Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pc infecté ?


Sandy

Messages recommandés

Bonsoir

 

Suite à plusieurs messages d'infection donné par mon antivirus (Bitdefender) je vous poste un log HijackThis apres avoir suivi la procédure énoncée par Megataupe. (Antivir a detecté plusieurs infections)

 

Merci de votre aide

 

-------------------------

Logfile of HijackThis v1.99.1

Scan saved at 21:00:11, on 25/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\Program Files\Softwin\BitDefender9\bdnagent.exe

C:\Program Files\Softwin\BitDefender9\bdswitch.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

c:\program files\softwin\bitdefender9\bdmcon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "c:\program files\softwin\bitdefender9\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "c:\program files\softwin\bitdefender9\bdswitch.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1146641304923

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DFBB2AB-368E-45C2-9838-5C9778C07E7F}: NameServer = 194.2.0.20,194.2.0.50

O17 - HKLM\System\CS1\Services\Tcpip\..\{3DFBB2AB-368E-45C2-9838-5C9778C07E7F}: NameServer = 194.2.0.20,194.2.0.50

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Merci pour la reponse rapide

 

Je n'ai plus d'alertes Bitdefender. Voici le log d'Antivir :

---------------------------------------

AntiVir PersonalEdition Classic

Report file date: mercredi 25 octobre 2006 18:48

 

Scanning for 533071 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: EDITERRA

Computer name: MEDIOM

 

Version information:

AVSCAN.EXE : 7.0.0.47 200744 21/08/2006 10:06:56

AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 10:56:33

LUKE.DLL : 7.0.0.47 118824 07/09/2006 10:32:33

LUKERES.DLL : 7.0.0.47 9256 07/09/2006 10:56:33

ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 10:35:27

ANTIVIR1.VDF : 6.36.0.89 1745920 02/10/2006 16:35:41

ANTIVIR2.VDF : 6.36.0.178 200704 25/10/2006 16:35:41

ANTIVIR3.VDF : 6.36.0.185 10752 25/10/2006 16:35:41

AVEWIN32.DLL : 7.2.0.32 1880576 25/10/2006 16:35:42

AVPREF.DLL : 7.0.0.2 23592 24/07/2006 12:36:04

AVREP.DLL : 6.36.0.144 876584 25/10/2006 16:35:42

AVRPBASE.DLL : 7.0.0.0 2162728 30/03/2006 08:43:31

AVPACK32.DLL : 7.2.0.5 368680 25/10/2006 16:35:42

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 7.0.0.0 9768 24/07/2006 12:35:55

RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 11:22:57

RCTEXT.DLL : 7.0.1.4 77864 25/10/2006 16:35:36

 

Configuration settings for the scan:

Jobname.......................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: C

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,1005,

Macro heuristic...............: 1

File heuristic................: 2

Primary action................: 1

Secondary action..............: 0

 

Start of the scan: mercredi 25 octobre 2006 18:48

 

 

The scan of running processes will be started

4 Processes were scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 16 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\EDITERRA\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\EDITERRA\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\EDITERRA\Incomplete\Xilisoft 3GP Video Converter 2.1.55.110\Setup.exe

[DETECTION] Contains signature of the worm WORM/Alcra.B

[iNFO] The file was moved to '45b39a7c.qua'!

C:\Documents and Settings\EDITERRA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\EDITERRA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Program Files\eMule\Temp\003.part

[DETECTION] Is the Trojan horse TR/Proxy.Horst.HJ

[iNFO] The file was moved to '45729f52.qua'!

C:\Program Files\eMule\Temp\006.part

[DETECTION] Is the Trojan horse TR/Dldr.Agent.28048

[iNFO] The file was moved to '45759f57.qua'!

C:\Program Files\eMule\Temp\017.part

[DETECTION] Contains signature of the Windows virus W32/Sality.L

[iNFO] The file was moved to '45769f5b.qua'!

C:\Program Files\eMule\Temp\018.part

[DETECTION] Is the Trojan horse TR/Dldr.Agent.aii.6

[iNFO] The file was moved to '45779f5f.qua'!

C:\Program Files\eMule\Temp\019.part

[DETECTION] Is the Trojan horse TR/Dldr.Li.ma.2.A.2

[iNFO] The file was moved to '45789f65.qua'!

