[Résolu] Problème avec HEUR/Exploit.HTML

[boulet67]

Bonjour à tous,

 

je me suis inscrit sur votre site pour avoir une réponse à mon problème. Pourquoi votre site me direz-vous? Car en parcourant votre forum, j'ai vu que vous étiez d'une grande aide, que vous étiez patient à l'egard des personnes ayant des problèmes de PC comme moi!

 

Je vais donc maintenant vous exposez mon problème. Comme vous pouvez le voir dans le titre de mon sujet, je suis à la recherche d'aide, afin de parvenir à érradiquer ce problème de "HEUR/Exploit.HTML", s'affichant lorque je visite une page internet bien précise.

 

Pour information, mon antivirus est "Avira Antivir PersonnalEdition Classic". Celui-ci m'affiche une boîte de dialogue lorsque je surfe sur un site en particulier, voici cette boite de dialogue:

 

 

Le fichier infecté en question, se situe dans le cache de Firefox.

 

J'aimerais donc avoir votre avis sur ce sujet, et est-il possible de venir à bout de ce fichu fichier suspicieux (comme cela est écrit dans la boîte de dialogue ) ???

 

Boulet67.

Modifié le 11 septembre 2007 par boulet67

[WawaSeb]

Bonjour boulet67 et bienvenue sur le forum sécurité de Zebulon !

 

Groupe : Membres

Messages : 1

--> N'hésite surtout pas à poser des questions si quelque chose te semble trop difficile, nous sommes là pour t'aider...

 

 

est-il possible de venir à bout de ce fichu fichier suspicieux

--> Il n'est sans doute pas difficile de supprimer ce fichier particulier, mais nous devons établir un diagnostique plus général à l'aide d'outils spécifiques...

 

 

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

 

2) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

• Windows Temp
  
• Current User Temp
  
• All Users Temp
  
• Cookies
  
• Temporary Internet Files
  
• Prefetch
  
• Java Cache
  
• Recycle Bin
  

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

Bonne soirée à toi !

[boulet67]

Déjà je voudrais te remercier de voulaoir m'aider, c'est très appréciable de voir des gens prendre de leur temps pour aider les personnes en difficultés (comme moi)

 

RAPPORT HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:40:03, on 10/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\ASWLSVC.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ASWL2K.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

 

--

End of file - 7421 bytes

 

J'ai bien utilisé ATF Cleaner aussi!

 

Voila en attendant la suite....

 

Bonne soirée.

[seb74]

Déjà je voudrais te remercier de voulaoir m'aider, c'est très appréciable de voir des gens prendre de leur temps pour aider les personnes en difficultés (comme moi)

 

RAPPORT HijackThis:

J'ai bien utilisé ATF Cleaner aussi!

 

Voila en attendant la suite....

 

Bonne soirée.

 

Bonjour,

 

Peux-être ne s'agit-'il que d'une fauuse alerte de l'antivirus ? C'est qoui la page ?

 

Seb

[WawaSeb]

Re - boulet67, bonjour seb74,

 

*** Le rapport HijackThis ne montre rien de très dangereux ! ***

 

Peux-être ne s'agit-'il que d'une fauuse alerte de l'antivirus ?

--> C'est possible, mais la console JAVA n'est de toutes façons plus à jour... Nous verrons cela en fin de procédure !

 

 

Attention, je constate qu'il y a deux antispyware's installés sur ta machine !

--> C'est une mauvaise idée, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles :

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle Spybot
  OU
  
• Désinstalle AVG Anti-Spyware 7.5
  

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

 

 

3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Bonne chance !

[boulet67]

Désolé d'avoir été long à répondre, mais le scan de Kaspersky a pris un temps fou à analyser mon PC.

