[OK] logiciels de sécurité inactivés!...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] logiciels de sécurité inactivés!...

Messagede olive y est » 03 Avr 2008, 17:26

Bonjour à tous, merci d'accepter de vous pencher sur mon cas (désespéré ?)...

historique rapide de mes pb :

- hier mon PC plante pendant une sauvegarde de mes données sur disque dur externe (logiciel Astase UltraBackup 2007)
- au redémarrage l'icône de l'antivirus (Avast4) n'est plus dans la barre des tâches (je ne sais pas si l'icône y était ou non juste avant le plantage)
- impossible de lancer Avast manuellement
- je m'aperçois que le Centre de sécurité Windows est aussi désactivé, et je n'arrive pas à le ré-activer (même en exécutant Services.msc et/ou en redémarrant le PC)
- je désinstalle Avast et le réinstalle :
- échec au lancement d'Avast (message d'erreur : ...\ashAvast.exe n'est pas une application Win32 valide)
- à défaut j'essaie d'installer AVG antivirus 7.5 : échec (message d'erreur : Action failed for file avgamsvr.exe : starting service ... %1 n'est pas une application Win32 valide (193))
- essais de restauration du système à des dates antérieures : echecs

- je lance alors la "Mini Manip" ("PAD") d'Assist.com, au cours de laquelle je rencontre les pb suivants :
1/ après installation de AVG anti-spyware 7.5 : échec du lancement (message d'erreur : Echec de la connexion au service. Réinstallez AVG anti-spyware 7.5)
1'/ réinstallation de AVG anti-spyware 7.5 : idem
2/ après (ré-)installation de CCleaner : échec du lancement (mais aucun message d'erreur ...)
3/ procédure contre les infections par Virtumundo (car il n'y a pas de section O20 dans le log HJT1.txt) : OK
3'/ procédure contre les infections par Smitfraud (à tout hasard) : pour l'étape Nettoyage, impossible de redémarrer en mode sans échec (en tapotant F8 j'arrive bien au menu qui me le propose, mais lorsque je le mets en surbrillance et tape Entrée, le PC s'arrête et redémarre pour revenir au même menu), donc le nettoyage est fait en mode normal
4/ toujours échec au lancement de AVG anti-spyware 7.5 (même après réinstallation) : mêmes messages d'erreur qu'en 1/ et 1'/
5/ du coup n'ayant apparemment aucun antivirus actif, aucun anti-spyware actif, je préfère vous demander conseil avant de me reconnecter à internet pour faire le scan en ligne par KAV ?

vous trouverez ci-dessous les journaux produits par HijackThis (HJT2.txt) et Navilog1 (navi1.txt)
merci d'avance pour votre aide !

Olivier

- HJT2.txt :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:12, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\tbsd.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
C:\WINDOWS\system32\cchservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Astase\UltraBackup\4.9\bin\thtrayagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\PirateCeci\PirateCeci.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Fichiers communs\Tray\ccexec.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [thnotify] "C:\Program Files\Astase\UltraBackup\4.9\bin\thtrayagent.exe" /start
O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Astase ThalliumBackup Storage Service (ThalliumServer) - Astase - C:\Program Files\Astase\UltraBackup\4.9\bin\tbsd.exe
O23 - Service: Astase ThalliumBackup Client Background Service (thpassivesvc) - Astase - C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 5794 bytes

- navi1.txt :

Search Navipromo version 3.5.2 commencé le 03/04/2008 à 12:52:16,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "ATTREE Admin"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\ATTREE Admin\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\ATTREE Admin\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\ATTREE Admin\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\drivers\hldrrr.exe



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\ATTREE Admin\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ATTREE\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\ATTREE Admin\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ATTREE\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 03/04/2008 à 13:02:01,87 ***
olive y est
 
Messages: 9
Inscription: 03 Avr 2008, 12:14

Messagede nickW » 03 Avr 2008, 22:48

Bonsoir,

Sais-tu ce qu'est le logiciel installé dans le dossier C:\Program Files\PirateCeci ?


Une belle infection Bagle!

Premiers nettoyages, création de logs plus détaillés:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Note importante:
Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre" Image
pour continuer dans ce fil de discussion.


Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.
Ne pas le lancer maintenant!


