[OK] Demande d'analyse de log OTL/MBAM

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 29 Aoû 2010, 12:06

Bonjour,

Un p'tit commentaire préliminaire:
TFC a écrit:Total Files Cleaned = 623,00 mb

TFC ne supprime que les fichiers temporaires ... il faudrait "faire le ménage" plus souvent (via CCleaner Slim par exemple).


Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:


ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil très important:
Il faut mettre à jour Windows XP.
Depuis le 13/07/2010, Microsoft ne fournit plus aucun support pour Windows XP sans SP3.
http://windows.microsoft.com/fr-FR/wind ... acks?os=xp
http://windows.microsoft.com/fr-FR/wind ... pport-mean


ImageUn conseil important:
Java de Oracle
Installer la nouvelle version de Java de Oracle.

Version actuelle: Java SE Runtime Environment (JRE) 6 Update 21 - JRE 6 Update 21
*- http://www.oracle.com/technetwork/java/ ... index.html

Dans le paragraphe "Java Platform, Standard Edition", cliquer sur Download JRE.

Sur la page suivante, dans le paragraphe "Select Platform and Language for your download", choisir la plateforme (Windows/Windows x64), cocher la case située devant "I agree to the Java SE Runtime Environment 6u21 with JavaFX 1 License Agreement.", puis cliquer sur le bouton Continue >>

Sur la nouvelle page, sous "Windows Offline Installation", télécharger le fichier jre-6u21-windows-i586.exe, 15,32 MB
Fermer tous les navigateurs (Internet Explorer, Firefox, etc), puis faire un double clic sur jre-6u21-windows-i586.exe pour lancer l'installation.

Après l'installation de la nouvelle version, il est impératif de désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Pour ce faire:

JavaRa (de Fred de Vries et Paul McLain)
Aller sur le site http://raproducts.org/
Cliquer sur l'onglet Software
Télécharger JavaRa: Dans le paragraphe JavaRa, cliquer sur Download Windows Binary (.zip file).
Enregistrer le fichier JavaRa.zip sur le Bureau.
Créer un nouveau dossier nommé JavaRa et y décompresser la totalité de l'archive (clic droit, puis Extraire tout).
Ouvrir le dossier JavaRa puis faire un double clic sur JavaRa.exe pour lancer l'outil.

Sous "Select the language of your choice below" choisir (via la liste déroulante) Français et cliquer sur le bouton Select.

Cliquer sur le bouton Effacer les anciennes versions et valider ce choix en cliquant sur Oui ("Êtes-vous sûr de vouloir poursuivre?").

Cliquer deux fois sur OK.
Un rapport va s'afficher dans le Bloc-notes. Fermer le Bloc-notes.
Fermer JavaRa.


ImageUn conseil:
ClamWin n'offrant pas de protection en temps réel, je te conseille d'utiliser à la place un autre antivirus, comme par exemple Avira Antivir Personal.
Une version française est disponible.
Présentation: http://assiste.com.free.fr/p/logitheque/antivir.html
Présentation sur libellules.ch: http://www.libellules.ch/tuto_antivir.php
Site officiel: http://www.free-av.com/fr/products/1/av ... virus.html
Téléchargement: http://www.free-av.com/en/download/download_servers.php
Prendre le fichier Avira AntiVir Personal - FREE Antivirus, Version 9
Date: 2010-08-05, Version: 9.0.0.77
avira_antivir_personal_fr.exe 29.56 MB


ImageUn conseil important:
Il faut sécuriser Firefox:
Certaines extensions me semblent presque indispensables:

Adblock Plus https://addons.mozilla.org/fr/firefox/addon/1865
CookieSafe (ou similaire) https://addons.mozilla.org/fr/firefox/addon/2497
Dr.Web anti-virus link checker https://addons.mozilla.org/fr/thunderbird/addon/938
Flashblock https://addons.mozilla.org/fr/firefox/addon/433
IsAdmin https://addons.mozilla.org/fr/firefox/addon/4259
NoScript https://addons.mozilla.org/fr/firefox/addon/722
RefControl https://addons.mozilla.org/fr/firefox/addon/953
ShowIP https://addons.mozilla.org/fr/firefox/addon/590
WOT https://addons.mozilla.org/fr/firefox/addon/3456


ImageUn conseil:
Désactiver la fonction de lancement automatique ("autorun") sur les lecteurs amovibles.
Voir ce sujet de Gof:
Guide sécurisation Windows face aux menaces infectieuses USB
http://assiste.forum.free.fr/viewtopic.php?t=25228
Lire également (de Gof):
Les infections se propageant par les supports amovibles : USB, Flash, etc.
http://forum.zebulon.fr/infections-par- ... 31959.html
... et sa synthèse ici


ImageUn conseil:
La version gratuite de MBAM (Malwarebytes' Anti-Malware) reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Penser aux mises à jour.

