PWS:Win32/Frethog.F

PWS:Win32/Frethog.F - Virus/Spywares - Windows & Software

Marsh Posté le 29-03-2011 à 11:44:02    

Bonjour,
 
Microsoft Security Essentials me dit que je suis infesté par PWS:Win32/Frethog.F
Il est arrivé sur mon pc via une clé usb qui s'est fait infecté sur un pc de l'école ( :fou: )
 
MSE n'arrive pas à le retirer, comment faire ?
Par ailleurs, comment définitivement désactiver les autorun.inf de toute source extérieure ?
Merci.
 
Et en attendant, puis-je continuer à utiliser mon pc sans danger pour les mots de passe utilisés un peu partout ? (e-commerce, forum, paypal, accès à ma banque, accès vpn, etc)
re-merci.

Reply

Marsh Posté le 29-03-2011 à 11:44:02   

Reply

Marsh Posté le 29-03-2011 à 13:44:16    

Bjr,
 
Google :  :D  
 
Infos & tutos de desinstallation ici et ici
 

Citation :

Et en attendant, puis-je continuer à utiliser mon pc sans danger pour les mots de passe utilisés un peu partout ? (e-commerce, forum, paypal, accès à ma banque, accès vpn, etc)


Reponse : 1ere ligne de la page :
         

Citation :

PWS:Win32/Frethog.F is a dangerous password-stealing Trojan.


Autre element :
         

Citation :

This infection will change your registry settings and other important windows system files. If PWS:Win32/Frethog.F is not removed it can cause a complete computer crash.


> DONC, nettoyer, ca semble facile a priori ;)

Reply

Marsh Posté le 29-03-2011 à 21:54:32    

Les liens que tu donnes ne correspondent pas aux symptômes que j'ai, même si le nom est le même.
Rien qui s'execute, rien dans la registry, rien comme nom de fichier sous un nom du genre PWS:Win32/Frethog.F.
 
Si tu lis le lien que j'ai donné chez Microsoft, explorer.exe serait infecté.
MSE ne parvient pas à la retirer. Que faire dans ce cas ?

Reply

Marsh Posté le 29-03-2011 à 22:50:55    

Salut car_rod.
 
Suite à l'insertion d'une clé USB ?  
 
Fais ceci :  
 
 Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
 
    Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
 
    Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    Clique sur "Recherche"
    Laisse travailler l'outil
    A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
 
   Aide en images : Tutoriel "Recherche"
 
++

Reply

Marsh Posté le 29-03-2011 à 23:14:00    

Sans les ouvrir ? Ah ben je veux bien moi, c'est d'ailleurs une de mes questions du premier post: comment dire à Windows de ne PAS effectuer de tâche quelconque sur les supports externes dès qu'on les branche ? Je veux le faire manuellement.
 
J'ai téléchargé l'outil. J'avais cependant reformaté la clé usb litigieuse. Il en reste d'autres...
Mais j'ai entretemps installé Symantec NAV (depuis le bureau en vpn). Le full scan est en cours.

Reply

Marsh Posté le 29-03-2011 à 23:19:14    

Oui ben ça s'appelle des autoruns :) L'outil que je t'ai fait télécharger va nous dire si la clé t'a installé une infection ou non. En supprimant, il vaccinera tes supports amovibles (lecteur CD, DVD ... , les clés branchées ....). Si tu as plus de clés que de connecteurs USB, tu peux le faire en plusieurs fois.  
 
Norton ne vaut pas grand-chose tu peux stopper le scan ou le laisser faire, c'est toi qui vois ;)  
 
Après USBFix, je t'enverrai un outil de diagnostic qui permettra de voir si toutes les infections sont bien supprimées.
 
++
 
EDIT : si elles s'ouvrent, referme-les vite ;)


Message édité par Profil supprimé le 29-03-2011 à 23:19:48
Reply

Marsh Posté le 02-04-2011 à 14:58:08    

Je pense que je m'occuperai des clés usb après. Je suppose qu'elles ne sont pas importantes dans un premier temps si je ne m'en sers pas, on peut voir après pour elles.

