J'ai chopé un virus !

Le
Jean34
salut !

le truc de con par excellence : j'ai reçu un mail d'un ami, habitué à
m'envoyer des blagues et autres pps. Le fichier en .exe ne m'inspirait pas
trop Je l'ai scanné avec avast à jour, qui n'a rien detecté Je l'ai
donc ouvert;. et rien ne s'est passé
Et depuis quelques comportements bizarres du pc (lenteur, problème
d'ouverture fichiers, message d'erreur au boot).

J'ai fait un log au boot, que me l'a identifié (voir ci dessous)

quelle est la meilleure manière de m'en débarrasser ? (bien sûr je ne
trouve pas l'emplacement du fichier, certainement caché)

je suis sous windows Seven X64

merci d'avance

Jean

voici le log :

15. Date: 06/07/2010 14:49:20
Application: 7WF6Aiorf7w - C:UsersjrgAppDataLocalTemp7WF6Aiorf7w.exe
Program Activity: Exit
16. Date: 06/07/2010 14:49:20
Application: 7WF6Aiorf7w - C:UsersjrgAppDataRoaming7WF6Aiorf7w.exe
Program Activity: Exit
17. Date: 06/07/2010 14:49:19
Application: 7WF6Aiorf7w - C:UsersjrgAppDataRoaming7WF6Aiorf7w.exe
Program Activity: Exit
18. Date: 06/07/2010 14:49:19
Application: 7WF6Aiorf7w - C:UsersjrgAppDataLocalTemp7WF6Aiorf7w.exe
Program Activity: Exit
19. Date: 06/07/2010 14:49:17
Application: 7WF6Aiorf7w - C:UsersjrgAppDataLocalTemp7WF6Aiorf7w.exe
Program Activity: Run
20. Date: 06/07/2010 14:49:17
Application: 7WF6Aiorf7w - C:UsersjrgAppDataRoaming7WF6Aiorf7w.exe
Program Activity: Run
21. Date: 06/07/2010 14:49:17
Application: 7WF6Aiorf7w - C:UsersjrgAppDataLocalTemp7WF6Aiorf7w.exe
Program Activity: Run
22. Date: 06/07/2010 14:49:17
Application: 7WF6Aiorf7w - C:UsersjrgAppDataRoaming7WF6Aiorf7w.exe
Program Activity: Run with parameters:
C:UsersjrgAppDataRoaming7WF6Aiorf7w.exe
23. Date: 06/07/2010 14:49:17
Application: 7WF6Aiorf7w - C:UsersjrgAppDataLocalTemp7WF6Aiorf7w.exe
Program Activity: Run
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Az Sam
Le #22334361
"Jean34" news:4c332a8c$0$21979$
salut !

le truc de con par excellence : j'ai reçu un mail d'un ami, habitué à
m'envoyer des blagues et autres pps. Le fichier en .exe ne m'inspirait pas
trop... Je l'ai scanné avec avast à jour, qui n'a rien detecté... Je l'ai
donc ouvert;.... et rien ne s'est passé...



Dans ces cas là on ne se repose pas sur le seul AV present sur la machine,
surtout si il ets cense avoir scanné la piece jointe au mail mais n'a irne
dit.
De toute facon, en l'enregistrant, il devrait dire.
Donc, on ne lance pas avant d'avoir passe plusieurs AV pour decider.
Et le plus simple ca reste VirusTotal.

J'ai fait un log au boot, que me l'a identifié (voir ci dessous)

quelle est la meilleure manière de m'en débarrasser ? (bien sûr je ne
trouve pas l'emplacement du fichier, certainement caché...)

23. Date: 06/07/2010 14:49:17
Application: 7WF6Aiorf7w - C:UsersjrgAppDataLocalTemp7WF6Aiorf7w.exe
Program Activity: Run



plusieurs emplacements.. de toute façon avec son nom de fichier généré il
n'y pas trop de moyen de savoir avec cette seule info de qui/quoi il s'agit.

Donc passer un AV depuis un autre système ou un cd de boot existant et a
jour.
Récupérer le fichier pour l'envoyer a virus total peut également de a
choisir quel AV le connait (a défaut de savoir s'il sait le supprimer)
Trouver le fichier a partir d'un autre système, si possible qui n'écoute pas
ce que lui dit NTFS qui se fait complice de son masquage

--
Cordialement,
Az Sam.
François Yves Le Gal
Le #22334551
On Tue, 6 Jul 2010 15:07:23 +0200, "Jean34"
quelle est la meilleure manière de m'en débarrasser ?



http://www.threatexpert.com/report.aspx?md5R07a1ea02aa6b9cefde1f1a3cded31a
Az Sam
Le #22334591
"François Yves Le Gal" news:
On Tue, 6 Jul 2010 15:07:23 +0200, "Jean34"
quelle est la meilleure manière de m'en débarrasser ?



http://www.threatexpert.com/report.aspx?md5R07a1ea02aa6b9cefde1f1a3cded31a




CGV :
You agree to indemnify ThreatExpert and keep ThreatExpert indemnified
against any loss, cost, expense or damage (including full legal costs) which
ThreatExpert suffers or incurs as a direct or indirect result of:

(a) any breach of this Agreement by you; or
(b) any action, claim, proceeding or demand instituted or made against
ThreatExpert by a third party claiming that ThreatExpert's analysis and/or
use of the File infringes any rights of the third party.

ils rigolent ou quoi ?!

--
Cordialement,
Az Sam.
I N F O R A D I O
Le #22335181
Le Tue, 6 Jul 2010 15:07:23 +0200, "Jean34"

le truc de con par excellence : j'ai reçu un mail d'un ami, habitué à
m'envoyer des blagues et autres pps. Le fichier en .exe ne m'inspirait pas
trop... Je l'ai scanné avec avast à jour, qui n'a rien detecté... Je l'ai
donc ouvert;.... et rien ne s'est passé...
Et depuis quelques comportements bizarres du pc (lenteur, problème
d'ouverture fichiers, message d'erreur au boot).




Maintenant tu sais que Avast est une passoire...

Je te propose ma méthode :
http://inforadio.free.fr/articles.php?lng=fr&pgX

A suivre à la lettre au moins au niveau
des para 1.3 / 1.5 / 2.1 à 2.8

Cordialement,
Ludovic
DePassage
Le #22335171
Le 07/07/2010 00:00, I N F O R A D I O a écrit :
Le Tue, 6 Jul 2010 15:07:23 +0200, "Jean34"

le truc de con par excellence : j'ai reçu un mail d'un ami, habitué à
m'envoyer des blagues et autres pps. Le fichier en .exe ne m'inspirait pas
trop... Je l'ai scanné avec avast à jour, qui n'a rien detecté... Je l'ai
donc ouvert;.... et rien ne s'est passé...
Et depuis quelques comportements bizarres du pc (lenteur, problème
d'ouverture fichiers, message d'erreur au boot).




Maintenant tu sais que Avast est une passoire...

Je te propose ma méthode :
http://inforadio.free.fr/articles.php?lng=fr&pgX

A suivre à la lettre au moins au niveau
des para 1.3 / 1.5 / 2.1 à 2.8






Sinon :

http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html
albator300
Le #22335801
Le 06/07/2010 15:07, Jean34 a écrit :
salut !

le truc de con par excellence : j'ai reçu un mail d'un ami, habitué à
m'envoyer des blagues et autres pps. Le fichier en .exe ne m'inspirait
pas trop... Je l'ai scanné avec avast à jour, qui n'a rien detecté... Je
l'ai donc ouvert;.... et rien ne s'est passé...
Et depuis quelques comportements bizarres du pc (lenteur, problème
d'ouverture fichiers, message d'erreur au boot).




Merci à tous pour vos réponses.

Suivant vos conseils (et notamment le lien de DePassage :
http://forum.malekal.com/suis-infecte-que-faire-t3697.html), j'ai réussi
à virer le fichier grâce au logiciel Killbox et sa fonction de recherche
efficace.

Depuis, plusieurs reboots, et je ne constate plus de freezes, et le
logiciel n'apparait plus dans le gestionnaire de tâches.

