Virus reviennent toujours

[Peps28]

Bonjour,

Depuis hier, mon antivirus (Avira free) détecte 3 virus qu'il met en quarantaine mais ils reviennent régulièrement. Je ne sais pas par quel bout le prendre pour nettoyer ma machine.

J'indique ci-dessous les infos que je dispose :

OS : windows XP familly mis à jour.
Antivirus : Antivir Avira personnal free antivirus - Vers 10.2.0.155

Virus détectés :

TR/ATRAPS.gen2
TR/ATRAPS.gen
BDS/ZAccess.V (apparemment virus récent d'après antivir date de découverte 06/08/2012)


Voila pour le détail.

Pouvez-vous m'aider?
Merci d'avance.

Peps
-----

[Peps28]

Rebonjour,

J'ai suivi la procédure créée par Cyrus du 19-07-2012.

J'ai exécuté ATF-cleaner? je n'ai pas de rapport.
J'ai exécuté RSIT, ci-joint les deux rapports :




Merci d'avance pour votre aide

Peps

[kalimusic]

Bonjour et bienvenue sur Futura Sciences

Tu es infecté par la dernière variante de Sirefef.


Par précaution, sauvegarde tes documents les plus importants


Télécharge ComboFix de sUBs.

TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec le travail de l'outil. Aide : Désactiver le module résident de l'antivirus.

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

• Lance ComboFix
• Accepte la licence d'utilisation et laisse toi guider par le programme.
• Autorise la mise à jour si demandé
• Accepte d'installer la console de récupération (sous XP)
• Il est possible que l'outil est besoin de redémarrer l'ordinateur.
• A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
• Poste le en PJ

Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

Notes :

• Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
• Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
• Si après le redémarrage, ComboFix indique des erreurs au sujet d’éléments à supprimer, redémarrer à nouveau le système.

Aide : Comment utiliser ComboFix


A +

[Peps28]

Bonjour Kalimusic,

Merci pour ton aide.

Je t'explique ce que j'ai fait depuis ce post, cela peut peut-être t'aider pour l'analyse.

Le 14 et 15 aout
J'ai lancé Malwarebytes mis à jour, il a trouvé trois virus mais j'ai dû mis prendre à plusieurs reprises.
De plus comme j'utilise deux sessions une admin et une à droits limitées, j'ai dû le lancer indépendamment sur les deux sessions.

Le 16 aout j'ai relancé Malwarebytes et il n'a rien trouvé, le problème parait comme résolu mais aucune certitude.

Je fais dans la journée ce que tu me proposes.

Ci-joint les rapports du 14 et 15 Aout.

A bientôt

[A voir en vidéo sur Futura]

[Peps28]

Re,

Comme j'utilise deux sessions, sur laquelle dois-je lancer Combofix?

A+

[kalimusic]

Bonjour,


Malwarebytes a supprimé quelques éléments de zeroaccess/sirefef mais ne peut venir à bout de ce type d'infection.

ComboFix doit être lancé à partir de la session admin

A +

[Peps28]

Re,

J'ai lancé Combofix comme demandé, en suivant les instructions.

Pas de mise à jour demandée.
Échec de connexion lors de l'installation de la console de récupération malgré une connexion internet active.

Ci-joint le rapport.

A+

[kalimusic]

re,


Pour la console de récupération, il y a un soucis en ce moment sur les serveurs microsoft.
ComboFix n'a rien trouvé concernant l'infection principale, on va faire un diagnostic plus poussé que rsit.


Télécharge OTL (de OldTimer) sur ton Bureau.


Ferme toutes tes applications en cours

• Lance OTL.exe, l'interface principale s'ouvre.
• Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
• Coche la case Tous les utilisateurs
• Laisse tous les autres paramètres par défaut
• Dans la partie "Personnalisation", copie/colle la liste en citation :

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
C:\Documents and Settings\Laurent\Local Settings\Application Data\{4cfcd8b0-fada-945f-9b2e-23704683f5e0}\*.
%SystemRoot%\assembly\* .ini /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
CREATERESTOREPOINT

• Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
• 2 rapports vont s'ouvrir au format bloc-note :
• OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
• Poste ces 2 rapports en PJ

Aide : Tutorial OTL (par Malekal)

A +

[Peps28]

Re,

Ci-joint la suite.

Précision, j'ai oublié de fermer Firefox au moment de l’exécution d'OTL. Comme rien ne s'est planté, je suppose que c'est bon.

A+

[kalimusic]

ok,

Plus que des résidus.


1. Désinstalle McAfee Security Scan qui fait double emploi avec les logiciels de sécurité installé sur ta machine.


2. Relance OTL

• Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
• Clique sur le bouton Correction.
• Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
• Accepte en cliquant sur OK.
• Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier C:\_OTL\MovedFiles


3. Relance un scan rapide avec Malwarebytes


4. Poste les rapports OTL et MBAM en PJ


A +

[Peps28]

Bonjour Kalimusic,

Ci-joint les rapports OTL et MBAM.

Est-ce possible de savoir à quelle date ma machine a été infectée ?

A+

[kalimusic]

Bonjour,


Le seul élément daté de l'infection dont je dispose dans les rapports est celui-ci :
[2012/08/14 17:32:56 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Laurent\Local Settings\Application Data\{4cfcd8b0-fada-945f-9b2e-23704683f5e0}\U

Pour moi, tout est ok maintenant, si de ton côté aussi, nous pourrons procéder à la dernière étape :
Désinstallation des outils et vérification des mises à jour.


A+

[Peps28]

Re,

Cette date me semble cohérente.
D'après moi, cela à dû se produire le 13 car j'ai effectué des recherches avec IE version 8 (Version uniquement disponible sous XP) pour un travail précis. Et c'est quand j'ai relancé ma machine le lendemain que mon antivirus a réagit.
A moins que cette forme de contamination était en veille.

Pour ma part, nous pouvons continuer la suite.

A+

[kalimusic]

ok,


== == == == == == == == DÉSINSTALLATION DES OUTILS == == == == == == == ==


1. Ouvre la commande Exécuter en pressant les touches Windows + R

• Dans la boite de dialogue, copie/colle ComboFix /Uninstall
• Valide par Ok puis suivre les invites à l'écran.
• Un message confirme que ComboFix a été désinstallé.

2. Lance OTL

• Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

• Clique sur le bouton Correction

3. Relance OTL

• Clique sur le bouton Purge outils
• Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
• Supprime les outils et les rapports restants éventuellement sur ton Bureau.

== == == == == == == == == == MISES A JOUR == == == == == == == == == ==


Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour

ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.


== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation

[Peps28]

En faisant l'étape 1, Windows me répond qu'il ne trouve pas combofix.
Pourtant l'exe est bien sur le bureau.
Dois-je le supprimer manuellement ?

[kalimusic]

Oui, tu peux.

OTL supprimera le reste.

A+

[Peps28]

Nettoyage effectué.

Au sujet des mises à jour :

J'ai installé une mise à jour de sécurité récente pour IE V8. Je me demande si c'est lié au type d'infection que je viens de subir. Avez-vous un avis?

J'ai utilisé "SX Check&update" l'ensemble des mises à jour c'est bien passé.
Par contre, concernant Flash player, il n'a mis à jour que l'ActiveX et pas le plugin. Comment puis-je faire?

Comment puis-je savoir si il y a des version java à désinstaller ?

A+

[Peps28]

Le plugin de Fash player vient de se mettre à jour sans rien faire.

[kalimusic]

Bien,

Pour les mises à jour, c'est bon alors.

Pour désinstaller les anciennes version de java, tout simplement dans les programmes (Ajout/Suppression de Programmes sous XP)
Dans ton cas, il doit rester Java(TM) 6 Update 31


Pour répondre à ta question, les failles principalement visées sont celles de Java et Adobe FlashPlayer
un exemple : http://www.malekal.com/2011/12/14/ex...ussi-efficace/


A +

[Peps28]

Bonjour Kalimusic,

Au sujet des mises à jour tout semble OK.

La version de Java qui à été installé est la V7 mise à jour 6 (build 1.7.0_06-b24). D'après ce que j'ai lu quelque part, il semble qu'il s'agisse d'une version pour développeur.
Est-ce la bonne ?
Je me pose cette question car quand j'utilise SX Check&update, dans le rapport, il ne mentionne plus Java. Et en vérifiant par le panneau de contrôle la version indiquée est celle indiquée ci-dessus.

