11 sujets de 1 à 11 (sur un total de 11)
  • Auteur
    Messages
  • Bhiale
    Participant
    Nombre d'articles : 6

    Bonjour,

    Je m’occupe de l’informatique dans une association (donc pas les moyens d’investir dans la solution payante de BitDefender), et en l’espace d’une matinée, le virus Agent AXN (prenant la forme d »iTunesHelper.vbe) à contaminé 5 postes et 4 clés USB, via les clés en question.

    J’ai immédiatement débranché les PC infectés du réseau local, et pris les clés USB pour stopper la propagation.

    Les PC, je peux les formater donc je pensais suivre votre procédure via 1 PC infecté, avec toutes les clés USB branchées dessus.

    Sur les conseils d’un informaticien, j’ai installé « malewarebyte’s anti malware », et « spybot » (en plus du Avast gratuit et à jour), mais cela n’a rien changé.
    En cherchant sur les forums, je vois que les logiciels « USBfix » et « ZHPdiag » sont très souvent utilisés, donc je vais les télécharger.

    Et la question du siècle : L’agent AXN peut-il se propager via le réseau local, même si je n’échange/consulte pas de fichiers sur le réseau ?
    Ce que je voudrais éviter : En connectant le PC infecté au réseau local, pour accéder à Internet, de contaminer tous les postes qui sont sur ledit réseau local (8 postes sur le réseau, dont 3 sains/5 infectés).

    Merci d’avance pour votre précieuse aide, j’aime beaucoup ce que vous faites :)

    Edit: Ce message est envoyé d’un poste sain

    buckhulk
    Participant
    Nombre d'articles : 2398

    Bonjour Bhiale
    :hello: :welcome:

    J'ai immédiatement débranché les PC infectés du réseau local, et pris les clés USB pour stopper la propagation.

    Bonne initiative !

    (donc pas les moyens d'investir dans la solution payante de BitDefender)

    cela n’aurait peut-être rien changé !!

    Les PC, je peux les formater donc je pensais suivre votre procédure via 1 PC infecté, avec toutes les clés USB branchées dessus.

    donc on n’en a qu’un à désinfecter ? c’est bien ! :cool:

    "spybot"

    ça c’est pas terrible , moi je conseille plutôt de le désinstaller !

     les logiciels "USBfix" et "ZHPdiag" sont très souvent utilisés, donc je vais les télécharger.

    Ce n’est pas la peine de les télécharger avant !

    L'agent AXN peut-il se propager via le réseau local, même si je n'échange/consulte pas de fichiers sur le réseau

    Oui c’est pour cela que l’on préconise de « séparer » les ordinateurs en réseau !

    Edit: Ce message est envoyé d'un poste sain

    cela aurait été plus simple de l’envoyer directement d’un poste infecté ! car là il va falloir que tu fasses les « manoeuvre » avec deux PC !

    bon on va commencer par passer USBFix :

    • Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Choisis l’option Suppression

      Note : Si UsbFix bloque à 14%, démarrer en mode sans échec. (Voir >> ICI <<)

    • Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

    ^^’ branche bien les clés infectées ! :P:

    Bhiale
    Participant
    Nombre d'articles : 6

    Re !

    Merci d’avoir apporté confirmation, ça me servira à montrer au patron que j’ai eu le bon reflexe, il me croit pas et m’en veut d’avoir paralysé l’antenne hier ^^

    Du coup j’ai débranché tous les câbles réseau, et j’écris du poste infecté, avec toutes les clés USB infectées dessus. Pas besoin de faire la manip sur plusieurs postes du coup.

