[résolu] problème d'ouverture d'Antivir

[Gof]

Re, avant que je ne regarde tes logs, voila quelques liens pour des pare-feux gratuits (la liste n'est pas exhaustive), histoire que l'on ne désinfecte pas pour rien... Le pare-feu est l'organe le plus important sur un pc connecté au net, bien avant l'antivirus !

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, désactive le pare-feu windows et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

[Gof]

Ewido a bien travaillé, mais il n'a pas tout supprimé. Le rapport blacklight est propre.

 

Je vois des éléments dans ton log hijackthis qui me laissent penser que tu n'as pas respecté les points 5 et 6 de la procédure. Peux-tu m'en dire plus ?

[mic]

en effet je n'ai pas tout supprimé car je n'ai pas trouvé les fichiers suivants : msjava.exe, creative.exe, nzdbswftg.exe nzdbswftg.dat nzdbswftg_nav.dat nzdbswftg_navps.dat

et dans hijackthis j'ai bien vu les entrees contenant le nom du fichier nzdbswftg.exe

nzdbswftg.dat

nzdbswftg_nav.dat

nzdbswftg_navps.dat

et comme tu ne l'avais pas noté à bloqué je ne l'ai pas coché ! j'aurais du ?

[Gof]

Bonjour mic,

 

Reposte moi un log hijackthis suite à l'installation d'un pare-feu.

 

Reprécise moi quels ont été les fichiers que tu as trouvés et supprimés de ceux que tu n'as pas trouvés.

 

Il est important que je sache si tu as bien respecté la procédure ou non (plus particulièrement les points 5 et 6). Lorsque je vois des lignes dans ton rapport qui ne devraient plus être là, je ne peux pas savoir si tu ne me le dis pas s'il s'agit d'un oubli de ta part, ou s'il s'agit de lignes inffectieuses qui sont revenues. Tu comprends ?

 

Tiens moi au courant que l'on finisse cette désinfection

[mic]

bonjour gof

 

j'ai fais une petite mise a jour vers la version sp2 de windows pour commencer mais a part le parefeu intégré je n'en ai pas encore mis car j'ai peur que mes parents m'apellent sans cesse en me demandant quoi faire a chaque fois qu'une fenetre du parefeu s'ouvrira en disant que tel ou tel prog tente d'acceder sur leweb etc... !!

 

sinon j'ai bein efacé les fichiers suivants dans ta procédure :

 

abwtxgvre.exe

abwtxgvre.dat

abwtxgvre_nav.dat

abwtxgvre_navps.dat

 

les fichiers suivants je ne l'ai pas trouvé lors de la procédure :

 

msjava.exe

creative.exe

nzdbswftg.exe

nzdbswftg.dat

nzdbswftg_nav.dat

nzdbswftg_navps.dat

 

 

et ensuite j'ai bien fixé les lignes que tu m'as données :

 

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

F2 - REG:system.ini: Shell=Explorer.exe creative.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,creative.exe

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [nzdbswftg] c:\windows\system32\nzdbswftg.exe nzdbswftg

O4 - HKLM\..\Run: [imInstaller] C:\DOCUME~1\DOMINI~1\LOCALS~1\Temp\ImInstaller\IncrediMail\imloader.exe -product IncrediMail

O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msjava.exe

O4 - HKLM\..\RunServices: [Creative Audio Drivers] creative.exe

O8 - Extra context menu item: &Search - <a href="http://bar.mywebsearch.com/menusearch.html...FR_ZRxdm185XXFR" target="_blank">http://bar.mywebsearch.com/menusearch.html...FR_ZRxdm185XXFR</a>

 

voila ce que j'ai fais lors de ta procédure

 

sinon lorsque j'ai redémarré le pc suite a maj de windows antivir est revenu et a trouvé et éliminé :

msjava.exe,creative.exe dans le dossier c:\windows\system32

 

voila ce que j'ai fais hier soir

voici le rapport de hijakthis de ce matin

 

Logfile of HijackThis v1.99.1

Scan saved at 08:37:22, on 27/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\WINDOWS\System32\spool\DRIVER

S\W32X86\3\E_S10IC2.EXE

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\AvA\Watch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [abwtxgvre] c:\windows\system32\abwtxgvre.exe abwtxgvre

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msjava.exe

O4 - HKCU\..\RunServices: [Creative Audio Drivers] creative.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

 

 

merci encore pour ton aide

[Gof]

Re bonjour mic ,

 

j'ai fais une petite mise a jour vers la version sp2 de windows pour commencer mais a part le parefeu intégré je n'en ai pas encore mis

J'aurais préféré attendre la fin de la désinfection avant de te faire effectuer les mises à jour ; il arrive que les infections fassent planter ces dernières. Tu t'en sors bien. Bon si au moins le pare-feu XP est activé c'est déjà mieux que rien. Il faut savoir que le pare-feu windows ne filtre pas les sorties : c'est-à-dire que tout ce qui est illégitime (et légitime) et déja présent sur ton pc peut accèder au net.

***

Donc si je t'ai bien compris, ces derniers tu les a trouvés et supprimés :

 

abwtxgvre.exe

abwtxgvre.dat

abwtxgvre_nav.dat

abwtxgvre_navps.dat

 

Les autres, tu ne les as pas trouvé, mais Antivir a détecté ceux-ci et les a supprimés :

 

msjava.exe

creative.exe

***

Lance un scan HijackThis et clique sur Do a system scan only et coche les lignes ci-dessous :

 

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O4 - HKLM\..\Run: [abwtxgvre] c:\windows\system32\abwtxgvre.exe abwtxgvre

O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msjava.exe

O4 - HKCU\..\RunServices: [Creative Audio Drivers] creative.exe

 

Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.

***

Rends toi dans ton menu démarrer>Exécuter et copie-colle : C:\WINDOWS\Downloaded Program Files

Une fenêtre de l'explorateur va s'ouvrir. Localise et supprime le fichier suivant :

UERSV_0001_N68M0602NetInstaller.exe

Ferme la fenêtre.

 

Rends toi dans ton menu Démarrer>Exécuter et copie-colle : C:\Documents and Settings\julien\Local Settings\Temporary Internet Files\Content.IE5\C2K3NCLH\

Une fenêtre de l'explorateur va s'ouvrir. Localise et supprime le fichier suivant :

ErrorSafeScannerInstallFR[1].cab/UERSV_0001_N68M0602NetInstaller.exe

Ferme la fenêtre.

 

Dis moi si tu as renconté des difficultés à supprimer ces deux éléments.

***

Fais un scan complet en ligne avec Kaspersky WebScanner : http://webscanner.kaspersky.fr/

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Aide toi de ce tuto de Malekal_mortesi tu n'y arrives pas : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566.

 

 

Et reposte un log hijackthis à la suite du rapport Kaspersky.

[mic]

bonsoir gof

desolé pour la lenteur de ma réponse mais étant tres occupé et le scan assez long...

enfin bref voila les nouvelles :

1 je n'ai pas trouvé les 2 fichiers que tu m'a cité

puis j'ai fais une analyse en ligne pendant laquelle antivir s'est bien déclenché 30 fois

 

voici le rapport d'analyse de kaspersky :

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Sunday, August 27, 2006 11:32:20 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 27/08/2006

Enregistrements dans la base antivirus Kaspersky : 205875

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

 

Statistiques de l'analyse:

Total d'objets analysés: 297582

Nombre de virus trouvés: 5

Nombre d'objets infectés: 21 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 03:40:05

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\1.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\Documents and Settings\dominique\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\Local Settings\Historique\History.IE5\MSHist012006082720060828\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\Local Settings\Temp\msinfo32.dat Infecté : Trojan.Win32.Agent.rn ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\016N0DYN\server[1].exe Infecté : Trojan.Win32.Agent.rn ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\input[1].php/packed Infecté : Exploit.HTML.DragDrop ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\input[1].php GZIP: infecté - 1 ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\q[1].chm/file.exe Infecté : Trojan-Downloader.Win32.Zlob.r ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\q[1].chm/q.htm Infecté : Exploit.HTML.CodeBaseExec ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\q[1].chm CHM: infecté - 2 ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\q[2].chm/file.exe Infecté : Trojan-Downloader.Win32.Zlob.r ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\q[2].chm/q.htm Infecté : Exploit.HTML.CodeBaseExec ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\C5YZSHUV\q[2].chm CHM: infecté - 2 ignoré

C:\Documents and Settings\dominique\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\dominique\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP132\A0094220.dll L'objet est verrouillé ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP154\A0150382.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP158\A0151976.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP158\A0156038.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP158\A0156083.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP159\A0156104.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP160\A0156107.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP161\A0156113.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP162\A0156183.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP163\A0159496.com Infecté : Trojan.Win32.Agent.rn ignoré

C:\System Volume Information\_restore{80E779A5-0B83-475A-8509-3DAF3C487038}\RP164\change.log L'objet est verrouillé ignoré

C:\WINDOWS\autoexec.exe Infecté : Trojan.Win32.Agent.rn ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{178A2013-8392-4984-AA9F-8D9D07D6F2CA}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

et le rapport hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:35:01, on 27/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

 

 

voila merci

[Gof]

Bonsoir mic

 

Le log Hijackthis est propre, mais Kaspersky a détecté beaucoup de fichiers infectieux.

