Virus type SPR/YFlood.A.3 program

[Bell@tor]

En faite Charles je pensai à quoi ca sert une roue de secours si celle-ci est vérolée... dc voila pourquoi je lui ai dit de supprimer la restauration système...

[Thanos]

salut

 

??? En ligne ?

C'est à dire ?

Zeud.59 , je te demandais en fait de faire analyser ce fichier > TUKernel.exe que tu trouveras en allant dans le dossier E:\WINDOWS\System32 un post plus haut !

 

Bell@tor , je comprend bien ce que tu as voulu dire! et dans un sens tu as raison! Mais on a l'habitude de ne pas toucher à la restauration système tant que la désinfection n'est pas terminée. Pourquoi? imagine ( et ca arrive parfois malheureusement!) que je demande à la personne d'effacer le fichier smss dans le dossier C:\system par ex , et qu'il se trompe et efface celui qui se trouve dans C:\WINDOWS\System32 ! Pour nous, une "roue de secours" c'est bien! même si ca signifie réinstaller des malwares.(on nettoie ensuite). tesgaz dit de la restauration systeme que c'est un pansement sur une jambe de bois et c'est vrai!!(une réparation sans perte de données avec le cd c'est beaucoup mieux!) mais lorsque la personne n'a pas de cd d'xp par ex, ca fait plaisir de pouvoir compter dessus.N'oublie pas que les infections présentes dans la restauration sont "dormantes" : tant que l'on ne l'utilise pas, y a pas de souci.

[Zeud.59]

salut

Zeud.59 , je te demandais en fait de faire analyser ce fichier > TUKernel.exe que tu trouveras en allant dans le dossier E:\WINDOWS\System32 un post plus haut !

 

Bell@tor , je comprend bien ce que tu as voulu dire! et dans un sens tu as raison! Mais on a l'habitude de ne pas toucher à la restauration système tant que la désinfection n'est pas terminée. Pourquoi? imagine ( et ca arrive parfois malheureusement!) que je demande à la personne d'effacer le fichier smss dans le dossier C:\system par ex , et qu'il se trompe et efface celui qui se trouve dans C:\WINDOWS\System32 ! Pour nous, une "roue de secours" c'est bien! même si ca signifie réinstaller des malwares.(on nettoie ensuite). tesgaz dit de la restauration systeme que c'est un pansement sur une jambe de bois et c'est vrai!!(une réparation sans perte de données avec le cd c'est beaucoup mieux!) mais lorsque la personne n'a pas de cd d'xp par ex, ca fait plaisir de pouvoir compter dessus.N'oublie pas que les infections présentes dans la restauration sont "dormantes" : tant que l'on ne l'utilise pas, y a pas de souci.

 

Ok, j'ai bien ciblé le fichier en question.

Mon antivirus ne trouve rien et je ne sais pas quoi utiliser pour faire une analyse virale en ligne de ce fichier !

[Zeud.59]

Ok, j'ai bien ciblé le fichier en question.

Mon antivirus ne trouve rien et je ne sais pas quoi utiliser pour faire une analyse virale en ligne de ce fichier !

 

Toujours pas trouvé de virus sur ce fichier mais il se peut qu'il se soit installé en même temps que le logiciel "TuneUp Software" ... la date du fichier (TUkernel.exe) semble correspondre avec la date d'installation du soft ! Mais sans aucune certitude !

[Thanos]

salut;)

 

Effectivement , tu as raison ,il semble lié à tune UP ! Les raports que tu as posté plus haut ne montrent rien de mauvais.

 

Pense à désinstaller un des deux antivirus présents sur ton pc.

 

 

Est ce que tu reçois d'autres alertes de l'antivirus?

 

Pour être sûr que rien ne nous échappe, quand tu auras le temps >

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

@+

[Zeud.59]

salut;)

 

Effectivement , tu as raison ,il semble lié à tune UP ! Les raports que tu as posté plus haut ne montrent rien de mauvais.

 

Pense à désinstaller un des deux antivirus présents sur ton pc.

Est ce que tu reçois d'autres alertes de l'antivirus?

 

Pour être sûr que rien ne nous échappe, quand tu auras le temps >

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

@+

 

Côté antivirus, Antivir ne m'avait rien trouvé d'autre avant que je le désinstalle et Avast ne m'a rien trouvé non plus.

 

Quand à Kapersky il ne m'en a pas trouvé non plus, juste une indication sur certains fichier vérouillé mais apparemment tout semble correcte.

 

Je vous poste les rapports à la suite ( au cas où !!!) mais je pense que le sujet peut être clos !

Merci d'avoir passé un peu de votre temps !

Longue vie à ce forum et Charles Ingalls et à Bell@tor pour votre aide

zeud.59

 

Poste Kapersky :

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Thursday, February 01, 2007 11:43:51 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 1/02/2007

Enregistrements dans la base antivirus Kaspersky : 249282

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

G:\

 

Statistiques de l'analyse:

Total d'objets analysés: 68945

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 01:29:56

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{5AC18451-CD21-44DD-B122-E2CADCF27969}\RP257\change.log L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

E:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

E:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\cert8.db L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\history.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\key3.db L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\parent.lock L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\search.sqlite L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Thunderbird\Profiles\8xqppx0s.default\abook.mab L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Thunderbird\Profiles\8xqppx0s.default\cert8.db L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Thunderbird\Profiles\8xqppx0s.default\history.mab L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Thunderbird\Profiles\8xqppx0s.default\impab.mab L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Thunderbird\Profiles\8xqppx0s.default\key3.db L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Application Data\Thunderbird\Profiles\8xqppx0s.default\Mail\Local Folders\Drafts.msf L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Cookies\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Application Data\Mozilla\Firefox\Profiles\349t9cm5.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Historique\History.IE5\MSHist012007020120070202\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Temp\Perflib_Perfdata_b8.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\NTUSER.DAT L'objet est verrouillé ignoré

E:\Documents and Settings\xxx\ntuser.dat.LOG L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

E:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

E:\Program Files\GrabIt\Cache\Groups\Free\alt.binaries.games\cache L'objet est verrouillé ignoré

E:\Program Files\GrabIt\Cache\Temp\165a3750 L'objet est verrouillé ignoré

E:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log L'objet est verrouillé ignoré

E:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log L'objet est verrouillé ignoré

E:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log L'objet est verrouillé ignoré

E:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log L'objet est verrouillé ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\System Volume Information\_restore{5AC18451-CD21-44DD-B122-E2CADCF27969}\RP257\change.log L'objet est verrouillé ignoré

E:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré

E:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

E:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

E:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

E:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

E:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

E:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

E:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

E:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

E:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

E:\WINDOWS\system32\nmp.log L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

E:\WINDOWS\system32\_nvidia_xxx_.log L'objet est verrouillé ignoré

E:\WINDOWS\Temp\Perflib_Perfdata_3f4.dat L'objet est verrouillé ignoré

E:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

E:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

E:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

E:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

[Thanos]

re Zeud.59

 

Ok c'est niquel tout ca

 

Parce que Avast avait détecté SVKP , tu peux désactiver puis réactiver la restauration (un nouveau point sera créé) afin de ne pas réinstaller le rootkit en cas de souci.

 

Plus qu'à te souhaiter bon surf alors

Modifié le 1 février 2007 par charles ingals