    J’ai installé et effectué la manipulation avec USBfix, voici le rapport:

    ############################## | UsbFix V 7.152 | [Suppression]

    Utilisateur: Latitude (Administrateur) # LATITUDE-PC
    Mis à jour le 20/11/2013 par El Desaparecido – Team SosVirus
    Lancé à 14:03:53 | 06/12/2013

    Site Web : http://www.usbfix.net » onclick= »window.open(this.href);return false;
    Forum : http://www.sosvirus.net/ » onclick= »window.open(this.href);return false;
    Upload Malware : upload_malware.php
    Contact : http://www.usbfix.net/contact/ » onclick= »window.open(this.href);return false;

    PC: Dell Inc. (0U695R)
    CPU: Intel(R) Core(TM)2 Duo CPU P8700 @ 2.53GHz
    RAM -> [Total : 3572 | Free : 1855]
    Bios: Dell Inc.
    Boot: Normal boot

    OS: Microsoft Windows 7 Professionnel (6.1.7601 32-Bit) Service Pack 1
    WB: Windows Internet Explorer : 9.0.8112.16421
    WB: Google Chrome : 31.0.1650.57

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: avast! Antivirus [(!) Disabled | Updated]
    AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
    AS: Malwarebytes’ Anti-Malware : 1.75.0001
    FW: Windows FireWall Service [Enabled]

    C: (%systemdrive%) -> Disque fixe # 233 Go (208 Go libre(s) – 89%) [] # NTFS
    D: -> CD-ROM
    E: -> Disque amovible # 956 Mo (204 Mo libre(s) – 21%) [NOUVELLE] # FAT
    F: -> Disque amovible # 58 Go (54 Go libre(s) – 94%) [BACKUP] # NTFS
    G: -> Disque amovible # 15 Go (13 Go libre(s) – 86%) [NV] # FAT32

    ################## | Processus Stoppés |

    Stoppé! C:Windowssystem32nvvsvc.exe (ID: 808 |ParentID: 552)
    Stoppé! C:Program FilesNVIDIA Corporation3D VisionnvSCPAPISvr.exe (ID: 832 |ParentID: 552)
    Stoppé! C:Program FilesAVAST SoftwareAvastAvastSvc.exe (ID: 1492 |ParentID: 552)
    Stoppé! C:WindowsExplorer.EXE (ID: 1584 |ParentID: 1560)
    Stoppé! C:Windowssystem32taskhost.exe (ID: 1744 |ParentID: 552)
    Stoppé! C:WindowsSystem32spoolsv.exe (ID: 1788 |ParentID: 552)
    Stoppé! C:Program FilesBroadcom CorporationBroadcom USH Host ComponentsCVbinHostControlService.exe (ID: 1816 |ParentID: 552)
    Stoppé! C:Program FilesBroadcom CorporationBroadcom USH Host ComponentsCVbinHostStorageService.exe (ID: 1836 |ParentID: 552)
    Stoppé! C:Program Filesma-config.comMaConfigAgent.exe (ID: 2012 |ParentID: 552)
    Stoppé! C:Program FilesGoogleUpdate1.3.21.165GoogleCrashHandler.exe (ID: 1528 |ParentID: 500)
    Stoppé! C:Program FilesNVIDIA CorporationNvStreamSrvnvstreamsvc.exe (ID: 2208 |ParentID: 552)
    Stoppé! C:Windowssystem32rundll32.exe (ID: 2296 |ParentID: 2280)
    Stoppé! C:Program FilesNVIDIA CorporationNVIDIA Update Coredaemonu.exe (ID: 2388 |ParentID: 552)
    Stoppé! C:Program FilesNVIDIA CorporationNVIDIA Update CoreNvTmru.exe (ID: 2792 |ParentID: 1584)
    Stoppé! C:Program FilesAVAST SoftwareAvastAvastUI.exe (ID: 2960 |ParentID: 1584)
    Stoppé! C:WindowsSystem32WUDFHost.exe (ID: 3224 |ParentID: 1016)
    Stoppé! C:Windowssystem32SearchIndexer.exe (ID: 3384 |ParentID: 552)
    Stoppé! C:WindowsSystem32WUDFHost.exe (ID: 3576 |ParentID: 1016)
    Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 3604 |ParentID: 1584)
    Stoppé! C:Program FilesWindows Media Playerwmpnetwk.exe (ID: 3728 |ParentID: 552)
    Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 3916 |ParentID: 3604)
    Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 2860 |ParentID: 3604)
    Stoppé! C:Program FilesMalwarebytes’ Anti-Malwarembam.exe (ID: 3860 |ParentID: 1584)
    Stoppé! C:Program FilesGoogleChromeApplicationchrome.exe (ID: 2420 |ParentID: 3604)
    Stoppé! C:WindowsservicingTrustedInstaller.exe (ID: 3620 |ParentID: 552)
    Stoppé! C:Windowssystem32wuauclt.exe (ID: 2876 |ParentID: 1056)
    Stoppé! C:Windowssystem32taskhost.exe (ID: 3132 |ParentID: 552)