C:\Program Files\eMule\Temp\024.part

[DETECTION] Is the Trojan horse TR/Dldr.Agent.aii.6

[iNFO] The file was moved to '45739f68.qua'!

C:\Program Files\eMule\Temp\031.part

[DETECTION] Is the Trojan horse TR/Zlob.48

[iNFO] The file was moved to '45709f6f.qua'!

C:\Program Files\eMule\Temp\032.part

[DETECTION] Is the Trojan horse TR/Dldr.Agent.aht.13

[iNFO] The file was moved to '45719f72.qua'!

C:\Program Files\eMule\Temp\033.part

[DETECTION] Is the Trojan horse TR/Proxy.Horst.HJ

[iNFO] The file was moved to '45729f76.qua'!

C:\Program Files\eMule\Temp\034.part

[DETECTION] Is the Trojan horse TR/Proxy.Horst.GX

[iNFO] The file was moved to '45739f79.qua'!

C:\Program Files\eMule\Temp\035.part

[DETECTION] Is the Trojan horse TR/Dldr.Agent.aii.6

[iNFO] The file was moved to '45749f7b.qua'!

C:\WINDOWS\$NtServicePackUninstall$\wextract.exe

[DETECTION] Contains signature of the dropper DR/Kelt

[iNFO] The file was moved to '45b7a1c6.qua'!

C:\WINDOWS\system\smss.exe

[DETECTION] Contains suspicious code HEUR/Malware

[iNFO] The file was moved to '45b2a42c.qua'!

C:\WINDOWS\system32\nvsvcd.exe

[DETECTION] Is the Trojan horse TR/Proxy.Horst.Gen

[iNFO] The file was moved to '45b2a494.qua'!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

 

 

End of the scan: mercredi 25 octobre 2006 19:53

Used time: 1:05:42 min

 

The scan has been done completely.

 

2176 Scanning directories

110937 Files were scanned

15 viruses and/or unwanted programs were found

0 files were deleted

0 files were repaired

15 files were moved to quarantine

0 files were renamed

582 Archives were scanned

19 Warnings

2 Notes

 

----------------------------------------------------------------

Pour expliquer le fd du probleme, la machine dont je viens de poster le log a semble-t-il contaminé l'ensemble de notre reseau (professionnel) avec un troyen via Emule. J'ai donc desinstaller Emule et Limewire qui se trouvait sur le poste de ma collegue :P grrr...Il me semblait pourtant avoir été claire sur le sujet...

 

Pourrais-je poster le log HijackThis des differentes machines qui composent notre réseau (7 en plus...) dans le même post ? Ou dois-je faire un post different pour chaque machine ? Enfin Je ne sais pas si les membres influents de ce forum effectuent ce genre d'e procedure pour plusieurs PC car je ne souhaite pas faire perdre du temps (precieux) à qui que ce soit

 

Merci encore

Modifié par Sandy
Lien vers le commentaire
Partager sur d’autres sites

Salut :P

 

Je passe en coup de vent, je te répondrait plus précisement cette apès midi.

A priori le fait de poster les rapports hijackthis ne pose pas de problème , mais s'il s'agit de pc professionnels, as tu les autorisations du staff informatique pour le faire(excuse de poser cette question mais c'est important!)

 

Pour expliquer le fd du probleme, la machine dont je viens de poster le log a semble-t-il contaminé l'ensemble de notre reseau (professionnel) avec un troyen via Emule. J'ai donc desinstaller Emule et Limewire qui se trouvait sur le poste de ma collegue icon_evil.gif grrr...Il me semblait pourtant avoir été claire sur le sujet...

Ehhh oui c'zest bien la source du problème...! et tu as raison de faire la guerre à ce sujet car c'est un des principaux vecteurs d'infection pour un pc!! Un peu de lecture pour ta collègue , c'est très simple et révélateur! =>

 

le premier topic est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

 

Stp , poste les rapports suivants si tu peux =>

 

Télécharge DiagHelp.zip sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
  • Un nouveau dossier chercher va être créé DiagHelp
  • Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  • Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Poste le résultat pour voir si rien ne subsiste sur ton pc

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Il va falloir penser à mettre des restrictions pour certains utilisateurs il me semble!! Tout le monde ne doit pas pouvoir télécharger ce qu'il veut et mettre les données en péril!!

 

@+ tard

Lien vers le commentaire
Partager sur d’autres sites

Hello :P

 

Alors j'ai effectué l'analyse avec DiagHelp et j'ai plusieurs fichiers temps qui ont été générés lequel dois-je poster ? temp.txt - temp2.txt - temp3.txt - temp4.txt - resultatemp.txt.

 

 

Voici le resultat du scan de Kaspersky WebScanner

 

KASPERSKY ON-LINE SCANNER REPORT

Thursday, October 26, 2006 2:15:12 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 26/10/2006

Enregistrements dans la base antivirus Kaspersky : 221649

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

Statistiques de l'analyse

Total d'objets analysés 48276

Nombre de virus trouvés 7

Nombre d'objets infectés 27 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:07:27

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\EDITERRA\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\Local Settings\Historique\History.IE5\MSHist012006102620061027\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\EDITERRA\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Softwin\BitDefender Firewall\bdfirewall.txt L'objet est verrouillé ignoré

C:\Program Files\Softwin\BitDefender9\asdict.dat L'objet est verrouillé ignoré

C:\Program Files\Softwin\BitDefender9\aspdict.dat L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP82\A0020069.exe Infecté : Trojan-Downloader.Win32.Agent.aii ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP84\A0020257.exe Infecté : Trojan-Downloader.Win32.Small.dme ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP84\A0020258.exe Infecté : Trojan-Downloader.Win32.Agent.ayh ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021539.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021543.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021554.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021555.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021556.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021557.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021558.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021559.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021560.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021561.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021563.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021564.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021565.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021566.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021567.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021568.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021569.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021571.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021572.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021573.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021575.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021576.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021577.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021578.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021579.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021580.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021581.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021582.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021583.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021584.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021585.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021586.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021587.exe Infecté : Trojan-Proxy.Win32.Horst.kx ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP87\A0021589.exe Infecté : Trojan-Proxy.Win32.Horst.kq ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP91\A0025057.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP91\A0025058.exe Infecté : Trojan-Proxy.Win32.Horst.kp ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP91\A0025059.exe Infecté : Trojan-Proxy.Win32.Horst.kr ignoré

C:\System Volume Information\_restore{E6186B85-6305-4F3F-92D5-3DA722696426}\RP91\change.log L'objet est verrouillé ignoré

C:\Utilitaires DataDraw\Base symboles AfflelouOLD(Shrek)\Check.txt L'objet est verrouillé ignoré

C:\Utilitaires DataDraw\Base symboles AfflelouOLD(Shrek)\SYMBOLES_AFFLELOU.GCR L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\tmp000015ed\tmp00000000 L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

 

Je dispose des autorisations pour effectuer ces manips maintenant je voudrais savoir si elles ne comportent pas de risques de pertes de données ou si en postant ces logs sur les forums je ne met pas sur le web des informations (confidentielles ?) qui pourraient être mal utilisées ?

 

Marci

Lien vers le commentaire
Partager sur d’autres sites

salut :P

 

Concernant ce rapport DiagHelp, lorsque tu lances le fichier "Go.cmd" voilà ce que tu obtiens comme écran au bout de quelques instants => http://pix.nofrag.com/0b/ef/f1b90e1815c8e2...bfa86fe006.html

Puis lorsque tu clique sur [entrée], le rapport doit apparaitre (un seul rapport): poste le stp.

N'oublie pas qu'il faut dézipper le programme: tu dois voir apparaitre un dossier nommé clean sur le bureau (10 fichiers à l'intérieur)

 

Le rapport Kaspersky met en évidence des points de la restauration qui sont infectés : on s'en occupe à la fin, car ces infections ne sont pas actives : par contre si tu restaure le pc à une date antérieure, tu va aussi restaurer les malwares présents à date !

 

Je dispose des autorisations pour effectuer ces manips maintenant je voudrais savoir si elles ne comportent pas de risques de pertes de données ou si en postant ces logs sur les forums je ne met pas sur le web des informations (confidentielles ?) qui pourraient être mal utilisées ?