Maintenant je vais voir pour installer Avira

merci encore
DePassage
Le #22337551
Le 07/07/2010 11:38, albator300 a écrit :
Le 06/07/2010 15:07, Jean34 a écrit :
salut !

le truc de con par excellence : j'ai reçu un mail d'un ami, habitué à
m'envoyer des blagues et autres pps. Le fichier en .exe ne m'inspirait
pas trop... Je l'ai scanné avec avast à jour, qui n'a rien detecté... Je
l'ai donc ouvert;.... et rien ne s'est passé...
Et depuis quelques comportements bizarres du pc (lenteur, problème
d'ouverture fichiers, message d'erreur au boot).




Merci à tous pour vos réponses.

Suivant vos conseils (et notamment le lien de DePassage :
http://forum.malekal.com/suis-infecte-que-faire-t3697.html), j'ai réussi
à virer le fichier grâce au logiciel Killbox et sa fonction de recherche
efficace.




Sinon par sécurité explique ton cas dans le lien initial


http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html


Non seulement tu seras certain de ne plus avoir trace de quoi que ce
soit, mais on en profite pour déterminer les failles apparentes (en
général les logiciels qui ne sont pas à jour) les programmes qui
tournent en arrière plan et inutiles etc


Depuis, plusieurs reboots, et je ne constate plus de freezes, et le
logiciel n'apparait plus dans le gestionnaire de tâches.

Maintenant je vais voir pour installer Avira





Si c'est en version FREE, tu peux y ajouter MalwareBytes
Ils sont complémentaires

Néanmoins il faut considérer cela comme juste quelques briques soient
préventives, soient curatives

Sur le site tu trouveras de quoi sécuriser, sans alourdir ton PC et son
usage, pour limiter la casse.

A cela j'ajouterai que cela ne garantit en rien une sécurisation à 100%
ce qui est utopique

Ex tout bete, j'ai désinfecté un PC il y a quelques heures, pourtant
sécurisé, ayant tout ses logiciels à jour, etc

L'infection s'est produite de facon toute bete : Une visite sur un site
CONNU (Yahoo page d'accueil et ses nombreuses pubs) avec un Js.script
qui voulait ramener un payload (le dropper était déja en place)

C'était embetant car à chaque lancement de Firefox, Avira détectait
l'infection à venir,(le js) la mettait en quarantaine (le js) mais elle
revenait
(Il y avait un rep caché avec un .ini, des fichiers qui se lançaient à
chaque démarrage de firefox)

Comme quoi il faut se méfier de tout meme des sites "anodins" :-)
I N F O R A D I O
Le #22338161

A cela j'ajouterai que cela ne garantit en rien une sécurisation à 100%
ce qui est utopique

Ex tout bete, j'ai désinfecté un PC il y a quelques heures, pourtant
sécurisé, ayant tout ses logiciels à jour, etc

L'infection s'est produite de facon toute bete : Une visite sur un site
CONNU (Yahoo page d'accueil et ses nombreuses pubs) avec un Js.script
qui voulait ramener un payload (le dropper était déja en place)




Virus qui ne serait pas passé en utilisant NOSCRIPT
comme je l'indique sur :

http://inforadio.free.fr/articles.php?lng=fr&pgW

Sinon merci Albator pour ton retour d'expérience
au sujet de Killbox.

Cordialement,
Ludovic
Eric Demeester
Le #22339261
dans (in) fr.comp.securite.virus, DePassage ecrivait (wrote) :

Bonjour,

Le 07/07/2010 11:38, albator300 a écrit :
> Maintenant je vais voir pour installer Avira

Si c'est en version FREE, tu peux y ajouter MalwareBytes
Ils sont complémentaires



Je confirme. J'ai les deux en parallèle et ça fait longtemps que je n'ai
pas été victime d'une infection. Pour être honnête, en fait, depuis 1984
(date d'acquisition de mon premier ordinateur personnel -- Amstrad
pc1512 --), je n'ai jamais constaté la présence d'un virus, d'une
backdoor ou autre cochonnerie sur mes machines. On ne dira jamais assez
l'importance de l'interface chaise clavier en matière de sécurité
informatique :)

--
Eric
François Yves Le Gal
Le #22340141
On Tue, 6 Jul 2010 20:04:05 +0200, "Az Sam"
ils rigolent ou quoi ?!



Ben non, ce sont des tazuniens, au pays où les hommes sont des hommes et les
moutons sont effrayés et où tout le monde fait des procès à tout le monde.
Publicité
Poster une réponse
Anonyme