Adobe Reader 9.3.4
http://get.adobe.com/fr/reader/
mise à jour 9.3.4: http://www.adobe.com/support/downloads/new.jsp

OpenOffice.org 3.2.1
http://fr.openoffice.org/


ImageUn conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Image Note: Le site n'est pas à jour, il faut utiliser la version téléchargeable.
Sont dans ce cas:

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()--->mise à jour automatique: mieux vaut la faire soi-même
O4 - HKLM..\Run: [Sudoku] File not found
O4 - HKU\S-1-5-21-1645522239-1614895754-839522115-1004..\Run: [Sudoku] File not found
O4 - HKU\S-1-5-21-1645522239-1614895754-839522115-1004..\Run: [TomTomHOME.exe] C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)--->à lancer manuellement en cas de besoin
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)--->un véritable dévoreur de ressources, inutile
O4 - Startup: C:\Documents and Settings\Patrick\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe ()--->inutile

Si tu décides de les désactiver, tu peux utiliser la méthode "msconfig" ou installer Autoruns [voir ici et ici] (sauf indications particulières dans la liste de Pacman).


ImageUn conseil:
Image Il est préférable de supprimer OTL (fichier téléchargé OTL.exe et fichiers résultats OTL.Txt et Extras.Txt situés sur le Bureau, ainsi que, s'ils existent, les fichiers de travail fix.txt et scan.txt).
Note: S'il existe, le dossier SystemDrive\_OTL contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est préférable de supprimer rkill (fichier rkill téléchargé, situé sur le Bureau, et fichier rapport SystemDrive/rkill.log).
Image Il est préférable de supprimer TDSSKiller (archive téléchargée tdsskiller.zip, fichier programme TDSSKiller.exe et fichier(s) rapport(s) SystemDrive\TDSSKiller.*_log.txt)
Image Vider les quarantaines de l'antivirus et de l'anti-spyware.



Voilì, voilò, voilà.

Salut,

PS:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede sergeK » 30 Aoû 2010, 01:42

Bonjour nickW,

Merci pour toutes ces précisions, je regarde ça en détails dès demain. Du point de vue infectieux, la machine à l'air saine, tu peux donc considérer le sujet comme clos.

Un grand merci pour ta gentillesse et ton implication, et chapeau bas devant ton professionnalisme et ton expertise.
MERCI :D
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede sergeK » 30 Aoû 2010, 22:42

Bonsoir nickW,

J'ai parlé un peu vite pour ce qui est de l'état de santé de la machine. En effectuant les actions conseillées dans l'ordre de ton post, lors de l'installation d'Avira Antivir il me détecte le dialer NsUpdate.exe (arrêté et mis en quarantaine).

Veux-tu que j'ouvre un nouveau fil?
Quelles infos souhaites tu avoir? je peux te fournir la chronologie détaillée des actions effectuées, le rapport d'Avira-Antivir, ou bien on repart sur la procédure de départ (log MBAM & OTL)?

À te lire - merci :)


Edit: Après une petite recherche sur le forum (merci à celui/celle qui à réparé la recherche :) ) je vois qu'il s'agit d'un dialer vers des sites pornographiques. Ce logiciel est il dangereux en lui-même (backdoor intégrée ou que sais-je) ou bien le danger vient-il simplement de ce qu'il pourrait être utilisé par un programme tiers à l'insu de l'utilisateur? Je crains en l'enlevant qu'il revienne rapidement. ;)
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede nickW » 01 Sep 2010, 16:19

Bonjour,

Peux-tu lancer une recherche dans le Registre:


Étape 1: RegSearch (de Bobbi Flekman)
Télécharger RegSearch (clic droit sur le lien ci-dessous, enregistrer le fichier sur le Bureau):
http://www.xs4all.nl/~fstaal01/downloads/regsearch.zip
Décompresser cette archive dans un dossier qui lui sera réservé (par exemple, C:\RegSearch).


Étape 2: RegSearch (de Bobbi Flekman)
Lancer RegSearch par un double clic sur RegSearch.exe (dans le dossier C:\RegSearch).
Dans la zone "Enter search strings (case independent) and click OK"
saisir NsUpdate sur la 1ère ligne
saisir GlobalCS sur la 2ème ligne

Ne rien saisir dans la zone "Enter string to exclude from results (optional)"

Vérifier que dans le paragraphe Search toutes les cases sont cochées.

Puis cliquer sur le bouton OK

Le programme recherche dans le Registre les éléments demandés.
Attendre, sans rien faire d'autre (durée: jusqu'à 15 minutes, ce qui semble bien long.....).
Il y a ensuite ouverture d'une fenêtre du Bloc-notes.
Dans cette fenêtre du Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier (Menu Fichier ---->Enregistrer sous..., donner le nom rech-100901.txt).

Fermer RegSearch en cliquant sur le bouton "Cancel"


Étape 3: Résultat
Envoyer en réponse:
*- le résultat de RegSearch (contenu du fichier rech-100901.txt)


Étape 4: Propriétés du fichier
Quelles sont les propriétés du fichier C:\WINDOWS\NsUpdate.exe
Clic droit sur le fichier: Taille, date de création, date de modification, puis dans l'onglet Version, entreprise, nom du produit, version du fichier.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede sergeK » 01 Sep 2010, 21:55

Bonjour nickW,

ça se complique...

Pendant le téléchargement de regsearch, Avira Antivir trouve que C:\Documents and Settings\Patrick\Mes Documents\Téléchargements\movie.exe contient le cheval de Troie TR/FraudPack.bqqc (répondu par" bloquer l'accès"). J'effectue néanmoins le scan demandé, voir le log ci-après (regsearch ne répond plus à la fermeture).

Voici dans l'ordre ce que j'avais appliqué jusqu'alors de tes conseils précédents:
- installation ccleaner et exécution avec les réglages par défaut
- Suppr/création d'un Pt de Restauration
- Installation de toutes les mises à jour proposées par Microsoft
- Suppr/création d'un Pt de Restauration
- mise à jour Java et désinstallation des anciennes versions
- remplacement Clamwin par Antivir

Actuellement le SP3 est proposé à l'installation.

Concernant NsUpdate.exe, je pensais initialement qu'il pouvait être installé par l'utilisateur pour pouvoir utiliser certains sites, mais apparemment ce n'est pas le cas, bien que mes recherches sur le web ne m'aient pas donné de réponse catégorique sur ce point. Je n'ai par contre trouvé aucun utilisateur légitime de ce soft. Tu as raison, il faut le virer. ;)

Voici le log regsearch rech-100901.txt

Code: Tout sélectionner
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 01/09/2010 22:04:19 for strings:
;  'nsupdate'
;  'globalcs'
; Strings excluded from search:
;  (None)
; Search in:
; Registry Keys  Registry Values  Registry Data 
; HKEY_LOCAL_MACHINE  HKEY_USERS 


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5256C5C-F918-49E6-BBB7-A3C254C09FDF}]
@="IOperationsUpdateProgress"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NsUpdate"="C:\\WINDOWS\\NsUpdate.exe UPDATE"

[HKEY_USERS\S-1-5-21-1645522239-1614895754-839522115-1004\Software\GlobalCS]

; End Of The Log...


merci pour ton aide. :)
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede nickW » 02 Sep 2010, 00:02

Bonsoir,

Suppression de toute référence à NsUpdate:


Étape 1: Création du fichier tuer-NsUpdate.reg
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans cette fenêtre du Bloc-notes.
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NsUpdate"=-

[-HKEY_USERS\S-1-5-21-1645522239-1614895754-839522115-1004\Software\GlobalCS]



Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de tuer-NsUpdate.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .reg.txt, renommer le fichier en .reg
Le fichier ainsi créé doit avoir cette icône: Image
Fermer le Bloc-notes.


