RESOLU A l'aide infecté avec new_drv.sys et 9129837.exe

Gof · le 2 août 2007

Rien d'alarmant d'apparent, ça ssemble pas mal .

Désinstalle via ton panneau de configuration>Ajout/Suppression de programmes :

Java™ SE Runtime Environment 6 Update 1
J2SE Runtime Environment 5.0 Update 6

Ce sont des versions obsolètes (tu as la 6.2 de présente) qui induisent un risque sécuritaire. Complète par une analyse en ligne. Si tout va bien, l'analyse ne devrait que nous révéler le répertoire de "backup" de sdfix, et éventuellement la quarantaine Norton.

Fais un scan en ligne Kaspersky avec Internet Explorer :
Clique sur
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail
Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Que donnent les détections ? Ont-elles disparues ?

fredo77 · le 2 août 2007

Rien d'alarmant d'apparent, ça ssemble pas mal .

Désinstalle via ton panneau de configuration>Ajout/Suppression de programmes :

Java™ SE Runtime Environment 6 Update 1
J2SE Runtime Environment 5.0 Update 6
Ce sont des versions obsolètes (tu as la 6.2 de présente) qui induisent un risque sécuritaire. Complète par une analyse en ligne. Si tout va bien, l'analyse ne devrait que nous révéler le répertoire de "backup" de sdfix, et éventuellement la quarantaine Norton.

Fais un scan en ligne Kaspersky avec Internet Explorer :

Clique sur

Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.

Patiente pendant l'installation des Mises à jour.

Choisis par la suite l'analyse du Poste de travail

Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Que donnent les détections ? Ont-elles disparues ?

Re, Merci de ton retour,

Je voulais savori,

Quel était les problèmes générés par le truc que j'avais choppé ?

Merci de ton retour,

Je te fais les scan et les poste.

A+

Fred

Gof · le 2 août 2007

Ok, j'attends le résultat de l'analyse en ligne.

Il s'agit d'un cheval de troie.

Pour répondre à ta question, tu peux lire cette fiche Sophos et cette fiche Avira pour avoir une idée.

A plus tard

fredo77 · le 2 août 2007

Ok, j'attends le résultat de l'analyse en ligne.

Il s'agit d'un cheval de troie.

Pour répondre à ta question, tu peux lire cette fiche Sophos et cette fiche Avira pour avoir une idée.

A plus tard

Bonsoir,

Le scan est assez long mais ça avance.

Sinon si je rétablissait mon système avec GHOST cela ne serait-il pas uen bonneparade ?

Merci du retour,

A + dès que le scan est finit.

Cordialement,

Frederic

Gof · le 2 août 2007

Bonsoir fredo77

Rétablir une copie ? Oui, pourquoi pas. Mais ta copie est-elle saine ? En es tu sur ?

Le souci est que si l'infection a réussi à se faufiler sur ton pc, c'est qu'il y a eu une imprudence de ta part, ou une mauvaise configuration -ou absence- de tes outils de sécurité.

Restaurer une image te préservera peut-être de cette infection-ci, mais ne te prémunit en rien de prochaines infections. Tu ne crois pas ?

A bientôt avec ton résultat d'analyse.

fredo77 · le 3 août 2007

Bonsoir fredo77

Rétablir une copie ? Oui, pourquoi pas. Mais ta copie est-elle saine ? En es tu sur ?

Le souci est que si l'infection a réussi à se faufiler sur ton pc, c'est qu'il y a eu une imprudence de ta part, ou une mauvaise configuration -ou absence- de tes outils de sécurité.

Restaurer une image te préservera peut-être de cette infection-ci, mais ne te prémunit en rien de prochaines infections. Tu ne crois pas ?

A bientôt avec ton résultat d'analyse.

Bonjour GOF,

Oui tu as raison alors que puis je utiliser comme protection (antivirus, firewall) (que penses tu d'Antivir) ?

Sinon oui mon image est saine mais bon si c'est sûr maintenant je reste comme ça (dis moi)

Merci de tes conseils et de ton retour.

Voilà mon scan kaspersky online.

Désolé mais ct trè slong donc j'ai laissé la nuit.

Voilà bonne journée encore merci.

