Se connecter avec
S'enregistrer | Connectez-vous
Votre question

[Résolu] infecté par Win32/Ainslot.AA ver

Dernière réponse : dans Sécurité et virus
Partagez
4 Mai 2012 11:48:55


"réglé"


Bonjour,

depuis hier nod32 me met ce message
C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe - Win32/Ainslot.AA ver - impossible de nettoyer
, j'ai scanné l'ordi, nettoyé avec Malewarebyte anti malware, j'ai re scanné avec nod32 qui a retrouvé le meme virus, comment puis je faire pour le supprimer.

Autre soucis peut-etre lié, MBAM, bloque des ip de sites potentiellement malveillants entrant toutes les 10mn en gros.

Merci
a c 307 8 Sécurité
4 Mai 2012 19:02:21

Bonsoir,

Il nous faudrait les rapports de détection de Malwarebyte's. (dans Malwarebyte's, onglet "rapports/log"

Attention, ce ver est un voleur de donnée, ne tape aucun mot de passe pour le moment !!!

Si tu t'es connecté depuis l'alerte, va sur un autre pc et modifie tous les mot de passes des sites utilisé.

Ensuite :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 307 8 Sécurité
    5 Mai 2012 10:31:45

    Re,

    Ce pc à une licence valide ?
    Citation :
    D:\Appzz\AntiWPA\amd64\AntiWPA.Dll (PUP.Wpakill) -> Aucune action effectuée.


    Les opérations de désinfections sur des PC cracké ou non valide peut provoquer de graves dysfonctionnements, il faut qu'on le sache avant de débuter.

    :jap: 
    5 Mai 2012 10:46:41

    Windows xp non valide.

    Par contre D: c'est juste un DD de sauvegarde et Windows valide sur E:
    a c 307 8 Sécurité
    5 Mai 2012 10:59:15

    Re,

    Normalement nous ne désinfectons pas les OS non légitime.
    à lire :
    http://www.commentcamarche.net/faq/2981-j-utilise-une-v...

    Si tu comprends les risques, et parce que tu as un autre OS valide sur ce pc, on va regarder quand même.

    à faire :

    1) Télécharge UsbFix (de El Desaparecido) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    5 Mai 2012 14:02:48

    Merci,

    http://pjjoint.malekal.com/files.php?id=20120505_o7x7q1...
    http://pjjoint.malekal.com/files.php?id=20120505_10s5n1...
    http://pjjoint.malekal.com/files.php?id=20120505_x5t121...


    le premier ce sont mes 2 DD externe, le 3ème n'a pas été branché depuis que j'ai tout réinstallé sur le PC, sans entrer dans les détails c'est pour ça que je me retrouve avec un xp invalide (impossible de remettre la main sur ma license), le 2ème rapport ma clé usb, le 3ème mon mp3.
    5 Mai 2012 14:32:03

    Pour info ton lien USBFIX donne une erreur 404 ;) 
    a c 307 8 Sécurité
    5 Mai 2012 14:37:32

    Re,

    Alors pas besoin pour la suite de rebrancher ces périphériques amovibles, ils ne sont pas touché :
    - Disque amovible # 4 Go (384 Mo libre(s) - 10%) [SANSA CLIPP]
    - Disque amovible # 30 Go (7 Go libre(s) - 24%) [PATRIOT]
    Disque fixe # 1397 Go (266 Go libre(s) - 19%) [Elements] # NTFS
    Disque fixe # 466 Go (71 Go libre(s) - 15%) [ADATA SH93] # FAT32

    On va continuer comme ceci :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-1202660629-1965331169-1417001333-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    [2012/05/03 11:34:02 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\68xbfuf4.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
    O4 - HKU\S-1-5-21-1202660629-1965331169-1417001333-500..\RunOnce: [Microsoft® .NET Framework] C:\Documents and Settings\Administrateur\Application Data\applaunch.exe (Microsoft Corporation)
    [2012/05/03 11:34:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Conduit
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/05/05 11:33:52 | 000,020,370 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\ctfmon

    :Reg
    [-HKCU\Software\VB and VBA Program Settings\INSTALL]
    [-HKCU\Software\VB and VBA Program Settings\SrvID]