Étape 2: Utilisation du fichier tuer-NsUpdate.reg
Faire un clic droit sur tuer-NsUpdate.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede sergeK » 02 Sep 2010, 03:19

Bonjour,

Après application de tuer-NsUpdate.reg et redémarrage, voici ce que me renvoie une nouvelle exécution de RegSearch:
Code: Tout sélectionner
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 02/09/2010 02:04:38 for strings:
;  'nsupdate'
;  'globalcs'
; Strings excluded from search:
;  (None)
; Search in:
; Registry Keys  Registry Values  Registry Data 
; HKEY_LOCAL_MACHINE  HKEY_USERS 


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5256C5C-F918-49E6-BBB7-A3C254C09FDF}]
@="IOperationsUpdateProgress"

[HKEY_USERS\S-1-5-21-1645522239-1614895754-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"e"="C:\\Documents and Settings\\Patrick\\Bureau\\tuer-NsUpdate.reg"

[HKEY_USERS\S-1-5-21-1645522239-1614895754-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg]
"a"="C:\\Documents and Settings\\Patrick\\Bureau\\tuer-NsUpdate.reg"

; End Of The Log...


J'ai lancé un scan complet du système (qui n'avait pas été fait lors de l'install d'Antivir - pas l'habitude d'avoir un AV) dont je joins le résultat. Je n'ai entrepris aucune action à la fin du scan.

Code: Tout sélectionner
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 2 septembre 2010  00:07

La recherche porte sur 2771546 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : AMPERES-9750556

Informations de version :
BUILD.DAT               : 9.0.0.77      21698 Bytes  09/06/2010 12:01:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 10:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 21:10:23
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 21:10:29
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 21:10:31
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 21:10:34
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 21:10:38
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 21:10:42
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 21:10:51
VBASE008.VDF            : 7.10.9.166      2048 Bytes  23/07/2010 21:10:51
VBASE009.VDF            : 7.10.9.167      2048 Bytes  23/07/2010 21:10:51
VBASE010.VDF            : 7.10.9.168      2048 Bytes  23/07/2010 21:10:51
VBASE011.VDF            : 7.10.9.169      2048 Bytes  23/07/2010 21:10:51
VBASE012.VDF            : 7.10.9.170      2048 Bytes  23/07/2010 21:10:51
VBASE013.VDF            : 7.10.9.198    157696 Bytes  26/07/2010 21:10:52
VBASE014.VDF            : 7.10.9.255    997888 Bytes  29/07/2010 21:10:54
VBASE015.VDF            : 7.10.10.28    139264 Bytes  02/08/2010 21:10:54
VBASE016.VDF            : 7.10.10.52    127488 Bytes  03/08/2010 21:10:54
VBASE017.VDF            : 7.10.10.84    137728 Bytes  06/08/2010 21:10:55
VBASE018.VDF            : 7.10.10.107    176640 Bytes  09/08/2010 21:10:55
VBASE019.VDF            : 7.10.10.130    132608 Bytes  10/08/2010 21:10:55
VBASE020.VDF            : 7.10.10.158    131072 Bytes  12/08/2010 21:10:56
VBASE021.VDF            : 7.10.10.190    136704 Bytes  16/08/2010 21:10:56
VBASE022.VDF            : 7.10.10.217    118272 Bytes  19/08/2010 21:10:56
VBASE023.VDF            : 7.10.10.246    130048 Bytes  23/08/2010 21:10:57
VBASE024.VDF            : 7.10.11.11    144896 Bytes  25/08/2010 21:10:57
VBASE025.VDF            : 7.10.11.33    135168 Bytes  27/08/2010 21:10:57
VBASE026.VDF            : 7.10.11.52    148992 Bytes  31/08/2010 22:06:54
VBASE027.VDF            : 7.10.11.53      2048 Bytes  31/08/2010 22:06:54
VBASE028.VDF            : 7.10.11.54      2048 Bytes  31/08/2010 22:06:54
VBASE029.VDF            : 7.10.11.55      2048 Bytes  31/08/2010 22:06:54
VBASE030.VDF            : 7.10.11.56      2048 Bytes  31/08/2010 22:06:54
VBASE031.VDF            : 7.10.11.68     91648 Bytes  01/09/2010 22:06:54
Version du moteur       : 8.2.4.46
AEVDF.DLL               : 8.1.2.1      106868 Bytes  30/08/2010 21:11:05
AESCRIPT.DLL            : 8.1.3.44    1364346 Bytes  30/08/2010 21:11:05
AESCN.DLL               : 8.1.6.1      127347 Bytes  30/08/2010 21:11:04
AESBX.DLL               : 8.1.3.1      254324 Bytes  30/08/2010 21:11:05
AERDL.DLL               : 8.1.8.2      614772 Bytes  30/08/2010 21:11:04
AEPACK.DLL              : 8.2.3.5      471412 Bytes  30/08/2010 21:11:03
AEOFFICE.DLL            : 8.1.1.8      201081 Bytes  30/08/2010 21:11:02
AEHEUR.DLL              : 8.1.2.19    2867574 Bytes  30/08/2010 21:11:02
AEHELP.DLL              : 8.1.13.3     242038 Bytes  30/08/2010 21:11:00
AEGEN.DLL               : 8.1.3.20     397684 Bytes  30/08/2010 21:10:59
AEEMU.DLL               : 8.1.2.0      393588 Bytes  30/08/2010 21:10:59
AECORE.DLL              : 8.1.16.2     192887 Bytes  30/08/2010 21:10:59
AEBB.DLL                : 8.1.1.0       53618 Bytes  30/08/2010 21:10:58
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 14:13:31
AVREP.DLL               : 8.0.0.7      159784 Bytes  30/08/2010 21:11:05
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 2 septembre 2010  00:07