Fred

1) scan Kaspersky online

KASPERSKY ON-LINE SCANNER REPORT

Friday, August 03, 2007 7:00:15 AM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 2/08/2007

Enregistrements dans la base antivirus Kaspersky : 348367

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

C:\

D:\

E:\

F:\

G:\

Statistiques de l'analyse

Total d'objets analysés 87178

Nombre de virus trouvés 7

Nombre d'objets infectés 21 / 0

Nombre d'objets suspects 0

Durée de l'analyse 03:12:19

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Sony Corporation\SonicStage\Packages\MtData.ldb L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Sony Corporation\SonicStage\Packages\MtData.mdb L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Confid.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Content.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Privacy.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Restrict.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\WebHist.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\HPPAppActivity.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\HPPHomePageActivity.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2007-08-02_Log.ALUSchedulerSvc.LiveUpdate L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\18EB7977.HTM Infecté : Trojan.JS.ExitW.b ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\19BC7891.HTM Infecté : Trojan.JS.ExitW.b ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A5957E5.exe Infecté : Email-Flooder.Win32.Typhoon ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1AD26960.exe Infecté : Email-Flooder.Win32.Typhoon ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35320CF8.tmp/data.scr Infecté : Email-Worm.Win32.LovGate.w ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35320CF8.tmp ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35320CF8.tmp CryptFF: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F6E3281.tmp Infecté : Email-Flooder.Win32.Typhoon ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F715C7E.tmp Infecté : Trojan.JS.ExitW.b ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F74067A.tmp Infecté : Email-Flooder.Win32.XMas.40 ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\45782B30.exe Infecté : P2P-Worm.Win32.Kapucen.ac ignoré

C:\Documents and Settings\colombero\Application Data\Kanopea Antispam\env.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Kanopea Antispam\mail.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Kanopea Antispam\spam.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\formhistory.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Symantec\PendingAlertsQueue.log L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Thunderbird\Profiles\28fdl27j.default\Mail\Local Folders\Inbox.msf L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Thunderbird\Profiles\28fdl27j.default\Mail\Local Folders\Templates.msf L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Application Data\Thunderbird\Profiles\28fdl27j.default\panacea.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Bureau\SDFix\backups\backups.zip/backups/9129837.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

C:\Documents and Settings\colombero\Bureau\SDFix\backups\backups.zip/backups/new_drv.sys Infecté : Rootkit.Win32.Agent.ex ignoré

C:\Documents and Settings\colombero\Bureau\SDFix\backups\backups.zip ZIP: infecté - 2 ignoré

C:\Documents and Settings\colombero\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Ahead\Nero Home\bl.db-journal L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Ahead\Nero Home\is2.db-journal L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Application Data\Mozilla\Firefox\Profiles\kphtv5id.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Historique\History.IE5\MSHist012007080220070803\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Temp\Perflib_Perfdata_c74.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\colombero\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\AntiSpam\Log\Spam.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EPERSIST.DAT L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDALRT.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDCON.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDDBG.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDFW.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDIDS.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SNDSYS.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBConfig.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBDebug.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBDetect.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBNotify.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBRefr.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetCfg.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetDev.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetLoc.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSetUsr.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSMNot.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSMReg.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBSMRSt.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBStHash.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBStMSI.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\BBValid.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\SPPolicy.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\SPStart.log L'objet est verrouillé ignoré

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\LOGS\SPStop.log L'objet est verrouillé ignoré

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVApp.log L'objet est verrouillé ignoré

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVError.log L'objet est verrouillé ignoré

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVVirus.log L'objet est verrouillé ignoré

C:\Program Files\Norton Internet Security\Norton AntiVirus\Savrt653NAV~.TMP L'objet est verrouillé ignoré

C:\Program Files\Norton Internet Security\Norton AntiVirus\Savrt816NAV~.TMP L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027593.sys Infecté : Rootkit.Win32.Agent.ex ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027594.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027599.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027600.sys Infecté : Rootkit.Win32.Agent.ex ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP184\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt L'objet est verrouillé ignoré

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{88DFBB90-FC8D-43DE-8DF1-47DFBEDC748D}.crmlog L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\JET1FE.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\JET3C4.tmp L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_8d4.dat L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP184\change.log L'objet est verrouillé ignoré

D:\travauxFred\recup mail020807\Bureau\SDFix\backups\backups.zip/backups/9129837.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

D:\travauxFred\recup mail020807\Bureau\SDFix\backups\backups.zip/backups/new_drv.sys Infecté : Rootkit.Win32.Agent.ex ignoré

D:\travauxFred\recup mail020807\Bureau\SDFix\backups\backups.zip ZIP: infecté - 2 ignoré

D:\VAIO Entertainment\database\MtData.ldb L'objet est verrouillé ignoré

D:\VAIO Entertainment\database\MtData.mdb L'objet est verrouillé ignoré

Analyse terminée.