A+

[Peps28]

Re,

Une dernière petite question :

Lors de la mise à jour Windows XP, un logiciel: "Outil de suppression de logiciels malveillants Windows" est mis à jour.
Je n'arrive pas à trouver ce logiciel sur ma machine.
A quoi sert-il exactement?

A+

[kalimusic]

Bonjour,

http://www.zebulon.fr/astuces/202-l-...e-windows.html

A ma connaissance, il n'est pas très efficace.

Bonne soirée

[Peps28]

Bonjour Kalimusic,

J'ai lu les nombreux articles de malekal.com depuis le lien que vous m'avez donné, c'est très instructif.

Du coup je vais maintenir à jour Java, adobe reader, flash player, que je ne faisais pas jusqu'à présent.

J'ai installé adblock plus pour firefox.

Je souhaiterais installer Noscript et Keyscrambler personnal mais les liens proposés par malekal.com semblent obsolètes.
Avez-vous des liens où je peux télécharger ces vrais plugins ?

Grand Merci pour toute l'aide que vous m'avez apporté.

Cordialement

Peps

[kalimusic]

Bonjour,


Ad-Block est en effet indispensable.

NoScript est terriblement efficace mais assez difficile à apprivoiser.
https://addons.mozilla.org/fr/firefox/addon/noscript/
http://noscript.net/

Pour trouver un add-on, tu peux passer par le navigateur : Firefox > Modules complémentaires > Rechercher

KeyScrambler Personal : http://www.qfxsoftware.com/download.htm


A +

[Peps28]

Bonjour Kalimusic,

Je me permet de revenir vers vous car je rencontre un soucis de mise à jour de java.

Je ne sais pas si je dois ouvrir un autre sujet dans une autre rubrique.

Voila ! suite à ma mésaventure, j'ai mis à jour sur le PC de ma femme, les différents logiciels et plugins recommandés par les liens données.

Je n'arrive pas à mettre à jour java, aussi bien depuis SX check&update que par java lui-même via panneau de configuration.
J'ai un message d'erreur "Java update checker". Je pense avoir un conflit avec deux versions de Java installées.

En effet, lorsque que je lance SX check&update, j'ai deux versions qui 'saffichent :
Java 6 update 20 vers 6.0.200 et Java 6 update 7 vers 1.6.0.70.

Lorsque je lance "Ajout/suppression de programme" dans le panneau de configuration aucun programme java ne s'affiche. Il y a juste "Java auto apdater".

Comment puis-je désinstaller ces versions pour installer la dernière?

Merci d'avance

Cordialement

Pour info l'OS est windows XP mis à jour.

[Peps28]

Re,

OS : Windows XP familly

A+

[kalimusic]

Bonsoir,

Mettre à jour Java et éliminer les anciennes versions avec Javara

A +

[Peps28]

Bonsoir Kalimusic,

J'ai téléchargé et installé Javara sur une clé USB.
J'ai lancé Javara sur le PC en suivant les instructions. Je n'ai pu mettre à jour Java que par l'option internet car le programme de mise à jour intégré à java ne se lance pas.
J'ai téléchargé et installé la version 6 update 35 de Java.
Avec Javara, j'ai essayé de désinstaller les autres versions mais sans succès, il a généré un rapport.
Quand je lance SX, il y a maintenant 3 versions de Java

Les choses se compliquent, comment faire ?

Ci-joint les deux rapports.

Merci d'avance.

A+

[kalimusic]

Bonsoir,


Oui, cela risque d'être un peu plus compliqué que prévu

Java 6 Update 35 est la version à jour de la branche 6
Java 7 Update 6 est la version à jour de la branche 7

Et dans Ajout et Suppression de Programmes, tu as quoi ?

• Java(TM) 6 Update 7
• Java(TM) 6 Update 20
• Java(TM) 6 Update 35

A +

[Peps28]

Bonjour,

Je m'en doutais au sujet de la complication .

Dans ajout/suppression de programmes avant l'installation de la version 6 update 35, je n'avais aucune version qui ne s'affichait.
Il y avait juste "Java auto apdater". Depuis j'ai la V6 update 35 qui s'affiche et "Java auto apdater" à disparu.

Comme tu m'indiques "Java 7 Update 6 est la version à jour de la branche 7".
Dans le cas où il y aurait une confusion, c'est le contraire que j'ai, Java 6 update 7.

A+