Programmes malveillants détectés

Le
Gilbert
Bonjour, j'ai été victime du virus Amvo.exe, et j'ai réussi à l'éliminer
avec "AmvoRemover", qui m'a nettoyé tous mes lecteurs internes et externes.
J'ai voulu un faire un scan avec Housecall de Trend Micro.

Ce qu est étrange, c'est que Housecall a détecté AmvoRemover comme programme
malveillant, et il l'a supprimé, mais le souci, c'est qu'il me détecte aussi
sur tous les lecteurs le programme malveillant : TSPY_ONLINEG.PGA
et il me dit : infections liées à ce programme
-C:/t.com
-D:/t.com
-F:/t.com
-G:/t.com
-H:/t.com
-I:/t.com
donc tout mes lecteurs internes et USB externes.

Il ne peuxtpas les supprimer

Sur le lecteur F par exemple qui est une clé USB, je ne vois rien d'autres
que mes propres fichiers, aucun fichier caché, et aucun fichier se nommant
"t.com"

Si je formatte cette clé, l'infection disparait

Je me pose donc cette question : ce spyware provient-il de l'infection parle
virus amvo.exe, ou bien est le AmvoRemover qui l'a gentiment installé après
la désinfection.

Autre question, comment se débarasser de ce spyware, sans tous formatter

Merci d'avance

Gilbert
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
j
Le #4163681
Bonjour à tous !

"Gilbert" a écrit dans le message
news:

Bonjour, j'ai été victime du virus Amvo.exe, et j'ai réussi à l'éliminer
avec "AmvoRemover", qui m'a nettoyé tous mes lecteurs internes et
externes.
J'ai voulu un faire un scan avec Housecall de Trend Micro.

Ce qu est étrange, c'est que Housecall a détecté AmvoRemover comme
programme malveillant, et il l'a supprimé, mais le souci, c'est qu'il me
détecte aussi sur tous les lecteurs le programme malveillant :
TSPY_ONLINEG.PGA
et il me dit : infections liées à ce programme
-C:/t.com
-D:/t.com
-F:/t.com
-G:/t.com
-H:/t.com
-I:/t.com
donc tout mes lecteurs internes et USB externes.

Il ne peuxtpas les supprimer

Sur le lecteur F par exemple qui est une clé USB, je ne vois rien d'autres
que mes propres fichiers, aucun fichier caché, et aucun fichier se nommant
"t.com"

Si je formatte cette clé, l'infection disparait

Je me pose donc cette question : ce spyware provient-il de l'infection
parle virus amvo.exe, ou bien est le AmvoRemover qui l'a gentiment
installé après la désinfection.

Autre question, comment se débarasser de ce spyware, sans tous formatter

Merci d'avance


? formater / = mot tabou ici / pour cela ???

Cette question relève plutôt du NG sécurité
news://news.microsoft.com/microsoft.public.fr.securite

En attendant vois ceci --»

http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FONLINEG%2EPGA

sans oublier l'onglet Solution --»
« ...identified as "uncleanable", should simply be deleted.» (sic)
o)

--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://assiste.com.free.fr/la_manip.html

Azo4
Le #4173351
TSPY_ONLINEG.PGA
ce programme est lié à ton inspection en ligne avec amvoremover...
ce n'est donc pas une "infection" mais soit un log soit une protection
--
Serge CENCI
MVP MS Windows
https://mvp.support.microsoft.com/profile/Serge.Cenci

"Gilbert" news:
Bonjour, j'ai été victime du virus Amvo.exe, et j'ai réussi à l'éliminer
avec "AmvoRemover", qui m'a nettoyé tous mes lecteurs internes et
externes.
J'ai voulu un faire un scan avec Housecall de Trend Micro.

Ce qu est étrange, c'est que Housecall a détecté AmvoRemover comme
programme malveillant, et il l'a supprimé, mais le souci, c'est qu'il me
détecte aussi sur tous les lecteurs le programme malveillant :
TSPY_ONLINEG.PGA
et il me dit : infections liées à ce programme
-C:/t.com
-D:/t.com
-F:/t.com
-G:/t.com
-H:/t.com
-I:/t.com
donc tout mes lecteurs internes et USB externes.