Gof · le 3 août 2007

Bonsoir fredo77

Donc, comme prévu, l'analyse en ligne a révélé la présence de fichiers malveillants.

Dans la quarantaine de Norton :

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\18EB7977.HTM Infecté : Trojan.JS.ExitW.b ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\19BC7891.HTM Infecté : Trojan.JS.ExitW.b ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1A5957E5.exe Infecté : Email-Flooder.Win32.Typhoon ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1AD26960.exe Infecté : Email-Flooder.Win32.Typhoon ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35320CF8.tmp/data.scr Infecté : Email-Worm.Win32.LovGate.w ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35320CF8.tmp ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35320CF8.tmp CryptFF: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F6E3281.tmp Infecté : Email-Flooder.Win32.Typhoon ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F715C7E.tmp Infecté : Trojan.JS.ExitW.b ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F74067A.tmp Infecté : Email-Flooder.Win32.XMas.40 ignoré

C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\45782B30.exe Infecté : P2P-Worm.Win32.Kapucen.ac ignoré

Dans le Backup de l'outil SDFIX :

C:\Documents and Settings\colombero\Bureau\SDFix\backups\backups.zip/backups/9129837.exe Infecté : Packed.Win32.PolyCrypt.b ignoré
C:\Documents and Settings\colombero\Bureau\SDFix\backups\backups.zip/backups/new_drv.sys Infecté : Rootkit.Win32.Agent.ex ignoré

C:\Documents and Settings\colombero\Bureau\SDFix\backups\backups.zip ZIP: infecté - 2 ignoré

D:\travauxFred\recup mail020807\Bureau\SDFix\backups\backups.zip/backups/9129837.exe Infecté : Packed.Win32.PolyCrypt.b ignoré
D:\travauxFred\recup mail020807\Bureau\SDFix\backups\backups.zip/backups/new_drv.sys Infecté : Rootkit.Win32.Agent.ex ignoré

D:\travauxFred\recup mail020807\Bureau\SDFix\backups\backups.zip ZIP: infecté - 2 ignoré

Dans tes points de restauration :

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027593.sys Infecté : Rootkit.Win32.Agent.ex ignoré
C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027594.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027599.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

C:\System Volume Information\_restore{98E6D121-5923-4554-AB8E-C6B3F3A61D18}\RP182\A0027600.sys Infecté : Rootkit.Win32.Agent.ex ignoré

Tout va "presque" bien donc. Supprime ta quarantaine de Norton en passant par l'interface de l'antivirus. Supprime manuellement les répertoires Sdfix :

Celui qui se trouve sur ton bureau : C:\Documents and Settings\colombero\Bureau\SDFix
Celui qui se trouve sur D-> D:\travauxFred\recup mail020807\Bureau\SDFix

Pour tes points de restauration, nous verrons par la suite quand tu m'annonceras que tu as effectué la manipulation que je viens de te demander sans soucis et que tu me confirmeras que tout va bien sur le pc .

Quant aux outils de sécurité, je te proposerai un choix d'outils gratuits en fin de procédure, il est préférable d'installer les outils quand tout va bien, sur un système sain. D'autant que tu n'en es pas non plus démuni pour l'instant.

Je souhaiterai également que tu fasses la manipulation suivante je te prie.

Copie-colle le texte suivant (dans la codebox) dans le bloc-notes:

[code]CHCP 1252
echo Effectué le %date% à %time%.>>recherche.txt
dir C:\jlnfd2m0.sys /a h /s >recherche.txt
notepad recherche.txt
del /q recherche.txt[/code]

Assure toi que le retour automatique à la ligne n'est pas activé
Sauvegarde comme look.bat sur le Bureau :
Nom: look.bat
Type: Tous les fichiers

Localise look.bat sur le Bureau, double-clique dessus et poste le contenu du bloc-notes.

Quand tu fermeras le bloc-notes, la fenêtre CMD se fermera aussitôt et le fichier texte sera effacé.

A bientôt.

fredo77 · le 4 août 2007

Bonsoir fredo77

Donc, comme prévu, l'analyse en ligne a révélé la présence de fichiers malveillants.