Je dois te tenir au courant de certaines choses Sandy : selon les cas, la désinfection peut être longue et parfois comporter des risques je ne te le cache pas!! les choses ne sont pas évidentes car il s'agit de pc professionnels qui sont j'imagine constamment utilisés : plusieurs scans sont parfois nécéssaires , et les manipulations multiples! Je te rassure: il est aussi possible que les pc soient clean! Est ce que certains postes rencontrent des problèmes : pubs intempestives lors de la connexion à internet par ex?

Concernant la perte de données: rassure moi, vous faites bien des sauvegardes de vos données quotidiennement?? si ca n'est pas le cas , il faut y songer sérieusement !! Les pertes de données sont rares , mais on ne doit pas prendre de risques surtout dans le cas présent!

 

Pour ce qui est de la confidentiallité, pas de souci! les infos présentes dans les rapports postés ne sont pas exploitables. Ne surtout pas mettre d'adresse ip ou d'adresse mail en clair sur le forum.

 

@+ tard :P

Lien vers le commentaire
Partager sur d’autres sites

Re :P

 

Voici le rapport Diaghelp (je n'avais pas été assez patiente ce matin :P)

 

C:\WINDOWS\System32\bdod.bin -->26/10/2006 17:17:36

C:\WINDOWS\System32\getfile.dat -->26/10/2006 14:36:35

C:\WINDOWS\System32\wpa.dbl -->26/10/2006 12:58:29

C:\WINDOWS\System32\MRT.exe -->04/10/2006 22:03:45

C:\WINDOWS\System32\msxml3.dll -->13/09/2006 07:03:06

C:\WINDOWS\System32\shdocvw.dll -->04/09/2006 08:12:53

C:\WINDOWS\System32\FNTCACHE.DAT -->31/08/2006 06:52:00

C:\WINDOWS\System32\QuickTime.qtp -->28/08/2006 08:58:26

C:\WINDOWS\System32\comctl32.dll -->25/08/2006 17:51:14

C:\WINDOWS\System32\fltlib.dll -->21/08/2006 14:26:15

C:\WINDOWS\System32\fltmc.exe -->21/08/2006 11:14:58

C:\WINDOWS\System32\6to4svc.dll -->16/08/2006 13:59:27

C:\WINDOWS\System32\mshtml.dll -->28/07/2006 13:28:08

C:\WINDOWS\System32\inetcomm.dll -->27/07/2006 15:26:19

C:\WINDOWS\System32\urlmon.dll -->25/07/2006 22:41:01

C:\WINDOWS\System32\jupdate-1.5.0_06-b05.log -->25/07/2006 16:18:51

C:\WINDOWS\System32\hlink.dll -->21/07/2006 10:27:28

C:\WINDOWS\System32\perfh00C.dat -->18/07/2006 06:59:19

C:\WINDOWS\System32\perfh009.dat -->18/07/2006 06:59:19

C:\WINDOWS\System32\perfc00C.dat -->18/07/2006 06:59:19

C:\WINDOWS\System32\perfc009.dat -->18/07/2006 06:59:19

C:\WINDOWS\System32\PerfStringBackup.INI -->18/07/2006 06:59:18

C:\WINDOWS\System32\netapi32.dll -->14/07/2006 17:41:05

C:\WINDOWS\System32\hhctrl.ocx -->14/07/2006 17:27:53

C:\WINDOWS\System32\shell32.dll -->13/07/2006 15:36:01

 

C:\WINDOWS\win.ini -->26/10/2006 14:36:36

C:\WINDOWS\0.log -->26/10/2006 12:58:05

C:\WINDOWS\WindowsUpdate.log -->26/10/2006 12:57:51

C:\WINDOWS\bootstat.dat -->26/10/2006 12:57:36

C:\WINDOWS\ntbtlog.txt -->26/10/2006 12:53:11

C:\WINDOWS\SchedLgU.Txt -->26/10/2006 12:51:05

C:\WINDOWS\setupapi.log -->26/10/2006 12:18:23

C:\WINDOWS\NeroDigital.ini -->25/10/2006 20:10:27

C:\WINDOWS\setupact.log -->25/10/2006 18:16:44

C:\WINDOWS\wiadebug.log -->25/10/2006 16:55:34

C:\WINDOWS\wiaservc.log -->25/10/2006 08:31:32

C:\WINDOWS\tsoc.log -->24/10/2006 17:15:44

C:\WINDOWS\ocmsn.log -->24/10/2006 17:15:44

C:\WINDOWS\ntdtcsetup.log -->24/10/2006 17:15:44

C:\WINDOWS\imsins.log -->24/10/2006 17:15:44

 

C:\WINDOWS\IsUn040c.exe |InstallShield Software Corporation |03/05/2006 09:58:30

C:\WINDOWS\IsUninst.exe |InstallShield Software Corporation |01/06/2006 14:11:40

C:\WINDOWS\slrundll.exe |Smart Link |20/08/2004 01:10:02

C:\WINDOWS\twunk_16.exe |Twain Working Group |28/08/2001 14:00:00

C:\WINDOWS\twunk_32.exe |Twain Working Group |28/08/2001 14:00:00

C:\WINDOWS\UninstallFirefox.exe |COMPANY |31/05/2006 13:07:33

C:\WINDOWS\twain.dll |Groupe de travail Twain |28/08/2001 14:00:00

C:\WINDOWS\twain_32.dll |Groupe de travail Twain |28/08/2001 14:00:00

C:\WINDOWS\system32\append.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\debug.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\dosx.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\dvdplay.exe |COMPANY |23/08/2001 19:47:34

C:\WINDOWS\system32\edlin.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\exe2bin.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\fastopen.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\FileOps.exe |COMPANY |01/06/2006 13:28:23

C:\WINDOWS\system32\java.exe |Sun Microsystems, Inc. |25/07/2006 16:18:53

C:\WINDOWS\system32\javaw.exe |Sun Microsystems, Inc. |25/07/2006 16:18:53

C:\WINDOWS\system32\javaws.exe |Sun Microsystems, Inc. |25/07/2006 16:18:53

C:\WINDOWS\system32\mem.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\mscdexnt.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\NeroCheck.exe |Ahead Software Gmbh |09/07/2001 11:50:42

C:\WINDOWS\system32\nlsfunc.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\redir.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\setver.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\share.exe |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\slrundll.exe |Smart Link |20/08/2004 01:10:02

C:\WINDOWS\system32\slserv.exe |Smart Link |20/08/2004 01:10:02

C:\WINDOWS\system32\usrmlnka.exe |U.S. Robotics Corporation |23/08/2001 19:47:48

C:\WINDOWS\system32\usrprbda.exe |U.S. Robotics Corporation |23/08/2001 19:47:48

C:\WINDOWS\system32\usrshuta.exe |U.S. Robotics Corporation |23/08/2001 19:47:48

C:\WINDOWS\system32\amstream.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\ati2cqag.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\ati2dvaa.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\ati2dvag.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\ati3d1ag.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\ati3duag.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\ativtmxx.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\ativvaxx.dll |ATI Technologies Inc. |20/08/2004 01:09:19

C:\WINDOWS\system32\atmfd.dll |Adobe Systems Incorporated |28/08/2001 14:00:00

C:\WINDOWS\system32\atmlib.dll |Adobe Systems |28/08/2001 14:00:00

C:\WINDOWS\system32\compatui.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\dgrpsetu.dll |Digi International, Inc. |28/04/2006 12:11:38

C:\WINDOWS\system32\dgsetup.dll |Digi International |28/04/2006 12:11:38

C:\WINDOWS\system32\encdec.dll |COMPANY |20/08/2004 01:09:25

C:\WINDOWS\system32\EqnClass.Dll |Equinox Systems Inc. |28/04/2006 12:11:38

C:\WINDOWS\system32\hsfcisp2.dll |Conexant Systems, Inc. |20/08/2004 01:09:27

C:\WINDOWS\system32\hticons.dll |Hilgraeve, Inc. |31/05/2006 14:14:17

C:\WINDOWS\system32\hypertrm.dll |Hilgraeve, Inc. |20/08/2004 01:09:27

C:\WINDOWS\system32\iccvid.dll |Radius Inc. |28/08/2001 14:00:00

C:\WINDOWS\system32\ieencode.dll |COMPANY |20/08/2004 01:09:27

C:\WINDOWS\system32\ImagX7.dll |Pegasus Imaging Corp. |09/08/2006 08:11:42

C:\WINDOWS\system32\ImagXpr7.dll |Pegasus Imaging Corp. |09/08/2006 08:11:44

C:\WINDOWS\system32\ImagXR7.dll |Pegasus Imaging Corp. |09/08/2006 08:11:44

C:\WINDOWS\system32\ImagXRA7.dll |Pegasus Imaging Corp. |09/08/2006 08:11:45

C:\WINDOWS\system32\ir32_32.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\ir41_qc.dll |Intel Corporation. |28/08/2001 14:00:00

