[Réglé] Nous avons un exploit ou virus...mortes de trouille

[JENNY ET PATRICIA]

Bonsoir,

Nous - car en fait on est deux a se servir du pc , on attend le père Noel (l'autre était plus qu'obsolète, pas le père Noêl hein, le pc lol ) - avons utilisé un antivirus en ligne à partir d'un site conseillé (je ne dis pas le nom je ne sais pas si c'est autorisé ...) . L'antivirus TREND Micro House Call a trouvé un truc pas net du tout et on est très inquiètes, c'est peu dire :

EKPL CVE20130431 c'est dans le fichier rt.jar

C'est situé dans le répertoire :

c:\Program Files (x86)\Java\jre7\lib\ ou y trouve bien rt.jar on l'a trouvé facilement.

Dans les propriétés du fichier on a une taille de 51 744 550 octets et taille sur disque de 51 744 768 octets.
CE fichier a la même date de création que tous les autres dans le répertoire à savoir: samedi 18 octobre 2014 15:12:26
Il a été modifié à 15:12:28 et son dernier accès c'est à 15:12:26 .

Nous sommes sous W7 et notre version de java est V7 mise à jour 71 (build 1.7.0_71-b14).

L'antivirus en ligne propose d'éliminer ou ignorer "la menace" ... Ok pour l'éliminer - mais pour l'instant on attend les avis d'un expert ou d'une experte- nous sommes plutôt méfiantes!! Pas assez la preuve comment est ce qu'on a pu etre
victimes de ce truc !!!!!! ????

En fait, nous n'osons plus rien faire. Le pire c'est que même si on élimine ce truc , comment être certaines que sur le disque il n'y a pas d'autres "cadeaux" que Trend n'a pas trouvé !!
Mais ce n'est pas tout car depuis le samedi 18 octobre, nous avons utilisé nos boites mails, nos gestions de compte en banque et la cerise sur le gâteau, nous avons aussi donné nos coordonnées bancaires sur quelques boutiques en ligne ...on est limite CRISE DE PANIQUE AIGUË !!!!

Merci de nous renseigner si possible très rapidement sur :

1- > Éliminer avec 100% de sureté ce CVE20130431
2-> Vérifier que ce truc n'a pas modifié notre Pc , pour appeler des copains.
3-> ET nous rassurer .... d'ordinaire on a plutôt un joli teint de peau ... là nous sommes plutôt .... euh ... verdâtres (on ne rigole pas messieurs !!! ).
Car en fait il fait quoi ce truc (à part provoquer des crises cardiaques), il collecte des données et les envoie , il détruit des données, fait planter des applications ...ETC????

Jenny n'a rien remarqué d'anormale mais moi qui me sert plus du pc , j'ai constaté des ralentissements pour l'affichage d’émoticônes par exemple... et sur certaines pages (je ne me souviens plus du noms des sites) mais plus rarement du code informatique (style html ..bref du chinois pour moi lol) s'affichait sur la page ce qui rendait le tout illisible ...

En plus on voulait bosser ce week-end (on a pas mal de boulot à rendre pour la fin de la semaine prochaine à la fac) !!
Nous croisons les doigts pour que ce qui est sur le pc ne soit pas perdu (a prioiri non) et que ce truc ne passe pas par clef USB , sinon d'autres personnes vont avoir AUSSI le même problème !!!!!!!!!!!!!!!!!!!!!!!!

Merci de votre attention, pour vos conseils avisés et pour éclairer nos lanternes ... parce que là comme mentionné dans le titre du topic on est mortes de trouille . Bisous à tous ceux qui nous lirons.

Jenny et Pat

[bernard53]

Bonjour a vous deux et Bienvenu
Déja pas de panique le fichier détecté est normalement un faux positif.
Vérification comme ceci s.t.p.
[*]Rends-toi sur cette page
[*]Clique sur "Choose File"
[*]Vas sur ton disque chercher ce fichier à cet emplacement :

** c:\Program Files (x86)\Java\jre7\lib\ ou y trouve bien rt.jar****

[*]Clique ensuite sur le bouton "Scan It



[*]Patiente le temps de l'analyse qui dépend de la taille du fichier




[*]Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):



Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :

Poste le rapport s.t.p

Ensuite on va vérifier un peu plus profondément la pc.

Télécharges ZHPDIAG (de Nicolas Coolman) sur ton bureau...
Doubles-clique sur l'icône ZHPDiag .exe pour l’installation.


L'installation va créer 2 raccourcis (ZHPDiag et ZHPFix ) sur ton bureau


Double-clique ensuite sur l’icône ZHPDiag puis :






Valide COMPLET

A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPDiag.txt

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[JENNY ET PATRICIA]

Bonsoir,

Merci pour la réponse rapide !!

Je viens de rentrer (j'ai bossé sur un autre PC) ... Ma géniale coloc (que je viens d'étrangler ) a eu la bonne idée d'effacer le fichier suspect, le fameux rt.jar.... en choisissant "Éliminer" dans Trend Micro. Super !!
Quand je demandais dans le premier post , quels étaient les effets de EXP CVE20130431 ... j'ai donc un élément de réponse (c'est le meurtre de colocataire ) . Plaisanterie mise à part , je ne peux donc pas utiliser la première partie de ton post avec Virus TOtal.

A noter que sur la capture d'écran dans ton post , la taille maximum pour le fichier à analyser est de 32 Mo .... mais rt.jar faisait presque 50 Mo.

Je passe donc à l'étape DEUX , c'est à dire la vérification du PC.
"2-> Vérifier que ce truc n'a pas modifié notre Pc , pour appeler des copains."

J'ai téléchargé et installé le programme ZHPDIAG. Je joins les rapports dans mon prochain post.


DÉBUT D’APARTÉ
J'ai tout de même une question qui me vient à l'esprit : j'ai maintenant une version de java pas très "propre" qui est installée car l'antivirus a bien effacé le fichier suspect (j'ai vérifié) mais j'ai toujours (enfin je crois) java sur le pc....
Comment nettoyer tout ça et repartir sur une base saine ???

De plus, ce qui est étrange, c'est que dans l'hypothèse ou rt.jar servait à quelque chose et bien pour l'instant j'utilise le portable sans problème !!! J'en viens à croire que JAVA ne sert pas à grand chose???!!!
C'est étrange .... ce fichier était infecté ok ... mais faisait tout de même son job au sein de JAVA ou bien autre hypothèse , c'est un ajout dans le répertoire ou se trouvent les fichiers JAVA ...

Donc questions qui tuent : As-tu ce fichier sur ton pc si tu as installé JAVA bien sûr ????
ET ... à quoi servait donc rt.jar et pourquoi est-il "associé" à EXP CVE20130431 qui est d'après toi un faux positif donc un truc anodin si j'ai bien tout compris....
Je sais cela fait beaucoup de questions mais je suis curieuse et le premier qui écrit c'est bien une nana, je le fusille
FIN DE L’APARTÉ

Un grand Merci pour ta/tes réponse(s), c'est très sympa d'autant que nous sommes Dimanche.
A très bientôt, bises Bernard.

Jenny (son fantôme ) et Patricia.

[bernard53]

Perso java a beaucoup^de faille et je l'ai désinstallé de mon pc depuis 2 ans maintenant.
En cas de besoin de fait de cette façon.
http://depan-distance.perso.sfr.fr/

regarde nommé "NE PAS OUBLIER QUE JAVA N'EST PAS UNE OBLIGATION."
De toute façon pas grave cette suppression
Tu vois sur le pc de ma femme tous les "rt.jar" et qui ne sont pas des intrus d'ou ma quasi certitude du faux positif.

ET ... à quoi servait donc rt.jar et pourquoi est-il "associé" à EXP CVE20130431 qui est d'après toi

Désolé je ne sais pas quel fonction a exactement ce fichier. Il fait parti du programme et c'est tout a mon avis.

[JENNY ET PATRICIA]

(Re) Bonsoir ou Bonjour,

Voici le fichier généré par ZHPDIAG....

Hadopi , haut les mains que personne ne bouge , .


Enfin 99% du fichier est ésotérique..... style :
[HKCU\Software\У¦УГіМРтПтµјЙъіЙµД±ѕµШУ¦УГіМРт]

En attendant d'avoir ton avis, on laisse JAVA tranquille .... On va le virer par la suite si c'est une source de problèmes. Merci pour le lien au fait !!

Maintenant, le tout est d'avoir l'assurance que le portable est propre ... malgré certains "trucs" installés dessus depuis fort longtemps d'ailleurs mais bien utiles car parfois on ne peut pas faire qu'avec du logiciel libre même si vlc ou libreoffice sont top...

Au plaisir de te lire et suivre tes conseils !!
Bon courage et encore merci Bernard.

Jenny et Patricia.

[bernard53]

ok pas grand chose .
* Copie tout le texte présent que tu télécharges dans le lien ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

Rapport ZHP.txt

Puis Lance ZHPFix depuis le raccourci du bureau.
Valides l’icône IMPORTER



puis valide GO dans cette fenêtre.


Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
A la fin du scan le rapport est sauvegardé directement sur ton bureau. ZHPFixReport.txt

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

Puis:Installe Malewarebytes' Antimalware : http://www.malwarebytes.org/mwb-download/

Prends bien la version FREE << et ne pas valider l'essai de la version Prémiun>> lors de l’installation.
Puis :


Ensuite si détection :


Et pour supprimer les détections.



Clique ensuite journal des applications puis sur Exporter le journal puis sur Fichier texte (*.txt)
Attribue au fichier le nom de mbam puis clique sur Enregistrer.
Le rapport est disponible ici : C:\mbam.txt.

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[JENNY ET PATRICIA]

Salut Bernard,

Ton "ok pas grand chose ." déjà cela rassure pas besoin de faire opposition sur la cb

Avant de lancer le grand nettoyage, est que tout ce que l'on va faire est "réversible" ??

On voulait juste te dire ça avant , parce que niveau sauvegarde, on ne doit pas être au top (le strict minimum ).
Nos docs perso sur clef usb , les pilotes LENOVO d'origine de ce portable et W7 c'est tout !!

Seconde question, on a vu que notre superbe économiseur d'écran MArine Aquarium te plaisait pas trop , l'installation est récente d'ailleurs ne serait ce pas ça la cause de nos problèmes .... si c'est ça on s'en passera... dommage c'est superbe !
Dernière question, tu as certainement vu que quelques logiciels sont "hadopisables ... "
(budget même de deux étudiantes non extensible )

Le GROS problème serait de ne plus pouvoir se servir de MS-office car à la fac plein de docs sont échangés (certains avec des présentations sophistiqués et/ou avec des macros, Office 2000 nous est indispensables car TOUT n'est pas compatibles avec libre office (hélas !!). L'activation de départ d'office puis les maj de sécurité ne peuvent être faites que grâce à AUTOKMS qui est installé depuis de nombreux mois ..... (c'est ce qu’on nous a dit).

Je pense que tu vois le problème si on supprime kms
J'en ai parlé aujourd’hui à des amis qui ont strictement la même version de kms et office .. ils n'ont pas de problèmes. Certains m'ont dit qu'il existait différentes versions de kms ,une grande majorité de trojans mais d'autres saines ..c'est ce que tu appelais des faux positifs je crois ??? Enfin on te fait confiance .. s'il faut en passer par la suppression de tout ça..on avisera.

Merci pour le temps que tu nous accordes... c'est très sympa!!
Au plaisir de te lire, Bernard.

Jenny et Pat

[bernard53]

Pour "MarineAquarium3.3.6041" je ne fait que supprimer le .exe . Cela va vous permettre de garde votre fond d'écran comme tel.

[JENNY ET PATRICIA]

Salut,

Bon, on espère avoir fait tout ce qu'il fallait....

Avec ZHP pas de problèmes...mais avec le programme de désinfection ,il a une fâcheuse tendance à "disparaitre" de la barre de tache en bas de l'écran.

Donc ci joint les deux rapports comme tu as demandé.

Si tu pouvais expliquer juste ce que c'était que les 5 trucs détectés et supprimés ??
De plus ds le rapport ZHP il est fait référence à Epson ?? ben oui c'est notre super imprimante que je déconseille d'acheter.
Il y avait aussi à la fin du premier rapport que l'on t'a envoyé ce truc là !! (je viens de le remarquer)
---\\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
c'est quoi aussi ??? je sais je suis curieuse

Merci Bernard et au plaisir de te lire. Bises!!

JENNY et PAT

[bernard53]

Les 5 trucs de MalwaresBytes?

[JENNY ET PATRICIA]

Salut Bernard,

Ben oui !!