 

Le problème maintenant est le PC.
Il ne se comporte pas comme "d'habitude": explorer.exe se plante à chaque démarrage, les icônes en bas à droite ne s'affiche pas toujours, lenteur excessive dans les zones de saisies sous IE, etc.
Symantec AV (pro, il vient du bureau) me trouve le même fichier litigieux que MSE, mais il appelle le virus autrement: Trojan.Packed.NsAnti
Les deux AV effacent le même fichier qui revient de façon récurrence, mais ils ne suppriment pas la cause du retour systématique de ce fichier c:\windows\system32\arking0.dll
Bref, le "mal" est toujours quelque part dans le pc. Si tu pouvais me refiler un outil pour le repérer se serait sympa. Merci !

 

Ah oui, j'ai aussi des disques durs externes que je n'ai jamais branché depuis l'infection avec la clé usb. Si je dois reformater mon pc sans pouvoir faire de backup avant, c'est embêtant.


Message édité par car_rod le 02-04-2011 à 15:07:51
Reply

Marsh Posté le 02-04-2011 à 15:29:33    

J'ai lancé le prg usbfix pour vérifier les partitions, voici le résultat:
UsbFix.txt


Message édité par car_rod le 02-04-2011 à 15:29:45
Reply

Marsh Posté le 02-04-2011 à 21:40:46    

Salut :)
 
Ben tu vois que ça sert à quelque chose ! USBFix ne fait pas que nettoyer tes supports, les clés infectées, quand tu les branches, elles infectent ton pc ! Donc il faut bien que l'on supprime ça !  
 
Tu peux passer au nettoyage :)

Reply

Marsh Posté le 03-04-2011 à 09:30:29    

Ordre executé mon capitaine ;)
Voici le rapport UsbFix.txt
 
Par contre deux choses au moins qu'il a faite sans me demander mon avis: changer ma homepage, et virer notepad2.


Message édité par car_rod le 03-04-2011 à 09:32:24
Reply

Marsh Posté le 03-04-2011 à 09:30:29   

Reply

Marsh Posté le 03-04-2011 à 12:02:58    

Hello :)  
 
Le nettoyage ok ! :)
 
Pour ta page d'accueil, il te reste à la replacer, désolé ;) On va maintenant lancer un diagnostic afin de voir s'il reste des infections, si l'infection USB est bien nettoyée, etc ...
 
Utilise ce logiciel de diagnostic :
 
   
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
++

Reply

Marsh Posté le 03-04-2011 à 12:17:02    

Je viens de refaire un usbfix mais en branchant la clé par laquelle tout est arrivé:
UsbFix.txt
Je l'avais reformatée pourtant (sur un pc protogé, en full format). Voici le contenu de autorun.inf:
[AutoRun]
open=9rfpp.exe
shell\open\Command=9rfpp.exe
 
Et voici les fichiers contenus (dir g:\):
 autorun.inf 17/03/2011 19:29 1KB
 9rfpp.exe 10/05/2010 14:35 10KB
 
Le fichier autorun_.inf qu'on voit dans le rapport usbfix.txt c'est moi qui l'ai ajouté après (j'ai pas pu écrasé l'original autorun.inf).
Avant de lancer ZHPdiag, ne dois-je pas définitivement nettoyer cette clé ?
 
(ps: en tout cas merci, ça devient presque amusant de traquer ces saloperies :sarcastic:)


Message édité par car_rod le 03-04-2011 à 12:21:37
Reply

Marsh Posté le 03-04-2011 à 12:38:09    

Oui vas-y nettoie la clé par l'option Nettoyage d'USBFix :)
 

Citation :

(ps: en tout cas merci, ça devient presque amusant de traquer ces saloperies :sarcastic:)


 
Et comment ! :D  

Reply

Marsh Posté le 03-04-2011 à 13:46:49    

Le nouveau rapport UsbFix.txt
Je n'ai pas l'impression que la clé soit "vaccinée", le fichier autorun.inf est toujours là (en fichier système caché). Si j'ai bien compris la vaccination elle consiste à placer justement ce fichier afin d'empêcher un malveillant de le faire. Masi s'il y en a déjà un ?
 