C:\WINDOWS\system32\ir41_qcx.dll |Intel Corporation. |28/08/2001 14:00:00

C:\WINDOWS\system32\ir50_32.dll |Intel Corporation |28/08/2001 14:00:00

C:\WINDOWS\system32\ir50_qc.dll |Intel Corporation. |28/08/2001 14:00:00

C:\WINDOWS\system32\ir50_qcx.dll |Intel Corporation. |28/08/2001 14:00:00

C:\WINDOWS\system32\isrdbg32.dll |Intel Corporation |28/04/2006 11:23:42

C:\WINDOWS\system32\jgaw400.dll |Johnson-Grace Company |28/08/2001 14:00:00

C:\WINDOWS\system32\jgdw400.dll |America Online |28/08/2001 14:00:00

C:\WINDOWS\system32\jgmd400.dll |Johnson-Grace Company |28/08/2001 14:00:00

C:\WINDOWS\system32\jgpl400.dll |Johnson-Grace Company |28/08/2001 14:00:00

C:\WINDOWS\system32\jgsd400.dll |America Online |28/08/2001 14:00:00

C:\WINDOWS\system32\jgsh400.dll |Johnson-Grace Company |28/08/2001 14:00:00

C:\WINDOWS\system32\mdmxsdk.dll |Conexant |20/08/2004 01:09:30

C:\WINDOWS\system32\mdwmdmsp.dll |RioPort |23/08/2001 19:47:06

C:\WINDOWS\system32\msdmo.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\msencode.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\mtxparhd.dll |Matrox Graphics Inc. |20/08/2004 01:09:35

C:\WINDOWS\system32\nv4.dll |NVIDIA Corporation |28/04/2006 12:14:18

C:\WINDOWS\system32\nv4_disp.dll |NVIDIA Corporation |20/08/2004 01:09:36

C:\WINDOWS\system32\paqsp.dll |COMPANY |23/08/2001 19:47:16

C:\WINDOWS\system32\picn20.dll |Pegasus Imaging Corp. |09/08/2006 08:11:40

C:\WINDOWS\system32\qedwipes.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\s3gnb.dll |S3 Graphics, Inc. |20/08/2004 01:09:39

C:\WINDOWS\system32\sbe.dll |COMPANY |20/08/2004 01:09:39

C:\WINDOWS\system32\slbcsp.dll |Schlumberger Technology Corporation |28/08/2001 14:00:00

C:\WINDOWS\system32\slbiop.dll |Schlumberger Technology Corporation |28/08/2001 14:00:00

C:\WINDOWS\system32\slbrccsp.dll |Schlumberger Technology Corporation |28/08/2001 14:00:00

C:\WINDOWS\system32\slcoinst.dll |Smart Link |20/08/2004 01:09:41

C:\WINDOWS\system32\slextspk.dll |Smart Link |20/08/2004 01:09:41

C:\WINDOWS\system32\slgen.dll |Smart Link |20/08/2004 01:09:41

C:\WINDOWS\system32\sockspy.dll |COMPANY |02/09/2005 13:48:40

C:\WINDOWS\system32\spnike.dll |S3/Diamond Multimedia |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio600.dll |S3/Diamond Multimedia |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio800.dll |S3/Diamond Multimedia |23/08/2001 19:47:18

C:\WINDOWS\system32\spxcoins.dll |Perle Systems Ltd. |28/04/2006 12:11:38

C:\WINDOWS\system32\tsd32.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\TWAIN32d.dll |COMPANY |14/09/1998 21:43:16

C:\WINDOWS\system32\TwnLib20.dll |Pegasus Software |09/08/2006 08:11:48

C:\WINDOWS\system32\TwnLib4.dll |Pegasus Imaging Corp. |09/08/2006 08:11:45

C:\WINDOWS\system32\usrcntra.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrcoina.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdpa.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdtea.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrfaxa.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrlbva.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrrtosa.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsdpia.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsvpia.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv42a.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv80a.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvoica.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvpa.dll |U.S. Robotics Corporation |23/08/2001 19:47:20