Étape 2: ELIBAGLA
Télécharger ELIBAGLA depuis la page:
http://www.zonavirus.com/datos/descarga ... ibagla.asp
(voir en bas de page: Descargar ELIBAGLA 11.21)
Enregistrer le fichier sur le Bureau
Note importante: Pour pouvoir télécharger le fichier, il faut, dans le paramétrage du navigateur, accepter les cookies du site, et autoriser Javascript.


Étape 3: ELIBAGLA
Lancer ELIBAGLA par un double clic sur EliBaglA.exe

Vérifier que dans Unidad: il y a bien C:\
Vérifier aussi que l'option Eliminar Ficheros Automaticamente est cochée (en bas de la fenêtre).
Cliquer sur le bouton Explorar pour lancer l'analyse.
Attendre sans rien faire d'autre la fin de l'exécution de l'outil.


Étape 4: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 5: ELIBAGLA
Lancer ELIBAGLA par un double clic sur EliBaglA.exe

Vérifier que dans Unidad: il y a bien C:\
Vérifier aussi que l'option Eliminar Ficheros Automaticamente est cochée (en bas de la fenêtre).
Cliquer sur le bouton Explorar pour lancer l'analyse.
Attendre sans rien faire d'autre la fin de l'exécution de l'outil.


Note: il faut recommencer, toujours en mode sans échec.
Étape 6: ELIBAGLA
Lancer ELIBAGLA par un double clic sur EliBaglA.exe

Vérifier que dans Unidad: il y a bien C:\
Vérifier aussi que l'option Eliminar Ficheros Automaticamente est cochée (en bas de la fenêtre).
Cliquer sur le bouton Explorar pour lancer l'analyse.
Attendre sans rien faire d'autre la fin de l'exécution de l'outil.


Note: Non, non, je n'ai pas le hoquet, il faut recommencer une 3ème fois, toujours en mode sans échec.
Étape 7: ELIBAGLA
Lancer ELIBAGLA par un double clic sur EliBaglA.exe

Vérifier que dans Unidad: il y a bien C:\
Vérifier aussi que l'option Eliminar Ficheros Automaticamente est cochée (en bas de la fenêtre).
Cliquer sur le bouton Explorar pour lancer l'analyse.
Attendre sans rien faire d'autre la fin de l'exécution de l'outil.


Étape 8: Redémarrage
Redémarrer en mode normal.


Étape 9: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 10: Résultats
Envoyer en réponse:
*- le rapport de ELIBAGLA (contenu du fichier C:\InfoSat.txt)

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede olive y est » 04 Avr 2008, 07:05

Bonjour nick W,

merci pour ta réponse
je vais donc suivre ta procédure mais avant je voulais commenter 2 points :
- le logiciel installé dans le dossier C:\Program Files\PirateCeci est HijackThis.exe, que j'ai renommé (en PirateCeci.exe) comme recommandé dans la "PAD"
- as-tu vu dans mon message le pb pour lancer le mode sans échec ? sans solution à ce pb, je ne peux pas exécuter à la lettre ta procédure ??

cordialement,

Olivier
olive y est
 
Messages: 9
Inscription: 03 Avr 2008, 12:14

Messagede nickW » 04 Avr 2008, 20:40

Bonsoir,

Essaie de lancer Elibagla deux ou trois fois en mode normal.

Tu pourras peut-être ensuite démarrer en mode sans échec, et dans ce cas, il faudra re-exécuter elibagla deux ou trois fois (en mode sans échec) puis continuer la procédure.

Si tu ne peux toujours pas démarrer en mode sans échec, continue avec les étapes 9 et 10 de la procédure.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede olive y est » 05 Avr 2008, 09:02

Bonjour NickW,

j'ai donc exécuté la procédure que tu m'as recommandé :

1/ ça semble s'être bien passé avec ELIBAGLA, voici à tout hasard qq observations dès fois qu'elles ne soient pas dans le log
a/ au premier lancement d'ELIBAGLA, j'ai eu le message "Detectado Gusano BAGLE. Reinicie para Completar la Limpezia." ; je n'ai pas redémarré mais ai lancé l'analyse en cliquant sur Explorar
b/ en cours d'analyse j'ai eu le message suivant : "Accesso denegado a la carpeta: C\Documents and Settings\ATTREE Admin\Local Settings\Application Data\Microsoft\CardSpace (8210)" ; après avoir cliqué OK, l'analyse s'est poursuivie jusqu'à complétion
c/ j'ai pu redémarrer en mode sans échec et ai exécuté 3 fois ELIBAGLA (à chaque fois j'ai eu le message en b/)