Dans la quarantaine de Norton :

Dans le Backup de l'outil SDFIX :

Dans tes points de restauration :

Tout va "presque" bien donc. Supprime ta quarantaine de Norton en passant par l'interface de l'antivirus. Supprime manuellement les répertoires Sdfix :

Celui qui se trouve sur ton bureau : C:\Documents and Settings\colombero\Bureau\SDFix
Celui qui se trouve sur D-> D:\travauxFred\recup mail020807\Bureau\SDFix
Pour tes points de restauration, nous verrons par la suite quand tu m'annonceras que tu as effectué la manipulation que je viens de te demander sans soucis et que tu me confirmeras que tout va bien sur le pc .

Quant aux outils de sécurité, je te proposerai un choix d'outils gratuits en fin de procédure, il est préférable d'installer les outils quand tout va bien, sur un système sain. D'autant que tu n'en es pas non plus démuni pour l'instant.

Je souhaiterai également que tu fasses la manipulation suivante je te prie.

Copie-colle le texte suivant (dans la codebox) dans le bloc-notes:
[code]CHCP 1252
echo Effectué le %date% à %time%.>>recherche.txt
dir C:\jlnfd2m0.sys /a h /s >recherche.txt
notepad recherche.txt
del /q recherche.txt[/code]
Assure toi que le retour automatique à la ligne n'est pas activé
Sauvegarde comme look.bat sur le Bureau :
Nom: look.bat
Type: Tous les fichiers
Localise look.bat sur le Bureau, double-clique dessus et poste le contenu du bloc-notes.

Quand tu fermeras le bloc-notes, la fenêtre CMD se fermera aussitôt et le fichier texte sera effacé.

A bientôt.

Bonjour GOF,

Merci de ton retour.

J'ai réalisé la manip du look.bat et tu trouveras le rapport ci-dessous.

Je ne sais pas trop comment faire avec l'interface de NORTON pour enlever ces fichier en quarantaine.

J'ai sélectionné Norton Quanrantine and restaure, là il y a une liste de fichier (voir fichier image joint)

http://colombero.free.fr/For%20GOF/Norton_Quarantine.JPG

Si je sélectionne un de ces fichiers j'ai la possibilité de le supprimer. Que faire ?

J'ai restauré mon image du système avant que je sois infecté.

la liste n'a plus rien a voir (je supprime quand même ?).

Voilà merci de ton retour sur ce que je dois faire.

A toute poru la suite, bonne journée,

Cordialement,

Fred

1) rapport look.bat

Le volume dans le lecteur C s'appelle VAIO

Le numéro de série du volume est 54A5-8EF0

Répertoire de C:\

07/05/2006 12:56 PM 1,152 jlnfd2m0.sys

1 fichier(s) 1,152 octets

Gof · le 4 août 2007

Bonjour fredo77,

J'ai restauré mon image du système avant que je sois infecté.

Bon, bein, on a fait tout ça pour rien alors.

la liste n'a plus rien a voir (je supprime quand même ?).

Oui, la liste n'a surement plus rien à voir. Essaie de supprimer malgré tout la quarantaine, voir ce qu'il t'indique.

Bon, ben c'est comme si on repartait sur un autre pc maintenant, comme tu as rétabli une image, toute l'infection, et les corrections qu'on a pu apporter ne sont plus présentes. J'espère pour toi que ton image était saine.

fredo77 · le 4 août 2007

Bonjour fredo77,

Bon, bein, on a fait tout ça pour rien alors.

Oui, la liste n'a surement plus rien à voir. Essaie de supprimer malgré tout la quarantaine, voir ce qu'il t'indique.

Bon, ben c'est comme si on repartait sur un autre pc maintenant, comme tu as rétabli une image, toute l'infection, et les corrections qu'on a pu apporter ne sont plus présentes. J'espère pour toi que ton image était saine.

Bonsoir GOF,

Merci de ton retour, si tu veux je peux refaire un scan en ligne avec un outil de ton choix ?

Et je poste le rapport ensuite qu'en dis tu ?

Je dégage donc bien avec la fenêtre que je t'ai envoyée sous forme d'image les fichier indiqués en quarantaines ?

Merci de ton aide encore.

Et puis dis moi pour les outils dont tu m'as parlé dans le précedent post.

Merci

A toute, bye,

Fred

Connexion

Pas encore inscrit ?

RESOLU A l'aide infecté avec new_drv.sys et 9129837.exe

Messages recommandés

Gof

fredo77

Gof

fredo77

Gof

fredo77

Gof

fredo77

Gof

fredo77

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer