Plusieurs questions + 1 problème

[Carlito]

Bonjour à tous,

Comme le titre l'indique j'ai plusieurs questions et un problème en matière de sécurité informatique, domaine que je ne maîtrise pas le moins du monde :S Enfin vraiment à peine.


Déjà j'aimerais savoir quelle solution gratuite et légère est la meilleure pour un couple pare-feu et antivirus pour un PC : pourriez-vous m'éclairer ?

Et je crois qu'un espèce de malware s'est introduit sur mon pc, et tous les périphériques que je connecte à ce PC. Il fait apparaître un message d'erreur de type "pas de disque dans le lecteur" et le programme qui semble en être à l'origine est scvrun.exe. Or j'ai supprimé ce scvrun.exe et plus rien, mais lorsque je rebranche mon lecteur MP3 j'ai de nouveau le programme qui se crée et le message d'erreur. Je pense donc que l'infection se propage sur ce que je connecte à mon PC : clés USB, cartes SD ou autres. Comment m'en débarrasser ? Avec vous ensuite un logiciel que je pourrais mettre sur ma clé USB pour désinfecter les PC sur lesquels je me suis branché avec du matériel infecté ?

D'avance merci.

 

[PAPY]

Passe un coup de malwarebyte cela ne coute rien et ne fera pas de mal.

 

[TI_louis84]

Salut
regarde par là : http://overclocking-pc.eu/forums/showthread.php?t=170
tu as toute une batterie de log et plein d'explication sur le forum;

ensuite si tu te crois réellement infecté je te conseil de faire un scan avec hijackthis http://www.hijackthis.de/fr et de poster le le résultat ici

après pour ta question quel son les meilleur log gratos de protection; pour moi il n'y en a pas , c'est la façon dont on se sert de son pc qui fait que l'on est en securité :hat-1194:

perso j'utilise avira comme antivirus et zone alarm comme pare-feu

http://www.clubic.com/telecharger-fiche10494-zonealarm.html
http://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free.html

:hat-1194:

 

[Carlito]

Merci à vous, je fais de ce pas un rapport Hijack This.


Le voici : Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:34, on 25/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
F:\Telechgt_Internet\eMule_v0.47c\emule.exe
C:\PROGRA~1\Microsoft ActiveSync\rapimgr.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Utile\Diskeeper 9\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\progra~1\fichie~1\instal~1\updateservice\isuspm.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\agent.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Utile\Diskeeper 9\DkIcon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04b\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "L:\_Programmes\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UpdateService\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MSN] C:\Windows\scvrun.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "V:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Telechgt_Internet\eMule_v0.47c\emule.exe -AutoStart
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\Bureautique\Office 2003\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Bureautique\Office 2003\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Utile\Diskeeper 9\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7393 bytes


Avec ton site j'ai fait analyser le rapport par le bot, il a détecté scvrun.exe comme mauvais. :S

 

[Carlito]

(PS: ne faites pas attention au rangement complètement bidon de ce pc, il est utilisé par pas mal de personnes dont des novices c'est pour ça )

 

[TI_louis84]

apparement c'est un virus MSN , fait une analyse malwarebyte comme PAPY te la dit

 

[Carlito]

Autre chose : quel logiciel je peux utiliser pour accélerer un pc, je veux dire le nettoyer de ses infections et des fichiers temporaires, ou autres ? J'ai entendu parler de Ccleaner mais j'ai peur de m'y lancer.

 

[TI_louis84]

Ccleaner est pas mal mais si tu ne t'en est jamais servi je te conseil de faire des sauvegarde quand tu fait une analyse et un nettoyage du registre.
sinon a tu fait l'analyse avec malwarebyte ?????

 

[Carlito]

Oui, il m'a trouvé 5 petits trucs dont scvrun.exe. Mais comment faire pour analyser un périphérique amovible ou une clé USB ? Et avec malwarebyte, j'ai fait une analyse rapide, c'est ce qu'il fallait faire ?

 

[NEO III]

Salut,

Tu est infecté par un ver de messagerie instantanée MSN et IRC. Cette infection à pu être contractée lors d'un clic sur un lien contaminé dans une conversation MSN ou IRC, ou à l'installation d'un logiciel vérolé (volontairement ou non). Attention donc aux liens que tu visites et aux logiciels que tu télécharge.