 

Voici donc son rapport:

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Monday, September 10, 2007 8:23:30 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 10/09/2007

Enregistrements dans la base antivirus Kaspersky : 386662

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

C:\

D:\

E:\

F:\

G:\

H:\

J:\

 

Statistiques de l'analyse:

Total d'objets analysés: 128527

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 01:42:04

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{D9E74A99-93AF-4AFB-920C-B95514F47F0F}.bin L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Application Data\Ahead\Nero Home\is2.db L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Application Data\Ahead\Nero Home\bl.db-journal L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Application Data\Ahead\Nero Home\bl.db L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Local Settings\Application Data\Ahead\Nero Home\is2.db-journal L'objet est verrouillé ignoré

C:\Documents and Settings\Boulet67\Cookies\index.dat L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\debug.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\syslog.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\seclog.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\tralog.log L'objet est verrouillé ignoré

C:\Program Files\Sygate\SPF\rawlog.log L'objet est verrouillé ignoré

C:\System Volume Information\_restore{E0A1B30C-A623-4C7F-B81B-59ED10FCDE1F}\RP100\change.log L'objet est verrouillé ignoré

D:\System Volume Information\_restore{E0A1B30C-A623-4C7F-B81B-59ED10FCDE1F}\RP100\change.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

Avant d'avoir fait cette analyse, j'avais pris soin de bien désinstaller un des Anti-Spyware. J'ai désinstallé Spybot (peut-être ai-je fait un mauvais choix ?? )

 

J'ai bien fixé les lignes que tu m'avais indiqué avec HijackThis.

 

En attendant les nouvelles instructions, je te te souhaite une bonne soirée!

 

Boulet67

[WawaSeb]

Bonsoir boulet67,

 

*** Tout semble propre... tu as fait de l'excellent travail ! ***

 

 

1) Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

1. Télécharge la dernière version de Java Runtime Environment (JRE) 6.
   
2. Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u2, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
   
3. Clique sur "Download", à droite
   
4. Coche la case et accepte la license
   
5. La page se recharge
   
6. Clique sur le lien pour télécharger l'installation hors ligne [Windows] et enregistre le fichier sur ton bureau
   
7. Ferme tous tes programmes (surtout les navigateurs Internet)
   
8. Clique sur "démarrer", "panneau de configuration", "ajout/suppression de programmes" et désinstalle toutes les anciennes versions de JAVA
   
9. Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
   
10. Clique sur le bouton "modifier / supprimer"
    
11. Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
    
12. Redémarre ta machine
    
13. Après le reboot, clique sur jre-6u2-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
    

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

 

@ très vite !

[boulet67]

Bonsoir boulet67,

 

*** Tout semble propre... tu as fait de l'excellent travail ! ***

 

C'est graçe à ton aide précieuse que j'ai pu faire un bon travail . Merci à toi pour tes explications claire et précise.

 

J'ai suivi scrupuleusement tes conseils pour l'installation de Java, impecable, tout à fonctionné.

 

J'ai une question à te poser:

1)Le cache de Firefox, s'il est placé à 0, peut-il causer des dommages dans la navigation sur le net?

 

Je pose cette question, car un ami m'a dit de mettre le cache à 0, comme cela je n'aurais plus le problème de malware puisque celui-ci venait se loger dans le cache de Firefox lorsque je naviguais sur une page bien précise.

 

Sinon pour ce qui est du problème HEUR/Exploit.HTML détécté par Antivir en surfant sur la page, je le possède toujours....

Je ne comprends pas comment cela est possible, puisque tous les rapports sont propres.

 

Je reste à l'écoute de tes prochaines indications.

 

Boulet67

[WawaSeb]

Bonsoir boulet67,

 

Il s'agit peut-être d'un faux positif détecté par Antivir...

Peux-tu donner l'adresse de la page Web sur laquelle tu reçois cette alerte stp ?

 

1)Le cache de Firefox, s'il est placé à 0, peut-il causer des dommages dans la navigation sur le net?

--> A ma connaissance, cela n'entraînera aucun dysfonctionnement...

 

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

 

1) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : C:\Documents And Settings\Boulet67\Local Settings\Application Data\Mozilla\Firefox\Profiles\x3jsmvra.default\Cache\FB20F166d01
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

2) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique fsbl.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle également le contenu de ce rapport dans ta prochaine réponse

 

 

Bonne chance à toi !

[boulet67]

Bonsoir boulet67,

 

Il s'agit peut-être d'un faux positif détecté par Antivir...

Peux-tu donner l'adresse de la page Web sur laquelle tu reçois cette alerte stp ?

Bonjour WawaSeb,

désolé de répondre si tardivement. Alors le site sur lequel je reçois l'alerte est: ICI

 

 

--> A ma connaissance, cela n'entraînera aucun dysfonctionnement...

Merci de ta réponse...

 

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

 

1) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : C:\Documents And Settings\Boulet67\Local Settings\Application Data\Mozilla\Firefox\Profiles\x3jsmvra.default\Cache\FB20F166d01
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

Je n'ai plus ce fichier dans C:\Documents And Settings\Boulet67\Local Settings\Application Data\Mozilla\Firefox\Profiles\x3jsmvra.default\Cache\FB20F166d01.

 

Pourtant j'ai bien mis "afficher les fichiers cachés", mais il y a rien dans le cache de Firefox...

 

Autre précision, depuis que la console Java a été mise à jour, je n'ai plus le problème. Hier je l'avais encore, mais ce matin quand j'ai allumé mon PC et que je suis allé sur le site, et bien plus aucun problème (même en ayant un cache de Firefox à 50Mo).

 

EDIT: J'ai retrouvé ce fichier et je l'ai donc passé sur le site que tu m'as conseillé. Voici son rapport:

 Scan taken on 11 Sep 2007 10:20:35 (GMT)
A-Squared							   Found nothing
AntiVir									 Found nothing
ArcaVir									Found nothing
Avast									   Found nothing
AVG Antivirus						   Found nothing
BitDefender							  Found nothing
ClamAV									Found nothing
CPsecure								  Found nothing
Dr.Web									Found nothing
F-Prot Antivirus						 Found nothing
F-Secure Anti-Virus				   Found nothing
Fortinet									Found nothing
Kaspersky Anti-Virus				 Found nothing
NOD32									 Found nothing
Norman Virus Control				Found nothing
Panda Antivirus						 Found nothing
Rising Antivirus						 Found nothing
Sophos Antivirus					   Found nothing
VirusBuster							   Found nothing
VBA32									  Found nothing

 

Je vais quand même poster le rapport de Blacklight par la suite...

 

 

2) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique fsbl.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle également le contenu de ce rapport dans ta prochaine réponse

Bonne chance à toi !

Voici donc le rapport de Blacklight, "fsbl-20070911101510":

 

09/11/07 12:15:10 [Info]: BlackLight Engine 1.0.64 initialized
09/11/07 12:15:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/11/07 12:15:11 [Note]: 7019 4
09/11/07 12:15:11 [Note]: 7005 0
09/11/07 12:15:20 [Note]: 7006 0
09/11/07 12:15:20 [Note]: 7011 1540
09/11/07 12:15:21 [Note]: 7026 0
09/11/07 12:15:21 [Note]: 7026 0
09/11/07 12:15:23 [Note]: FSRAW library version 1.7.1022
09/11/07 12:15:50 [Note]: 2000 1012
09/11/07 12:15:50 [Note]: 2000 1012
09/11/07 12:15:50 [Note]: 2000 1012
09/11/07 12:15:50 [Note]: 2000 1012
09/11/07 12:15:50 [Note]: 2000 1012
09/11/07 12:16:37 [Note]: 7007 0

 

En tout cas merci encore de ta patience, et de ton aide si précieuse.

Bonne journée,

 

Boulet67

Modifié le 11 septembre 2007 par boulet67