C:\WINDOWS\system32\win87em.dll |COMPANY |28/08/2001 14:00:00

C:\WINDOWS\system32\xcomm.dll |Softwin |13/01/2006 17:05:36

C:\WINDOWS\system32\xreglib.dll |COMPANY |06/12/2002 16:37:06

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est D8C6-9C8E

 

Répertoire de C:\WINDOWS\system32

 

20/08/2004 01:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 29 530 177 536 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est D8C6-9C8E

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

26/10/2006 12:18 <REP> .

26/10/2006 12:18 <REP> ..

28/04/2006 11:25 65 desktop.ini

08/08/2006 11:45 576 kavwebscan.inf

03/06/2002 17:53 144 QTPlugin.inf

27/03/2006 13:00 5 019 swflash.inf

26/05/2005 04:19 291 wuweb.inf

5 fichier(s) 6 095 octets

 

Total des fichiers listés :

5 fichier(s) 6 095 octets

2 Rép(s) 29 530 177 536 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Liste des programmes installes

 

Adobe Illustrator CS

Adobe Photoshop CS

Adobe Reader 7.0 - Français

Adobe SVG Viewer 3.0

BitDefender 9 Internet Security

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

ewido anti-malware

GeoConcept 5.0 (5.0.742)

HijackThis 1.99.1

J2SE Runtime Environment 5.0 Update 6

Kaspersky Online Scanner

Lecteur Windows Media 11

Macromedia Flash Player 8

Microsoft Office 2000 Small Business

Microsoft Office PowerPoint Viewer 2003

Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911280)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913433)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mozilla Firefox (1.0.6)

MSN Messenger 7.5

Nero OEM

NVIDIA WDM Drivers

Spybot - Search & Destroy 1.4

WebFldrs XP

Windows Genuine Advantage Notifications (KB905474)

Windows Genuine Advantage Validation Tool

Windows Installer 3.1 (KB893803)

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Windows XP Service Pack 2

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est D8C6-9C8E

 

Répertoire de C:\Program Files

 

25/10/2006 20:58 <REP> .

25/10/2006 20:58 <REP> ..

17/08/2006 07:21 <REP> Adobe

09/08/2006 08:11 <REP> Ahead

01/06/2006 12:33 <REP> Borland

15/06/2006 16:48 <REP> ewido anti-malware

09/08/2006 08:11 <REP> Fichiers communs

22/06/2006 08:25 <REP> GeoConcept 4.2

26/10/2006 09:40 <REP> GeoConcept 5.0

26/07/2006 14:12 <REP> Google

25/10/2006 21:02 <REP> HijackThis

04/08/2006 06:51 900 INSTALL.LOG

16/08/2006 16:28 <REP> Internet Explorer

09/08/2006 07:32 <REP> Java

03/05/2006 11:39 <REP> Messenger

01/06/2006 12:19 <REP> microsoft frontpage

23/06/2006 09:54 <REP> Microsoft Office

03/05/2006 10:34 <REP> Movie Maker

31/05/2006 13:07 <REP> Mozilla Firefox

28/04/2006 11:21 <REP> MSN Gaming Zone

08/06/2006 10:12 <REP> MSN Messenger

03/05/2006 10:31 <REP> NetMeeting

03/05/2006 11:22 <REP> Outlook Express

28/04/2006 11:24 <REP> Services en ligne

31/05/2006 13:01 <REP> Softwin

24/10/2006 17:00 <REP> Spybot - Search & Destroy

29/06/2006 10:51 <REP> Windows Media Player

31/05/2006 14:14 <REP> Windows NT

28/04/2006 11:26 <REP> xerox

1 fichier(s) 900 octets

28 Rép(s) 29 530 112 000 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est D8C6-9C8E

 

Répertoire de C:\Program Files\fichiers communs

 

09/08/2006 08:11 <REP> .

09/08/2006 08:11 <REP> ..

