Menu

Win32.FloodFix.7 (Dr Web) / Win32:Pioneer-C (Avast) [Résolu]

Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
- - Dernière réponse : Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
- 6 mai 2019 à 09:52
Bonjour à tous,

Mon serveur (Windows Serveur 2008 - utilisation Gestion Commerciale simple - ni web ni mail) est infecté et je voudrais bien avoir votre aide pour le supprimer car je ne veux pas faire une réinstallation autant que possible.

J'ai déjà utilisé l'outil CureIt de Dr Web mais sans aucun résultat - celui-ci trouve uniquement que les inféctions (win32.FloodFix.7) sont éliminées mais le virus est toujours là.

De plus, lorsque je fais une copie de fichier sur le réseau (LAN) à partir de ce serveur, Avast (du PC cible) indique que certains fichiers sont infectés par Win32:Pioneer-C

L'origine de l'infection était une clé USB. Et voilà quelques captures d'écran où
1 - Le message affiché lors de l'ouverture du navigateur
2 - Le message affiché lors du lancement de la plupart des applications
3 - Le message affiché lorsqu'on ferme le message en 2



Merci à l'avance pour votre aide
Afficher la suite 

Votre réponse

6 réponses

Meilleure réponse
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145
1
Merci
Bonjour/Bonsoir,

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).


Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 39636 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15
0
Merci
Merci pour ton retour. J'ai réussi à avoir seulement 2 rapports (le schortcut.txt n'est pas généré même case shortcut cochée - dans 2 tentatives)

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20190430_w7r14h7h9n14

Addition
https://pjjoint.malekal.com/files.php?id=20190430_v15b6s14b12k13

Il y a eu tout à l'heure une fenêtre d'avertissement (???? C++ ) mais je n'ai pas réussi à faire une capture écran car elle n'est plus revenue dans ma 2nde tentative. Peut être que c'est la raison pour laquelle le 3èm rapport n'est pas sorti.
Commenter la réponse de Zosoi
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145
0
Merci
Pas l'air infecté

C'est ClamAV qui détecte ?
car il est pas super fiable.
Quels sont les fichiers détectés ?

C'est un produit métier ça ?
2019-04-23 13:37 - 2012-08-06 10:31 - 000000000 ____D C:\Program Files\GecoMaes
2019-04-23 13:37 - 2012-08-06 10:29 - 000000000 ____D C:\Program Files\Maestria

Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15 -
C'est Cureit (une désinfection à la demande) du DrWeb qui détecte. (voir capture)
- je viens de télécharger la dernière version, mais l'infection est toujours là et reste incurable.

GecoMaes est un logiciel de gestion commerciale et Maestria la compta qui va avec.
Malekal_morte-
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145 > Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
-
ok je ne pense pas qu'il y ait de malwares actifs.
Après ça aurait été bien d'avoir le rapport complet à l'issu du scan.
Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15 -
Bonjour,

Je viens de prendre la version à jour de CureIt et voilà le log de l'analyse d'avant hier et celui d'aujourd'hui (avant neutralisation des menaces).

https://pjjoint.malekal.com/files.php?id=20190502_i9m12p1013e7
Commenter la réponse de Malekal_morte-
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145
0
Merci
ok je mets ça là :