La recherche d'objets cachés commence.
'45106' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcycoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DivXUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ezprint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcymon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TomTomHOMEService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Patrick\Mes documents\Téléchargements\movie.exe
    [RESULTAT]  Contient le cheval de Troie TR/FraudPack.bgqc
C:\Program Files\cyberpress\cyberpress.exe
    [RESULTAT]  Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
C:\Program Files\HOTPC\HOTPC.EXE
    [RESULTAT]  Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
C:\System Volume Information\_restore{D41435BB-A12A-4F66-9CF6-102BB39C5628}\RP169\A0028276.exe
    [RESULTAT]  Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)

Début de la désinfection :
C:\Documents and Settings\Patrick\Mes documents\Téléchargements\movie.exe
    [RESULTAT]  Contient le cheval de Troie TR/FraudPack.bgqc
    [AVERTISSEMENT] Fichier ignoré.
C:\Program Files\cyberpress\cyberpress.exe
    [RESULTAT]  Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
    [AVERTISSEMENT] Fichier ignoré.
C:\Program Files\HOTPC\HOTPC.EXE
    [RESULTAT]  Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
    [AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{D41435BB-A12A-4F66-9CF6-102BB39C5628}\RP169\A0028276.exe
    [RESULTAT]  Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
    [AVERTISSEMENT] Fichier ignoré.


Fin de la recherche : jeudi 2 septembre 2010  01:38
Temps nécessaire:  1:29:42 Heure(s)

La recherche a été effectuée intégralement

  10472 Les répertoires ont été contrôlés
 578873 Des fichiers ont été contrôlés
      4 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 578868 Fichiers non infectés
   1568 Les archives ont été contrôlées
      5 Avertissements
      1 Consignes
  45106 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés


Pfiou... la route est droite mais la pente raide. :D
Merci et bonne journée.
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Messagede nickW » 03 Sep 2010, 00:00

Bonsoir,

Tu peux maintenant supprimer le fichier tuer-NsUpdate.reg.


Tu peux demander à Avira Antivir de mettre en quarantaine ces éléments:

C:\Documents and Settings\Patrick\Mes documents\Téléchargements\movie.exe
[RESULTAT] Contient le cheval de Troie TR/FraudPack.bgqc
[AVERTISSEMENT] Fichier ignoré.
C:\Program Files\cyberpress\cyberpress.exe
[RESULTAT] Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
[AVERTISSEMENT] Fichier ignoré.
C:\Program Files\HOTPC\HOTPC.EXE
[RESULTAT] Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/Dialer.Gen (dialer)
[AVERTISSEMENT] Fichier ignoré.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede sergeK » 03 Sep 2010, 10:16

Bonjour nickW,

Fichiers mis en quarantaine, service pack 3 installé, utilisateur limité installé et suppression/création d'un nouveau Point de Restauration effectuées.
Un scan complet avec Avira Antivir ne trouve plus rien. Il reste à appliquer certains conseils de ton post antérieur (ça va se faire dans la foulée), mais ce coup-ci ça à l'air bon. :wink:

Merci encore pour ton aide et bonne journée. :)
sergeK
 
Messages: 171
Inscription: 20 Jan 2008, 00:20

Précédente

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 35 invités

cron