2/ retour en mode normal, j'ai exécuté DSS :
- lorsque DSS a terminé l'analyse, pas d'ouverture de fenêtre main.txt ni extra.txt ; j'ai regardé dans le dossier C:\Deckard\System Scanner et ailleurs, ces fichiers n'ont apparemment pas été générés !!!
- je ré-exécute DSS : idem

NB : j'ai un logiciel de limitation du temps d'utilisation du PC, Child Control : avant de débuter la procédure ci-dessus, j'avais un message de Child Control disant qu'il a bloqué l'exécution de l'application Edict.exe - je n'ai aucune idée de ce qu'est cette application ...

tu trouveras ci-dessous le log InfoSat.txt d'ELIBAGLA, je n'ai donc pas les logs de DSS ...
j'attends tes instructions !

encore merci,

Olivier


Sat Apr 05 01:39:56 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ATTREE ADMIN\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ATTREE ADMIN\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sat Apr 05 01:44:45 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Backup\Documents and Settings\attreeadmin\Bureau\Blue Cat's Dynamics 2.1\BLUE CAT'S DYNAMICS 2.1.EXE --> Eliminado Bagle
C:\Backup\Documents and Settings\attreeadmin\Bureau\Blue Cat's Stereo Parametr'EQ 3.2\AGRSMMSG.EXE --> Eliminado Bagle
C:\Backup\Documents and Settings\attreeadmin\Bureau\Blue Cat's Stereo Parametr'EQ 3.2\BLUE CAT'S STEREO PARAMETR'EQ 3.2.EXE --> Eliminado Bagle
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 8885
Nº Total de Ficheros: 80367
Nº de Ficheros Analizados: 8398
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 4

Sat Apr 05 02:02:35 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\DOCUMENTS AND SETTINGS\ATTREE ADMIN\APPLICATION DATA\M\FLEC006.EXE --> Eliminado Bagle.dldr

Sat Apr 05 02:04:08 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\252302156.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\309161843.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\46677265.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\80383218.EXE --> Eliminado Bagle

Nº Total de Directorios: 8892
Nº Total de Ficheros: 80802
Nº de Ficheros Analizados: 8400
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5

Sat Apr 05 02:11:13 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\M"

Sat Apr 05 02:11:17 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 8891
Nº Total de Ficheros: 80797
Nº de Ficheros Analizados: 8395
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sat Apr 05 02:12:40 2008
EliBagle v11.21 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 8891
Nº Total de Ficheros: 80797
Nº de Ficheros Analizados: 8395
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
olive y est
 
Messages: 9
Inscription: 03 Avr 2008, 12:14

Messagede olive y est » 05 Avr 2008, 16:24

Bonjour NickW,

complément de mon message précédent :
- j'ai finalement trouvé par hasard les fichiers main.txt et extra.txt produits par DSS !
- ils étaient dans un dossier caché C:\Deckard\System Scanner\backup\DOCUME~1\ATTREE~1\LOCALS~1\Temp\~dyisejj.tmp ...

tu trouveras ci-dessous le contenu de main.txt :

Deckard's System Scanner v20071014.68
Run by ATTREE Admin on 2008-04-05 02:18:13
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
22: 2008-04-05 00:18:18 UTC - RP132 - Deckard's System Scanner Restore Point
21: 2008-04-04 18:59:18 UTC - RP131 - Point de vérification système
20: 2008-04-03 15:47:41 UTC - RP130 - Installed AVG 7.5
19: 2008-04-03 06:16:07 UTC - RP129 - Opération de restauration
18: 2008-04-03 06:07:13 UTC - RP128 - Opération de restauration


-- First Restore Point --
1: 2008-03-19 20:14:07 UTC - RP111 - DirectX est installé


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as ATTREE Admin.exe) ----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:18:54, on 05/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\tbsd.exe
C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
C:\WINDOWS\system32\cchservice.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Astase\UltraBackup\4.9\bin\thtrayagent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\ATTREE Admin\Bureau\dss.exe
C:\PROGRA~1\PIRATE~1\ATTREE Admin.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Fichiers communs\Tray\ccexec.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [thnotify] "C:\Program Files\Astase\UltraBackup\4.9\bin\thtrayagent.exe" /start
O4 - HKLM\..\Run: [ChicoSys] C:\WINDOWS\system32\cc32\webtmr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CCWinTray] C:\WINDOWS\Tray\wintmr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Astase ThalliumBackup Storage Service (ThalliumServer) - Astase - C:\Program Files\Astase\UltraBackup\4.9\bin\tbsd.exe
O23 - Service: Astase ThalliumBackup Client Background Service (thpassivesvc) - Astase - C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
O23 - Service: Blue Coat K9 Web Protection (WebFilter) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
O23 - Service: Windows-CCHook-Service - Salfeld Computer - C:\WINDOWS\system32\cchservice.exe

--
End of file - 5513 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 cwmtdi - c:\windows\system32\drivers\cwmtdi.sys

S3 catchme - c:\docume~1\attree~1\locals~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\program files\fichiers communs\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not>
R2 ThalliumServer (Astase ThalliumBackup Storage Service) - c:\program files\astase\ultrabackup\4.9\bin\tbsd.exe <Not>
R2 thpassivesvc (Astase ThalliumBackup Client Background Service) - c:\program files\astase\ultrabackup\4.9\bin\thpassiveclientsvc.exe <Not>
R2 WebFilter (Blue Coat K9 Web Protection) - c:\program files\blue coat k9 web protection\k9filter.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID:
Description: Camera
Device ID: USB\VID_046D&PID_08F0\5&3984D498&0&2
Manufacturer:
Name: Camera
PNP Device ID: USB\VID_046D&PID_08F0\5&3984D498&0&2
Service:


-- Scheduled Tasks -------------------------------------------------------------

2008-03-28 15:52:29 284 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-03-05 and 2008-04-05 -----------------------------

2008-04-03 12:50:17 0 d-------- C:\Program Files\Navilog1
2008-04-03 11:53:57 2334 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-03 11:53:12 25600 --a------ C:\WINDOWS\sys
olive y est
 
Messages: 9
Inscription: 03 Avr 2008, 12:14

Messagede olive y est » 05 Avr 2008, 16:27

... et le contenu de extra.txt
j'attends tes instructions,

Olivier

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Édition familiale (build 2600) SP 2.0
Architecture: X86; Language: French

CPU 0: AMD Sempron(tm) 3000+
Percentage of Memory in Use: 45%
Physical Memory (total/avail): 511.48 MiB / 279.2 MiB
Pagefile Memory (total/avail): 1250.25 MiB / 1000.32 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1935.91 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 149.04 GiB total, 79.88 GiB free.
D: is CDROM (No Media)
E: is CDROM (No Media)
G: is Removable (FAT)

\\.\PHYSICALDRIVE0 - MAXTOR STM3160215A - 149.05 GiB - 1 partition
\PARTITION0 (bootable) - Système de fichiers installable - 149.04 GiB - C:

\\.\PHYSICALDRIVE1 - Samsung Mighty Drive USB Device - 243.17 MiB - 1 partition
\PARTITION0 (bootable) - MS-DOS V4 Huge - 245.48 MiB - G:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntivirusOverride is set.


[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Documents and Settings\\ATTREE\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Documents and Settings\\ATTREE\\Program Files\\uTorrent\\uTorrent.exe:*:Disabled:uTorrent"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\ATTREE Admin\Application Data
CLASSPATH=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=COMPAQ
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\ATTREE Admin
LOGONSERVER=\\COMPAQ
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Program Files
PROMPT=$P$G
QTJAVA=C:\Program Files\QuickTime\QTSystem\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\ATTREE~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\ATTREE~1\LOCALS~1\Temp
USERDOMAIN=COMPAQ
USERNAME=ATTREE Admin
USERPROFILE=C:\Documents and Settings\ATTREE Admin
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

ATTREE
ATTREE Admin (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Ad-Aware 2007 --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.1 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81000000003}
Agere Systems PCI Soft Modem --> agrsmdel
Apple Mobile Device Support --> MsiExec.exe /I{B5C209B1-8DDB-4642-A573-375B951514CB}
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Astase UltraBackup 2007 --> "C:\Program Files\Astase\UltraBackup\4.9\unins000.exe"
µTorrent --> "C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL
AVG Anti-Spyware 7.5 --> C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
AVS DVDMenu Editor 1.2.1.19 --> "C:\Program Files\Fichiers communs\AVSMedia\AVS DVDMenu Editor\unins000.exe"
AVS Video Tools 5.6 --> "C:\Program Files\AVSMedia\VideoTools\unins000.exe"
Bagusoft Password Safe --> C:\PROGRA~1\BAGUSO~1\UNWISE.EXE C:\PROGRA~1\BAGUSO~1\INSTALL.LOG
Blue Coat® K9 Web Protection --> C:\Program Files\Blue Coat K9 Web Protection\uninst.exe
CCleaner (remove only) --> "C:\CCleaner\uninst.exe"
Child Control --> C:\Program Files\Salfeld\Chico07\chicoset.exe /uninstall
Correctif pour Lecteur Windows Media 11 (KB939683) --> "C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
CutePDF Writer 2.7 --> C:\Program Files\Acro Software\CutePDF Writer\uninscpw.exe /uninstall
DVD Solution --> "C:\Program Files\Uninstall_CDS.exe"
eMule --> "C:\Program Files\eMule\Uninstall.exe"
Galerie de photos Windows Live --> MsiExec.exe /X{A70FA218-6598-4AC9-813D-63597C5DD068}
HijackThis 2.0.2 --> "C:\Program Files\PirateCeci\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
HP Customer Participation Program 7.0 --> C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 7.0 --> C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart Essential --> MsiExec.exe /X{6994491D-D491-48F1-AE1F-E179C1FFFC2F}
HP Photosmart, Officejet and Deskjet 7.0.A --> C:\Program Files\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat
HP Software Update --> MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Solution Center 7.0 --> C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
iTunes --> MsiExec.exe /I{18388EF8-E0A3-442B-8BFE-E2F1B3D05C91}
Les Sims 2 --> C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe
Les Sims™ 2 Tout pour les ados Kit --> C:\Program Files\EA GAMES\Les Sims 2 Tout pour les ados Kit\EAUninstall.exe
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Encarta 2008 - Études --> MsiExec.exe /I{08181881-FCA5-44A7-B863-D66037A16AAF}
Microsoft Encarta Maths --> MsiExec.exe /I{07183840-959A-4B0D-8825-2C533F0DDB19}
Microsoft Office Access MUI (French) 2007 --> MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007 --> MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007 --> MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007 --> MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007 --> MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2003 --> MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
Microsoft Office Professional Plus 2007 --> "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007 --> MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007 --> MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007 --> MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007 --> MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007 --> MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007 --> MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007 --> MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007 --> MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft SQL Server 2005 Compact Edition [ENU] --> MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour de sécurité pour Lecteur Windows Media (KB911564) --> "C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782) --> "C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) --> "C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782) --> "C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917537) -->
Mise à jour de sécurité pour Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923689) -->
Mise à jour de sécurité pour Windows XP (KB923980) -->
Mise à jour de sécurité pour Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938127) --> "C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB939653) --> "C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB911164) -->
Mise à jour pour Windows XP (KB920342) --> "C:\WINDOWS\$NtUninstallKB920342$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB925720) --> "C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB925876) --> "C:\WINDOWS\$NtUninstallKB925876$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.12) --> C:\PROGRA~1\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.9) --> C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSN --> C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Multimedia Launcher --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
Navilog1 3.5.2 --> "C:\Program Files\Navilog1\unins000.exe"
Nero 6 Ultra Edition --> C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
OCR Software by I.R.I.S 7.0 --> C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
Package de base Microsoft de servi
olive y est
 
Messages: 9
Inscription: 03 Avr 2008, 12:14

Messagede nickW » 06 Avr 2008, 00:02

Bonsoir,

Edict.exe est un processus qui appartient à Microsoft Encarta et qui fournit les fonctionnalités du dictionnaire.


Apparemment, tu n'as plus d'antivirus.
avast! semble avoir été anéanti.
Je te propose de changer d'antivirus (avast! est bien peu performant) et d'installer Avira Antivir Personal.

Méthode:
Étape 1: Antivir: téléchargement
Télécharger: Avira AntiVir Personal (gratuit pour un usage personnel)
Présentation: http://assiste.com.free.fr/p/logitheque/antivir.html
Présentation sur libellules.ch (avec traduction anglais---->français des principaux termes): http://www.libellules.ch/tuto_antivir.php
Téléchargement: http://www.free-av.com/en/download/1/av ... virus.html


Étape 2: avast!: Téléchargement de l'utilitaire de désinstallation
Télécharger l'utilitaire de désinstallation d'avast! depuis la page:
http://www.avast.com/fre/avast-uninstall-utility.html
(clic sur aswClear.exe)
Télécharger ce fichier sur le Bureau.


Étape 3: Enregistrement du tutoriel de paramétrage d'Avira Antivir
Enregistrer sous forme de page HTML le tutoriel ci-dessous:
Tutoriel: http://speedweb1.free.fr/frames2.php?page=tuto5 (Merci Tesgaz)


Étape 4: Déconnexion
Déconnecter physiquement le PC d'Internet
(débrancher le câble / couper le modem / éteindre le routeur WiFi / etc).


Étape 5: avast!: Désinstallation
Désinstaller avast! via Ajout/Suppression de programmes dans le Panneau de configuration.
Utiliser l'utilitaire de désinstallation aswClear:
1. Lancer l'outil par un double clic sur aswclear.exe situé sur le Bureau
2. Dans la liste déroulante ("Select product to uninstall"), choisir le produit à désinstaller
3. Si avast! avait été installé dans un dossier différent de celui par défaut, il faut indiquer ce dossier:
Sous "Enter path to folder where selected product is installed. ..." cliquer sur le bouton ... et naviguer jusqu'au dossier concerné, le sélectionner puis cliquer sur le bouton OK.
Attention! Le contenu de tout ce dossier sera supprimé!
4. Cliquer sur le bouton Uninstall

Redémarrer le PC (c'est obligatoire)


Étape 6: Antivir: installation et paramétrage
Installer Avira AntiVir Personal
L'installer puis le paramétrer en suivant les instructions enregistrées lors de l'étape 3.


Étape 7: Reconnexion
Rétablir la connexion du PC à Internet


Étape 8: Antivir: mise à jour
Important
Faire une mise à jour d'Antivir.



Il faut ensuite faire une analyse complète du PC en mode sans échec.


Envoyer sur le forum le résultat de cette analyse par Avira Antivir Personal.


Comment se comporte le PC?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede olive y est » 06 Avr 2008, 18:28

Bonjour NickW,

j'ai exécuté la procédure, tu trouveras ci-dessous le rapport de l'analyse d'Antivir (qui a détecté notamment 3 Trojans ?)
le PC a l'air de se comporter normalement, j'ai pu réinstaller AVG anti-spyware qui a l'air maintenant de fonctionner correctement

j'attends tes instructions pour d'éventuelles procédures complémentaires ?

encore merci, il semble que j'arrive au bout du tunnel ?

Olivier



AntiVir PersonalEdition Classic
Report file date: dimanche 6 avril 2008 16:59

Scanning for 1181591 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: ATTREE Admin
Computer name: COMPAQ

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 14:51:00
ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27/03/2008 14:51:00
ANTIVIR3.VDF : 7.0.3.122 195072 Bytes 05/04/2008 14:51:00
AVEWIN32.DLL : 7.6.0.81 3424768 Bytes 06/04/2008 14:51:01
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 06/04/2008 14:51:01
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: G:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: dimanche 6 avril 2008 16:59

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
10 processes with 10 modules were scanned

Start scanning boot sectors:
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] In the drive 'F:\' no data medium is inserted!
Boot sector 'G:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '33' files ).


Starting the file scan:

Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Backup\Documents and Settings\Compaq_Propriétaire\.clamwin\db\main.inc\main.ndb
[DETECTION] Contains suspicious code HEUR/Exploit.HTML
[INFO] The file was moved to '4861e6f7.qua'!
C:\Documents and Settings\ATTREE Admin\Bureau\SmitfraudFix.exe
[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.75
[INFO] The file was moved to '4861f493.qua'!
C:\Documents and Settings\ATTREE Admin\Bureau\VirtumundoBeGone.exe
[DETECTION] Contains detection pattern of the application APPL/Processor
[INFO] The file was moved to '486af4a1.qua'!
C:\Documents and Settings\ATTREE Admin\Bureau\SmitfraudFix\Reboot.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program
[INFO] The file was moved to '485af49e.qua'!
C:\Documents and Settings\ATTREE Admin\Bureau\SmitfraudFix\restart.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program
[INFO] The file was moved to '486bf49e.qua'!
C:\Program Files\Navilog1\reboot.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program
[INFO] The file was moved to '485af9ea.qua'!
C:\RECYCLER\S-1-5-21-842925246-448539723-682003330-1004\Dc17\Local Settings\Temp\16nwdy5s.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '4866fa17.qua'!
C:\RECYCLER\S-1-5-21-842925246-448539723-682003330-1004\Dc17\Local Settings\Temp\ler6ekgf.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '486afa47.qua'!
Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'G:\' <MightyDrive>
G:\EndNote X 10.0 build 2114 Serial.zip
[0] Archive type: ZIP
--> EndNote X 10.0 build 2114 Serial.exe
[DETECTION] Is the Trojan horse TR/Agent.692228
[INFO] The file was moved to '485cfdfa.qua'!
G:\sauvetage Compaq\SmitfraudFix.exe
[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.75
[INFO] The file was moved to '4861fe2b.qua'!
G:\sauvetage Compaq\VirtumundoBeGone.exe
[DETECTION] Contains detection pattern of the application APPL/Processor
[INFO] The file was moved to '486afe28.qua'!


End of the scan: dimanche 6 avril 2008 18:43
Used time: 1:44:12 min

The scan has been done completely.

8663 Scanning directories
199005 Files were scanned
10 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
11 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
198995 Files not concerned
8067 Archives were scanned
1 Warnings
4 Notes
olive y est
 
Messages: 9
Inscription: 03 Avr 2008, 12:14

Messagede nickW » 06 Avr 2008, 23:52

Bonsoir,

Un petit commentaire sur ce qui a été signalé comme infecté par Antivir:

J'ai mis en vert les détections "sans danger réel".
*- Certaines concernent les outils de désinfection que tu as utilisés.
Il est normal que ces outils utilisent des processus qui permettent par exemple de faire redémarrer le PC, ce qui ne plaît pas à Antivir car mis entre de "mauvaises" mains ils pourraient être dangereux.
*- D'autres doivent être les bases de signatures de clamwin.
*- D'autres enfin sont dans la Corbeille qu'il faudrait vider.

J'ai mis en rouge ce que j'aurais préféré ne pas voir!

C:\Backup\Documents and Settings\Compaq_Propriétaire\.clamwin\db\main.inc\main.ndb
[DETECTION] Contains suspicious code HEUR/Exploit.HTML

C:\Documents and Settings\ATTREE Admin\Bureau\SmitfraudFix.exe
[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.75

C:\Documents and Settings\ATTREE Admin\Bureau\VirtumundoBeGone.exe
[DETECTION] Contains detection pattern of the application APPL/Processor

C:\Documents and Settings\ATTREE Admin\Bureau\SmitfraudFix\Reboot.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program

C:\Documents and Settings\ATTREE Admin\Bureau\SmitfraudFix\restart.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

C:\Program Files\Navilog1\reboot.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program

C:\RECYCLER\S-1-5-21-842925246-448539723-682003330-1004\Dc17\Local Settings\Temp\16nwdy5s.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen

C:\RECYCLER\S-1-5-21-842925246-448539723-682003330-1004\Dc17\Local Settings\Temp\ler6ekgf.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen

G:\EndNote X 10.0 build 2114 Serial.zip
[0] Archive type: ZIP
--> EndNote X 10.0 build 2114 Serial.exe
[DETECTION] Is the Trojan horse TR/Agent.692228


G:\sauvetage Compaq\SmitfraudFix.exe
[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.75

G:\sauvetage Compaq\VirtumundoBeGone.exe
[DETECTION] Contains detection pattern of the application APPL/Processor




Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires à appliquer:

ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI.
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


ImageUn conseil important:
Proscrire l'utilisation de P2P illicite!
eMule est l'antithèse de la sécurité (© Jim Rakoto).


ImageUn conseil:
Il est préférable de supprimer ELIBAGLA (fichier téléchargé EliBaglA.exe et fichier rapport C:\InfoSat.txt).
Il est préférable de supprimer Deckard's System Scanner (fichier téléchargé dss.exe).
Note: Le dossier C:\Deckard\System Scanner contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.

Note importante: Antivir a supprimé certains éléments d'autres outils de nettoyage qu'il faudrait aussi supprimer:
Il est préférable de supprimer SmitFraudFix (fichier téléchargé SmitfraudFix.exe, dossier d'installation SmitFraudFix situé sur le Bureau, et fichier rapport C:\rapport.txt).
Il est préférable de supprimer VirtumundoBegone (fichier téléchargé VirtumundoBeGone.exe et fichier rapport VGB.txt).
Il est préférable de supprimer Navilog1 via Ajout/Suppression de programmes


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 42 invités