Que faire maintenant avec les autres clés et les disques externes, il faut les "vacciner" ? Comment, juste placer un autorun.inf avec le bouton "Vaccine" de usbfix ?
L'entrée Mountpoints2 dans le rapport me laisse perplexe aussi.
 
Bon, je lance zhpdiag en attendant.

Reply

Marsh Posté le 03-04-2011 à 14:11:14    

Reply

Marsh Posté le 03-04-2011 à 14:47:58    

Pour tes questions sur USBFix, il vaccine dès que tu as tes clés branchées et que tu lances soit l'option nettoyage soit la vaccination seule.  
 
Le fichier autorun.inf est la vaccination.  
 
================================
 
Quelle est l'entrée qui te laisse perplexe ?  
 
Le rapport ne semble plus indiquer d'infection, fais ceci :  
 
Télécharge ensuite Malwarebytes Anti-Malware (MBAM): ---> Malwarebytes Anti-Malware <---
 
Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.
 
Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".
 
Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".
 
Poste le rapport généré.
 
++

Reply

Marsh Posté le 06-04-2011 à 22:30:26    

Docteur, voici le résultat de mes dernières analyses :)

Reply

Marsh Posté le 07-04-2011 à 12:48:37    

Salut :)
 
Je ne vois plus de soucis sur tes rapports. Cela dit quoi de ton côté ?  
 
Tu es "protégé" par Norton. Tu en es satisfait ? Tu as la version payante ?  
 
++

Reply

Marsh Posté le 07-04-2011 à 14:35:14    

Comme ça, empiriquement et intuitivement, le comportement du PC m'a l'air "normal".
 
Je n'avais pas d'antivirus installé avant cette contamination par clé usb.
Mais, je n'ai toujours pas la réponse que je posais au début:
comment dire à Windows de ne jamais exécuter implicitement un quelconque code se trouvant sur une clé usb ou tout autre périphérique ? (usb, firewire, série, parallèle, sata, etc)
S'il n'y a pas moyen je trouve ça ahurissant, c'est un trou de sécurité.
 
Donc, après contamination, j'ai installé naîvement d'abord MSE puis Symatec NAV pensant que l'un ou l'autre allait me nettoyer gentiment tout ça. Une fois fait, je désinstalle l'AV et la vie continue comme avant :ange:
Naïf donc j'étais, mais merci le forum (et toi surtout :hello:)
Je sais, je vis dangeureusement sans AV. Si on est prudent il n'y a pas de soucis. Mais là j'estime avoir été victime d'un trou de sécurité.
 
Symantec NAV vient du bureau, on a une licence corporate. Les admins réseaux semblent ravis (il y a des centaines de machines, les incidents "malveillants" sont rarissimes). Il est installé sur mon PC de bureau, contraint et forcé. Je n'arrive même pas à le tuer via le gestionnaire de tâche. Mais bon, ça va, il sait se faire discret quand il a fini le scan hebdomadaire complet le dimanche (le lundi matin pour moi quand j'allume mon PC que je ne laisse pas allumé pendant le WE: je suis sensibilisé par le gaspillage d'énergie, j'apprend à être radin en la matière ;)).
 
En conclusion: Merci :jap:
 
J'ai cependant des questions. Commençons pas la première:
les trois outils que tu m'as fourni sont installés. Je peux les désinstaller ? Ils jouent encore un role ?

Reply

Marsh Posté le 07-04-2011 à 17:00:27    

Pour ta question initiale, j'y ai déjà répondu je reprends ma réponse et la complète :  
 
Tu as raison, c'est une faille de sécurité de la part de Microsoft :) Mais si c'était la seule, on le saurait et ce serait pas trop mal :D  
Il existe donc des moyens pour éviter l'exécution automatique des supports dès leur insertion sur ton pc (si c'est bien là ta question). L'outil que tu as encore, USBfix, le fait. Beaucoup d'autres outils le font. Le seul inconvénient, c'est que seuls les supports insérés au moment de la vaccination (ça s'appelle comme ça :D ) seront exempts de l'exécution auto.  
 
