Votre question

Analyse Virus

Tags :
  • Base de registre
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Mai 2011 09:23:08

Bonjour,

pour info et aussi pour partage de connaissance.
J'ai chopé hier un virus pas banale, dont je ne trouve pas de trace sur le web. Voici les pathologies que j'ai identifié:
- désactivation du gestionnaires de taches
- suppression de l'ensemble des raccourcis (même d'outils système).
- vidange du menu démarrer
- l'ensemble des dossiers et fichiers passe en fichiers masqués et bien sur les propriétés d'affichage des fichiers passe à "ne pas afficher les fichiers ou dossiers masqués"
- surement d'autre éléments dans la base de registre que j'ai corrigé au fils de l'eau.
- dans le gestionnaire de Ajout/suppression des programmes, à la fin des logiciels en "A" un énorme blanc/espace pour arriver au autres programmes

Ce virus touche l'ensemble des compte utilisateur (même admin...)

Après réparation partiel quelques éléments remarquables :
- raccourci de retour vers bureau (lancement rapide) ramène bien sur le bureau, mais fait disparaitre toutes les icônes et rend indisponible le clique droit ou le menu démarrer ... Seule solution, pour l'instant, re clique sur la dite icône pour un retour à l'initial. Pourtant le Windows+M fonctionne lui correctement.
- arborescence du menu démarrer retrouvée mais plus aucune icône. Dans le menu Accessoires > outils systèmes, deux icônes IE, une avec modules complémentaires et une sans ???

Ces deux listes non sont pas exhaustives, bien entendu je n'ai pu tout voir ...

En espérant que le poste serve ou me serve.

Bonne lecture

Autres pages sur : analyse virus

a c 628 8 Sécurité
12 Mai 2011 11:06:50

Bonjour,

Ça ressemble à ça ton truc :
http://www.malekal.com/2011/01/11/worm-vobfus-mes-dossi...

Tu souhaites de l'aide pour une désinfection ou non ?

Citation :
- arborescence du menu démarrer retrouvée mais plus aucune icône. Dans le menu Accessoires > outils systèmes, deux icônes IE, une avec modules complémentaires et une sans ???


Ça c'est tout à fait normal, il a toujours existé ces deux mode de lancement d'IE.
12 Mai 2011 13:56:25

Merci pour la réponse,
J'ai regarder le lien que tu as posté, ça ne ressemble pas a ça (même si ça peut y faire penser). De plus ce n'est pas liais à un média amovible.

Bien sur qu'une aide pour la désinfection est le bien venu, d'autant plus qu'il me reste quelques bugs, comme cité dans le descriptif viral.

Certains éléments me semble tout de même irréversiblement...
Contenus similaires
a c 628 8 Sécurité
12 Mai 2011 14:05:17

Re,

Pour voir alors :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    eventlog.dll
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 628 8 Sécurité
    13 Mai 2011 10:17:43

    Re,

    Rien de flagrant à première vue ...

    On voit que plutôt dans cette journée du 10 mai, quelqu'un à modifié le fichier de création des icônes bureau :
    Citation :
    [2011/05/10 08:33:02 | 000,000,078 | ---- | M] () -- C:\WINDOWS\System32\Show Desktop.scf


    On voit aussi dans ces eaux là, l'utilisation d'hijackthis, l'installation de filezilla ...

    Je vois effectivement quelques restrictions, on va les enlever :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\New Windows present
    O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\New Windows present
    O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\New Windows present
    O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\New Windows present
    O7 - HKU\S-1-5-21-2577323457-662427160-4221730839-19669\Software\Policies\Microsoft\Internet Explorer\New Windows present
    O7 - HKU\S-1-5-21-2577323457-662427160-4221730839-19669\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1


    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.


    Et puis je vois qu'on a touché au dossier du boot et le fichier du safeboot, donc on va vérifier un truc :

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    13 Mai 2011 11:13:43

    Hello,
    correction via ODL faites, par contre il a planté donc reboot et pas de rapport de corrections.
    J'ai refait une analyse avec rapport que je peux poster si nécessaire
    Bilan: l’icône de retour vers le bureau fonctionne.

    Le scan de TDS n'a rien détecté.

    Merci à toi, vraiment efficace.

    Juste pour info, et aussi parce que j'aime bien comprendre ce que je fais, à quoi correspondes les restrictions du 1er rapport? et comment sont elles levées?

    Encore merci
    a c 628 8 Sécurité
    13 Mai 2011 11:19:32

    Re,

    Normal pour OTl il devait redémarrer le pc normalement.
    Le rapport doit se trouver ici :

    C:\_OTL

    C'est un fichier nommé xxxxxxx.log ou les "x" sont la dates et heure


    Pour TDSSkiller il me faut quand même le rapport s'il te plait.


    Les restrictions bloquaient le lancement du gestionnaire des taches, l'apparition des icônes sur le bureau et la création d'une nouvelle page sous IE.

    [:_tom_:7]
    24 Mai 2011 09:03:14

    Hello,
    rebelote, même virus; même symptôme...
    Bref, j'ai refait les divers manip que tu m'as indiqué. Détection par TDS de TDSS.tdl3.
    Bilan j'ai plein de log a analyser ^^ mais l’icône de retour vers le bureau déconne toujours ... C'est à ni rien comprendre.

    Etant sur le proxy du taff je ne peux mettre en ligne les logs. Je te propose donc de te le envoyer direct ?

    Encore merci de ta patience
    a c 628 8 Sécurité
    24 Mai 2011 10:04:29

    Re,

    Alors on va être clair, je vais pas te désinfecter toute les semaines !

    Soit tu revois ton comportement sur un pc, soit tu te débrouilles tout seul ...

    Ce type d'infection s'attrape via des failles de système/logiciel non mis à jour, ou via des cracks, des faux codec, ou la visites de sites peu recommandable ...
    Bref c'est à toi de faire en sorte d'éviter ces infections ...


    Si tu n'acceptes pas de revoir ton comportement, je ne te prendrais pas en désinfection cette fois-ci.
    En plus sur un pc professionnel ... que dirais ta boite ? Sais-tu que certaines de ces infections peuvent voler données personnels et autres ? Qu'elle peuvent transformer ton pc en zombie afin d'effectuer des tâches illégales (spam ou autre), et que tu en deviens toi, ou ton entreprise, responsable légalement ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS