rapport de nateco

[Thanos]

salut nateco

 

C'est beaucoup mieux Dr CureIt s'est occupé de Virut

 

On va à présent pouvoir utiliser escan antivirus sans craindre qu'il soit lui même infecté !!

Allez, y a encore de l'espoir! on continue comme ceci pour nettoyer Worm.Win32.Mefir.p >

 

Elimine le fichier mwav.com qui se trouve sur le Bureau.

Elimine aussi les dossiers suivants >

 

C:\Kaspersky

C:\Bases

C:\Downloads

 

Une fois ceci fait, on recommence la manip qui doit marcher à présent >

 

-Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

A présent, il faut le mettre à jour tel qu'indiqué à l'étape ci dessous >

 

Étape 1:

 

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

 

Ne pas lancer le scan tout de suite !

 

Étape 2:

 

Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

Choisis ton compte usuel, et non Administrateur

En images ici > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm

 

Étape 3:

 

Du mode Sans Échec, voici comment utiliser escan antivirus toolkit :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal.

 

Étape 4:

 

N'oublie pas de sauvegarder le rapport de escan >

Poste (copie/colle) le rapport de escan antivirus que tu as sauvegardé dans ta prochaine réponse.

Après ca... un scan Kaspersky en ligne !!

 

Bon je sais que ca fait pas mal de scans, mais ca commence à fonctionner: courage !!

Modifié le 1 novembre 2007 par charles ingals

[nateco]

Moi j'ai du courage mais toi aussi...! encore merci

 

J'effectue le processus et te poste le rapport...

@+

Modifié le 1 novembre 2007 par nateco

[nateco]

Ci joint le rapport de "escan Antivirus:

 

Thu Nov 01 20:29:45 2007 => Scan Completed.

 

 

 

 

Je scann avec Kaspersky en espérant que ça fonctionne...

@+

Modifié le 5 novembre 2007 par nateco

[Thanos]

re!

 

Très bon boulot d'escan qui s'est occupé de Worm.Win32.Mefir

Si tout se passe bien, le scan en ligne Kaspersky devrait être déjà beaucoup moins long !!

Dans l'attente

Modifié le 1 novembre 2007 par charles ingals

[nateco]

Le rapport Kaspersky est là....

 

05:28 02/11/2007-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Friday, November 02, 2007 5:27:37 AM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.98.0

Dernière mise à jour de la base antivirus Kaspersky : 1/11/2007

Enregistrements dans la base antivirus Kaspersky : 449813

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

 

Statistiques de l'analyse:

Total d'objets analysés: 67250

Nombre de virus trouvés: 1

Nombre d'objets infectés: 1

Nombre d'objets suspects: 0

Durée de l'analyse: 02:26:55

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\formhistory.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Application Data\Mozilla\Firefox\Profiles\nq1e1cvy.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Historique\History.IE5\MSHist012007110120071102\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Famille Mutz\UserData\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\qoobox\Quarantine\C\WINDOWS\system32\cgafmimrfs.exe.vir Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

 

Analyse terminée.

Modifié le 2 novembre 2007 par nateco

[Thanos]

...et le rapport Kaspersky est bon :P

 

Le seul élément infectieux trouvé est déjà dans la quarantaine de ComboFix

Oufff! on tient le bon bout!!

On va faire quelques vérifications supplémentaires pour voir si les malwares du début sont encore présents.

 

1) Elimine les rapports ComboFix.txt présents dans le répertoire C:\.

Relance ComboFix de la même manière >

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche 1 pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  

2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

 

Allez, ca va être beaucoup plus simple à présent

 

Au passage, un grand merci à Mark et Jok pour leur conseils avisés

Modifié le 2 novembre 2007 par charles ingals

[nateco]

Le rapport ComboFix.exe:

 

ComboFix 07-10-26.4 - Famille Mutz 2007-11-02 6:49:58.7 - NTFSx86

Running from: C:\Documents and Settings\Famille Mutz\Bureau\anti-virus\ComboFix.exe

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-10-02 to 2007-11-02 ))))))))))))))))))))))))))))))))))))

.

 

 

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-10-29 21:49:17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

.

**************************************************************************

 

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-02 06:52:40

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-11-02 6:54:07

C:\ComboFix2.txt ... 2007-10-26 12:59

C:\ComboFix3.txt ... 2007-10-26 10:51

.

--- E O F ---

Modifié le 5 novembre 2007 par nateco

[nateco]

et le dernier rapport demandé est là:

 

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

http://www.foundstone.com

Modifié le 5 novembre 2007 par nateco

[Thanos]

nateco, le rapport DiagHelp que tu as posté n'est pas le bon!! il faut ouvrir le dossier DiagHelp et double cliquer sur le fichier nommé Go.cmd, puis taper l'option 1 (pas l'option 2)

On va faire un script pour nettoyer les quelques fichiers infectieux trouvés >

 

Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/8revf5

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Poste le rapport ComboFix stp, et relance DiagHelp après ca (option 1) puis poste le rapport

Modifié le 2 novembre 2007 par charles ingals

[nateco]

salut,

 

Le rapport diaghelp n'arrive pas après l'envois?

 

Si joint le rapport combofix:

 

ComboFix 07-10-26.4 - Famille Mutz 2007-11-02 18:57:41.8 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.164 [GMT 1:00]

Running from: C:\Documents and Settings\Famille Mutz\Bureau\anti-virus\ComboFix.exe

Command switches used :: C:\Documents and Settings\Famille Mutz\Bureau\anti-virus\CFScript-1.txt

* Created a new restore point

 

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-11-02 19:03:29 - machine was rebooted

C:\ComboFix2.txt ... 2007-11-02 06:54

C:\ComboFix3.txt ... 2007-10-26 12:59

.

--- E O F ---

Modifié le 5 novembre 2007 par nateco