    ################## | Regedit Run |

    04 – HKLMSOFTWARE | Run : [Nvtmru] – « C:Program FilesNVIDIA CorporationNVIDIA Update Corenvtmru.exe »
    04 – HKLMSOFTWARE | Run : [Adobe Reader Speed Launcher] – « C:Program FilesAdobeReader 10.0ReaderReader_sl.exe »
    04 – HKLMSOFTWARE | Run : [Adobe ARM] – « C:Program FilesCommon FilesAdobeARM1.0AdobeARM.exe »
    04 – HKLMSOFTWARE | Run : [AvastUI.exe] – « C:Program FilesAVAST SoftwareAvastAvastUI.exe » /nogui
    04 – HKLMSOFTWARE | RunOnce : [] –
    04 – HKUS-1-5-19SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-20SOFTWARE | Run : [Sidebar] – %ProgramFiles%Windows SidebarSidebar.exe /autoRun
    04 – HKUS-1-5-19SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-20SOFTWARE | RunOnce : [mctadmin] – C:WindowsSystem32mctadmin.exe
    04 – HKUS-1-5-18SOFTWARE | RunOnce : [SPReview] – « C:WindowsSystem32SPReviewSPReview.exe » /sp:1 /errorfwlink: »http://go.microsoft.com/fwlink/?LinkID=122915″ /build:7601

    ################## | Recherche générique |

    Supprimé! E:Nouvelles Voies.lnk
    Supprimé! E:service civique.lnk
    Supprimé! F:sp52421.exe
    Supprimé! G:20131204131134715.lnk
    Supprimé! G:Nouvelles voies.lnk
    Supprimé! E:iTunesHelper.vbe
    Supprimé! F:iTunesHelper.vbe
    Supprimé! G:iTunesHelper.vbe

    (!) Fichiers temporaires supprimés.

    ################## | Référence de comparaison MD5 |

    Md5 : 209199C0E389517EE5033F5BF294AAAC -> E:iTunesHelper.vbe
    Md5 : 209199C0E389517EE5033F5BF294AAAC -> F:iTunesHelper.vbe
    Md5 : 209199C0E389517EE5033F5BF294AAAC -> G:iTunesHelper.vbe

    ################## | Comparaison MD5 |

    ################## | Registre |

    Réparé ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|EnableLUA -> 1
    Réparé ! HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem|ConsentPromptBehaviorAdmin -> 5
    Réparé ! HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced|Start_ShowMyGames -> 1