    :Files
    C:\Documents and Settings\Administrateur\Application Data\applaunch.exe
    C:\Documents and Settings\Administrateur\Application Data\Term.exe

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    5 Mai 2012 15:08:04

    Je me connecte avec mon portable, combien de temps ça doit prendre normalement, là ça fait grossomodo 20 mn que c'est lancé, tous les icones du bureau ont disparu et ça me note en bas : Killing processes, DO NOT INTERRUPT.
    a c 307 8 Sécurité
    5 Mai 2012 15:19:31

    Re,

    Ok, refait une analyse avec ESET/Nod32 maintenant s'il te plait.
    5 Mai 2012 15:21:06

    Je scan tous les DD ? parce que si c'est le cas il faut 6 à 8h
    a c 307 8 Sécurité
    5 Mai 2012 22:11:58

    Re,

    Non le C: seulement puisque le système actif est dessus et que les dernières détections aussi ;) 
    a c 307 8 Sécurité
    6 Mai 2012 09:53:15

    Re,

    Concernant Babylon, c'est parce que NOd32 n'est pas configuré pour traité les PUP (potential unwanted program), il faudrait le configurer pour qu'il le traite, mais plus simple, c'est de supprimer ce dossier tout simplement :
    E:\Program Files (x86)\BabylonToolbar

    Le reste c'est dans des dossier temporaire.

    Pour les alertes MBAM c'est un peu normal selon les réglages des parefeu et de ta box, s'il laisse filtré ou non, mais généralement ce ne sont que des scans de ports, pas dangereux si tout est bien configuré.

    Juste pour voir :
    http://www.zebulon.fr/outils/scanports/quick_scan.php

    Ensuite on nettoiera les outils utilisé et on conclura.
    6 Mai 2012 11:47:32

    J'ai supprimé E:\Program Files (x86)\BabylonToolbar

    Rapport zebulon

    http://pjjoint.malekal.com/files.php?id=20120506_z9y5z6...

    J'aurai une dernière question si ça n'est pas abusé, j'ai 2 "Windows messanger" qui apparaissent dans le pare-feu, la faute d'orthographe me fait tiquer et chaque fois que je les décoche en tant qu'exceptions il se remettent automatiquement, ça fait partie de windows live messenger ou pas ?
    6 Mai 2012 12:31:15

    J'ai un autre soucis qui vient d'apparaitre mais qui est peut-être sans rapport, chaque fois que je branche un DD externe ou une clé usb le PC plante je suis obligé de rebooter à la main de brancher le peripherique hors tension et de redémarrer le PC pour qu'il soit prit en compte sans planter tout.
    a c 307 8 Sécurité
    6 Mai 2012 14:17:58

    Re,

    On est bon niveau parefeu.

    Citation :
    j'ai 2 "Windows messanger" qui apparaissent dans le pare-feu, la faute d'orthographe me fait tiquer et chaque fois que je les décoche en tant qu'exceptions il se remettent automatiquement, ça fait partie de windows live messenger ou pas ?


    C'était lui et c'était lié à l'infection :
    Citation :
    "C:\Documents and Settings\Administrateur\Application Data\AppLaunch.exe" = C:\Documents and Settings\Administrateur\Application Data\AppLaunch.exe:*:Enabled:Windows Messanger -- (Microsoft Corporation)


    J'ai viré l'infection, donc maintenant la prochaine fois que tu le supprimeras, il ne reviendra plus ;) 
    (Je peux le virer si tu veux, dis-le moi, mais c'est qu'un reste inactif maintenant)

    Citation :
    J'ai un autre soucis qui vient d'apparaitre mais qui est peut-être sans rapport, chaque fois que je branche un DD externe ou une clé usb le PC plante je suis obligé de rebooter à la main de brancher le peripherique hors tension et de redémarrer le PC pour qu'il soit prit en compte sans planter tout.


    ça c'est matériel, c'est généralement lié à un port usb sous-alimenté ou mal géré niveau alimentation, ou un support amovible auto-alimenté qui fonctionne mal ...

    On termine avec les outils :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :
    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    6 Mai 2012 15:29:28

    Merci beaucoup pour toute l'aide et les conseils apportés Hyunkel ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter