | D ] C:\PerfLogs
[06/12/2013 - 13:55:52 | D ] C:\Program Files
[04/12/2013 - 16:11:47 | HD ] C:\ProgramData
[18/11/2013 - 18:10:09 | SHD ] C:\Recovery
[04/12/2013 - 17:34:59 | SHD ] C:\System Volume Information
[06/12/2013 - 14:06:11 | D ] C:\UsbFix
[06/12/2013 - 14:06:17 | A | 6387] C:\UsbFix [Clean 2] LATITUDE-PC.txt
[20/11/2013 - 16:32:26 | RD ] C:\Users
[06/12/2013 - 13:54:48 | D ] C:\Windows
[12/11/2013 - 16:28:24 | D ] E:\documents téléchargés
[12/11/2013 - 16:30:32 | D ] E:\Recherches travail clé usb
[11/10/2012 - 09:01:06 | D ] E:\Nouvelles Voies
[22/11/2013 - 10:27:12 | N | 1565] E:\telecharger une image sur internet.rtf
[29/11/2013 - 10:28:32 | D ] E:\Video
[04/12/2013 - 10:42:30 | N | 31232] E:\participants journée du 10 décembre.xls
[05/12/2013 - 16:14:16 | N | 0] E:\telecharger une image sur internet.lnk
[27/11/2013 - 15:18:56 | D ] E:\service civique
[14/09/2010 - 11:06:42 | SHD ] E:\autorun.inf
[29/11/2013 - 16:30:58 | D ] F:\Logiciels & drivers
[04/12/2013 - 10:40:55 | D ] F:\NV docs
[29/11/2013 - 16:51:43 | D ] F:\Perso
[04/12/2013 - 14:03:20 | SHD ] F:\System Volume Information
[04/12/2013 - 12:54:40 | N | 20421] G:\Rib Caroline Chamorel.pdf
[11/07/2013 - 18:26:36 | D ] G:\Nouvelles voies
[15/11/2013 - 11:17:58 | SHD ] G:\System Volume Information
[03/12/2013 - 19:01:58 | D ] G:\Alex

################## | Vaccin |

F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.usbfix.net" onclick="window.open(this.href);return false; - http://www.sosvirus.net" onclick="window.open(this.href);return false; |


See you :)
Avatar du membre
par buckhulk
#20715
ok impécable , maintenant passe Malwaresbytes puisque tu l'as c'est pas la peine de le retelecharger , il suffit de le mettre à  jour !
c'est un logiciel que tu peux garder et faire des analyses tous les mois , il te demandera de le mettre à  jour , tu verras c'est simple !
pour les autre logiciels il vaut mieux les retelecharger quand tu en a s besoin , car ils changent très souvent !
c 'est un canned :
  • Télécharge MalwareBytes
  • Procède à  l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
  • Sélectionne Examen complet
  • Clic sur Rechercher
  • Supprime tout les éléments trouvés !
  • Poste le rapport sur le forum

    Image
;)
Avatar du membre
par Bhiale
#20716
Petit souci avec Malwarebyte's anti-maleware :

Dès le début du scan, il plante, Windows m'affiche le message d'erreur " Malwarebyte's anti-malware à  rencontré un problème et a cessé de fontionner, etc...".

Le souci, c'est que j'avais déjà  lancé le scan du disque auparavant, il m'avait trouvé un petit Riskware de rien du tout.
Mais quand j'ai voulu lancer des scans de clés USB infectées, il plantait systématiquement. (je croyais que c'était le virus qui faisait planter Malwarebyte)

En tout cas, USBfix est très efficace, j'ai de nouveau accès a toutes les données des clés USB, mais j'attendrais votre feu vert pour les rendre aux gens.

Donc comment je fais, vu que Malwarebyte plante systématiquement (j'ai testé en cochant/décochant les différents disques à  scanner) ?

Bien entendu, le logiciel est a jour (v2013.12.06.04)

Merci
Avatar du membre
par buckhulk
#20721
attend pour les clés , il faut d'abord vacciner !!
  • Lance UsbFix ton Bureau !
  • Branchez toutes vos sources de données externes à  votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Choisi l'option Vacciner

    Note : Des petites fenêtres vont s'ouvrir, clique sur Ok

    Image
pour Malwaresbytes tu peux le passer en mode sans echec stp .
Avatar du membre
par Bhiale
#21113
Bonjour,

Une fois les clés désinfectées et vaccinées, puis-je les rendre à  leur propriétaires ?
Pour malwarebyte en mode sans échec, je m'y mets de tout de suite, je reviens vers vous dans 15 min.

<3<3
Avatar du membre
par Bhiale
#21116
Aà¯e, Malwarebyte plante au début du scan, même en mode sans échec.

Les clés USB sont bien vaccinées :)

Si j'ai bien compris, une fois la clé USB vaccinée et débranchée dès l'application du vaccin, elle n'est plus porteuse du virus.
Donc je peux simplement refaire la procédure donnée jusqu'ici pour les clés, puis formater TOUS les postes infectés, et normalement, y'a plus de virus ?

Si c'est le cas, je vous laisse voler au secours d'autres internautes, si ce n'est pas si simple, je me tiens prêt à  suivre vos instructions.

Merci
Avatar du membre
par buckhulk
#21122
bonjour,
Code : Tout sélectionner
Donc je peux simplement refaire la procédure donnée jusqu'ici pour les clés, puis formater TOUS les postes infectés, et normalement, y'a plus de virus ?
Oui tu peux faire comme cela mais uniquement pour les clés , pour les PC il faut une nouvelles procédure à  chaque fois , à  moins que tu les "formates" !
Code : Tout sélectionner
Aà¯e, Malwarebyte plante au début du scan, même en mode sans échec.
:( ça c'est pas normal !

tu vas essayer de passer Rkill juste avant Malwarebytes et si ça ne fonctionne toujours pas tu passeras Roguekiller :

Rkill
- RKill est un petit logiciel de secours, celui-ci permet de terminer les processus malveillants en cours et restaurer des clés importantes de la base de registre pour exécuter vos programmes.

Téléchargement de Rkill

- RKill ne va rien supprimer, il va uniquement tuer les processus qui empêchent d'utiliser des logiciels de sécurité comme votre antivirus ou vos logiciels anti-spywares.
- Dès qu'il a été exécuté un rapport va s'afficher.
- Si RKill ne peut être utilisé, essayes RogueKiller. >> téléchargement
- Attention certains des liens ci-dessous peuvent être détectés par votre antivirus comme malveillant (c'est tout à  fait normal), il faut donc désactiver celui-ci avant de les télécharger et de les utiliser.

J'aimerais bien en plus que tu me fasses un ZHPDiag
merci
  • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
  • Installe le logiciel.
  • Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Clique sur Configurer
  • Clique sur l'icône représentant une loupe avec un + ( Lancer le diagnostic »)

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.

    Image
  • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à  été créé.
  • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
:cool:
Avatar du membre
par Bhiale
#21492
Bonjour,

Merci pour votre aide, les clés USB ont été sauvées grà¢ce a vous (bigup à  Desap.), mais je ne pourrais pas finir la procédure, car le patron veut que je reformates tous les PC, "histoire de gagner du temps" ^^

Vous pouvez fermer le topic, je vous suis très reconnaissant pour l'aide apportée :)

bonsoir oki pour la fermeture je m'en charge car[…]

how to clean junk files

Hello don't use this program , it's a bullshit :)

Bonjour https://www.aht.li/3213847/AdsFix.exe b[…]

De rien Bon WE :)