    ################## | Listing |

    [18/11/2013 – 18:10:22 | SHD ] C:$Recycle.Bin
    [10/06/2009 – 22:42:20 | N | 24] C:autoexec.bat
    [10/06/2009 – 22:42:20 | N | 10] C:config.sys
    [14/07/2009 – 05:53:55 | SHD ] C:Documents and Settings
    [06/12/2013 – 13:55:53 | ASH | 2809057280] C:hiberfil.sys
    [04/12/2013 – 11:20:48 | RHD ] C:MSOCache
    [20/11/2013 – 16:06:47 | D ] C:NVIDIA
    [06/12/2013 – 13:55:53 | ASH | 3745411072] C:pagefile.sys
    [14/07/2009 – 03:37:05 | D ] C:PerfLogs
    [06/12/2013 – 13:55:52 | D ] C:Program Files
    [04/12/2013 – 16:11:47 | HD ] C:ProgramData
    [18/11/2013 – 18:10:09 | SHD ] C:Recovery
    [04/12/2013 – 17:34:59 | SHD ] C:System Volume Information
    [06/12/2013 – 14:06:11 | D ] C:UsbFix
    [06/12/2013 – 14:06:17 | A | 6387] C:UsbFix [Clean 2] LATITUDE-PC.txt
    [20/11/2013 – 16:32:26 | RD ] C:Users
    [06/12/2013 – 13:54:48 | D ] C:Windows
    [12/11/2013 – 16:28:24 | D ] E:documents téléchargés
    [12/11/2013 – 16:30:32 | D ] E:Recherches travail clé usb
    [11/10/2012 – 09:01:06 | D ] E:Nouvelles Voies
    [22/11/2013 – 10:27:12 | N | 1565] E:telecharger une image sur internet.rtf
    [29/11/2013 – 10:28:32 | D ] E:Video
    [04/12/2013 – 10:42:30 | N | 31232] E:participants journée du 10 décembre.xls
    [05/12/2013 – 16:14:16 | N | 0] E:telecharger une image sur internet.lnk
    [27/11/2013 – 15:18:56 | D ] E:service civique
    [14/09/2010 – 11:06:42 | SHD ] E:autorun.inf
    [29/11/2013 – 16:30:58 | D ] F:Logiciels & drivers
    [04/12/2013 – 10:40:55 | D ] F:NV docs
    [29/11/2013 – 16:51:43 | D ] F:Perso
    [04/12/2013 – 14:03:20 | SHD ] F:System Volume Information
    [04/12/2013 – 12:54:40 | N | 20421] G:Rib Caroline Chamorel.pdf
    [11/07/2013 – 18:26:36 | D ] G:Nouvelles voies
    [15/11/2013 – 11:17:58 | SHD ] G:System Volume Information
    [03/12/2013 – 19:01:58 | D ] G:Alex

    ################## | Vaccin |

    F:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    G:Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    ################## | E.O.F | http://www.usbfix.net » onclick= »window.open(this.href);return false; – http://www.sosvirus.net » onclick= »window.open(this.href);return false; |

    See you :)

    buckhulk
    Participant
    Nombre d'articles : 2398

    ok impécable , maintenant passe Malwaresbytes puisque tu l’as c’est pas la peine de le retelecharger , il suffit de le mettre à jour !
    c’est un logiciel que tu peux garder et faire des analyses tous les mois , il te demandera de le mettre à jour , tu verras c’est simple !
    pour les autre logiciels il vaut mieux les retelecharger quand tu en a s besoin , car ils changent très souvent !
    c ‘est un canned :

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher « Activer l’essai gratuit de Malwarebytes Anti-Malware PRO »
    • Sélectionne Examen complet
    • Clic sur Rechercher
    • Supprime tout les éléments trouvés !
    • Poste le rapport sur le forum

    ;)

    Bhiale
    Participant
    Nombre d'articles : 6

    Petit souci avec Malwarebyte’s anti-maleware :

    Dès le début du scan, il plante, Windows m’affiche le message d’erreur  » Malwarebyte’s anti-malware à rencontré un problème et a cessé de fontionner, etc… ».

    Le souci, c’est que j’avais déjà lancé le scan du disque auparavant, il m’avait trouvé un petit Riskware de rien du tout.
    Mais quand j’ai voulu lancer des scans de clés USB infectées, il plantait systématiquement. (je croyais que c’était le virus qui faisait planter Malwarebyte)

    En tout cas, USBfix est très efficace, j’ai de nouveau accès a toutes les données des clés USB, mais j’attendrais votre feu vert pour les rendre aux gens.

    Donc comment je fais, vu que Malwarebyte plante systématiquement (j’ai testé en cochant/décochant les différents disques à scanner) ?