Pour désinfecter ton pc, suis la procédure suivante :

- Télécharge et installe Malwarebytes' Anti-Malware.

- Passe un coup de ce dernier puis poste le rapport ici.

- Dans C:\Windows\ supprime tous les fichiers que tu vois portant le nom suivant :

* NEW73_9163.JPG-WWW.MSNPICTURES.COM
* NEW73_9163.JPG-WWW.MSNPICTURES/NEW73_9163.JPG-WWW.MSNPICTURES.COM
* NEW.EXE
* ERASEME_42784.EXE
* NEW[n].EXE (le [n] représente un nombre qui diffère selon le fichier)
* SCVRUN.EXE
* SCVRUN.EX

- Dans C:\Documents And Settings\All Users\Application Data\ et C:\Documents And Settings\[TON NOM]\Application Data\ supprime les fichiers et dossiers contenant TEMP:A7E78C0

- Si ton antivirus/pare feu actuel le permet, bloque le serveur suivant : 78.2.155.79 sweepz12.ignorelist.com. Ne te rend surtout pas sur ce serveur !

- Supprime tous les fichiers et dossiers présents dans les dossiers suivants :

* C:\Windows\Temp
* C:\Documents And Settings\All Users\Temp
* C:\Documents And Settings\[TON NOM]\Temp
* C:\Documents And Settings\[TON NOM]\Application Data\Temp

- Redémarre ton pc.

- Fais à nouveau un scan HijackThis et poste le rapport ici.

Comment vas le pc après ces manipulations ?

 

[Carlito]

Je ne pense pas que ce soit un virus MSN : en fait c'est depuis que j'avais fait un dépannage chez qqn, j'avais téléchargé je ne sais plus quoi par MegaUpload directement sur ma clé USB et j'avais eu un message d'erreur bizarre sur le PC. Une fois la clé USB déconnectée plus de message d'erreur.

Comment bannir un serveur avec mon pare-feu ? C'est Outpost

J'ai trouvé aucun truc de ce que tu m'as dit de supprimer dans C:Windows.

 

[TI_louis84]

je te conseil de lire ce tuto http://securite-facile.ovh.org/outpost.php
et aussi de bien suivre se que ta dit NEO qui est bien plus compétent que moi en matière de sécurité :hat-1194:

 

[NEO III]

Je ne pense pas que ce soit un virus MSN : en fait c'est depuis que j'avais fait un dépannage chez qqn, j'avais téléchargé je ne sais plus quoi par MegaUpload directement sur ma clé USB et j'avais eu un message d'erreur bizarre sur le PC. Une fois la clé USB déconnectée plus de message d'erreur.

Comment bannir un serveur avec mon pare-feu ? C'est Outpost

J'ai trouvé aucun truc de ce que tu m'as dit de supprimer dans C:Windows.

Je ne pense pas que c'en soit un, je te l'affirme.

Merci de suivre a la lettre les indications que je t'ai données. J'ai demandé des rapports de divers logiciels.

Le lien qu'a donné TI_louis juste au dessus t'expliquera comment bloquer un serveur.

Merci de lire attentivement la charte de cette section et de ne pas tagger le sujet en [RESOLU] tant que je ne l'ai pas décrété.

 

[Carlito]

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

25/10/2009 16:59:10
mbam-log-2009-10-25 (16-59-10).txt

Type de recherche: Examen rapide
Eléments examinés: 112067
Temps écoulé: 4 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et moi je te dis que c'en était pas un. J'ai posté sur deux forums à la fois et on m'a dit d'utiliser le logiciel USBfix pour en finir avec l'infection. Ca a marché, point. Je n'ai plus de problèmes maintenant, c'est résolu.

 

[NEO III]

Je ne suis pas un spécialiste en sécurité, c'est vrai. Mais quand je dis que j'affirme quelque chose, c'est que j'en suis sûr à 100%. Je ne donnerai pas d'indications ou de protocoles dont je ne suis pas sûr.

