Analyse Virus
Dernière réponse : dans Sécurité
Bonjour,
pour info et aussi pour partage de connaissance.
J'ai chopé hier un virus pas banale, dont je ne trouve pas de trace sur le web. Voici les pathologies que j'ai identifié:
- désactivation du gestionnaires de taches
- suppression de l'ensemble des raccourcis (même d'outils système).
- vidange du menu démarrer
- l'ensemble des dossiers et fichiers passe en fichiers masqués et bien sur les propriétés d'affichage des fichiers passe à "ne pas afficher les fichiers ou dossiers masqués"
- surement d'autre éléments dans la base de registre que j'ai corrigé au fils de l'eau.
- dans le gestionnaire de Ajout/suppression des programmes, à la fin des logiciels en "A" un énorme blanc/espace pour arriver au autres programmes
Ce virus touche l'ensemble des compte utilisateur (même admin...)
Après réparation partiel quelques éléments remarquables :
- raccourci de retour vers bureau (lancement rapide) ramène bien sur le bureau, mais fait disparaitre toutes les icônes et rend indisponible le clique droit ou le menu démarrer ... Seule solution, pour l'instant, re clique sur la dite icône pour un retour à l'initial. Pourtant le Windows+M fonctionne lui correctement.
- arborescence du menu démarrer retrouvée mais plus aucune icône. Dans le menu Accessoires > outils systèmes, deux icônes IE, une avec modules complémentaires et une sans ???
Ces deux listes non sont pas exhaustives, bien entendu je n'ai pu tout voir ...
En espérant que le poste serve ou me serve.
Bonne lecture
pour info et aussi pour partage de connaissance.
J'ai chopé hier un virus pas banale, dont je ne trouve pas de trace sur le web. Voici les pathologies que j'ai identifié:
- désactivation du gestionnaires de taches
- suppression de l'ensemble des raccourcis (même d'outils système).
- vidange du menu démarrer
- l'ensemble des dossiers et fichiers passe en fichiers masqués et bien sur les propriétés d'affichage des fichiers passe à "ne pas afficher les fichiers ou dossiers masqués"
- surement d'autre éléments dans la base de registre que j'ai corrigé au fils de l'eau.
- dans le gestionnaire de Ajout/suppression des programmes, à la fin des logiciels en "A" un énorme blanc/espace pour arriver au autres programmes
Ce virus touche l'ensemble des compte utilisateur (même admin...)
Après réparation partiel quelques éléments remarquables :
- raccourci de retour vers bureau (lancement rapide) ramène bien sur le bureau, mais fait disparaitre toutes les icônes et rend indisponible le clique droit ou le menu démarrer ... Seule solution, pour l'instant, re clique sur la dite icône pour un retour à l'initial. Pourtant le Windows+M fonctionne lui correctement.
- arborescence du menu démarrer retrouvée mais plus aucune icône. Dans le menu Accessoires > outils systèmes, deux icônes IE, une avec modules complémentaires et une sans ???
Ces deux listes non sont pas exhaustives, bien entendu je n'ai pu tout voir ...
En espérant que le poste serve ou me serve.
Bonne lecture
Autres pages sur : analyse virus
Lassé par la pub ? Créez un compte
Bonjour,
Ça ressemble à ça ton truc :
http://www.malekal.com/2011/01/11/worm-vobfus-mes-dossi...
Tu souhaites de l'aide pour une désinfection ou non ?
Ça c'est tout à fait normal, il a toujours existé ces deux mode de lancement d'IE.
Ça ressemble à ça ton truc :
http://www.malekal.com/2011/01/11/worm-vobfus-mes-dossi...
Tu souhaites de l'aide pour une désinfection ou non ?
Citation :
- arborescence du menu démarrer retrouvée mais plus aucune icône. Dans le menu Accessoires > outils systèmes, deux icônes IE, une avec modules complémentaires et une sans ??? Ça c'est tout à fait normal, il a toujours existé ces deux mode de lancement d'IE.
Merci pour la réponse,
J'ai regarder le lien que tu as posté, ça ne ressemble pas a ça (même si ça peut y faire penser). De plus ce n'est pas liais à un média amovible.