Il ne peuxtpas les supprimer

Sur le lecteur F par exemple qui est une clé USB, je ne vois rien d'autres
que mes propres fichiers, aucun fichier caché, et aucun fichier se nommant
"t.com"

Si je formatte cette clé, l'infection disparait

Je me pose donc cette question : ce spyware provient-il de l'infection
parle virus amvo.exe, ou bien est le AmvoRemover qui l'a gentiment
installé après la désinfection.

Autre question, comment se débarasser de ce spyware, sans tous formatter

Merci d'avance

Gilbert




Gilbert
Le #4185451
En fait, je pense avoir éradiquer le problème,

C'était bien virus Amvo qui était encore présent sur un lecteut USB, et qui
avait de nouveau infecté tous mes lecteurs.
C'est lui qui installe un fichier autotun .inf sur chaque lecteur ainsi que
le programme malveillant t.com.

Pour voir c'est fichier, il faut activer la visualisation des fichiers
systèmes, ainsi on peut voir les fichiers ".com"

Sauf que Amvo désactive la possiblité de voir les fichiers cachés.

Donc petit coup de AmvoRemover, pui inspection manuelle de tout les
lecteurs, et c'est bon.

Le grand problème avec ce virus, c'est que s'il est resté sur une clé USB,
dès l'insertion de cette clé, le virus se retrouve automatiquement sur tous
les autres lecteurs car il est lancé par l'execution
automatique de windows.
Ca me fait peur ce genre, d'infection !!!


"Azo4" %
TSPY_ONLINEG.PGA
ce programme est lié à ton inspection en ligne avec amvoremover...
ce n'est donc pas une "infection" mais soit un log soit une protection
--
Serge CENCI
MVP MS Windows
https://mvp.support.microsoft.com/profile/Serge.Cenci

"Gilbert" news:
Bonjour, j'ai été victime du virus Amvo.exe, et j'ai réussi à l'éliminer
avec "AmvoRemover", qui m'a nettoyé tous mes lecteurs internes et
externes.
J'ai voulu un faire un scan avec Housecall de Trend Micro.

Ce qu est étrange, c'est que Housecall a détecté AmvoRemover comme
programme malveillant, et il l'a supprimé, mais le souci, c'est qu'il me
détecte aussi sur tous les lecteurs le programme malveillant :
TSPY_ONLINEG.PGA
et il me dit : infections liées à ce programme
-C:/t.com
-D:/t.com
-F:/t.com
-G:/t.com
-H:/t.com
-I:/t.com
donc tout mes lecteurs internes et USB externes.

Il ne peuxtpas les supprimer

Sur le lecteur F par exemple qui est une clé USB, je ne vois rien
d'autres que mes propres fichiers, aucun fichier caché, et aucun fichier
se nommant "t.com"

Si je formatte cette clé, l'infection disparait

Je me pose donc cette question : ce spyware provient-il de l'infection
parle virus amvo.exe, ou bien est le AmvoRemover qui l'a gentiment
installé après la désinfection.

Autre question, comment se débarasser de ce spyware, sans tous formatter

Merci d'avance

Gilbert







j
Le #4197121
re'

"Gilbert" a écrit dans le message
news:

En fait, je pense avoir éradiquer le problème,

C'était bien virus Amvo qui était encore présent sur un lecteut USB, et
qui avait de nouveau infecté tous mes lecteurs.
C'est lui qui installe un fichier autotun .inf sur chaque lecteur ainsi
que le programme malveillant t.com.

Pour voir c'est fichier, il faut activer la visualisation des fichiers
systèmes, ainsi on peut voir les fichiers ".com"

Sauf que Amvo désactive la possiblité de voir les fichiers cachés.

Donc petit coup de AmvoRemover, pui inspection manuelle de tout les
lecteurs, et c'est bon.

Le grand problème avec ce virus, c'est que s'il est resté sur une clé USB,
dès l'insertion de cette clé, le virus se retrouve automatiquement sur
tous les autres lecteurs car il est lancé par l'execution
automatique de windows.
Ca me fait peur ce genre, d'infection !!!


Alors un p'tit coup d'oeil par là --»

http://forum.malekal.com/viewtopic.php?fE&tU44

--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://assiste.com.free.fr/la_manip.html

JF
Le #4220261
*Bonjour Gilbert* !