 

Pour l'instant on ne va pas toucher à ceux qui sont dans tes points de restauration. Tant que tu ne restaures pas, il n'y a pas de risques. Je préfère garder des points de restauration (même infectés) en cas de gros soucis que pas de points ; du moins pour l'instant.

 

1. Rends toi sur c:\ et supprime le fichier : 1.vbs.

 

 

2. Déconnecte toi et ferme tes navigateurs. Relance Atf-cleaner. Pour rappel :

Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

 

 

3. Je vais te demander d'analyser un fichier sur un site en ligne.

http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html
 
 
Lorsque tu cliques sur ces deux adresse, tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre de l'explorateur s'ouvre. Parcours ton disque dur et recherche :
 
 
C:\WINDOWS\autoexec.exe
 
 
Clique une fois sur le fichier (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal. Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier-coller les résultats de l’analyse.
Il est possible que tu reçoives ce message : "Server is extremely busy at the moment. Please try again later." Auquel cas il faut retenter le coup plus tard.

Enfin, j'ai vu un autre rapport à ton nom (?).

 

-> explorer.exe qui plante, explorer.exe plante quand je clique sur mes docs

 

S'agit-il d'un nouveau rapport du même pc ? Si oui, pourquoi as tu posté un nouveau sujet ?

 

Si non, s'agit-il d'un autre pc ? J'attends tes explications à ce sujet.

Modifié le 28 août 2006 par Gof

[mic]

salut gof

en ce qui concerne l'autre post c'est de mon pc dont il s'agit !

il y a quelques jour mon amie à cliqué sur une de ces pub "winantivirus..." donc j'avais suprimmé du disque le prog qui se lancait au démarrage pensant que le prob était résolu mais non !

donc j'ai fais autre post étant donné que c'était un autre pc ! voila l'explication !

les analyses se poursuivent concernant celui la.

à toute a l'heure et encore merci !

Modifié le 28 août 2006 par mic

[mic]

re gof !

voila j'ai fini d'analyser le fichier autoexec.exe

voici les résultats

 

 

Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1

File to upload & scan: Virus

 

Service

Service load:

0% 100%

File: autoexec.exe

Status:

INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 9afb83106d1bb8e2d431bdb4938d6156

Packers detected:

FSG

Scanner results

AntiVir

Found Heuristic/Crypted.Modified (probable variant)

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found Generic.Malware.E!.A5C4C091

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found Trojan.Win32.Agent.rn

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VirusBuster

Found nothing

VBA32

Found Backdoor.Bifrose.2 (probable variant)

 

la mise an page est pas au top ! désolé !

et voici le suivant :

 

Complete scanning result of "autoexec.exe", received in VirusTotal at 08.28.2006, 22:46:33 (CET).

 

Antivirus Version Update Result

AntiVir 6.35.1.3 08.28.2006 HEUR/Crypted.Modified

Authentium 4.93.8 08.25.2006 no virus found

Avast 4.7.844.0 08.28.2006 no virus found

AVG 386 08.28.2006 no virus found

BitDefender 7.2 08.28.2006 Generic.Malware.E!.A5C4C091

CAT-QuickHeal 8.00 08.26.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 08.28.2006 no virus found

DrWeb 4.33 08.28.2006 no virus found

eTrust-InoculateIT 23.72.108 08.27.2006 no virus found

eTrust-Vet 30.3.3045 08.28.2006 no virus found

Ewido 4.0 08.25.2006 Logger.Agent.op

Fortinet 2.77.0.0 08.28.2006 suspicious

F-Prot 3.16f 08.25.2006 no virus found

F-Prot4 4.2.1.29 08.26.2006 no virus found

Ikarus 0.2.65.0 08.28.2006 no virus found

Kaspersky 4.0.2.24 08.28.2006 Trojan.Win32.Agent.rn

McAfee 4839 08.28.2006 no virus found

Microsoft 1.1560 08.27.2006 no virus found

NOD32v2 1.1729 08.28.2006 no virus found

Norman 5.90.23 08.28.2006 Suspicious_F.gen

Panda 9.0.0.4 08.28.2006 Bck/Delf.ACC

Sophos 4.08.0 08.28.2006 no virus found

Symantec 8.0 08.28.2006 no virus found

TheHacker 5.9.8.201 08.28.2006 no virus found

UNA 1.83 08.28.2006 no virus found

VBA32 3.11.1 08.28.2006 suspected of Backdoor.Bifrose.2

VirusBuster 4.3.7:9 08.28.2006 no virus found

 

Aditional Information

File size: 37217 bytes

MD5: 9afb83106d1bb8e2d431bdb4938d6156

SHA1: 98d8bcc4db443f48ad9b988829cb4042d4ffa9c6

packers: FSG

 

j'espere que cela te vas !

a plus !