Microsoft a donc pondu ceci : http://support.microsoft.com/kb/971029
 
Tu peux la télécharger et l'installer, cela supprimera la lecture automatique, comme tu peux le lire ;)
 
====================
 
Pour les outils, non, plus d'utilité :) Pour les supprimer (cet outil fait plus qu'une simple suppression, il va aussi rechercher les clés de registre que les-dits outils auront créées)  :
 
DelFix - Option Suppression
 
Télécharge DelFix (d'Xplode) sur ton bureau.  
 
Lance-le puis sélectionne l'option Suppression  
 
Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.  
 
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )  
 
=========================
 
!! TRES IMPORTANT !!
 
Supprimer les anciens points de restauration:
 
>> Procédure sous Vista: /!\Désactive la restauration puis réactive-la /!\ Cela purgera la restauration du système.
http://www.commentcamarche.net/faq [...] e-de-vista
 
Les points sont supprimés.
 
Création d'un nouveau point:
 
>> Procédure de création d'un point de restauration "sain" sous Vista: http://www.pcentraide.com/index.php?showtopic=86401
 
Nomme-le par exemple: "Après désinfection ..." pour te rappeler.
 
========================  
 
Pour une navigation plus sûre :
 
Addon à ajouter à firefox pour le sécuriser:
 
▶ Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
▶ Explications/Demo ici : http://www.mywot.com/fr/demo
 
+ ceux-ci: http://www.malekal.com/securiser_Firefox.php  
 
========================
 
Utile, à lire absolument, quelques minutes de prévention : http://www.malekal.com/fichiers/pr [...] alware.pdf
 
========================
 
Pour ton AV, Norton, c'est vrai, n'a pas très bonne réputation parmi nous :) Mais dans ton cas, pas de soucis je pense. Tant que l'on a une habitude de surf non dangereuse, d'ailleurs, l'AV n'est quasi sans utilité. Moi -même je n'ai pas de protection ;)
 
Pour les remerciements, y'a vraiment pas de quoi.  
 
Pour les futures questions, je suis tout ouï :D

Reply

Marsh Posté le 07-04-2011 à 20:26:39    

"DelFix.exe is not a valid Win32 application"
 
C'est un drole de rapport ça !
;)


Message édité par car_rod le 07-04-2011 à 20:27:12
Reply

Marsh Posté le 07-04-2011 à 20:59:24    


"This update does not apply to your system" :ouch:
J'ai bien pris la version Vista 32bits. Serait-il déjà installé via les Windows Update ?
EDIT: je suppose que oui, je viens de désactiver le service (qui désactive implicitement aussi le "Windows Image Acquisition"-> scanner).


Message édité par car_rod le 07-04-2011 à 21:10:48
Reply

Marsh Posté le 07-04-2011 à 21:08:19    

Je ne sais pas s'il est déjà installé, mais cela m'étonnerait ... Peut-être la version "Business" de Vista ?  
 
Pour Delfix, essaie en le lançant par un clic-droit >> Exécuter en tant qu'administrateur.  
 
++

Reply

Marsh Posté le 08-04-2011 à 10:53:42    

J'ai retéléchargé l'outil. C'est bien la première fois que j'ai un fichier corrompu au téléchargement ! Dois-je m'inquiéter ?
Rapport delfix.
 
Dans le rapport on voit bien la version de vista business. J'ai désactivé le service et il semble bien que vista ne me demande plus ce que je dois faire à chaque insertion (ouf, ça enlève aussi cet emmerdant de ready boost !?)
 
Malawarebytes, je l'enlève aussi ?


Message édité par car_rod le 08-04-2011 à 10:58:42
Reply

Marsh Posté le 08-04-2011 à 11:29:11    

Hello :)
 
Pour Delfix, nickel ;) Non tu n'as pas à t'inquiéter, cela arrive parfois lors des téléchargements ;)  
 
Pour Ready Boost, aucune idée désolé :D
 
Malwarebytes, c'est toi qui vois :) Il est utile à passer de temps en temps en le mettant à jour avant chaque examen. Sinon tu peux le supprimer aussi.  
 
:)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed