Comment supprimer des Vieux Virus sous XP [RESOLU]

Accueil Forums S.O.S Assistance Désinfection Comment supprimer des Vieux Virus sous XP [RESOLU]

Ce sujet a 27 réponses, 5 participants et a été mis à jour par Avatar Sophette, il y a 3 semaines et 1 jour.

  • Créateur
    Sujet
  • #58203
    Avatar
    Sophette
    Participant

    Des PC machines en XP hors réseau de mon entreprise sont infectées par un virus POZUDA et MALENA.EXE qui infecte les clés usb qui se connectent (ces clés sont nécessaires pour le transfert de données vers les PC users). La réinstallation et migration est impossible, les machines étant en production sur des automates qui ne prendront pas de soft superieurs à XP.

    Hier j’ai trouvé une version de 2012 de malwarebytes, je tenterais son installation dans quelques jours, quand la machine sera en repos. idéalement je recherche un usbfix V6 mais introuvable. J’ai fait des nettoyages dans la base registre, + combofix + usbfix2019 + hijackthis mais toujours pareil,La version usbfix 2019 est trop récente.

    je suis preneuse de tout conseil pour mon PB. Merci. Sophette.

     

    • Ce sujet a été modifié le il y a 1 mois et 1 semaine par Admin Admin.
    • Ce sujet a été modifié le il y a 1 semaine et 3 jours par Admin Admin.
15 réponses de 1 à 15 (sur un total de 27)
  • Auteur
    Réponses
  • #58207
    g3n-h@ckm@n
    g3n-h@ckm@n
    Participant

    Salut à toi donc :)

    on va commencer par regarder un peu ce qui se cache dans le ventre de la bête ^^

    vu que c'est XP , on va procéder à l ancienne :

    Sélectionne et copie ce texte en entier :

    HKCU\Software
    HKCU\Software\AppDataLow /s
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /s
    HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
    %Homedrive%\*
    %Homedrive%\*.
    %Homedrive%\Recycler\*.exe /s
    %Homedrive%\Recycler\*.scr /s
    %Homedrive%\Recycler\*.pif /s
    %Homedrive%\Recycler\*.vb* /s
    %Homedrive%\$Recycle.bin\*.exe /s
    %Homedrive%\$Recycle.bin\*.scr /s
    %Homedrive%\$Recycle.bin\*.pif /s
    %Homedrive%\$Recycle.bin\*.vb* /s
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %AppData%\*
    %AppData%\*.
    %Userprofile%\Local Settings\*
    %Userprofile%\Local Settings\*.
    %LocalAppData%\Google\Chrome\User Data\Default\Pepper Data\Shockwave\FlashWritableRoot\#SharedObjects\*
    %LocalAppData%\Google\Chrome\User Data\Default\Pepper Data\Shockwave\FlashWritableRoot\#SharedObjects\*.
    %programFiles%\*
    %programFiles%\*.
    %programfiles%\Google\Desktop\*.
    %ProgramFiles%\Common Files\*
    %ProgramFiles%\Common Files\*.
    %ProgramFiles(X86)%\Common Files\*
    %ProgramFiles(X86)%\Common Files\*.
    %Systemroot%\Installer*
    %Systemroot%\Installer*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\PSS\* /s
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\syswow64\Tasks\*
    %systemroot%\syswow64\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT

    Télécharge OTL (by OldTimer) sur ton bureau.
    configure-le comme ca (sauf age du fichier tu mets 90 jours) :

    OTL_Settings

    Colle le Script copié plus haut dans la partie inférieure d’OTL « Personnalisation »
    Clique sur Analyse
    Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.

    Héberge les rapports OTL.txt et Extras.txt sur http://cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    • Cette réponse a été modifiée le il y a 1 mois et 1 semaine par g3n-h@ckm@n g3n-h@ckm@n.
    • Cette réponse a été modifiée le il y a 1 mois et 1 semaine par g3n-h@ckm@n g3n-h@ckm@n.
    • Cette réponse a été modifiée le il y a 1 mois et 1 semaine par g3n-h@ckm@n g3n-h@ckm@n.

    ¤¤¤¤¤¤¤¤¤¤ | QuickDiag | UsbFix Concept | AdsFix Development | ¤¤¤¤¤¤¤¤¤¤

    #58212
    Avatar
    Sophette
    Participant

    Merciiiiiiiiiiiiii, je fais ceci dès que la machine est en repos, et que je ne suis pas en télétravail.

     

    #58238
    Vulcain
    Vulcain
    Modérateur

    XP pas de souci g3n-h@ckm@n. va faire ça sans problème mais juste pour dire XP, tu as mieux quand même, aller va au moins sur Seven.

    Désolé j'avais envie de faire la cosette.

     

     

     

    Très cordialement,
    Vulcain
    -------------------------------------------------------------
    Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !

    #58264
    Avatar
    Sophette
    Participant

    ça fait du bien, je comprend.

    mais l'industrie est un autre monde .......Avec des machines qui datent de la révolution industrielle .... et qui fonctionnent toujours, elles.

    Quand le simple fait de changer une optique (donc une petite partie de la bête) pour être compatible 64 bits coûte mon salaire annuelle, je comprend que les 12 machines en xp ne sont pas encore à la retraite.

    Donc à moi de m'adapter, et non le contraire !:wacko:

     

    #58265
    g3n-h@ckm@n
    g3n-h@ckm@n
    Participant

    sauf que là c'est pas une partie c'est la bete entière qu il faut changer lol

    salaire annuel ? tu gagnes moins de 500 € par an ? change de boulot lol ^^

    bien ! occupons nous de cela pour le moment ^^

    • Cette réponse a été modifiée le il y a 1 mois et 1 semaine par g3n-h@ckm@n g3n-h@ckm@n.

    ¤¤¤¤¤¤¤¤¤¤ | QuickDiag | UsbFix Concept | AdsFix Development | ¤¤¤¤¤¤¤¤¤¤

    #58331
    Avatar
    Sophette
    Participant
    #58332
    g3n-h@ckm@n
    g3n-h@ckm@n
    Participant

    Je crois que j ai trouvé le coupable

    touche windows + R puis tape Control Folders puis onglet affichage, coche "affichier les fichiers et dossiers cachés" et décoche "masquer le fichiers protégés du systeme d exploitation" , puis appliquer puis OK

    ensuite

    rends-toi sur https://www.virustotal.com puis fais analyser ce fichier :

    C:\RECYCLER\S-1-5-21-2495206099-1311065863-674785340-1028\nissan.exe

    une fois l'analyse des antivirus terminée , récupère le lien de la page en haut (là où est écrit http://www...etc....) puis colle-le ici que je puisse m'y rendre pour consulter

     

    ensuite USBFix n'est pas trop récent question base de données, il y a toute la base de données depuis sa premiere conception à l interieur donc visiblement tu l'as mal utilisé

     

    Branchez vos sources de données externes , clé(s) USB, disque(s) dur externe, etc...) susceptibles d'être infectées sans les ouvrir.

    Télécharger UsbFix sur le bureau

    Ici => http://www.fosshub.com/UsbFix.html

    Cliquer sur " Download "
    Enregistrer ce fichier sur le bureau
    Faire un clic droit sur le fichier téléchargé, choisir " Exécuter en tant qu’administrateur ".

    Faire juste une Analyse :

    Cliquer sur Lancer une analyse
    Puis sur Analyser les Disques USB

    Cliquer sur le 2éme onglet à gauche
    Cocher devant USBFix-Repor--01.txt
    Cliquer sur ' onglet à droite " + Ouvrir
    Enregistrer ce rapport sur le bureau

    Le rapport est aussi sauvegardé à la racine du disque. ( C:\UsbFix-Report-01.txt )

    Hébergez le rapport sur ce site,
    Ici > cjoint.com.
    Cliquer sur Parcourir
    Trouver > le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    Valider en cliquant sur > Créer le lien Cjoint

    Mettre le lien généré dans le prochain message.

    • Cette réponse a été modifiée le il y a 1 mois par g3n-h@ckm@n g3n-h@ckm@n.
    • Cette réponse a été modifiée le il y a 1 mois par g3n-h@ckm@n g3n-h@ckm@n.

    ¤¤¤¤¤¤¤¤¤¤ | QuickDiag | UsbFix Concept | AdsFix Development | ¤¤¤¤¤¤¤¤¤¤

    #58337
    Avatar
    Sophette
    Participant

    Un grand merci pour ton analyse.

    malheureusement pas de connexion internet en atelier et non autorisé.

    UsbFix2019 a bien  trouvé des choses, mais à chaque rebranchement d'une clé USB, tout recommençait.

    Demain de passe malwarebytes version 2012 et te tiens informer.

    #58338
    g3n-h@ckm@n
    g3n-h@ckm@n
    Participant

    ca sert à rien faut faire usbfix nettoyage avec toutes les clés usb connectées, et faut passer usbfix sur toutes les machines, déconnectées du réseau et ne les reconnecter que quand les clés seront saines et tous les pc désinfectés

     

    il s'agit en fait d une backdoor , suite à cette désinfection il faudra changer tous les mots de passe d'accès resau, internet, mail, tout quoi car ils ont très possiblement été récupérés. en fait tu travailles avec des pc zombies qui attendent des commandes venant de l exterieur.

    Et quand ca va frapper ca va faire tout drôle alors je te conseille vivement d'agir rapidement comme dit sinon tu t'en débarasseras jamais

    • Cette réponse a été modifiée le il y a 1 mois par g3n-h@ckm@n g3n-h@ckm@n.

    ¤¤¤¤¤¤¤¤¤¤ | QuickDiag | UsbFix Concept | AdsFix Development | ¤¤¤¤¤¤¤¤¤¤

    #58340
    Avatar
    Sophette
    Participant

    Clé usb nettoyée par usbfix branchée sur le pc, puis déconnectée et reconnectée direct , pouf recontaminée.... à demain.

    #58341
    g3n-h@ckm@n
    g3n-h@ckm@n
    Participant

    ben si le pc est connecté au réseau il se réinfecte aussi sec aussi.............pis il faudrait que je voie le rapport d usbfix aussi......

    • Cette réponse a été modifiée le il y a 1 mois par g3n-h@ckm@n g3n-h@ckm@n.

    ¤¤¤¤¤¤¤¤¤¤ | QuickDiag | UsbFix Concept | AdsFix Development | ¤¤¤¤¤¤¤¤¤¤

    #58343
    Avatar
    Sophette
    Participant

    Et non, jamais branché au réseau, dans un atelier protégé, c'est ce qui me fait tourner en bourrique pett.

    Si j'ai encore le droit de travailler demain, je m'y attelle encore.....

     

    #58344
    g3n-h@ckm@n
    g3n-h@ckm@n
    Participant

    on l 'aura ! :)

    et déjà s'il est jamais connecté en réseau y'a beaucoup moins de risques mais il suffit que tu aies connecté la clé USB sur un pc en reseau, et alors là !.........

    • Cette réponse a été modifiée le il y a 1 mois par g3n-h@ckm@n g3n-h@ckm@n.

    ¤¤¤¤¤¤¤¤¤¤ | QuickDiag | UsbFix Concept | AdsFix Development | ¤¤¤¤¤¤¤¤¤¤

    #58492
    Admin
    Admin
    Admin bbPress

    Cela fait une semaine que ce sujet n'est plus alimenté, s'il n'y a pas de conclusion il sera supprimé.

    • Cette réponse a été modifiée le il y a 4 semaines par Admin Admin.

    Christophe. ’ Ce que je sais c’est que je ne sais rien…' ;o)

    #58543
    Avatar
    Sophette
    Participant

    Bonjour,

    Télétravail oblige, je n'ai pas pu aller au bout de mes test. Je compte Lundi ou jeudi faire encore un essai suite aux conseils de ce forum, et je vous tiendrais informés .........

15 réponses de 1 à 15 (sur un total de 27)

Vous devez être connecté pour répondre à ce sujet.