17/08/2006 07:24 <REP> Adobe

01/06/2006 14:25 <REP> Adobe Systems Shared

09/08/2006 08:11 <REP> Ahead

01/06/2006 12:21 <REP> Designer

01/06/2006 14:19 <REP> InstallShield

11/07/2006 08:02 <REP> Java

01/06/2006 12:21 <REP> Microsoft Shared

28/04/2006 11:23 <REP> MSSoap

28/04/2006 12:11 <REP> ODBC

28/04/2006 11:23 <REP> Services

31/05/2006 13:01 <REP> Softwin

28/04/2006 12:11 <REP> SpeechEngines

01/06/2006 12:20 <REP> System

0 fichier(s) 0 octets

15 Rép(s) 29 530 112 000 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est D8C6-9C8E

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

01/06/2006 12:21 <REP> .

01/06/2006 12:21 <REP> ..

18/05/2001 17:57 561 209 MSONSEXT.DLL

03/06/1999 14:09 122 937 MSOWS409.DLL

07/03/2001 09:00 127 033 MSOWS40c.DLL

18/03/1999 06:37 593 977 RAGENT.DLL

4 fichier(s) 1 405 156 octets

2 Rép(s) 29 530 112 000 octets libres

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\blbetac.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\FilesInfoCmd.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\Fport.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\grep.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\LFiles.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\LISTDLLS.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\pslist.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\streams.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection Ch_Ingals\DiagHelp\diaghelp\swreg.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection procedure Tesgaz\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection procedure Tesgaz\ATF-Cleaner.exe

c:\Documents and Settings\All Users\Documents\tempo\Desinfection procedure Tesgaz\spybotsd14.exe

c:\Documents and Settings\EDITERRA\Application Data\U3\temp\cleanup.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\EDITERRA\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

 

--------------------------------------------------

 

Est ce que certains postes rencontrent des problèmes : pubs intempestives lors de la connexion à internet par ex?

Concernant la perte de données: rassure moi, vous faites bien des sauvegardes de vos données quotidiennement?? si ca n'est pas le cas , il faut y songer sérieusement !! Les pertes de données sont rares , mais on ne doit pas prendre de risques surtout dans le cas présent!

 

A priori pour le moment le troyen a été neutralisé puisqu'il n'est pas réapparu sur les autres postes. Et nous n'avons pas de problèmes de pubs intempestives ou autres...

 

Pour les données nous effectuons effectivement des sauvegardes (mais seulement hebdomadaires ...)

 

Merci@+tard

Lien vers le commentaire
Partager sur d’autres sites

ok d'après ce que je vois, les rapports sont niquels :P

 

Pense à faire la mise à jour e la console Java car certaines failles de sécurité sont corrigées par les mises à jour : dernière mise à jour en date => Version 5.0 Update 9

 

Passe par cette page => http://www.java.com/fr/download/installed.jsp et clique sur la case "vérifier l'installation" : installe la dernière mise à jour proposée. Après avoir installé la mise à jour tu peux éliminer celle ci en passant par Ajout/Suppression de programmes (panneau de configuration) =>J2SE Runtime Environment 5.0 Update 6

 

Supprime la restauration système=> aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

@+ tard

Lien vers le commentaire
Partager sur d’autres sites

Super !!! Merci beaucoup de ton aide :P

 

Longue vie a Zebulon.fr :P

 

 

p.s.: apres examen rapide (scan bitdefender) le troyen :P est visiblement situé dans un fichier de restauration du systeme sur plusieurs postes...Dois je desactiver la restauration du systeme puis la re-activer sans trop d'etat d'ame ou dois je appliquer la meme procedure pour tous les postes (antivir + log hijackThis + kaspersky web scan + diaghelp) et poster les logs pour interpretation ?

Lien vers le commentaire
Partager sur d’autres sites

salut :P

 

Si tu es sûre que les infections ne sont contenues que dans la restauration, la simple désactivation puis réactivation de la restauration va rêgler le problème.

En cas de souci, tu peux venir poster un rapport pour le pc concerné :P

 

Je ne sais pas si un administrateur s'occupe du "parc" informatique, mais il serait bon qu'il mette en place une stratégie pour éviter que tout le monde ait accès à toutes les ressources!!ca évite pas mal de soucis.

Quelques pistes sur cet article de tesgaz => http://speedweb1.free.fr/frames2.php?page=securite5

 

@+ tard

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...