En fait, je pense avoir éradiquer le problème,

C'était bien virus Amvo qui était encore présent sur un lecteut USB, et qui
avait de nouveau infecté tous mes lecteurs.
C'est lui qui installe un fichier autotun .inf sur chaque lecteur ainsi que
le programme malveillant t.com.

Pour voir c'est fichier, il faut activer la visualisation des fichiers
systèmes, ainsi on peut voir les fichiers ".com"

Sauf que Amvo désactive la possiblité de voir les fichiers cachés.

Donc petit coup de AmvoRemover, pui inspection manuelle de tout les lecteurs,
et c'est bon.

Le grand problème avec ce virus, c'est que s'il est resté sur une clé USB,
dès l'insertion de cette clé, le virus se retrouve automatiquement sur tous
les autres lecteurs car il est lancé par l'execution
automatique de windows.
Ca me fait peur ce genre, d'infection !!!


J'avais bien dit de désinfecter toutes les clés USB
http://groups.google.com/groups?threadm=o697sp0niha.2112%40tk2msftngp06.phx.gbl

La procédure indiquée par l'amie Jackie est intéressante ==>
http://forum.malekal.com/viewtopic.php?fE&tU44

Au lieu de désactiver totalement l'autorun avec NoDriveTypeAutoRunÿ,
on peut se contenter de désactiver l'autorun pour tous les disques sauf
les CDROM, en donnant à NoDriveTypeAutoRun la valeur DF :
0xDF = 11011111 = tous les bits à 1 sauf celui pour CDROM
Voici le reg à fusionner :



Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000DF



On peut bien sûr faire la modification manuellement.

Pour activer la restriction, redémarrer explorer ou la session :
Démarrer>Exécuter>tskill explorer

Le résultat est que les volumes externes ne démarrent plus
automatiquement, alors que l'autorun fonctionne toujours pour les CD.

Que pensez-vous de ce compromis ?

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46

j
Le #4263251
re'
*CCJF*

"JF" a écrit dans le message
news:

La procédure indiquée par l'amie Jackie est intéressante ==>
http://forum.malekal.com/viewtopic.php?fE&tU44

Au lieu de désactiver totalement l'autorun avec NoDriveTypeAutoRunÿ, on
peut se contenter de désactiver l'autorun pour tous les disques sauf les
CDROM, en donnant à NoDriveTypeAutoRun la valeur DF :
0xDF = 11011111 = tous les bits à 1 sauf celui pour CDROM
Voici le reg à fusionner :

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000DF
On peut bien sûr faire la modification manuellement.

Pour activer la restriction, redémarrer explorer ou la session :
Démarrer>Exécuter>tskill explorer

Le résultat est que les volumes externes ne démarrent plus
automatiquement, alors que l'autorun fonctionne toujours pour les CD.



Que pensez-vous de ce compromis ?


intéressant .. j'y réfléchis ..
à tester avec bestiole
= à suivre :o)

Bizz@+ ©
--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.01net.com/editorial/375598/bots-splogs-smishing-halte-aux-nouveaux-dangers-du-web/

Gilbert
Le #4263221
J'avais bien dit de désinfecter toutes les clés USB
http://groups.google.com/groups?threadm=o697sp0niha.2112%40tk2msftngp06.phx.gbl

La procédure indiquée par l'amie Jackie est intéressante ==>
http://forum.malekal.com/viewtopic.php?fE&tU44

Au lieu de désactiver totalement l'autorun avec NoDriveTypeAutoRunÿ, on
peut se contenter de désactiver l'autorun pour tous les disques sauf les
CDROM, en donnant à NoDriveTypeAutoRun la valeur DF :
0xDF = 11011111 = tous les bits à 1 sauf celui pour CDROM
Voici le reg à fusionner :



Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000DF



On peut bien sûr faire la modification manuellement.

Pour activer la restriction, redémarrer explorer ou la session :
Démarrer>Exécuter>tskill explorer

Le résultat est que les volumes externes ne démarrent plus
automatiquement, alors que l'autorun fonctionne toujours pour les CD.

Que pensez-vous de ce compromis ?

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46


-------------------------------------------------------------------------------

C'est vrai que ta procédure, est très intéressante, je dirais même idéale.



Comme je ne suis pas un pro, avant de me lancer, je voudrais quelques
précisions pour faite la manip manuellement :



Dans la solution de Jacky, 2 clés sont modifiées : [HKEY_CURRENT_USER... et
[HKEY_LOCAL_MACHINE...

