G DATA AntiVirus Kit 2006 a détecté un virus dans WinRAR [résolu]

[sophia]

Bonjour à tous,

 

Mon AntiVirus "G DATA AntiVirus Kit 2006" soupçonne un fichier d'être infecté.

Pouvez-vous me le confirmer et m'indiquer ce que je dois faire ? Pour l'instant ce fichier est en quarantaine dans mon antivirus.

Je vous joins le rapport d'analyse de mon antivirus ainsi qu'un rapport Hijackthis.

 

Merci à tous ceux qui pourront m'aider.

 

sophia

 

Rapport Antivirus :

 

Analyse virale avec AVK

Version 16.0.7

Liste de virus du 06/09/2006

Heure de démarrage : 06/09/2006 16:52

Liste des virus : AVK 16.9604

Heuristique : Oui

Fichiers compressés : Oui

Domaine-système : Oui

 

Analyse du domaine-système...

Analyse de tous les disques durs locaux...

Objet : WinRAR.exe

Chemin d'accès : C:\Program Files\WinRAR

Statut : Fichier envoyé en quarantaine

Virus : Trojan-Spy.Win32.Lydra.be

Analyse complètement terminée : 06/09/2006 17:26

47917 Fichiers inspectés

1 fichiers infectés détectés

0 fichiers suspects détectés

 

 

Rapport Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 09:57:22, on 07/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe

C:\Program Files\AntiVirusKit 2006\AVKService.exe

C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

C:\Program Files\Dell\Media Experience\DMXLauncher.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Hiajckthis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\AntiVirusKit 2006\AVKTray\AVKTray.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImage\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKService.exe

O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirusKit 2006\AVKWCtl.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Modifié le 8 septembre 2006 par sophia

[Anthony#10]

Bonjour sophia et bonjour à tous,

 

Le fichier infecté se trouve être un fichier que tu as décompressé via WinRar.

 

Ton log HijackThis ne montre aucune trace d'infection.

 

Je te propose de continuer avec un autre utilitaire.

• 
  

Télécharge SpySweeper

 

Il s'agit d'une version d'évaluaion d'une période de 15 jours.

 

- Clique sur Télécharger la version test qui se situe dans l'encadré en rouge en bas de la page.

 

- Installe-le en effectuant une installation standart.

- Le redémmarage sera de mise donc accepte-le ou redémarre-le toi-même.

- Une fenêtre t'informant des mises à jours s'affichera au redémmarage, accepte également de le mettre à jour.

- Une fois les mises à jours terminées, ferme SpySweeper.

• 
  

Redémarre ton PC en mode sans échec.

 

Dans le menu Démarrer, clique sur Arrêter l'ordinateur puis sur Redémarrer.

 

Quand ton Pc commence à redémmarrer, tapote la touche F8 de ton clavier

jusqu'à ce que les Options Avancés de Windows apparraissent.

 

Ensuite, choisis le mode sans échec qui se situe en haut et appuis sur

Enter.

 

S'il y a plusieurs comptes, choisis ton compte

personnel

• 
  

Lance SpySweeper.

 

- Dans la colonne situé à gauche, clique sur Options.

- Sous Eléments à analyser et Autres options, coche tout les cases présentes.

- Dans la colonne de gauche, clique sur Analyser puis sur Démarrer l'analyse.

 

Le scan peut prendre un certain temps donc sois patient

 

- A la fin du scan, clique sur Suivant.

- Coche tout les éléments qui auront été trouvé puis clique encore sur Suivant.

Tous les éléments cochés seront alors mis en quarantaine

 

- Dans Récapitulatif, choisis Afficher le journal de session qui est en bas de la fenêtre puis clique sur Enregistrer dans un fichier que tu mettras sur le bureau sous le nom de SpySweeper.txt afin de sauvegarder le rapport.

 

- Ferme SpySweeper.

• 
  

Redémarre en mode normal.

• 
  

Rends toi ICI

• 
  

Clique sur Répondre puis dans l'encadré dédié à ta réponse, post un nouveau log HijackThis et le rapport SpySweeper.txt

 

 

A suivre,

Modifié le 7 septembre 2006 par Anthony#10

[sophia]

Bonjour Anthony,

 

Je viens d'exécuter un scan avec SpySweeper, comme tu me l'a conseillé, et il n'a rien trouvé :

 

12:14: Traces trouvées : 0

12:14: Analyse complète terminée. Durée 00:19:22

12:14: Analyse des fichiers terminée, temps passé : 00:18:15

12:11: Avertissement: Failed to access drive I:

12:11: Avertissement: Failed to access drive H:

12:11: Avertissement: Failed to access drive G:

12:11: Avertissement: Failed to access drive F:

12:11: Avertissement: Failed to access drive E:

12:11: Avertissement: Failed to access drive D:

11:56: Démarrage de l’analyse des fichiers

11:56: Analyse des cookies terminée, temps passé : 00:00:00

11:56: Démarrage de l’analyse des cookies

11:56: Analyse du Registre terminée, temps passé :00:00:17

11:56: Démarrage de l’analyse du Registre

11:56: Analyse de la mémoire terminée, temps passé : 00:00:43

11:55: Démarrage de l’analyse de la mémoire

11:55: Analyse lancée avec la version des définitions 755

11:55: Spy Sweeper 5.0.7.1608 démarrée

11:55: | Début de session, jeudi 7 septembre 2006 |

********

11:55: | Fin de session, jeudi 7 septembre 2006 |

11:53: Version du programme : 5.0.7.1608 - Définitions de logiciels espions 755

11:48: Erreur: Cannot open file "C:\Program Files\Webroot\Spy Sweeper\Masters\masters.mst". Accès refusé.

