Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
Elguijaronegro
4 décembre 2009

Quand les virus attaquent!

6a00e398a838eb00050123ddd9390c860c_320pi


Depuis que nous sommes revenus sur le net, certaines pages de réseaux communautaires sont sensibles à la détection de virus (virus de script HTML ou Crypted.Gen sont détectés et immédiatement envoyés en "quarantaine" par mon antivirus)

malgré ma rapidité à quitter les lieux contaminés  et n'y point revenir, voici ce que donne l'examen de ma "quarantaine":
le 12 novembre 2 pages ouvertes infectées
le 13 novembre 3 pages ouvertes infectées
le 14 novembre 1 page ouverte infectée
le 23 novembre 6 pages ouvertes infectées
le 30 novembre 3 pages ouvertes infectées

vous pouvez voir ceci sur cette copie d'écran, c'est l'intérieur de ma "quarantaine":

capture__cran_quarantaine

Qu'est-ce que ça donne un PC avec des virus?

Au pire, le PC ne démarre plus même en mode "echec", seule solution, le formatage et la réinstallation de tout le système avec perte de toutes les données qui n'avaient pas été sauvegardées sur des supports externes

un peu moins pire: pouvoir récupérer les données tout de même en mode "esclave" avec l'aide d'une personne expérimentée et d'un autre ordinateur qui fonctionne en "maître"

ou encore récupérer des bribes de dossiers et fichiers après réinstallation du système, en utilisant un logiciel comme getdataback for NTFS (payant malgré son titre de "gratuit" si l'on veut récupérer effectivement des fichiers supérieurs à 56 ko)

là c'est "quitte ou double" même si on a payé la version complète du logiciel, parce qu'on peut très bien récupérer des fichiers oui, mais totalement corrompus pour une bonne partie d'entre eux!

type cet affichage:

https://storage.canalblog.com/61/90/54952/47100740.jpg

exemple de fichier récupéré avec extension .htm ou .txt

il semblerait que ce soit plutôt un gif

vous essayez de mettre l'extension .gif à la place et ça vous donne "le dessin a échoué" parce qu'en fait le texte est incomplet et corrompu, idem pour des centaines et des milliers d'autres ainsi!


Alors on ne le dira jamais assez, il faut effectuer des sauvegardes sur un support extérieur avant que n'arrive la grosse "tuile"!

par exemple en utilisant ce logiciel: acronis true image

AU MOINS PIRE:

Un PC infecté, quand ça ne "plante" pas totalement, c'est de plus en plus "poussif"!

ça "rame" tant que ça peut, ça n'ouvre pas rapidement les pages sur le net, ça ne répond pas à une sollicitation de recherche d'url, ça "bug" selon l'humeur

ex de "bug":

bug_25nov09_2__Small_

copie d'écran du 25 novembre 09 en pleine période virale

ça vous affiche des tas de message d'erreurs  avant de daigner ouvrir certaines applications

du genre "dll  introuvable" et "réinstaller le logiciel corrigera le problème"

ça vous fait sauter l'explorateur et l'affichage du bureau

lorsque vous en avez bien assez (je suppose), passer en analyse votre antivirus partout

si vous n'en avez pas!!! on ne sait jamais, il y a des personnes qui se croient "naturellement protégées" sans faire appel à un antivirus, alors elles n'en ont pas installé un, ou elles tardent à le faire parce qu'elles hésitent entre payant et gratuit, entre une marque ou une autre, si c'est votre cas, tentez de charger et d'installer la version gratuite d'Avira

et, après avoir chargé les mises à jour, déclenchez une analyse de tout le disque dur, il est certain que ça mettra des heures et des heures si votre disque est plein comme un oeuf, programmez le temps de mise en veille en conséquence (plus de 12 heures ou "jamais") pour éviter qu'une mise en veille de votre appareil, alors que des virus sont en attente de décision à prendre pour leur sort, ne produise un très gros BUG, celui dont je parlais plus haut = ne plus pouvoir faire autrement que d'écraser le disque dur! ça m'est arrivé, hélas! j'ai perdu 160 GO de données personnelles et je n'ai pas du tout aimé ça!

alors pendant l'analyse, ne vous éloignez pas trop, vous pourriez avoir besoin de réagir, ou d'interrompre "pause" le programme d'analyse, afin de le reprendre un peu plus tard.

En fin d'analyse, si vous êtes  "expérimenté", ne cochez pas "quarantaine" ou "supprimer". Fermez cette fenêtre, par contre cliquez sur "rapport".

Récupérez le rapport et lisez au bas où l'on vous dit que se trouvent les fichiers douteux, retournez-y manuellement, redemandez l'analyse de chaque dossier par Avira (clic droit sur le fichier, puis "contrôlez le fichier avec l'antivirus Avira")

là vous décidez si vous mettez en quarantaine, ou supprimez, ou ne faites rien selon le cas, si vous doutez trop, choisissez de mettre en quarantaine (vous pourriez récupérer le fichier abusivement enfermé le cas échéant).

------------------------------------------------------

Extraits de rapports sur mon ordi (11 heures d'analyse non stop):

Recherche débutant dans:
C:\documents and settings\xxxxxx\local setings\temp\GifProp.exe
       [RESULTAT]  Contient le modèle de détection du dropper DR/Dropper.Gen

Début de la désinfection :
C:\Documents and Settings\xxxxxx\local setings\temp\GifProp.exe
     [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine

REMARQUE: ça c'est un "cadeau" de Beneton, quand j'ai installé beneton j'avais bien fait attention à décocher les éléments nocifs, mais celui-ci devait être "bien caché!" et mon antivirus ne me l'a détecté que le 16 novembre!

je ne suis pas la seule à m'être fait avoir:
http://forum.malekal.com/alerte-trojan-lancement-beneton-movie-gif-t21251.html

et allez voir ici aussi:
http://www.vista-xp.fr/forum/topic5482.html

--------------------

Recherche débutant dans
C:\Documents and Settings\xxxxxx\Mes documents\downloads logiciels\tubemaster.zip
  [0] Type d'archive: ZIP
    --> setup.exe
      [RESULTAT]  Contient le modèle de détection du dropper DR/Hupigon.frdu

C:\Documents and Settings\xxxxxx\Mes documents\downloads logiciels\Setup mysurfpro.zip
  [0] Type d'archive: ZIP
    --> setup.exe
      [RESULTAT]  Contient le modèle de détection du dropper DR/Hupigon.frdu

Début de la désinfection :
C:\Documents and Settings\xxxxxx\Mes documents\downloads logiciels\tubemaster.zip
     [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine
C:\Documents and Settings\xxxxxx\Mes documents\downloads logiciels\Setup mysurfpro.zip
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine

--------------------

Recherche débutant dans
C:\Documents and Settings\XXXXXX\Local Settings\Application Data\Microsoft\Windows Live Mail\Storage Folders\Deleted Items\61DB22C7-00000011.eml
  [0] Type d'archive: MIME
    --> file0.html
      [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Spoofing.Gen
(il s'agissait d'un courrier de phishing, ayant trait à un compte paypal fictif et que j'avais jeté sans m'assurer que ce courrier avait bien été définitivement éliminé)

Début de la désinfection :
C:\Documents and Settings\XXXXXX\Local Settings\Application Data\Microsoft\Windows Live Mail\Storage Folders\Deleted Items\61DB22C7-00000011.eml
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine

(une dizaine de fois il a dû être déplacé, mais à la vérification manuelle, il était toujours présent! j'ai alors eu l'idée de vérifier le dossier "supprimé" de mon windows live mail, et c'était la SOLUTION! l'effacer définitivement de mon logiciel de mail, pas le mettre simplement en quarantaine car alors il se multipliait dans les dossiers "application data")

--------------------
Recherche débutant dans:
C:\System Volume Information\_restore{CC4B9E6E-61DB-45C0-9EA6-6DBA32B4EB76}\RP687\A0121767.dll
    [RESULTAT]  Le fichier est comprimé à l'aide d'un programme de compression inhabituel (PCK/Armadillo). Veuillez vérifier l'origine de ce fichier.

Début de la désinfection :
C:\System Volume Information\_restore{CC4B9E6E-61DB-45C0-9EA6-6DBA32B4EB76}\RP687\A0121767.dll
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine
--------------------

Recherche débutant dans
C:\Documents and Settings\xxxxxx\Mes documents\downloads logiciels\setup_flash_slideshow_maker.exe
  [0] Type d'archive: NSIS
    --> Settings/fssmdrm_pro.dll
      [RESULTAT]  Le fichier est comprimé à l'aide d'un programme de compression inhabituel (PCK/Armadillo). Veuillez vérifier l'origine de ce fichier.

C:\Documents and Settings\xxxxxx\Mes documents\downloads logiciels\setup_fssmpro.exe
  [0] Type d'archive: NSIS
    --> ProgramFilesDir/fssmdrm_pro.dll
      [RESULTAT]  Le fichier est comprimé à l'aide d'un programme de compression inhabituel (PCK/Armadillo). Veuillez vérifier l'origine de ce fichier.

C:\Documents and Settings\xxxxxx\downloads logiciels\slideshowzilla_setup.exe
  [0] Type d'archive: NSIS
    --> Settings/slideshowzilladrm.dll
      [RESULTAT]  Le fichier est comprimé à l'aide d'un programme de compression inhabituel (PCK/Armadillo). Veuillez vérifier l'origine de ce fichier.

C:\Program Files\Flash Slideshow Maker Professional\fssmdrm_pro.VIR
    [RESULTAT]  Le fichier est comprimé à l'aide d'un programme de compression inhabituel (PCK/Armadillo). Veuillez vérifier l'origine de ce fichier.

REMARQUE: Apparemment ce type de compression inconnue ne comporte ni virus, ni cheval de troie, il appartient à des logiciels commercialisés permettant de produire des diaporamas flash, j'ai conservé ces fichiers pour le moment.
type de logiciels incriminés:
slideshowzilla
Flash Slideshow Maker Professional

-------------------------

voilà une bonne adresse pour faire également analyser ses fichiers douteux:

------------------------------------------------------

APRES LE PASSAGE DE L'ANTIVIRUS:

Lorsque tous les dangers sont éloignés, faites une sauvegarde intégrale ou partielle de ce que contient l'ordinateur (la faire avant d'avoir supprimé les virus sauvegarderait également tous les virus actifs)

Supprimez ( sur windows XP) les sauvegardes du système antérieures à votre analyse et la suppression des virus et trojan, sinon une "restauration" vous les réinstallerait aussitôt.

démarrer
panneau de configuration (affichage classique)
système
onglet restauration du système
cocher: désactiver la restauration du système
OK

remettre l'option restauration:

système
onglet restauration du système
décocher: désactiver la restauration du système
OK

créer un premier point de restauration

basculer vers l'affichage des catégories
performances et maintenance
restaurer le système
cocher: créer un point de restauration
suivant
inscrivez votre description du point de restauration (ex: premier point système après antivirus)
créer

cr_er_point_restauration

Sur vista, effectuez les back-up selon la procédure en suivant les indications de l'assistant à partir du tableau de bord après avoir demandé d'effectuer une sauvegarde

Si vous êtes content de l'antivirus = votre ordinateur marche à nouveau correctement (bonnes performances et plus de "bugs"), gardez-le! effectuez les mises à jour, upgradez lorsque vous arrivez en fin de période gratuite de 1 an: coût aux alentours de 20 euros.

Bonne journée, moi je vais dormir un peu après tous ces travaux!

Tah

Posté par KNTHMH à 11:22 - Commentaires [] - Permalien [#]
Tags: analyse virusantivirusinfectionquarantainerestaurationsuppressionvirus de script HTML

Partager cet article

Vous aimez ?
0 vote
Waou! une escarbille dans l'oeil (droit)!
Cheval de Troie déguisé en mise à jour Facebook
Vous aimerez aussi :
Chers amis, ce blog est en pause depuis 2014
Chers amis, ce blog est en pause depuis 2014
Bonjour aux éventuels présents et futurs passants ici
Bonjour aux éventuels présents et futurs passants ici
Durant l'été, nous ne validons aucun commentaire, nous ne répondons à aucun commentaire ou message
Durant l'été, nous ne validons aucun commentaire, nous ne répondons à aucun commentaire ou message
Rentrée et nouveaux impératifs de vie obligent...
Rentrée et nouveaux impératifs de vie obligent...
Publicité
Commentaires
Publicité