Toi tu proposes de modifier seulement la clé [HKEY_CURRENT_USER... pourquoi
?



Comme je suis un peu novice dans le registre, j'aimerais savoir la
différence de ces 2 clés ?



Dans ma clé j'ai la valeur 91(145)



Qu'est-ce que je dois changer ?



Je dois remplacer 91 par 11011111 ?



Merci d'avance pour ces précisions et ta compréhension



Gilbert

Gilbert
Le #4451051
""

re'
*CCJF*

"JF" a écrit dans le message
news:

La procédure indiquée par l'amie Jackie est intéressante ==>
http://forum.malekal.com/viewtopic.php?fE&tU44

Au lieu de désactiver totalement l'autorun avec NoDriveTypeAutoRunÿ, on
peut se contenter de désactiver l'autorun pour tous les disques sauf les
CDROM, en donnant à NoDriveTypeAutoRun la valeur DF :
0xDF = 11011111 = tous les bits à 1 sauf celui pour CDROM
Voici le reg à fusionner :

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000DF
On peut bien sûr faire la modification manuellement.

Pour activer la restriction, redémarrer explorer ou la session :
Démarrer>Exécuter>tskill explorer

Le résultat est que les volumes externes ne démarrent plus
automatiquement, alors que l'autorun fonctionne toujours pour les CD.



Que pensez-vous de ce compromis ?


intéressant .. j'y réfléchis ..
à tester avec bestiole
= à suivre :o)

Bizz@+ ©
--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.01net.com/editorial/375598/bots-splogs-smishing-halte-aux-nouveaux-dangers-du-web/



Bonjour,

J'avais personnellement penser à une autre solution qui ne fait pas appel à
une modif du registre, c'est la configuration de l"Excution automatique" des
différents lecteur :

Si on choisi pour le "Contenu mixte" "Ouvrir le dossier pour afficher les
fichiers", le fichier autorun.inf, ne devrait pas être exécuté. Qu'en
pensez-vous ?

Cilbert


JF
Le #4515911
*Bonjour Gilbert* !

""

re'
*CCJF*

"JF" a écrit dans le message
news:

La procédure indiquée par l'amie Jackie est intéressante ==>
http://forum.malekal.com/viewtopic.php?fE&tU44

Au lieu de désactiver totalement l'autorun avec NoDriveTypeAutoRunÿ, on
peut se contenter de désactiver l'autorun pour tous les disques sauf les
CDROM, en donnant à NoDriveTypeAutoRun la valeur DF :
0xDF = 11011111 = tous les bits à 1 sauf celui pour CDROM
Voici le reg à fusionner :

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000DF
On peut bien sûr faire la modification manuellement.

Pour activer la restriction, redémarrer explorer ou la session :
Démarrer>Exécuter>tskill explorer

Le résultat est que les volumes externes ne démarrent plus
automatiquement, alors que l'autorun fonctionne toujours pour les CD.

Que pensez-vous de ce compromis ?


intéressant .. j'y réfléchis ..
à tester avec bestiole
= à suivre :o)

Bizz@+ ©
-- « De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.01net.com/editorial/375598/bots-splogs-smishing-halte-aux-nouveaux-dangers-du-web/

Bonjour,

J'avais personnellement penser à une autre solution qui ne fait pas appel à
une modif du registre, c'est la configuration de l"Excution automatique" des
différents lecteur :

Si on choisi pour le "Contenu mixte" "Ouvrir le dossier pour afficher les
fichiers", le fichier autorun.inf, ne devrait pas être exécuté. Qu'en
pensez-vous ?


Je vois que tu as fouillé les options. Fais le test avec un CD
contenant un autorun.inf : c'est ce dernier qui a le dessus. Par
ailleurs si un lecteur prend une autre lettre, cette façon de faire est
inefficace.

Mais ta suggestion me rappelle la possibilité de désactiver l'autorun
par lettre de lecteur. Le plus pratique est d'utiliser TweakUI
www.gratilog.net/xoops/modules/mydownloads/viewcat.php?op=&cid"2
www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid"2&lid73
Dans TweakUI :
Poste de Travail>Exécution automatique>Lecteurs
Décocher tous les lecteurs, sauf le CD.