USBfix à désinfecté les problèmes de clés USB, mais scvrun.exe à infecté ton pc, et je l'affirme encore une fois, c'est une infection MSN/IRC. Elle à pu passer par la clé usb, certes. C'est d'ailleurs ce qui à dut se passer, mais ce n'est pas USBfix qui va t'en débarrasser. UBSfix n'a fait que désinfecter tes clés USB, maintenant il faut s'attaquer à l'infection du pc.

Ce n'est pas parce qu'un pc n'a plus de symptômes visibles qu'il est désinfecté, loin de là. Aussi je te demanderai encore une fois, et ce dans ton intérêt et celui de ton pc, de terminer la procédure que je t'ai demandé de suivre, et de poster les rapports demandés.

 

[TI_louis84]

Et moi je te dis que c'en était pas un. J'ai posté sur deux forums à la fois et on m'a dit d'utiliser le logiciel USBfix pour en finir avec l'infection. Ca a marché, point. Je n'ai plus de problèmes maintenant, c'est résolu.

écoute se que te dit NEO si tu tien à ta machine, quand on regarde ton log hijakthis on vois bien que ta base de registre est infecté, après si les manip et conseil qui te sont donné t'emmer** laisse comme sa

 

[Carlito]

Donc il faut que je fasse un gros rapport avec malwarebyte's ? C'est très long ? Je le ferais cette nuit plutôt qu'en pensez-vous ?

 

[NEO III]

Fais un scan minutieux. Pas de soucis, tu peux le faire cette nuit. ensuite poste le rapport ici, puis effectue dans l'ordre les autres actions que j'ai indiquées dans le protocole.

 

[Carlito]

Ca prend combien de temps en moyenne ? : Conf = AMD Athlon 64 3200+, 1Gigot de ram.

 

[NEO III]

Cela dépend du nombre de fichiers contenus dans le disque dur, si il est fragmenté ou non, si il y à d'autres taches lancées en même temps, ... Cela peut aller de quelques minutes sur un pc très rapide avec très peu de fichiers et non fragmentés à quelques heures.

 

[Carlito]

Wala. 0 infections.

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

25/10/2009 19:47:25
mbam-log-2009-10-25 (19-47-25).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 155324
Temps écoulé: 12 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


@ demain

 

[NEO III]

Très bien. Maintenant continue la procédure :

- Dans C:\Windows\ supprime tous les fichiers que tu vois portant le nom suivant :

* NEW73_9163.JPG-WWW.MSNPICTURES.COM
* NEW73_9163.JPG-WWW.MSNPICTURES/NEW73_9163.JPG-WWW.MSNPICTURES.COM
* NEW.EXE
* ERASEME_42784.EXE
* NEW[n].EXE (le [n] représente un nombre qui diffère selon le fichier)
* SCVRUN.EXE
* SCVRUN.EX

- Dans C:\Documents And Settings\All Users\Application Data\ et C:\Documents And Settings\[TON NOM]\Application Data\ supprime les fichiers et dossiers contenant TEMP:A7E78C0

- Si ton antivirus/pare feu actuel le permet, bloque le serveur suivant : 78.2.155.79 sweepz12.ignorelist.com. Ne te rend surtout pas sur ce serveur !

- Supprime tous les fichiers et dossiers présents dans les dossiers suivants :

* C:\Windows\Temp
* C:\Documents And Settings\All Users\Temp
* C:\Documents And Settings\[TON NOM]\Temp
* C:\Documents And Settings\[TON NOM]\Application Data\Temp

- Redémarre ton pc.

- Fais à nouveau un scan HijackThis et poste le rapport ici.

Comment vas le pc après ces manipulations ?

:icon_wink-221e:

 

[Carlito]

* NEW73_9163.JPG-WWW.MSNPICTURES.COM
* NEW73_9163.JPG-WWW.MSNPICTURES/NEW73_9163.JPG-WWW.MSNPICTURES.COM
* NEW.EXE
* ERASEME_42784.EXE
* NEW[n].EXE (le [n] représente un nombre qui diffère selon le fichier)
* SCVRUN.EXE
* SCVRUN.EX

Je ne trouve aucun de ces éléments.


J'ai supprimé tous les fichiers et dossiers que tu m'as demandé, quand ils existaient et quand il y avait qqch dedans.

Je ne sais pas bloquer un serveur avec outpost même avec le lien de TI louis.

Je redémarre et je scanne.