    Bien entendu, le logiciel est a jour (v2013.12.06.04)

    Merci

    buckhulk
    Participant
    Nombre d'articles : 2398

    attend pour les clés , il faut d’abord vacciner !!

    • Lance UsbFix ton Bureau !
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Choisi l’option Vacciner

      Note : Des petites fenêtres vont s’ouvrir, clique sur Ok

    pour Malwaresbytes tu peux le passer en mode sans echec stp .

    Bhiale
    Participant
    Nombre d'articles : 6

    Bonjour,

    Une fois les clés désinfectées et vaccinées, puis-je les rendre à leur propriétaires ?
    Pour malwarebyte en mode sans échec, je m’y mets de tout de suite, je reviens vers vous dans 15 min.

    <3<3

    Bhiale
    Participant
    Nombre d'articles : 6

    Aïe, Malwarebyte plante au début du scan, même en mode sans échec.

    Les clés USB sont bien vaccinées :)

    Si j’ai bien compris, une fois la clé USB vaccinée et débranchée dès l’application du vaccin, elle n’est plus porteuse du virus.
    Donc je peux simplement refaire la procédure donnée jusqu’ici pour les clés, puis formater TOUS les postes infectés, et normalement, y’a plus de virus ?

    Si c’est le cas, je vous laisse voler au secours d’autres internautes, si ce n’est pas si simple, je me tiens prêt à suivre vos instructions.

    Merci

    buckhulk
    Participant
    Nombre d'articles : 2398

    bonjour,

    Donc je peux simplement refaire la procédure donnée jusqu'ici pour les clés, puis formater TOUS les postes infectés, et normalement, y'a plus de virus ?

    Oui tu peux faire comme cela mais uniquement pour les clés , pour les PC il faut une nouvelles procédure à chaque fois , à moins que tu les « formates » !

    Aïe, Malwarebyte plante au début du scan, même en mode sans échec.

    :( ça c’est pas normal !

    tu vas essayer de passer Rkill juste avant Malwarebytes et si ça ne fonctionne toujours pas tu passeras Roguekiller :

    Rkill
    RKill est un petit logiciel de secours, celui-ci permet de terminer les processus malveillants en cours et restaurer des clés importantes de la base de registre pour exécuter vos programmes.

    Téléchargement de Rkill

    RKill ne va rien supprimer, il va uniquement tuer les processus qui empêchent d’utiliser des logiciels de sécurité comme votre antivirus ou vos logiciels anti-spywares.
    Dès qu’il a été exécuté un rapport va s’afficher.
    Si RKill ne peut être utilisé, essayes RogueKiller. >> téléchargement
    Attention certains des liens ci-dessous peuvent être détectés par votre antivirus comme malveillant (c’est tout à fait normal), il faut donc désactiver celui-ci avant de les télécharger et de les utiliser.

    J’aimerais bien en plus que tu me fasses un ZHPDiag
    merci

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur Configurer
    • Clique sur l’icône représentant une loupe avec un + (« Lancer le diagnostic »)

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.

    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    :cool:

    Bhiale
    Participant
    Nombre d'articles : 6

    Bonjour,

    Merci pour votre aide, les clés USB ont été sauvées grâce a vous (bigup à Desap.), mais je ne pourrais pas finir la procédure, car le patron veut que je reformates tous les PC, « histoire de gagner du temps » ^^

    Vous pouvez fermer le topic, je vous suis très reconnaissant pour l’aide apportée :)

    buckhulk
    Participant
    Nombre d'articles : 2398

    pas de problème , mais tu diras à ton patron que l’infection et d’autre sont sur le PC et risque de réinfecter les clés et les autres PC , à la revoyure donc comme on dit ! je sais ce que c’est qu’un patron ….!
    bon courrage !
    :merci2:

11 sujets de 1 à 11 (sur un total de 11)

Vous devez être connecté pour répondre à ce sujet.