Si la possibilité de voir rapidement le contenu d'un lecteur te manque,
faire un raccourci, voire un raccourci-clavier
http://fspsa.free.fr/raccourcis-clavier.htm

Normalement un lecteur amovible comme un disque externe USB ou une clé
USB ne devrait pas exécuter automatiquement autorun.inf, sauf pour
afficher une icône personnalisée, c'est une protection de WindowsXP
Q: What must I do to trigger Autorun on my USB storage device?
http://www.microsoft.com/whdc/archive/usbfaq.mspx

Pour qu'un tel volume exécute automatiquement un programme dès sa
connexion, il faut qu'un processus soit déjà en attente sur le PC hôte,
ou bien que le volume amovible se fasse passer pour un lecteur de CD.
C'est le cas des clés U3. En conséquence mon idée de limiter le blocage
de l'autorun aux seuls volumes amovibles n'est pas sûre. Il vaut mieux
mettre la variable NoDriveTypeAutoRun à FF comme suggéré afin de
bloquer également les CD.

Autre chose dont il faut se méfier :
D'habitude les stratégies situées dans HKCU (utilisateur en cours) sont
prioritaires sur HKLM (ordinateur). Exceptionnellement HKLM a priorité
sur HKCU pour NoDriveAutoRun et NoDriveTypeAutoRun
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93506.mspx
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx

<citation>
if either of these entries appear in HKEY_LOCAL_MACHINE, the
corresponding entries in HKEY_CURRENT_USER are ignored
</citation>

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46



Gilbert
Le #4606061
"JF" a écrit dans le message de news:
%23L%23$A%
Mais ta suggestion me rappelle la possibilité de désactiver l'autorun par
lettre de lecteur. Le plus pratique est d'utiliser TweakUI
www.gratilog.net/xoops/modules/mydownloads/viewcat.php?op=&cid"2
www.gratilog.net/xoops/modules/mydownloads/singlefile.php?cid"2&lid73
Dans TweakUI :
Poste de Travail>Exécution automatique>Lecteurs
Décocher tous les lecteurs, sauf le CD.

Si la possibilité de voir rapidement le contenu d'un lecteur te manque,
faire un raccourci, voire un raccourci-clavier
http://fspsa.free.fr/raccourcis-clavier.htm

Normalement un lecteur amovible comme un disque externe USB ou une clé USB
ne devrait pas exécuter automatiquement autorun.inf, sauf pour afficher
une icône personnalisée, c'est une protection de WindowsXP
Q: What must I do to trigger Autorun on my USB storage device?
http://www.microsoft.com/whdc/archive/usbfaq.mspx

Pour qu'un tel volume exécute automatiquement un programme dès sa
connexion, il faut qu'un processus soit déjà en attente sur le PC hôte, ou
bien que le volume amovible se fasse passer pour un lecteur de CD. C'est
le cas des clés U3. En conséquence mon idée de limiter le blocage de
l'autorun aux seuls volumes amovibles n'est pas sûre. Il vaut mieux mettre
la variable NoDriveTypeAutoRun à FF comme suggéré afin de bloquer
également les CD.

Autre chose dont il faut se méfier :
D'habitude les stratégies situées dans HKCU (utilisateur en cours) sont
prioritaires sur HKLM (ordinateur). Exceptionnellement HKLM a priorité sur
HKCU pour NoDriveAutoRun et NoDriveTypeAutoRun
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93506.mspx
www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx

<citation>
if either of these entries appear in HKEY_LOCAL_MACHINE, the corresponding
entries in HKEY_CURRENT_USER are ignored
</citation>

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Démo anti-parasites : http://forum.malekal.com/viewtopic.php?t€46

----------------------------------------------------------------------

Bonjour
Je me demande si on ne fait pas une confusion entre autorun, et exécution
automatique ???
TweakUI aurait la possibillté de supprimer l'excution automatique sur tous
les lecteurs, mais l'execution autmatique , ce n'est pas l'autorun ? On peut
toujours double-cliquer sur la lettre d'un lecteur avec le risque de lancer
un fichier .inf malveillant.

J'avoue, que je commence à m'enbrouiller un peu entre exécution automatique
à l'insertion d'une clé USB, et l'autorun

Merci, si vous pourriez m'expliquer simplment les différences

Gilbert

Publicité
Poster une réponse
Anonyme