Bien sur qu'une aide pour la désinfection est le bien venu, d'autant plus qu'il me reste quelques bugs, comme cité dans le descriptif viral.
Certains éléments me semble tout de même irréversiblement...
J'ai regarder le lien que tu as posté, ça ne ressemble pas a ça (même si ça peut y faire penser). De plus ce n'est pas liais à un média amovible.
Bien sur qu'une aide pour la désinfection est le bien venu, d'autant plus qu'il me reste quelques bugs, comme cité dans le descriptif viral.
Certains éléments me semble tout de même irréversiblement...
Re,
Pour voir alors :
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Pour voir alors :
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
eventlog.dll
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
eventlog.dll
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Voila scan effectué :
- http://www.cijoint.fr/cjlink.php?file=cj201105/cijaZEU2...
- http://www.cijoint.fr/cjlink.php?file=cj201105/cijgWSxD...
Pour info l'attaque virale est survenue le mardi 10/05/2011 vers 19h17 ( de mémoire ).
- http://www.cijoint.fr/cjlink.php?file=cj201105/cijaZEU2...
- http://www.cijoint.fr/cjlink.php?file=cj201105/cijgWSxD...
Pour info l'attaque virale est survenue le mardi 10/05/2011 vers 19h17 ( de mémoire ).
Re,
Rien de flagrant à première vue ...
On voit que plutôt dans cette journée du 10 mai, quelqu'un à modifié le fichier de création des icônes bureau :
On voit aussi dans ces eaux là, l'utilisation d'hijackthis, l'installation de filezilla ...
Je vois effectivement quelques restrictions, on va les enlever :
Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
Puis clique sur le bouton Correction en haut à gauche
Si le pc demande à redémarrer accepte.
Poste le rapport de suppression.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
Et puis je vois qu'on a touché au dossier du boot et le fichier du safeboot, donc on va vérifier un truc :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
Clique alors sur le bouton "Start Scan".
Laisse le scan s'effectuer.
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Clique enfin sur "Continue"
Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Rien de flagrant à première vue ...
On voit que plutôt dans cette journée du 10 mai, quelqu'un à modifié le fichier de création des icônes bureau :
Citation :
[2011/05/10 08:33:02 | 000,000,078 | ---- | M] () -- C:\WINDOWS\System32\Show Desktop.scfOn voit aussi dans ces eaux là, l'utilisation d'hijackthis, l'installation de filezilla ...
Je vois effectivement quelques restrictions, on va les enlever :
Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
:OTL
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-21-2577323457-662427160-4221730839-19669\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-21-2577323457-662427160-4221730839-19669\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
:Commands
[emptytemp]
[emptyflash]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-21-2577323457-662427160-4221730839-19669\Software\Policies\Microsoft\Internet Explorer\New Windows present
O7 - HKU\S-1-5-21-2577323457-662427160-4221730839-19669\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
:Commands
[emptytemp]
[emptyflash]
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
Et puis je vois qu'on a touché au dossier du boot et le fichier du safeboot, donc on va vérifier un truc :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Hello,
correction via ODL faites, par contre il a planté donc reboot et pas de rapport de corrections.
J'ai refait une analyse avec rapport que je peux poster si nécessaire
Bilan: l’icône de retour vers le bureau fonctionne.
Le scan de TDS n'a rien détecté.
Merci à toi, vraiment efficace.
Juste pour info, et aussi parce que j'aime bien comprendre ce que je fais, à quoi correspondes les restrictions du 1er rapport? et comment sont elles levées?
Encore merci
correction via ODL faites, par contre il a planté donc reboot et pas de rapport de corrections.
J'ai refait une analyse avec rapport que je peux poster si nécessaire
Bilan: l’icône de retour vers le bureau fonctionne.
Le scan de TDS n'a rien détecté.
Merci à toi, vraiment efficace.
Juste pour info, et aussi parce que j'aime bien comprendre ce que je fais, à quoi correspondes les restrictions du 1er rapport? et comment sont elles levées?
Encore merci
Re,
Normal pour OTl il devait redémarrer le pc normalement.
Le rapport doit se trouver ici :
C:\_OTL
C'est un fichier nommé xxxxxxx.log ou les "x" sont la dates et heure
Pour TDSSkiller il me faut quand même le rapport s'il te plait.
Les restrictions bloquaient le lancement du gestionnaire des taches, l'apparition des icônes sur le bureau et la création d'une nouvelle page sous IE.
![[:_tom_:7]]( "[:_tom_:7]")
Normal pour OTl il devait redémarrer le pc normalement.
Le rapport doit se trouver ici :
C:\_OTL
C'est un fichier nommé xxxxxxx.log ou les "x" sont la dates et heure
Pour TDSSkiller il me faut quand même le rapport s'il te plait.
Les restrictions bloquaient le lancement du gestionnaire des taches, l'apparition des icônes sur le bureau et la création d'une nouvelle page sous IE.
![[:_tom_:7]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/bd/ec/_tom_:7.gif "[:_tom_:7]")
Hello,
rebelote, même virus; même symptôme...
Bref, j'ai refait les divers manip que tu m'as indiqué. Détection par TDS de TDSS.tdl3.
Bilan j'ai plein de log a analyser ^^ mais l’icône de retour vers le bureau déconne toujours ... C'est à ni rien comprendre.
Etant sur le proxy du taff je ne peux mettre en ligne les logs. Je te propose donc de te le envoyer direct ?
Encore merci de ta patience
rebelote, même virus; même symptôme...
Bref, j'ai refait les divers manip que tu m'as indiqué. Détection par TDS de TDSS.tdl3.
Bilan j'ai plein de log a analyser ^^ mais l’icône de retour vers le bureau déconne toujours ... C'est à ni rien comprendre.
Etant sur le proxy du taff je ne peux mettre en ligne les logs. Je te propose donc de te le envoyer direct ?
Encore merci de ta patience
Re,
Alors on va être clair, je vais pas te désinfecter toute les semaines !
Soit tu revois ton comportement sur un pc, soit tu te débrouilles tout seul ...
Ce type d'infection s'attrape via des failles de système/logiciel non mis à jour, ou via des cracks, des faux codec, ou la visites de sites peu recommandable ...
Bref c'est à toi de faire en sorte d'éviter ces infections ...
Si tu n'acceptes pas de revoir ton comportement, je ne te prendrais pas en désinfection cette fois-ci.
En plus sur un pc professionnel ... que dirais ta boite ? Sais-tu que certaines de ces infections peuvent voler données personnels et autres ? Qu'elle peuvent transformer ton pc en zombie afin d'effectuer des tâches illégales (spam ou autre), et que tu en deviens toi, ou ton entreprise, responsable légalement ?
Alors on va être clair, je vais pas te désinfecter toute les semaines !
Soit tu revois ton comportement sur un pc, soit tu te débrouilles tout seul ...
Ce type d'infection s'attrape via des failles de système/logiciel non mis à jour, ou via des cracks, des faux codec, ou la visites de sites peu recommandable ...
Bref c'est à toi de faire en sorte d'éviter ces infections ...
Si tu n'acceptes pas de revoir ton comportement, je ne te prendrais pas en désinfection cette fois-ci.
En plus sur un pc professionnel ... que dirais ta boite ? Sais-tu que certaines de ces infections peuvent voler données personnels et autres ? Qu'elle peuvent transformer ton pc en zombie afin d'effectuer des tâches illégales (spam ou autre), et que tu en deviens toi, ou ton entreprise, responsable légalement ?
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumAnalyse virus en ligne kaspersky
- ForumIe 7.0 analyse virus en ligne
- ForumVirus et trojans analyse merci
- ForumAnalyse hijackthis. gros virus
- ForumVirus utilisation et analyse hijackthis
- ForumVirus awvts.dll analyse hijackthis
- ForumVirus analyse hijackthis - merci d'avance-
- ForumVirus empechant l analyse antivirus
- ForumAnalyse de mon hijackthis virus suspecte
- ForumVirus analyse de mon log -hijackthis-
- Voir plus