C:\Users\spamh\AppData\Local\Temp\20190502_i9m12p1013e7_cureit-1.log (87 hits)
Line 438: D:\ThunderbirdPortable\App\thunderbird\mozglue.dll - infected with Win32.FloodFix.7
Line 439: D:\ThunderbirdPortable\App\thunderbird\mozglue.dll - infected
Line 900: C:\Users\Administrateur.CTA1\Desktop\FRST.exe - infected with Win32.FloodFix.7
Line 901: C:\Users\Administrateur.CTA1\Desktop\FRST.exe - infected
Line 907: C:\Users\Administrateur.CTA1\Desktop\Acces Remote PC\rpcsetup.exe - infected with Trojan.Click3.13239
Line 908: C:\Users\Administrateur.CTA1\Desktop\Acces Remote PC\rpcsetup.exe - infected
Line 921: C:\Program Files\VIA\VIAudioi\VDeck\QsApoApi.dll - infected with Win32.FloodFix.7
Line 922: C:\Program Files\VIA\VIAudioi\VDeck\QsApoApi.dll - infected
Line 930: C:\Program Files\PROLiNK\Common\raregistry.exe - infected with Win32.FloodFix.7
Line 931: C:\Program Files\PROLiNK\Common\raregistry.exe - infected
Line 968: C:\Program Files\Maestria\maestria.exe - infected with Win32.FloodFix.7
Line 970: C:\Program Files\Maestria\maestria.exe - infected
Line 975: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected with Win32.FloodFix.7
Line 977: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected
Line 978: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected with Win32.FloodFix.7
Line 979: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected
Line 981: C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe - infected with Win32.FloodFix.7
Line 982: C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\ACE.dll - infected with Win32.FloodFix.7
Line 983: C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\ACE.dll - infected
Line 986: C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe - infected
Line 989: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected with Win32.FloodFix.7
Line 990: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected
Line 991: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected with Win32.FloodFix.7
Line 992: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected
Line 994: C:\Program Files\Common Files\System\symsrv.dll - infected with Win32.FloodFix
Line 995: C:\Program Files\Common Files\System\symsrv.dll - infected
Line 998: C:\Program Files\Foxit Software\Foxit Reader\plugins\ServicePlugin\ConnectPDFService.dll - infected with Win32.FloodFix.7
Line 999: C:\Program Files\Foxit Software\Foxit Reader\plugins\ServicePlugin\ConnectPDFService.dll - infected
Line 1002: C:\Program Files\AChat\achat.exe - infected with Win32.FloodFix.7
Line 1003: C:\Program Files\AChat\achat.exe - infected
Line 1004: C:\Program Files\7-Zip\7-zip.dll - infected with Win32.FloodFix.7
Line 1005: C:\Program Files\7-Zip\7-zip.dll - infected
Line 1010: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected with Win32.FloodFix.7
Line 1011: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected
Line 1012: C:\Program Files\Microsoft Office\Office12\oart.dll - infected with Win32.FloodFix.7
Line 1013: C:\Program Files\Microsoft Office\Office12\oart.dll - infected
Line 1014: C:\Program Files\GecoMaes\GecoMaes.exe - infected with Win32.FloodFix.7
Line 1016: C:\Program Files\GecoMaes\GecoMaes.exe - infected
Line 1032: C:\Program Files\Common Files\microsoft shared\OFFICE12\mso.dll - infected with Win32.FloodFix.7
Line 1033: C:\Program Files\Common Files\microsoft shared\OFFICE12\mso.dll - infected
Line 1303: C:\programdata\pdfforge\pdf architect 5 manager\pdf architect 5\architect manager.exe - infected with Win32.FloodFix.7
Line 1304: C:\programdata\pdfforge\pdf architect 5 manager\pdf architect 5\architect manager.exe - infected
Line 1308: C:\program files\google\update\googleupdate.exe - infected with Win32.FloodFix.7
Line 1309: C:\program files\google\update\googleupdate.exe - infected
Line 1336: C:\windows\temp\dndam.sys - infected with Win32.FloodFix
Line 1337: C:\windows\temp\dndam.sys - infected
Line 2605: C:\Windows\system32\dlcoer.dll - infected with Win32.FloodFix
Line 2608: C:\Windows\system32\dlcoer.dll - infected
Line 36133: C:\Windows\TEMP\dndam.sys - infected with Win32.FloodFix
Line 41432: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsg98DC.tmp\registry.dll - infected with Win32.FloodFix.7
Line 41434: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsg98DC.tmp\registry.dll - infected
Line 42637: Total 25 files (26 objects) are infected
Line 42673: Total 25 files (26 objects) are infected
Line 43554: C:\ProgramData\pdfforge\PDF Architect 5 Manager\PDF Architect 5\architect manager.exe - infected with Win32.FloodFix.7
Line 43555: C:\ProgramData\pdfforge\PDF Architect 5 Manager\PDF Architect 5\architect manager.exe - infected
Line 43564: C:\Program Files\PROLiNK\Common\raregistry.exe - infected with Win32.FloodFix.7
Line 43565: C:\Program Files\PROLiNK\Common\raregistry.exe - infected
Line 43569: C:\Program Files\Microsoft Office\Office12\oart.dll - infected with Win32.FloodFix.7
Line 43570: C:\Program Files\Microsoft Office\Office12\oart.dll - infected
Line 43572: C:\Program Files\Maestria\maestria.exe - infected with Win32.FloodFix.7
Line 43573: C:\Program Files\Maestria\maestria.exe - infected
Line 43582: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected with Win32.FloodFix.7
Line 43583: C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe - infected
Line 43586: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected with Win32.FloodFix.7
Line 43587: C:\Program Files\Intel\iCLS Client\HeciServer.exe - infected
Line 43590: C:\Program Files\Google\Chrome\Application\49.0.2623.112\chrome_elf.dll - infected with Win32.FloodFix.7
Line 43591: C:\Program Files\Google\Chrome\Application\49.0.2623.112\chrome_elf.dll - infected
Line 43599: C:\Program Files\GecoMaes\GecoMaes.exe - infected with Win32.FloodFix.7
Line 43600: C:\Program Files\GecoMaes\GecoMaes.exe - infected
Line 43603: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected with Win32.FloodFix.7
Line 43604: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcddaemon.exe - infected
Line 43606: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected with Win32.FloodFix.7
Line 43607: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll - infected
Line 43609: C:\Program Files\Common Files\System\symsrv.dll - infected with Win32.FloodFix
Line 43610: C:\Program Files\Common Files\System\symsrv.dll - infected
Line 43617: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected with Win32.FloodFix.7
Line 43618: C:\Program Files\Common Files\microsoft shared\OFFICE11\msxml5.dll - infected
Line 43621: C:\Program Files\AChat\achat.exe - infected with Win32.FloodFix.7
Line 43622: C:\Program Files\AChat\achat.exe - infected
Line 43629: C:\Windows\TEMP\fliwz.sys - infected with Win32.FloodFix
Line 43630: C:\Windows\TEMP\fliwz.sys - infected
Line 78857: C:\Windows\TEMP\fliwz.sys - infected with Win32.FloodFix
Line 80565: C:\Users\Administrateur.CTA1\AppData\Local\Temp\conres.dll - infected with Win32.FloodFix
Line 80570: C:\Users\Administrateur.CTA1\AppData\Local\Temp\conres.dll - infected
Line 84523: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsv9F1F.tmp\registry.dll - infected with Win32.FloodFix.7
Line 84524: C:\Users\Administrateur.CTA1\AppData\Local\Temp\nsv9F1F.tmp\registry.dll - infected



Commenter la réponse de Malekal_morte-
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145
0
Merci
Il y a des chances que ce soit un virus qui infecte les exécutables.

Peux-tu vérifier les exécutables infectés ?
Par exemple envoie C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe sur https://upload.malekal.com et vois s'il y a des détections.

S'il y a des détections alors c'est bien une infection.
Le mieux est d'utiliser les outils Kaspersky : https://www.malekal.com/desinfecter-windows-avec-kaspersky/
Faudra voir si Kaspersky Virus Removal peut le supprimer complètement.
Si ce n'est pas le cas, il faudra utiliser le Live CD Kaspersky.

Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15 -
Bonjour à tous !

Merci bazfile : voilà le lien après réanalyse.

https://www.virustotal.com/#/file/8c87c56396c4922c225f9b7f92888434da9c6cc467fa643107ce11f8d51a329b/detection

Je vais faire une dernière analyse aujourd'hui avec KVRT et si tout est clean, je vais fermer ce topic.

Une question : Dois-je re-télécharger le KVRT (comme le cas de CureIt - DrWeb) ou bien je peux lancer celui que j'ai pris hier ?

Encore merci de votre aide les amis.
Malekal_morte-
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145 > Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
-
Ok le fichier a l'air sain.
Fais une analyse Kaspersky Removal Tools pour voir s'il détecte les mêmes chose que Dr Web.
Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15 -
Pas de chance :(
- Voici le message d'erreur que j'ai eu et plus aucun navigateur ne marche.
Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15 -
Malekal_morte-
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145 > Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
-
Il y a toujours la solution du mode sans échec avec prise en charge du réseau au pire :


Si ça ne fonctionne pas, il faudra utiliser le Live CD.
Commenter la réponse de Malekal_morte-
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15
0
Merci
Bonjour à tous !

Je crois que la désinfection est réussie avec KVRT en mode sans échec.



Encore un grand MERCI à tous et je vous souhaite une bonne semaine.
Malekal_morte-
Messages postés
165970
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2019
22145 -
ok vois si ça revient :)
Installe un antivirus résident qui protège le serveur, car là il n'y a rien.
Clamwin est inefficace.

Je mets en résolu.
Zosoi
Messages postés
141
Date d'inscription
samedi 16 septembre 2006
Statut
Membre
Dernière intervention
6 mai 2019
15 -
Oui - je suis déjà en train de voir.
Commenter la réponse de Zosoi