11:46: Erreur: Cannot open file "C:\Program Files\Webroot\Spy Sweeper\Masters\masters.mst". Accès refusé.

11:46: Spy Sweeper 5.0.7.1608 démarrée

11:46: Erreur: Cannot open file "C:\Program Files\Webroot\Spy Sweeper\Masters\masters.mst". Accès refusé.

11:42: Erreur: Cannot open file "C:\Program Files\Webroot\Spy Sweeper\Masters\masters.mst". Accès refusé.

11:42: Spy Sweeper 5.0.7.1608 démarrée

11:42: Spy Sweeper 5.0.7.1608 démarrée

11:42: | Début de session, jeudi 7 septembre 2006 |

********

 

Est-ce que mon anti-virus ne se mettrait pas à prendre WinRar pour un virus ?

 

Merci de ta réponse.

 

sophia

Modifié le 7 septembre 2006 par sophia

[Anthony#10]

Bonjour à tous,

 

Ton antivirus a detecté un fichier que tu as décompressé comme étant un virus et non pas WinRar étant un virus.

 

[*] Rends toi ICI afin de scanner ton ordinateur en ligne via Panda's Active scan.

 

[*] Une fois sur le site, clique sur Analysez votre PC.

 

[*] Une nouvelle fenêtre s'ouvrira, clique sur le bouton Vérifiez la maintenant.

 

[*] Choisis ton pays.

 

[*] Choisis ta région.

 

[*] Entre ton adresse e-mail.

 

[*] Choisis entre Particulier ou Compagnie.

 

[*] Clique sur le bouton Analysez maintenant.

 

S'il te propose d'installer un composant ActiveX,

accepte.

 

[*] Sur l'écran de scan, choisis Disque dur locaux pour débuter le scan.

 

[*] Lorsque le scan sera achevé, clique sur Voir le rapport puis sur Sauver le rapport que tu mettras sur le Bureau.

 

[*] Rends toi ICI

 

[*] Clique sur Répondre et dans l'encadré consacré à ta réponse, colle le rapport du scan en ligne.

 

 

A suivre,

Modifié le 7 septembre 2006 par Anthony#10

[sophia]

Bonjour Anthony

 

J'ai fait le scan qui ne retrouve rien, à part un logiciel espion qui s'est installé depuis.

 

Voici le rapport :

 

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\sophia\Application Data\Mozilla\Firefox\Profiles\yz0rcfgv.default\cookies.txt[.xiti.com/]

 

 

Est-ce que le fait que ce virus soit en quarantaine dans mon antivirus empêche les autres scan de le trouver ?

 

Merci à toi

 

sophia

[nicM]

Bonjour,

 

Et désolé de m'immiscer ainsi.

 

Kaspersky (1 des 2 moteurs de G-Data AVK) a détecté par erreur Winrar comme Trojan-Spy.Win32.Lydra.be depuis peu (false positive), et cette erreur doit maintenant être corrigée, si l'Av a été mis à jour depuis .

 

Il faudrait le sortir de la quarantaine, pour le restaurer.

 

nicM

[sophia]

Bonjour et merci nicM,

 

Je te remercie de ta contribution et vais restaurer ce fichier. Je ferai ensuite un nouveau scan avec Gdata et je vous tiens au courant.

 

Sophia

 

Voilà qui est fait : effectivement, Gdata ne détecte plus de virus et Winrar est restauré.

 

Merci nicM pour cette précision et merci à Anthony qui m'a permis de constater que mon ordi était, en fait, sain.

 

Bon week-end à tous

 

sophia

Modifié le 8 septembre 2006 par sophia

[Guy d'Antibes]

Bonjour

A tous je viens de rencontrer le même problême avec Kaspesky version 6.0

qui m'indique depuis 3 jours le même message .

 

supprimé : cheval de Troie Trojan-Spy.Win32.Lydra.be OBJET Le fichier: c:\program files\winrar\winrar.exe

 

suite a cet événement

J'ai désinstallé Winrar et malgré cela le message réapparait .

je pense qu'il y a un véritable conflit entre Winrar et Kaspersky

ne vaut il pas mieux considérer ce problème comme inoffensif et établir une règle de confiance pour ce message ?

[Guy d'Antibes]

Bonjour

A tous je viens de rencontrer le même problême avec Kaspesky version 6.0

qui m'indique depuis 3 jours le même message .

 

supprimé : cheval de Troie Trojan-Spy.Win32.Lydra.be OBJET Le fichier: c:\program files\winrar\winrar.exe

 

suite a cet événement

J'ai désinstallé Winrar et malgré cela le message réapparait .

je pense qu'il y a un véritable conflit entre Winrar et Kaspersky

ne vaut il pas mieux considérer ce problème comme inoffensif et établir une règle de confiance pour ce message ?

[Anthony#10]

Bonjour Guy d'Antibes,

 

Il s'agit d'un faux positif donc je te pries de restaurer le fichier détecté comme un virus.

 

Il ne faut pas t'affoler pour ceci car il n'y a aucun danger quelconque.

 

Bonne soirée.

Modifié le 9 septembre 2006 par Anthony#10