Les 5 trucs de MalwaresBytes?

Je t'ai répondu via mail... avec tout plein de détails ... je sais ... j'suis pénible

Ils sont exploitables les deux fichiers envoyés : ZHPFixReport.txt et mbam.txt ?? Nous sommes clean ??

SI oui .... je t'envoie une caisse de Doliprane. (je vais pouvoir ressortir la cb si besoin pour Noel ??? ...quoique )

A te lire , à bientôt et encore merci !!!!

JENNY et PAT

[bernard53]

Bonsoir
Je t'ai répondu

[JENNY ET PATRICIA]

Bonjour,

Merci pour les explications.
Comme tu ne nous demandes pas d'utiliser d'autres logiciels, notre PC est donc pour toi 100% propre (on va dire 99.9% ).

Surprises MAIS contentes qu'un petit logiciel comme ZHPDiag et une version d'essai d'un anti-malware suffisent.
Comme je suis devenue paranoïaque, une relance de l'antivirus en ligne de TREND Micro s'imposait, TOUT est ok !!

Tu n'as pas répondu à deux questions :
--> Pourquoi y a t-il une référence à un disque D: dans ZHPFixReport.txt (suppression de machin en référence à l'imprimante) alors que D: c'est la lettre affectée au lecteur de DVD....on risque pas de corriger grand chose...je suis perplexe!!
--> Dans le fichier MBAM.TXT envoyé, il y a la ligne "Rootkits : Disabled", une question logique se pose : MalwareBytes recherche t-il AUSSI les rootkits dans sa version d'essai ou bien est ce moi qui me suis plantée en l'utilisant ?

Juste un petit truc, on peut effacer maintenant ZHPDiag + MalwareBytes ? Si besoin je sais maintenant que ça existe.

Pour terminer une demande de conseils :

Nous n'avons que Microsoft Security Esssentials comme tu l'auras certainement remarqué or celui-ci se révélant être un gadget inutile (en comparaison une passoire est étanche ) que nous conseilles-tu pour améliorer la sécurité sur notre portable ???? Un ou plusieurs antivirus/ malware etc ... de préférence gratuit offrant une protection efficace donc en temps réel, je demande l'impossible ???

C'est certain, il y a des tonnes de comparatifs sur le net et chacun y va de son avis... bref on s'y perd.
Sachant que tu es confronté à plein de cas de figures différents et que tu n'es pas un helper débutant vu ton nombre de messages impressionnant (c'est pas de la flatterie c'est une constatation ) on te demande donc ton avis !!

Un grand MERCI pour ce que tu as déjà fait pour nous dépanner et nous rassurer.

Au plaisir de te lire Bernard.

JENNY ET PATRICIA

[bernard53]

OK tu veux parler de ceci.
SUPPRIMÉ: FirewallRaz (Private) : TCP Query User{406E4990-84FD-4A6C-8AC6-FE502A11E6DE}D:\epsonnet easyinstall\easyinstall.exe
SUPPRIMÉ: FirewallRaz (Private) : UDP Query User{1D803EB8-08F4-40D5-9090-9A49F7555BA7}D:\epsonnet easyinstall\easyinstall.exe

INFO:Cette commande permet la suppression d''applications autorisées par le parefeu Windows. La gestion diffère selon le système d'exploitation.
donc aucun soucis a avoir.

Pour votre antivirus, je prendrais plutôt Avast ot Avira en gratuit.
Couplé avec Malwaresbytes et une navigation saine, pas de soucis à avoir.
Bon après midi

[JENNY ET PATRICIA]

Bonjour Bernard,

On va donc installer un des deux antivirus , pas les deux je suppose que çà ne sert à rien.

Quant à Malwarebytes , comme c'est pas une protection en temps réel pour la version gratuite (j'ai vu ça sur leur site web) et qu'il ne désinfecte QU’APRÈS l'infection je vois pas trop l'utilité ou peut être de temps en temps , tout comme l'usage d'un anti virus en ligne connu pour être costaud (kaspersky ou trend par exemple).....

Donc merci pour tes explications et ton aide et puis on ne te dis pas à la prochaine ...

Bonne journée.

JENNY ET PATRICIA

ps: Pour clôturer le topic et mettre "Résolu", il faut faire quoi ??? je ne trouve pas cette l'option sur l'interface...