Infection PC - Analyse rapport

[dorotlaurent]

D'accord, merci pour toutes ces explications

 

Bon, pour le moment, il n'a pas resonné oufff

 

Il en est à 56 %, 1H03 .

 

A tout à l'heure, pas de problème. Merci.

[Zonk]

Quand l'équipe sécurité confirmera que finalement ton ordi est sain,et oui car bientôt on va atteindre le seuil de mes compétences.......

pense à passer à l'optimisation:

http://forum.zebulon.fr/index.php?act=SF&s=&f=52

ça ne presse pas!!...mais ça a aider ton ordi et te donner des bons trucs !

@+

[dorotlaurent]

Bon, ça y est, scan terminé !

 

Je colle ici mon résultat ...

 

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 22:01:34

ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14/12/2007 22:01:34

ANTIVIR3.VDF : 7.0.1.101 18944 Bytes 16/12/2007 22:01:34

AVEWIN32.DLL : 7.6.0.45 3084800 Bytes 16/12/2007 22:01:34

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: G:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: dimanche 16 décembre 2007 23:04

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'FlashUtil9e.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'ieuser.exe' - '1' Module(s) have been scanned

Scan process 'HPHC_Service.exe' - '1' Module(s) have been scanned

Scan process 'msmsgs.exe' - '1' Module(s) have been scanned

Scan process 'HPQTOA~1.EXE' - '1' Module(s) have been scanned

Scan process 'ehmsas.exe' - '1' Module(s) have been scanned

Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'MSN Pictures Displayer.exe' - '1' Module(s) have been scanned

Scan process 'PrintScreen.exe' - '1' Module(s) have been scanned

Scan process 'EDICT.EXE' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'ehtray.exe' - '1' Module(s) have been scanned

Scan process 'sidebar.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'vVX1000.exe' - '1' Module(s) have been scanned

Scan process 'avgas.exe' - '1' Module(s) have been scanned

Scan process 'SDTrayApp.exe' - '1' Module(s) have been scanned

Scan process 'HPWAMain.exe' - '1' Module(s) have been scanned

Scan process 'WiFiMsg.exe' - '1' Module(s) have been scanned

Scan process 'QLBCTRL.exe' - '1' Module(s) have been scanned

Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned

Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned

Scan process 'MSASCui.exe' - '1' Module(s) have been scanned

Scan process 'taskeng.exe' - '1' Module(s) have been scanned

Scan process 'SDWinSec.exe' - '1' Module(s) have been scanned

Scan process 'hpqwmiex.exe' - '1' Module(s) have been scanned

Scan process 'CLSched.exe' - '1' Module(s) have been scanned

Scan process 'XAudio.exe' - '1' Module(s) have been scanned

Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'swdsvc.exe' - '1' Module(s) have been scanned

Scan process 'svcntaux.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'MSCamS32.exe' - '1' Module(s) have been scanned

Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned

Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'taskeng.exe' - '1' Module(s) have been scanned

Scan process 'dwm.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'aawservice.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'SLsvc.exe' - '1' Module(s) have been scanned

Scan process 'audiodg.exe' - '0' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'lsm.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'wininit.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

69 processes with 69 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'G:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '22' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\ProgramData\Spybot - Search & Destroy\Recovery\MessengerSkinnerrtk1.zip

[DETECTION] Contains suspicious code GEN/PwdZIP

[iNFO] The file was moved to '47d8a5e9.qua'!

C:\Users\dorothée\AppData\Local\Temp\ZAN301.exe

[DETECTION] Contains detection pattern of the dropper DR/180Solutions.BJ.4

[iNFO] The file was moved to '47b3aad0.qua'!

C:\Users\dorothée\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\7e615cf4-7eee0daa

[0] Archive type: ZIP

--> BnnnnBaa.class

[DETECTION] Is the Trojan horse TR/Java.Downloader.Gen

--> VaannnaaBaa.class

[DETECTION] Is the Trojan horse TR/ClassLoader

[iNFO] The file was moved to '479baba1.qua'!

Begin scan in 'D:\' <HP_RECOVERY>

Begin scan in 'E:\'

Search path E:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'G:\' <PHOTOS/MUSIQUES/FILMS>

 

 

End of the scan: lundi 17 décembre 2007 00:18

Used time: 1:14:15 min

 

The scan has been done completely.

 

14898 Scanning directories

289278 Files were scanned

2 viruses and/or unwanted programs were found

2 Files were classified as suspicious:

0 files were deleted

0 files were repaired

3 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

289276 Files not concerned

5062 Archives were scanned

2 Warnings

12 Notes

 

 

--------> Donc , en gros, je crois avoir 2 virus, si j'ai bien compris

Alors bon, euh ... J'ai mis 3 choses en quarantaine, mais quoi, je n'en sais rien ...

 

J'ai cru voir cheval de troie quelque part, là, dans le résultat ..... En même temps, je ne vois plus rien loooool !!!!

 

J'ai relu toutes les questions - réponses :

 

Ah oui, effectivement, je suis bien chiante hein, j'ai posé pleins de fois les mêmes questions !!!! Mais c'était pour me rassurer .......

Sinon, je vais de ce pas regarder mon spyware doctor, et je repasse dès que j'ai une information. D'ici peu ...

Merci

[dorotlaurent]

Je vais me faire tuer .......................

Les 2 options que vous m'avez données taleur qui étaient importantes, là .... je les ai pas faites car pas trouvé !

Mais je rechercherai ......

Je parle de masterboot et roottkits :-S

 

A tout à l'heure, je me sauve vite regarder spyware doctor !!!!!!!!!!

[dorotlaurent]

Alors spyware doctor dit :

 

--> Version à jour

--> Dernière analyse aujourd'hui

--> Dernière mise à jour hier

 

Et j'ai la version limitée

Version produit : 5.0.0.185

[Zonk]

Antivir a détecté 4 items.......et je vois 3 en quarantaine...donc logiquement y en a un qui ne peut être supprimer en mode normal...peut être en recommençant et en activant toutes les options que je t'ai mentionner...et que tu as vu oubliées .........voila ,entre autre,le pourquoi du mode sans échec.....mais ce n'est pas garant de succès à tout coup

donc retourne dans Antivir.......active tout ce qui manque ...et pense au pré-nettoyage....

Ne soit pas surpris de voir une fenêtre ouvrir t'offrant les produits Avira lors que tu feras les mises à jour programmées (tu peux choisir ton heure quotidienne)....c'est le prix à payer pour avoir le produit gratuit.....tu cliques ok....et ca part......

Antivir en version gratuite n'offre pas la pré-analyse des fichiers joints au courrier.......tu te doit idéalement d'analyser manuellement (en cliquant à droite sur le fichier et en choisisant le "scan with Antivir" )...il n'y a pas de danger même si Antivir ne pré-analyse pas les fichiers des courriers.........quand tu voudras ouvrir un de ces fichiers,Antivir sera toujours là et te bloquera l'accès si il considère comme une menace ......

Antivir gratuit est parfois un peu difficile à mettre à jour.......dans ce cas tu te reprend quelques heures plus tard.....(en forçant il y a moyen de le mettre immédiatement à jour manuellement ...mais ce n'est pas souvent nécessaire)

@+

[Zonk]

Alors spyware doctor dit :

 

--> Version à jour

--> Dernière analyse aujourd'hui

--> Dernière mise à jour hier

 

Et j'ai la version limitée

Version produit : 5.0.0.185

Ca fait combiens de temps que tu l'a???..as tu payer la licence??si non ,ca serait un bon achat!!

La version limitée permet les analyses complètes et la suppression des infections détectées, mais offre une protection en temps réel limitée.

Modifié le 17 décembre 2007 par Zonk

[dorotlaurent]

Ca fait quelques temps, environ 2 ou 3 mois ..... Non je n'ai payé aucune licence

J'ai bien compris pour antivir, donc je vais refaire en cochant bien les 2 choses importantes !!

Parce que j'avais regardé, mais c vrai que j'avais seulement vu rootkits, et encore, l'ai vu qd le scan avait déjà commencé !!! :-S

Donc je v essayer de bien les trouver.

 

Pour antivir, là il fait un scan, il en est à 70% donc c bon ..

Car j'ai toutes les coches vertes, sauf une :-S , celle qu'il est en train de faire ....

 

Donc dès qu'il a fini, j'aurai normalement TOUTES les coches vertes , et je relancerai scan pc après avoir coché les 2 cases là .

Je vous prend énormément de votre temps, je suis désolée .....

Je fais au mieux pour " comprendre ", .....

 

Il est tard, mais je suis encore sur le pc un bon petit moment, en revanche, je ne vous oblige pas à me supporter davantage aujourd'hui !!! LoooooL

 

Et dernière question : ah ui, je la répète encore une fois, car c'est une chose que je n'ai vraiment pas compris, expliquez- moi juste SVP ce qu'est le mode sans échec .

Car même en relisant les réponses, je n'ai décidément pas réussi à m'en faire une idée. C un terme totalement inconnu pour moi.

 

Merci

[Zonk]

Même si tu ne comprend pas à 100 % le principe du mode sans échec,tu devras y aller bientôt….

 

Le mode sans échec est le mode diagnostic de Windows.C'est un démarrage d'ordinateur mais différent ....plus simple..... en démarrant l’ ordinateur en mode sans échec, seuls les composants spécifiques nécessaires à l'exécution du système d'exploitation sont chargés. ….et de cette façon beaucoup de pestes sont inactives et plus facilement supprimable, car selon mes connaissances ,un programme actif est impossible ou presque à supprimer

 

Pour accéder au mode sans échec,il s’agit de redémarrer l’ordinateur et d’appliquer ceci :

http://www.forum-vista.net/astuces_vista/9...ions.htm#astuce

En ce mode ,démarrer /fermer est parfois plus long….soit patiente……et l’affichage est altéré..ça reviendra en redémarrant en mode normal

Les icônes du bureau peuvent également avoir changé d'emplacement en raison de cette basse résolution.

Il y plusieurs raisons pour aller en mode sans échec, mais dans notre cas :

-Pour supprimer certains fichiers récalcitrants et certaines pestes

 

donc retourne encore et encore et encore lire ....tout est la........

[dorotlaurent]

Merci pour cette explication

 

Alors j'ai déjà mieux compris oui. Bonne nouvelle, le scan est terminé, j'ai toutes les coches en vert !!!! Déjà un bon pas.

 

J'ai donc regardé pour les 2 choses importantes : j'ai , dans mes propositions scanners :

 

--> Local drives

--> Local Hard Disks

--> Removable Drives

--> Windows System Directory

--> My documents

--> Active Processes

--> Rootkit search ( j'ai cliké sur le + et là, g mes 3 parties : * Dique local (C:) / * HP.recovery (D:) / * Photos , etc .. (G:)

--> Manual Selection

 

Donc, n'osant pas cliker trop n'importe où , , je vous demanderais juste de m'aider à situer le Masterboot, et savoir si je dois cocher les 3 parties dans Rootkit ?

 

Je le lance juste après, et suis prête pour le mode sans échec

( + que taleur, déjà !! )