Virus avec Quiet HDD [Résolu]

[ungars]

Bonjour, j' utilise, pour éviter le parcage intempestif de la tête de lecture de mon portable, le programme quiethdd, que j' ai placé dans le menu démarrer de Vista.
Tout allait bien jusqu' à il n' y a pas si longtemps, au démarrage Quiethdd ne se lance pas, un message me signale que je n' ai pas les droits pour le faire... Pas grave, je verrais ça plus tard, je le lance donc à la main, et le bouclier d' AVG me signale un Cheval de troie avec Quiet HDD : cheval de troie generic 18.BFZM .

J' ai fait une recherche sur le net mais je n' ai rien trouvé sur ce Cheval de Troie...

Je viens de lancer un scan avec Avg. Que puis je faire d' autre ?

Merci, bonne journée !

[lool_lauris]

Salut,

Quelques fois les antivirus considèrent certains fichiers comme malveillants alors que ce n'est pas le cas ... on appelle cela des faux-positifs.
Pour t'en assurer, fais un scan en ligne avec VirusTotal qui met en oeuvre des analyses avec une 40taine d'antivirus différents.
En fonction du score, tu pourras juger de la véracité de ton propre antivirus.
Upload le fichier considéré comme malveillant sur => http://www.virustotal.com/fr/

A+
lool

[ungars]

Bonjour et merci de ton aide.
Je viens de faire analyse du fichier, je n' arrive pas trop à comprendre le résultat :

Code : Tout sélectionner

Fichier quietHDD_v1.5-build250.zip reçu le 2010.08.09 12:02:35 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 9/40 (22.5%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 78 et 112 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.  Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2010.08.09.00 2010.08.09 - 
AntiVir 8.2.4.34 2010.08.09 - 
Antiy-AVL 2.0.3.7 2010.08.09 - 
Authentium 5.2.0.5 2010.08.09 - 
Avast 4.8.1351.0 2010.08.09 - 
Avast5 5.0.332.0 2010.08.09 - 
AVG 9.0.0.851 2010.08.09 Generic18.BFZM 
BitDefender 7.2 2010.08.09 - 
CAT-QuickHeal 11.00 2010.08.09 - 
ClamAV 0.96.0.3-git 2010.08.09 - 
Comodo 5694 2010.08.09 - 
DrWeb 5.0.2.03300 2010.08.09 - 
eSafe 7.0.17.0 2010.08.08 Win32.TRCrypt.XPACK 
eTrust-Vet 36.1.7777 2010.08.09 - 
F-Prot 4.6.1.107 2010.08.09 - 
F-Secure 9.0.15370.0 2010.08.09 - 
Fortinet 4.1.143.0 2010.08.09 - 
GData 21 2010.08.09 - 
Ikarus T3.1.1.84.0 2010.08.09 - 
Jiangmin 13.0.900 2010.08.07 - 
Kaspersky 7.0.0.125 2010.08.09 - 
McAfee 5.400.0.1158 2010.08.09 Artemis!1A0F669ECB7F 
McAfee-GW-Edition 2010.1 2010.08.09 Artemis!1A0F669ECB7F 
Microsoft 1.6004 2010.08.09 - 
NOD32 5351 2010.08.09 - 
nProtect 2010-08-09.02 2010.08.09 - 
Panda 10.0.2.7 2010.08.08 Suspicious file 
PCTools 7.0.3.5 2010.08.09 - 
Prevx 3.0 2010.08.09 - 
Rising 22.60.00.04 2010.08.09 Packer.Win32.Agent.bk 
Sophos 4.56.0 2010.08.09 - 
Sunbelt 6704 2010.08.09 Trojan.Crypt.XPACK.Gen 
SUPERAntiSpyware 4.40.0.1006 2010.08.09 - 
Symantec 20101.1.1.7 2010.08.09 - 
TheHacker 6.5.2.1.339 2010.08.09 - 
TrendMicro 9.120.0.1004 2010.08.09 TROJ_Generic.DIF 
TrendMicro-HouseCall 9.120.0.1004 2010.08.09 TROJ_Generic.DIF 
VBA32 3.12.12.8 2010.08.04 - 
ViRobot 2010.8.9.3978 2010.08.09 - 
VirusBuster 5.0.27.0 2010.08.08 - 
Information additionnelle 
File size: 30381 bytes 
MD5...: c6e540d449b67e6d56589cdcf4be811a 
SHA1..: cd1b1205ac4b7036a9e4e47c9d612c63eff6ef08 
SHA256: 6fb0de77823bdf7a80a6a81a019e5c7ef8ae4294c89767a6a05547b2532e0127 
ssdeep: 768:4pHu5liQx5awplscnuDLB/tCSohcCQaD7Q9D2w8:H5liKxyKuDRgxcCQaDL
 
PEiD..: - 
PEInfo: - 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: ZIP compressed archive (100.0%) 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
 

Cela voudrait dire que quelques antivirus le considère comme dangereux ?

[lool_lauris]

Ça veut dire que 9 antivirus sur 40 considère que ce fichier comporte du code malveillant. Il est possible qu'une syntaxe particulière ait des ressemblances avec des signatures connues.
Et tu peux voir aussi que les 9 en question ne lui attribut pas le même nom.

Étant donné le résultat (certes un peu élevé), je pense que ton fichier n'a rien de suspicieux.
Fait quand même quelques recherches sur le net sur quiethdd pour voir ce qu'il s'en dit en règle générale.

Bye,
lool

[ungars]

Je viens de lancer un scan en ligne avec Secuser, je crois bien être réellement infecté : http://threatinfo.trendmicro.com/vinfo/ ... eneric.DIF

Je ne sais pas du tout comment j' ai pu me chopper ça, je n' ai rien ouvert comme pièce jointe...

[lool_lauris]

OK, dans ce cas je transferts ton sujet dans la section Désinfection du forum.
Des experts vont te prendre en charge et vérifier avec toi l'état de ta machine.

Bye,
lool

[ungars]

Merci du coup de main en tout cas !
Pour résumé la situation, j' ai réinstallé Vista et Quiet Hdd qui avait fonctionné sans problème il y a quelques mois, et sans problème ici depuis 10 jours, ce matin il ne voulait pas s' executer (je ne dispose pas des droits... Jamais eu ce message, j' ai mis ce programme dans le menu démarrer) . Et le bouclier d' Avg me signale donc ce trojan.
J' ai lancé un scan en ligne avec Secuser.com, qui me confirme ce cheval de Troie. Apparament ce scan m' a permis de l' éradiquer. Avg m' a signalé ce problème également avec Explorer 8.
Bonne soirée !

[chantal11]

Bonjour ungars,

Nous allons contrôler ensemble ton système.

--------------------------------------
ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman et enregistre-le sur ton Bureau
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
• Double-clique sur ZHPDiag pour lancer l'exécution
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
  Tu refermes ZHPDiag
• Le rapport ZHPDiag.txt se trouve sur le Bureau.
  Ce rapport étant trop long pour le forum, héberge le :
  • sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

--------------------------------------------
Malwarebytes :

• Télécharge et installe Malwarebyte's Anti-Malware
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
• les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre, copie-colle le contenu de ce rapport dans ta réponse sur le forum

--------------------
J'attends donc les rapports :

• ZHPDiag.txt
• mbam-log[date-heure].txt

@+

[ungars]

Bonjour et merci pour le temps que tu me consacres.
Apparament c' était bien Quiethdd le fautif, je l' ai enlevé, après plusieurs scans (Avg + Secuser) je pense que c' est bon.
Reste à savoir pourquoi mes précédents scan ne l' avaient pas détectés... Et pourquoi cela ne le fait qu' à moi, car ce programme est bien utilisé...

Bref, mes logs, le premier, celui de Zhpdiag :
http://www.cijoint.fr/cjlink.php?file=c ... JE9iEF.txt

Et celui de Malwarebytes :

mbam-log-2010-08-10 (15-56-34).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 233721
Temps écoulé: 1 heure(s), 14 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

C' est bon apprament ?

Bonne soirée !

[chantal11]

Bonjour,

Tu as aussi une petite infection USB.

----------------------------------------------------------
USBFix :

• Télécharge UsbFix de El Desaparecido , C_XX & Chimay8 sur ton Bureau
• L'outil peut faire réagir l'antivirus. Dans ce cas, tu ignores les alertes ou tu désactives temporairement ton antivirus
• Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Double-clique sur UsbFix sur ton Bureau
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Choisis la langue (Français) puis l'option 1
• Poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide


--------------------
J'attends donc le rapport UsbFix.txt


--------------------
D'autre part, mais tu dois le savoir, tu es tout de même juste avec 1 Go de mémoire, tu ne peux pas rajouter une barrette ?


@+

[ungars]

Bonsoir, merci de ton aide.
Histoire d' en savoir un peu plus, ou voit on que j' ai une infection ?

Oui ça fait un peu juste 1 giga de mémoire, mais je suis plus souvent sous Linux, alors ça passe mieux, j' envisage un achat d' ordinateur, j' en prendrais un plus musclé.

Je lance un peu plus tard le scan, @+

[chantal11]

Bonsoir,

C'est une ligne qui est signalée infectieuse dans le rapport ZHPDiag, dans la rubrique MountPoints2.

USBFix va donc nettoyer cette ligne et surtout vacciner tes supports amovibles afin que cela ne se reproduise plus.

@+

[ungars]

Tu veux dire ici :

Code : Tout sélectionner

 ---\\ MountPoints2 Shell Key (MPSK) (O51)
O51 - MPSK:{54016ab2-99b7-11df-9925-806e6f6e6963}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\wubi.exe --cdmenu (.not file.)


 

Bizarre, Wubi c' est ce qui permet d' installer Ubuntu dans Windows, je ne l' ai jamais fait, et le seul périphérique usb que j' ai mis (une fois) c' est mon appareil photo, et je ne vois pas comment il a pu arriver là, d' autant plus que le scan s' est effectué sans périphérique usb...

[chantal11]

Bonjour,

Cela a tout de même créé une clé MountPoints2.

Tu demandes une désinsfection, on analyse donc d'après un rapport.

Si tu ne veux pas fixer cette ligne, tu fais comme tu veux, ne passe pas USBFix, mais ce n'est qu'une recherche de fichiers infectieux.

@+

[ungars]

Si, je vais suivre tes conseils à la lettre, mais je cherche à comprendre, je n' avais jamais été confronté à ce problème...

Donc voici le rapport :

Code : Tout sélectionner

 Utilisateur: xxxxxxxxxxxxxxxxxx[Hewlett-Packard Presario C500 (GF850EA#ABF)]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 21:55:48 | 10/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Celeron(R) M CPU 440 @ 1.86GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18928

Pare-feu Windows: Désactivé /!\
RAM -> 1013 Mo 
C:\ (%systemdrive%) -> Disque fixe # 69 Go (40 Go libre(s) - 57%) [] # NTFS
D:\ -> Disque fixe # 5 Go (1 Go libre(s) - 24%) [PRESARIO_RP] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{54016ab2-99b7-11df-9925-806e6f6e6963}
Shell\AutoRun\Command = E:\wubi.exe --cdmenu


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |