[RESOLU] Virus détecté par mon AV+FW

[sylvitara]

bonsoir,

 

mon AV+FW Trend Micro PC-Cillin m'avertit qu'il a détecté un virus dans l'un de mes fichiers et nécessite mon interaction.

Fichier infecté : player-codec1163[1].exe (pas trouvé en faisant rechercher sur mon PC)

Virus : TROJ ZLOB.BWB

Action excécutée : impossible de nettoyer ou de supprimer le fichier infecté. Supprimez-le manuellement.

 

Je veux bien le supprimer manuellement, mais si je ne sais pas où il se trouve, je fais comment ?

 

J'ai voulu le mettre en quarantaine pour le supprimer, mais j'ai reçu un message ''erreur de Trend Micro qui m'a dit avoir rencontré un problème, mes données sont perdues, veuillez éteindre votre ordinateur et réessayer, chose que je n'ai pas fait, je me trompe certainement, mais ça ne m'a pas semblé logique comme manip.

je préfère de loin attendre les bons conseils des zébuloniens(iennes) !

 

Voici ce que me dit le centre de sécurité de Trend Micro :

Fichier de signatures requis: 4.191.00

Taille du code malicieux:

Premiers échantillons reçus le: 0000-00-00 00:00:00

 

Sans oublier que je suis très nulle en informatique, quelqu'un pourrait-il m'aider ?

 

Merci d'avance la

Modifié le 21 janvier 2007 par sylvitara

[regis56]

Bonsoir sylvitara !

 

peut tu faire ceci STP

 

- Télécharge HijackThis de Merijn sur ton bureau.

http://www.merijn.org/files/hijackthis.zip

 

- Génère un rapport en suivant ces indications :

- Double-clic sur hijackthis.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HijackThis -

http://www.malekal.com/tutorial_HijackThis.html

 

Ensuite fait ceci

 

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    
    
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    
    
   
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
   

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
   
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
   
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
   
   
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

[sylvitara]

Bonsoir régis 56,

 

HJT, je l'ai déjà et sais m'en servir, donc OK.

AVG, c'est pareil, mais dois-je le mettre à jour ? je suppose que oui.

 

je n'ai pas fermé la petite fenêtre de Trend Micro, mais si je redémarre en mode sans échec, je vais donc devoir arrêter mon PC, et est-ce-que je ne risque pas à ce moment là de laisser renter le trojan ?

 

si jai bien compris ta dernière phrase, je post :

- le 1er rapport HJT

- le rapport AVG

- le rapport BlackLight

- puis un nouveau rapport HJT

 

J'ai tout pigé là

[regis56]

Re

 

Fais le en mode normal si tu préfère on verra déjà ce que ca donne !

[claude 007]

Habituellement un antivirus propose une action suite à la détection d'un virus soit l'éradication automatique ou une mise en quarantaine.Essai de trouver la mise en quarantaine sur ton programme.Sur le forum il y a un excellent service de sécurité qui peuvent te donner un coup de main

[sylvitara]

Au fait, avant de fermer mes programmes en cours, est-ce qu'il est connu ce trojan parce que je l'ai reçu en lisant un blog qui parlait de frontpage, et j'ai cliqué sur un lien que donne une personne inscrite depuis aujourd'hui sur ce forum.

 

j'ai gardé le lien de la page !

 

A+ et merci, je m'y mets !!!

[sylvitara]

Download Blacklight Beta graphical user interface version

Revision history:

 

Binary Date Build Checksums

blbeta.exe 27-Dec-2006 2.2.1055 MD5

96ff3eabcedc08302dd3c0f5dc4cc465

SHA-1

2082881ec0aa300ff2c12dd4030bb6085f3ac24a

--------------------------------------------------------------------------------

 

Download Blacklight Beta command line version

Revision history:

 

Binary Date Build Checksums

blbetac.exe 27-Dec-2006 2.2.1055 MD5

1caeb16ad27834c89bbf9677042bcc2d

SHA-1

13528239a85f3a3c1d15cd1eab50292abe9c9b9b

 

je choisis quelle version, vu que je speak l'english very bad, je comprends pas la différence entre les 2 !,

[Gof]

Bonsoir sylvatara, bonsoir Regis

 

Pour que tu puisses avancer en attendant Regis, prends la version graphique, la première.

Modifié le 19 janvier 2007 par Gof

[sylvitara]

Bonsoir Gof et merci de venir en renfort pour ne pas que je me sente seule ,

Ok, je prends la version graphique.

 

A+

[sylvitara]

Bon, j'ai tout fait sauf que je ne l'ai donc pas fait en mode sans échec.

 

AVG : RAS

BlackLight : RAS

HJT : voici mon 1er rapport, mais vu que le reste n'a rien détecté, dois-je en refaire un autre ?

 

Logfile of HijackThis v1.99.1

Scan saved at 19:44:00, on 19/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Sécurité\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe

C:\Program Files\Sécurité\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\SPAMfighter\SFAgent.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Sécurité\ProcessGuard\procguard.exe

C:\Program Files\Sécurité\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OE.exe

C:\Program Files\Avant Browser\avant.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

C:\PROGRA~1\TRENDM~1\INTERN~2\PCCMAIN.EXE

C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\Microsoft Works\MSWorks.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Sécurité\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

 

http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

 

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O4 - HKLM\..\Run: [!1_pgaccount] "C:\Program Files\Sécurité\ProcessGuard\pgaccount.exe"

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security

 

2007\pccguide.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Sécurité\AVG Anti-Spyware

 

7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [sPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay

 

60

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [!1_ProcessGuard_Startup] "C:\Program

 

Files\Sécurité\ProcessGuard\procguard.exe" -minimize

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Sécurité\Spybot - Search &

 

Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security

 

2007\TMAS_OE\TMAS_OEMon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EPSON Stylus D88 Series]

 

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /M

 

"Stylus D88" /EF "HKCU"

O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program

 

Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant

 

Browser\OpenAllLinks.htm

O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant

 

Browser\Search.htm

O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll'

 

missing

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

 

http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

 

http://update.microsoft.com/windowsupdate/....cab?1145558433

 

296

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

 

http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program

 

Files\Sécurité\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. -

 

C:\PROGRA~1\TRENDM~1\INTERN~2\PcCtlCom.exe

O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro

 

Inc. - C:\PROGRA~1\TRENDM~1\INTERN~2\PcScnSrv.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. -

 

C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. -

 

C:\PROGRA~1\TRENDM~1\INTERN~2\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. -

 

C:\PROGRA~1\TRENDM~1\INTERN~2\tmproxy.exe

 

 

Voilà, j'attends vos consignes !

A+