[Infection] Comportement douteux

[error_503]

Bonjour à tous et merci par avance pour votre aide et vos conseils à venir. :)

Et donc mon problème semble venir d'une possible infection conficker ou d'un autre ver et j'aimerais avoir votre avis sur la question.

Mon installation comprends une freebox v6 (en attendant mieux) qui me sert de routeur principal sur laquelle sont reliés mon pc fixe (câblé), un NAS (câblé), mon portable (wifi ou câblé suivant l'humeur et l'accessibilité du dit câble). A venir un serveur nux sur une vieille config pour y héberger un irc et un mumble.

Microsoft update online, Bitdefender installé et actif sur tout les pc, windows 7 intégrale 64 pour le fixe et familiale 32 pour le portable (mise a niveau depuis un XP SP3).

Depuis mon dernier format sur mon fixe j'ai noté quelques comportements douteux donc, sans pour autant être sûr d'une quelconque infection mais dans le doute... Cela a commencé par des soucis d'instabilité de bitdefender lors du passage de la v2010 a la v2011 (installation juste après le format et les MAJ de windows 7). L'antivirus crashait à répétition et des analyses planifiées étaient données comme "en route" alors qu'aucune fenêtre de recherche n'était ouverte. Dans l'interface bitdefender, section "Antivirus", onglet "Analyse", il m'indiquait donc "analyse en cours" et il n'y avait pas de bouton "exécuter". Après contact avec le service technique de bitdefender, un technicien m'a assuré que ceci était du a des bugs de bitdefender plutôt qu'un autre soucis. Bref, j'ai patienté qq temps est le problème s'est résolu après des mises à jours du logiciel. Voilà pour le premier point.

Le second, avant mon passage au NAS il y a quelques mois, je stockais mes données sur 2 DD de 500go installés dans ma tour (pas de raid -- lecteur D: et G: en NTFS). Après avoir migré mes données vers le NAS, je voulais donc formater ces deux disques. Chose faite pour l'un (G:) mais impossible pour le second (D:). Lorsque je clique droit puis format dans le navigateur de fichiers de 7, il m'ouvre bien la fenêtre de format, me laisse la possibilité de cliquer sur Démarrer mais après qq secondes me dit que ce format est impossible. De plus j'ai qq dossiers et fichiers bizarres qui ont fait leur apparition. Ces fichiers semblerait à première vue faire partie d'une MAJ windows. De plus il me demande des droits d'administrations pour supprimer certains dossiers et parfois même refuse de s'exécuter malgré l'insistance.

Nom des dossiers douteux : 56525e50c46c7392a17399e7b24896 & 38438214c35738399d (vide tout les deux) + des dll + des exe et MSI

Une image vaut 1000 mots.

Troisième point, je suis prof et me sers d'un DD externe en 2'5 pour promener mes cours en attendant mon VPN à venir. Sur ce disque j'ai la encore une fois un dossier impossible à supprimer et qui porte lui aussi un nom exotique en me demandant des droits d'admin pour l'ouvrir. De plus sur un des postes au boulot, Trend Micro m'a détecté une variante possible de Conficker mais je n'arrive pas à savoir si c'est ce poste qui m'aurait infecté ou si je me la traîne depuis qq temps déjà.

Voilà voilà, plus d'infos sur demande.

Ce que je recherche :

--> Un bon live CD qui me permettrait de faire des analyses sur l'ensemble des données du pc juste avant le chargement de 7 et éventuellement du NAS mais là j'y crois moins.

--> Une explication sur l'origine de ces dossiers suspects car là j'avoue être un peu perdu.

--> Une méthode pour formater ce vilain DD qui fait de la résistance.

--> Une méthode pour désactiver l'exécution automatique des périphs USB et s'il y avait un moyen d'empêcher l'exécution automatique de code malveillant depuis ses clés ou disques externes. Autrement dit essayer d'avoir une espèce de sandbox dans laquelle le contenu s'ouvrirait (je sais j'en demande bcp! ^^)

--> Et empêcher windows, si c'est bien lui le fautif, de me pondre des dossiers ou fichiers d'installation ou de MAJ sur les autres disques que mon système.

[Etre_Libre]

--> Un bon live CD qui me permettrait de faire des analyses sur l'ensemble des données du pc juste avant le chargement de 7 et éventuellement du NAS mais là j'y crois moins.

Kaspersky Rescue 10

Penses à mettre un à jour les bases virales une fois le Live démarré, et ensuite il n'y a plus qu'à faire un scan complet

[error_503]

Merci.

Bon de mon côté, en supprimant un à un les dossiers sur mon disque G: j'ai fini par réussir à supprimer les dossiers puis le formater. Pour le coup je vais même pas chercher à comprendre. --'

[boulixx]

bonjour ,

heureux de voir qui tu est arriver

mais

merci.

[Invité]

Oulah,

Ces dossiers c'est les mises à jour de Windows, d'ailleurs un simple clic droit -> propriétés -> signatures sur un des fichiers .msi te rassurera, ils sont signés microsoft (ça se fait à partir de certificat et prouve l'authenticité)

Ensuite le technicien de bitdefender a tout à fait raison, c'est effectivement en bug de l'antivirus, quand on met à jour une usine à gaz pareille, on désinstalle l'antivirus avant d'installer la nouvelle version. Encore que je pense que deux trois redémarrage aurait fait digérer tout ça à l'ordi

Donc pas de panique, ces dossiers sont normaux, c'est les mises à jour de Windows qui sont stockées en attendant leur installation, une fois les mises à jour effectuées ils peuvent être supprimés sans danger.

Pour le disque externe, sans doute un autoexec.ini qui se cache à la racine du dossier. C'est un classique des virus pour se répendre sur les vieux systèmes d'exploitation (ça n'est plus possible depuis vista en fait), pour le dégommer ou être sur qu'il n'est plus la

Outils -> Options des dossier -> Affichage -> Afficher les fichiers et dossiers masqués + décocher masquer les fichiers protégés du système d'exploitation, tu devrais retrouver un autoexec.ini s'il est encore là ; c'est une sorte de fichier texte, quand tu l'ouvriras il te donnera un nom de fichier en .exe, il ne te reste plus qu'à le supprimer et tu auras fait à la main ce que ton antivirus ne sait pas faire : scanner les périphériques amovible à la mise en ligne.

Voilà, en esperant que ça arrangera ta situation

[error_503]

Désolé de seulement vous redonner quelques nouvelles, emploi du temps plutôt chargé en ce moment. :)

Petit soucis toujours donc, je pensais m'être débarrassé de ce vilain trojan, mais semble t-il que non, au du moins il en reste des traces.

Bitdefender ne me détecte rien à la maison, mais sur un poste au boulot (Trend Micro Office Scan sur XP pro SP3), j'obtiens au branchement de mon disque dur externe --> TROJ_DOWNAD.INF sur E:\Autorun.inf

En sachant que ce fichier autorun n'apparaît pas dans mon navigateur de fichiers (fichiers et dossiers cachés affichés, affichage des dossiers systèmes,...), serait-ce parce qu'il est bloqué par l'antivirus du coup?

J'ai également un dossier "System Volume Information" dans lequel je ne peux pas rentrer même lorsque je me donne les droits dessus. Un rapport avec cette infection ou c'est bien la configuration par défaut?

Merci

[beankylla]

A priori le trojan en lui même a déjà été effacé mais le fichier autorun qui lui permettait de se lancer automatiquement, non :)

Il ne te reste plus qu'à effacer ce fichier texte inutile :)