Votre question
Résolu

Virus mondial relay

Tags :
  • vbs
  • Virus
  • Mondial
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Mars 2018 10:07:08

Bonjour,

moi aussi je me suis faite avoir par le fameux virus mondial relay ...

Je vous joint les analyse addition ainsi que l'analyse FRST

Si vous pourriez m'aider je vous en serai très reconnaissante !

Je suis sous windows 7 32 bits

Merci infiniment par avance

Cynthia

Autres pages sur : virus mondial relay

29 Mars 2018 10:38:09

UPDATE

Je pense avoir résolu le problème en passant par une session locale de l'ordinateur (je suis sous serveur...).

j'ai redémarrer et tout semble être rentré dans l'ordre.

Vous pouvez clore le sujet (ou même le supprimer)

Merci et encore désolé du dérangement
Cynthia
m
0
l
a b 8 Sécurité
29 Mars 2018 10:38:33

Bonjour , cyn.robin02

Je regarde les rapports , et je reviens .

Une question : le proxy qui est déclaré est volontaire ?
Je pense que oui , je préfere demander ...

Citation :
(je suis sous serveur...).

Ca veut dire quoi ?

En tout cas , il y a plein de trucs pas nets dans les rapports .

Il serait bon de les éradiquer ...

C'est comme vous voulez .
m
0
l
Contenus similaires
29 Mars 2018 10:43:55

longaripa a dit :
Bonjour , cyn.robin02

Je regarde les rapports , et je reviens .

Une question : le proxy qui est déclaré est volontaire ?
Je pense que oui , je préfere demander ...

Citation :
(je suis sous serveur...).

Ca veut dire quoi ?

En tout cas , il y a plein de trucs pas nets dans les rapports .

Il serait bon de les éradiquer ...

C'est comme vous voulez .


Le proxy est volontaire effectivement.

Qu'appelez vous "pas net" ?
Car j'ai des programmes spécifiques tel que IACA qui est la pour gérer la machine
Par cette phrase je sous entendais que le virus s'est installé sur ma session qui est sur le serveur et non pas sur la session locale. Je ne sais pas si je m'exprime très bien ...
Si vous voulez bien m'aider je ne dis pas non pour autant !

J'ai refais une analyse et voici les résultats Addition et FRST


Merci
m
0
l
a b 8 Sécurité
29 Mars 2018 10:55:36

Il y a des lignes comme ceci :


Citation :
2018-03-28 00:58 - 2018-03-28 00:57 - 000236544 _____ () C:\464d6bb586af1868ff59978181bf36a6.exe
2018-03-26 21:46 - 2018-03-26 21:46 - 000020736 _____ C:\Users\admin1\BxscEXhTAG.vbs
2018-03-26 18:28 - 2018-03-26 21:53 - 000000000 ___HD C:\Users\admin1\AppData\Roaming\6LbYyCe533WVP98t
HKLM\...\Run: [System.vbs] => C:\ProgramData\System.vbs [56222 2018-03-26] () <==== ATTENTION
Startup: C:\Windows\MenuProv\Programs\Startup\System.vbs [2018-03-26] () <==== ATTENTION


Entre autres .

Mais comme ce pc est utilisé sur un serveur , , donc dans une entreprise , cela peut etre des scripts tout à fait légitimes , mis en place par le systeme informatique .

Dans le doute , je ne vais pas y toucher , au risque de provoquer des problemes ..

Parlez en quand meme au service informatique ..
m
0
l
29 Mars 2018 10:58:35

longaripa a dit :
Il y a des lignes comme ceci :


Citation :
2018-03-28 00:58 - 2018-03-28 00:57 - 000236544 _____ () C:\464d6bb586af1868ff59978181bf36a6.exe
2018-03-26 21:46 - 2018-03-26 21:46 - 000020736 _____ C:\Users\admin1\BxscEXhTAG.vbs
2018-03-26 18:28 - 2018-03-26 21:53 - 000000000 ___HD C:\Users\admin1\AppData\Roaming\6LbYyCe533WVP98t
HKLM\...\Run: [System.vbs] => C:\ProgramData\System.vbs [56222 2018-03-26] () <==== ATTENTION
Startup: C:\Windows\MenuProv\Programs\Startup\System.vbs [2018-03-26] () <==== ATTENTION


Entre autres .

Mais comme ce pc est utilisé sur un serveur , , donc dans une entreprise , cela peut etre des scripts tout à fait légitimes , mis en place par le systeme informatique .

Dans le doute , je ne vais pas y toucher , au risque de provoquer des problemes ..

Parlez en quand meme au service informatique ..


Désolé j'ai modifier ma réponse avant de voir votre message
J'ai refais une analyse après suppression des scripts sur la session locale et voici les résultats Addition et FRST
m
0
l

Meilleure solution

a b 8 Sécurité
29 Mars 2018 11:20:45

Re

Voila ce que j'ai relevé .

Citation :
HKLM\...\Run: [System.vbs] => C:\ProgramData\System.vbs [56222 2018-03-26] () <==== ATTENTION
HKLM\...\Run: [BxscEXhTAG] => wscript.exe //B "C:\Users\admin1\BxscEXhTAG.vbs"
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [4DJ44QTZWL] => "C:\Users\admin1\AppData\Roaming\DHL.vbs"
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [System.vbs] => C:\ProgramData\System.vbs [56222 2018-03-26] () <==== ATTENTION
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [BxscEXhTAG] => wscript.exe //B "C:\Users\admin1\BxscEXhTAG.vbs"
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [464d6bb586af1868ff59978181bf36a6] => "C:\ProgramData\adobe.exe" .. <==== ATTENTION
Startup: C:\Windows\MenuProv\Programs\Startup\BxscEXhTAG.vbs [2018-03-26] ()
Startup: C:\Windows\MenuProv\Programs\Startup\System.vbs [2018-03-26] () <==== ATTENTION


Sur un PC appartenant à un particulier, je les aurais effacées.
Sur un PC en entreprise , je ne veux pas prendre cette responsabilité , qui est du ressort du service informatique .

Vous pouvez , si vous le désirez , désactiver ces lignes en utilisant Ccleaner.
Dans Ccleaner >> outils >> démarrage

Désactiver les lignes correspondantes (et pas effacer )
C'est une opération qui est réversible , vous pouvez les réactiver en cas de probleme .



partage
29 Mars 2018 16:16:41

longaripa a dit :
Re

Voila ce que j'ai relevé .

Citation :
HKLM\...\Run: [System.vbs] => C:\ProgramData\System.vbs [56222 2018-03-26] () <==== ATTENTION
HKLM\...\Run: [BxscEXhTAG] => wscript.exe //B "C:\Users\admin1\BxscEXhTAG.vbs"
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [4DJ44QTZWL] => "C:\Users\admin1\AppData\Roaming\DHL.vbs"
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [System.vbs] => C:\ProgramData\System.vbs [56222 2018-03-26] () <==== ATTENTION
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [BxscEXhTAG] => wscript.exe //B "C:\Users\admin1\BxscEXhTAG.vbs"
HKU\S-1-5-21-732791544-1098948529-2363879865-1124\...\Run: [464d6bb586af1868ff59978181bf36a6] => "C:\ProgramData\adobe.exe" .. <==== ATTENTION
Startup: C:\Windows\MenuProv\Programs\Startup\BxscEXhTAG.vbs [2018-03-26] ()
Startup: C:\Windows\MenuProv\Programs\Startup\System.vbs [2018-03-26] () <==== ATTENTION


Sur un PC appartenant à un particulier, je les aurais effacées.
Sur un PC en entreprise , je ne veux pas prendre cette responsabilité , qui est du ressort du service informatique .

Vous pouvez , si vous le désirez , désactiver ces lignes en utilisant Ccleaner.
Dans Ccleaner >> outils >> démarrage

Désactiver les lignes correspondantes (et pas effacer )
C'est une opération qui est réversible , vous pouvez les réactiver en cas de probleme .





Rebonjour,
J'ai effectué la manip et ça a l'air de fonctionner !

Merci infiniment,
Cynthia
m
0
l
a b 8 Sécurité
29 Mars 2018 17:50:02

Re

Bon .

Pour affiner , il faudrait supprimer les fichiers , si vraiment ca n'a pas d'incidence sur le fonctionnement du PC ..

Pour une meilleure lisibilité du forum, n'oubliez pas de marquer en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses).
m
0
l
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS